In seinem Urteil vom 25.05.2023 (Az. 6 O 5996/22) stellt sich das LG Nürnberg-Fürth sowohl gegen die Entscheidung des LG Heidelberg vom 16.05.2023 (Bm 6 O 10/23; dazu schon PushTan-Verfahren zulässig im Rahmen der starken Kundenauthentifizierung (2FA)? - Anmerkung zu LG Heilbronn, Urt. v. 16.05.23 - Bm 6 O 10/23 | Payment Services Law Blog | GÖRG Blog (payment-law.eu)), als auch gegen die Aussage von Maihold im Bankrechts-Handbuch (Maihold, in: Ellenberger/Bunte, Bankrechts-Handbuch, 6. Auflage 2022, Rdnr. 386 zu § 33) und billigt in seiner Entscheidung ausdrücklich das pushTan-Verfahren.
Das LG Nürnberg-Fürth hat sich mit der in diesem Sachverhalt entscheidungserheblichen Frage über die Zulässigkeit des pushTan-Verfahrens im Rahmen der starken Kundenauthentifizierung – im Gegensatz zum LG Heilbronn– vertieft auseinandergesetzt. Das Gericht trägt damit erheblich zur Rechtssicherheit für Zahlungsdienstleister bei.
Hintergrund
Das LG Heilbronn kam noch einen Monat vor dem Urteil des LG Nürnberg-Fürth im Rahmen eines Obiter Dictum zu der Auffassung, dass das für die Erbringung eines Anscheinsbeweises notwendige, praktisch nicht zu überwindende Sicherheitssystem beim pushTan-Verfahren nicht vorläge, da dieses Verfahren keine Trennung der Kommunikationswege (beide Elemente der 2FA werden auf demselben Gerät vorgehalten und überprüft) vorsieht. Das Gericht traf keine Aussage darüber, ob ein solches Authentifizierungsverfahren die aufsichtsrechtlichen Anforderungen an eine starke Kundenauthentifizierung erfüllt, zitierte jedoch in der Fundstelle Maihold im Bankrechts-Handbuch (Maihold, in: Ellenberger/Bunte, Bankrechts-Handbuch, 6. Auflage 2022, Rdnr. 386 zu § 33), der dort eine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG im Rahmen des pushTan-Verfahrens verneint. Wie das Gericht zu der Frage steht, ob das pushTan-Verfahren die Voraussetzungen der starken Kundenauthentifizierung erfüllt, blieb somit unklar. Eine tiefe Auseinandersetzung mit den rechtlichen und technischen Grundlagen ließ das Gericht im Zusammenhang mit dieser Frage vermissen.
Die Entscheidung des LG Nürnberg-Fürth
Im Rahmen der Prüfung des § 675v Abs. 4 S. 1 Nr. 1 BGB (Ausschluss des SE-Anspruchs der Bank, wenn keine SCA verlangt wurde) kommt das LG Nürnberg-Fürth nun ausdrücklich zu dem Ergebnis, dass das streitgegenständliche pushTan-Verfahren die Voraussetzungen einer SCA erfüllt.
Das Gericht stütz sich bei der Annahme auf ein im Verfahren unstreitiges Sachverständigengutachten der beteiligten Bank, das besagt, dass die pushTAN-App auf dem Smartphone durch einen sog. „Promon Shield“ vom restlichen Betriebssystem derart isoliert ist, dass ein Kompromittieren des Systems technisch ausgeschlossen sei.
Das LG Nürnberg-Fürth setzt sich auch explizit mit der vom LG Heilbronn zitierten Auffassung von Maihold im Bankrechts-Handbuch auseinander und führt dazu aus:
„Die von Maihold (aaO) hiergegen geäußerten Bedenken teilt die Kammer nicht. Die Unabhängigkeit der Elemente voneinander wird vorliegend nicht allein durch die verschlüsselte Übertragung, sondern durch die vollkommene Abschottung der Push-TAN-App mittels eines Promon-Shields hergestellt und geht mithin über die dort zugrunde gelegten technischen Vorkehrungen deutlich hinaus. Die Gefahr eines unbefugten Zugriffs auf das Mobiltelefon als Besitzelement selbst stellt die Unabhängigkeit vom Wissenselement der Zugangsdaten zum Online-Banking nicht in Frage.“
Ausblick
Die durch das LG Nürnberg-Fürth ausdrücklich geäußerte Stellungnahme ist vor dem Hintergrund der hohen Virulenz der Thematik im alltäglichen Geschäft der Zahlungsdienstleistungen äußerst erfreulich. Das Gericht befindet sich damit argumentativ auf einer Linie mit dem europäischen Gesetzgeber bzw. der EBA, die davon ausgehen, dass die für eine starke Kundenauthentifizierung erforderliche Sicherheit – unter den Voraussetzungen des Art. 9 Abs. 3 PSD2-RTS – auch ohne Kanaltrennung gewahrt wird (dazu schon PushTan-Verfahren zulässig im Rahmen der starken Kundenauthentifizierung (2FA)? - Anmerkung zu LG Heilbronn, Urt. v. 16.05.23 - Bm 6 O 10/23 | Payment Services Law Blog | GÖRG Blog (payment-law.eu)).
Das Urteil ist mittlerweile rechtskräftig, sodass es - aus Sicht der Zahlungsinsdustrie "leider" - keine Bestätigung des Urteils durch die nächst höhere Instanz OLG Nürnberg geben wird. Aufgrund zweier sich inhaltlich widersprechender erstinstanzlicher Urteile zur Zulässigkeit des pushTan-Verfahrens herrscht also weiterhin eine gewisse Rechtsunsicherheit.
