Das LG Heilbronn hat in seinem Urteil vom 16.05.2023 (Bm 6 O 10/23) entschieden, dass das pushTAN-Verfahren ein erhöhtes Gefährdungspotential aufweist, sodass nach der Auffassung des Gerichts kein Anscheinsbeweis für die Autorisierung einer Zahlung im Sinne von § 675w BGB besteht. Aufgrund von Widersprüchen im Leitsatz und den Entscheidungsgründen bleibt unklar, ob das Gericht auch von einer Unzulässigkeit des pushTan-Verfahrens im Rahmen der starken Kundenauthentifizierung ausgeht.

Sachverhalt

Vor dem LG Heilbronn stritten ein Kunde und seine Bank über Erstattungsansprüche aufgrund von betrügerisch veranlassten Überweisungen durch Dritte. Der Kunde wurde von einem vermeintlichen Bankmitarbeiter über unautorisierte Transaktionen informiert und aufgefordert, zur Rückabwicklung TANs zu generieren. In gutem Glauben gab der Kunde diese weiter. Erst Tage später stellte er fest, dass Betrüger zwei Überweisungen i.H.v. insgesamt 8.433,72 € von seinem Konto veranlasst hatten. Die Bank lehnte eine Erstattung wegen verletzter Sorgfaltspflichten des Kunden ab.

Die Entscheidung des LG Heilbronn

Das LG Heilbronn sah den Erstattungsanspruch des Kunden aus § 675u S. 2 BGB zunächst als gegeben an, da unstrittig keine Autorisierung durch den Kunden, sondern durch einen unbekannten Dritten, vorgelegen habe.

In einem Obiter Dictum (= geäußerte Rechtsansicht, die für die Begründung des Urteils selbst nicht erforderlich ist) erklärte das Gericht sodann, dass selbst ohne diese unstreitige Tatsache der Nachweis der Autorisierung auf Basis eines Anscheinsbeweises gescheitert wäre. Denn das pushTAN-Verfahren, in dem die TAN in einer App auf demselben Smartphone, auf dem sich auch die BankApp befindet, angezeigt wird, lasse die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen. Die für die

„Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat (vgl. insoweit Ellenberger/Bunte/Maihold, Bankrechtshandbuch Band 1 6. Aufl. 2022 Rz. 34 f und Rz.391 mit Verweisen auf wissenschaftliche Untersuchungen zum hohen Gefährdungspotential bei Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege sowie Hinweisen des Bundesamts für Sicherheit in der Informationstechnik und der Schlussfolgerung, deshalb liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor).“

Im Ergebnis sei der Anspruch des Klägers jedoch durch wirksame Aufrechnung der Beklagten nach § 389 BGB mit Gegenansprüchen aus Schadensersatz nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB erloschen, da der Kunde im Rahmen der Weitergabe der TAN an die Betrüger grob fahrlässig gehandelt habe.

Was sagt das Urteil aus über die Zulässigkeit des pushTan-Verfahrens im Rahmen der starken Kundenauthentifizierung (2FA)?

Es ist wichtig anzumerken, dass sich das LG Heilbronn in seinem Obiter Dictum mit den Anforderungen an einen Anscheinsbeweis befasst hat, d.h. konkret mit der Frage, ob der nach § 675w S. 1 BGB beweisbelasteten Bank eine Beweiserleichterung für den Nachweis einer strittigen Autorisierung (= Zustimmung zum Zahlungsvorgang) durch den Kunden zugutekommt, wenn sie nachweisen kann, dass eine Authentifizierung mittels pushTan-Verfahrens erfolgt. Der BGH hat noch vor Einführung der Anforderungen der 2FA entschieden, dass die korrekte Aufzeichnung der Nutzung des Zahlungsinstruments einschließlich der Authentifizierung alleine nicht ausreicht, um einen Anscheinsbeweis zu begründen, vielmehr sei zusätzlich Voraussetzung, dass ein Sicherheitssystem vorliegt,

„das allgemein praktisch nicht zu überwinden war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat.“

(BGH, Urt. v. 26.1.2016 – XI ZR 91/14).

Ein solches praktisch nicht zu überwindende Sicherheitssystem verneint das LG Heilbronn für das pushTAN-Verfahren, da dieses Verfahrens keine Trennung der Kommunikationswege (beide Elemente der 2FA werden auf demselben Gerät vorgehalten und überprüft) vorsieht. Das Gericht selbst trifft in seinem Obiter Dictum keine Aussage darüber, ob ein solches Authentifizierungsverfahren die aufsichtsrechtlichen Anforderungen an eine starke Kundenauthentifizierung erfüllt. Das ist lediglich Gegenstand der zitierten Fundstelle, die eine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG im Rahmen des pushTan-Verfahrens verneint. Wäre das LG Heilbronn ebenfalls der Ansicht, dass das pushTan-Verfahren nicht die Voraussetzungen einer starken Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG erfüllt, hätte es konsequenterweise den Gegenanspruch der Bank auf Schadensersatz (wegen Sorgfaltspflichtverletzung des Kunden) nach § 675v Abs. 4 S. 1 Nr. 1 BGB ablehnen müssen. Denn hiernach ist ein Schadensersatzanspruch der Bank ausgeschlossen, wenn sie keine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG verlangt hat.

Unklar ist deshalb, warum der 1. Leitsatz des Urteils (Zusammenfassung der Kernaussage des Urteils; allerdings nicht Teil der Entscheidung) davon spricht, dass bei einem pushTan-Verfahren „keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG“ vorläge, da das Gericht diese Aussage in den Entscheidungsgründen so nicht trifft und das Urteil zudem in sich widersprüchlich wäre, wenn das Gericht diese Auffassung vertreten würde.

Im Ergebnis spricht vieles dafür, dass auch nach Auffassung des LG Heilbronns das pushTan-Verfahren ein zulässiges Verfahren im Rahmen der starken Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG ist. Allerdings erfüllt es nach Auffassung des Gerichts nicht die strengen Anforderungen an einen Anscheinsbeweis. Es bleibt Banken unabhängig davon weiterhin möglich, durch weitere Beweismittel (z.B. durch ein Sachverständigengutachten) die Autorisierung durch den Kunden zu beweisen.

Kritik

Sofern das Gericht mit einer Fundstelle (Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 34 f. und Rn. 391) argumentiert, wonach das pushTan-Verfahren keine starke Kundenauthentifizierung im Sinne des § 675v Abs. 4 S. 1 Nr. 1 BGB i.V.m. § 1 Abs. 24 ZAG darstellt, hätte es im Rahmen der Prüfung des Schadensersatzanspruches der Bank konsequenterweise darauf eingehen müssen, weshalb der Anspruch nicht wegen fehlender starker Kundenauthentifizierung nach § 675v Abs. 4 S. 1 Nr. 1 BGB i.V.m. § 1 Abs. 24 ZAG ausgeschlossen ist. Hierzu sagt das Gericht kein Wort.

Das LG Heilbronn setzt sich auch nicht mit der ausführlichen Diskussion über die „Kanaltrennung“ und dem Konsultationsprozess der PSD2-RTS (Regulatory Technical Standards on strong customer authentication and secure communication under PSD2) auseinander. Noch in dem ursprünglichen Entwurf des Art. 2 Abs. 2 lit. b PSD-RTS fand sich das Erfordernis der sog. segregation of channel (Kanaltrennung). Das Konzept wurde in der finalen Fassung durch Art. 9 Abs. 3 lit. a PSD2-RTS „separated secure execution environments through the software installed inside the multi-purpose devise“ ersetzt. Sofern also der europäische Gesetzgeber bzw. die EBA davon ausgehen, dass die für eine starke Kundenauthentifizierung erforderliche Sicherheit – unter den Voraussetzungen des Art. 9 Abs. 3 PSD2-RTS – auch ohne Kanaltrennung gewahrt werden kann, sollte dies auch im Rahmen der Frage des Anscheinsbeweises Berücksichtigung finden.

Sofern das deutsche und europäische Aufsichtsrecht explizit keine "Kanaltrennung" für eine 2FA fordern, dürfte das LG Heilbronn zudem seine Entscheidungskompetenzen überschreiten, wenn es für das Vorliegen einer 2FA eine Kanaltrennung fordert - leider bleibt das auf Basis der Entscheidungsgründe unklar.

Aussicht

Wie das Gericht zu der Frage steht, ob das pushTan-Verfahren die Voraussetzungen der starken Kundenauthentifizierung erfüllt, bleibt vor dem Hintergrund der Widersprüche zwischen den Entscheidungsgründen und des Leitsatzes unklar. Eine tiefe Auseinandersetzung mit den rechtlichen und technischen Grundlagen in Zusammenhang mit dieser Frage lässt das Gericht vermissen.

Vor diesem Hintergrund sollten Zahlungsdienstleister eine Klarstellung durch die nächste Instanz (OLG Stuttgart) abwarten. Ob sich das OLG Stuttgart allerdings mit den Ausführungen im Obiter Dictum auseinandersetzen wird, ist mangels Entscheidungserheblichkeit fraglich. Eine Klärung wäre hinsichtlich der massiven Bedeutung für das alltägliche Zahlungsgeschäft jedoch mehr als wünschenswert.

Zahlungsdienstlern ist bis dahin zu raten, sich beim Nachweis der Autorisierung nicht allein auf den Anscheinsbeweis durch Aufzeichnung der Authentifizierung zu verlassen, sondern weitere Beweismittel zum Nachweis der Autorisierung vorzuhalten.