Der Bundesgerichtshof (BGH) hat angeordnet, dass geprüft werden soll, wie sicher das SMS-TAN-Verfahren ist. Bei dieser Art der Überweisung muss der Kunde die gültige PIN und eine TAN eingeben. Die TAN wird dabei von der Bank per SMS auf das Handy des Kunden geschickt.
Im konkreten Fall musste der BGH über folgenden Fall entscheiden: Von einem Geschäftskonto einer GmbH wurde kurz vor Mitternacht unter die Verwendung der PIN und einer gültigen SMS-TAN ein erheblicher Betrag auf ein anderes Konto überwiesen. Die Sparkasse, bei welcher die GmbH ihr Geschäftskonto unterhielt, führte zunächst den Überweisungsauftrag aus. Nachdem die GmbH jedoch geltend gemacht hatte, dass die streitgegenständliche Überweisung von keinem Mitarbeiter der GmbH veranlasst worden war, kündigte die Sparkasse nicht nur das Geschäftskonto, sondern verlangte von der GmbH auch den von der Sparkasse überwiesenen Betrag zurück.
Bislang war umstritten, ob im Rahmen des Onlinebankings von einem Anscheinsbeweis auszugehen ist. Danach würde man aus der Verwendung von richtiger PIN und TAN darauf schließen, der Kunde habe die Überweisung entweder selbst in Auftrag gegeben oder seine Pflichten zur Geheimhaltung von PIN und TAN grob fahrlässig verletzt. Der BGH hat nun entschieden, dass erst einmal grundsätzlich geprüft werden muss, ob das sogenannte SMS-TAN-Verfahren ausreichend Sicherheit bietet. Dafür müsse das SMS-TAN-Verfahren für Hacker quasi unüberwindbar sein. Nur dann hafte der Bankkunde für Überweisungen, die ungeklärt sind. Nach Auskunft der Kriminalpolizei ist es jedoch ein Einfaches, ein Handy durch eine Schadsoftware so auszulesen, dass man SMS – und damit auch die von einer Bank gesendeten TAN – unberechtigt verwenden kann. Die SMS wird dann abgefangen und der Kunde merkt überhaupt nichts von der Zusendung.
Der Fall ist noch nicht endgültig entschieden. Es ist aber davon auszugehen, dass die Sparkasse den Betrag von der GmbH nicht zurückverlangen kann.
Eine weitere Möglichkeit des Online-Bankings ist das Generieren von TANs über einen sogenannten TAN-Generator. Diese Variante hat die Rechtsprechung bis jetzt als sicher und von außen nicht auslesbar angesehen. Fehlerhafte Überweisungen gehen dann zu Lasten des Kunden. Bisher bestand schon die Vermutung der Rechtsprechung, ein fahrlässiges und damit schuldhaftes Handeln des Kontoinhabers läge vor bei der Eingabe von TAN-Nummern auf erkennbar gefälschten Internet-Seiten oder wenn beispielsweise mehrere TAN eingegeben wurden. In diesen Fällen kann sich der Bankkunde nicht bei der Bank schadlos halten.
Generell gilt also: beim Onlinebanking ist Vorsicht geboten. Der Kunde sollte seinen Kontoverlauf sehr präzise verfolgen. AZ