Online-Banking: Formen und Sicherheitshinweise

Von: Verbraucherzentrale Bayern e.V.

Die meisten Bankgeschäfte lassen sich bequem von zuhause aus erledigen. Egal, ob Geld überwiesen werden muss, Wertpapiere gekauft oder verkauft werden oder ein Dauerauftrag geändert wird: Online-Banking macht es zu jeder Zeit möglich, wenn man bestimmte Sicherheitsvorkehrungen trifft. Der Artikel erklärt die verschiedenen Onlinebanking-Arten und welche Rechte Verbraucherinnen und Verbraucher im Schadensfalls haben.

Allgemeines und Haftung

• Über die stetig steigende Zahl der Nutzer sind auch die Kreditinstitute erfreut. Jeder Kunde, der seine Geschäfte selbst am PC vornimmt, bringt für die Bank einen Rationalisierungsvorteil. Dank zahlreich aufgestellter Geldausgabeautomaten kann zunehmend teures Personal am Schalter eingespart werden. Über diese Entwicklung ist nicht jeder Bankkunde erfreut. Gerade ältere Leute haben häufig weder die technische Ausstattung noch das notwendige Vertrauen in die neuen Übertragungstechniken und lassen sich beim Ausfüllen von Überweisungsträgern lieber von einem Bankangestellten helfen. Diesen "Luxus" lassen sich einige Kreditinstitute mittlerweile teuer bezahlen, z.B. mit einem Entgelt für „beleghafte Überweisungen“.

• Je mehr Nutzer ihre Zahlungen online ausführen, desto lukrativer wird dieser Markt auch für Kriminelle, die fremde Daten ausspähen und die Zahlungssysteme missbrauchen. Verbraucher sollten daher besonders achtsam mit persönlichen und vertraulichen Daten im Internet umgehen. Die Rechtslage zwischen der Bank und dem Kunden, wenn ein Dritter unberechtigt über das Konto verfügt, ist kompliziert. Grundsätzlich ist die Bank gemäß § 675u BGB dann verpflichtet, den Betrag, der vom Konto des Kunden abgebucht wurde, wieder einzuzahlen.

• Der Kunde haftet der Bank gegenüber allerdings gemäß § 675v BGB auf Schadensersatz, wenn er Sorgfaltspflichten verletzt hat. Dieser Schadensersatz ist höhenmäßig auf 50 Euro begrenzt, wenn der Kunde nicht vorsätzlich gehandelt hat und nicht grob fahrlässig Pflichten verletzt hat. Streitigkeiten gibt es hier oft zu der Frage, wie gravierend die Pflichtverletzung des Kunden war. Die entscheidende Frage, wer für was die Beweislast trägt, lässt sich nicht immer klar aus dem Gesetz beantworten. Hierzu gibt es eine Vielzahl von Urteilen.

• Nicht zum Schadensersatz verpflichtet ist der Kunde, wenn der Zahlungsdienstleister, was in der Regel eine Bank ist, bei dem Vorgang eine „starke Kundenauthentifizierung“ nicht verlangt oder der Zahlungsempfänger oder sein Zahlungsdienstleister eine solche nicht akzeptiert. Was eine „starke Kundenauthentifizierung“ ist, wird in § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) genannt. Das ist das Vorliegen von insgesamt mindestens zwei Merkmalen aus den Bereichen „Wissen“, „Besitz“ und „Inhärenz“. „Wissen“ bezieht sich zum Beispiel auf eine PIN-Nummer oder ein Passwort. Bei dem „Besitz“ geht es zum Beispiel um eine Karte. Mit „Inhärenz“ ist etwas gemeint, das quasi an einer Person haftet, wie beispielsweise ihr Fingerabdruck oder die Iris ihrer Augen. Wenn der Kunde sich also mit einer PIN-Nummer an seinem PC zum Online-Banking anmeldet und dann eine TAN-Nummer mittels eines TAN-Generators und seiner Bankkarte erzeugt, dann liegt ein Element aus dem Bereich „Wissen“ und eines aus dem Bereich „Besitz“ vor.

• Falls der Kunde aber selbst betrügerisch gehandelt hat, haftet er dennoch auf Schadensersatz.

Manche Kunden nutzen sogenannte Zahlungsauslösedienste. Das sind Dienstleister, die für den Kunden Überweisungen, meist im Zusammenhang mit Online-Bestellungen, durchführen. Diese müssen eine Erlaubnis der BaFin haben. Sie sind inzwischen anerkannt und reguliert. Für den Kunden änderts sich nichts an der dargestellten Haftungsverteilung zwischen ihm und der kontoführenden Bank. Die Bank könnte aber, wenn der Zahlungsauslösedienst einen Fehler gemacht hat, von diesem Schadensersatz verlangen.

Folgende Verfahren werden beim Online-Banking angeboten:

MobileTAN und chipTAN

Bei der mobilenTAN (mTAN) oder auch sms-TAN-Verfahren genannt, erhält der Kunde während des Überweisungsvorgangs eine einmalig zu verwendende TAN auf sein Mobiltelefon. Beim Chip-TAN-Verfahren wird mittels eines Generators und der Bankkarte, ebenfalls nur für einen Banking-Vorgang, eine TAN generiert.

Der Sicherheitsvorteil beider Verfahren besteht in der anlassbezogenen TAN-Erstellung außerhalb des Internets. Obwohl dies sogar Überweisungen von unterwegs aus möglich macht, wird der Zugriff durch Hacker erschwert. Der eigene PC, aber auch das Smart Phone stellen jedoch auch weiterhin eine Schwachstelle für die Internetsicherheit dar.

Nachteil der Verfahren ist, dass dem Kunden Mehrkosten entstehen. Für die SMS der Bank muss er oft mehrere Cent zahlen und die Kosten für die Anschaffung des TAN-Generator liegen zwischen 10 und 30 Euro. Da die Banken und Sparkassen durch das Onlineverfahren auch deutliche Kosteneinsparungen haben und es daher auch Institute gibt, die keine Mehrkosten verlangen, bleibt abzuwarten, ob sich über den Wettbewerb die kostenlosen Angebote nicht doch durchsetzen.

PushTAN

Wenn man die Überweisungsdaten am PC eingibt, erscheint ein bunter Barcode. Dieser muss mit einem Lesegerät oder einer App, die auf dem Handy installiert ist, gescannt werden. Daraufhin erscheinen im Display des Handys die Überweisungsdaten und eine TAN. Wenn der Kunde an seinem PC diese TAN eingibt, wird der Überweisungsauftrag von der Bank durchgeführt.

PhotoTAN

Das PushTAN-Verfahren kann nur mit einem SmartPhone oder Tablet genutzt werden. Der Kunde bekommt eine App auf sein Gerät, über die er dann eine TAN-Nummer erhält, die jeweils nur für den einen Zahlungsvorgang gilt. Hier muss der Kunde aber eine Internetverbindung haben, um die TAN zu erhalten.

HBCI-Verfahren

Hier handelt es sich um eine Hardware-Lösung. Der Kunde kauft oder mietet von seiner Hausbank ein "Home Banking Computer Interface". Das ist ein Kartenlesegerät, in das der Kunde eine Chipkarte steckt. Dieses Verfahren wird ab Herbst 2021 von den Banken und Sparkassen, die es anboten, eingestellt. Grund dafür ist, dass dieses ältere Verfahren, das bisher gut funktioniert hatte, nicht den Vorgaben der europäischen PSD II-Zahlungsdienste-Richtlinie entspricht und auch nicht den Anforderungen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt.

PIN/TAN-Verfahren, iTAN

Hierbei handelt es sich um das ursprüngliche Verfahren mit einer PIN sowie einer von der Bank verschickten TAN-Liste auf Papier. Das Verfahren gilt mittlerweile als nicht mehr sicher und wurde im Herbst 2019 vollständig eingestellt.

 

Verhalten im Schadensfall

• Informieren Sie sofort Ihren Zahlungsdienstleister und lassen Sie betroffene Konten sperren.

• Erstatten Sie Anzeige bei der Polizei.

• Sichern Sie Ihren Rechner, lassen Sie ihn sachverständig auf den Befall durch Schadsoftware und auf die Aktualität der Virenschutzprogramme untersuchen.

Senioren und Onlinebanking

Manche ältere Menschen nutzen zwar das Internet, haben aber eine Hemmschwelle, auch ihre Bankgeschäfte darüber zu erledigen. Das ist nachvollziehbar, da Bankgeschäfte Vertrauenssache sind, die ältere Kunden traditionell lieber im persönlichen Kontakt mit einem Bankmitarbeiter erledigen. Viele Banken und Sparkassen haben allerdings ihre Entgelte für papiergebundene Überweisungen deutlich erhöht und Serviceleistungen am Schalter weit zurückgefahren oder sehr teuer gemacht. Hinzu kommt, dass immer mehr Bankfilialen schließen.

Bedenken, Online-Banking zu machen, braucht niemand zu haben, wenn man folgende wichtige Regeln beachtet:

• Sie müssen zu keiner Direktbank ohne Filialnetz wechseln. Onlinebanking bieten mittlerweile alle Banken und Sparkassen an. Man kann also bei der Bank „seines Vertrauens“ bleiben.

• Lesen Sie sich die Informationen der Bank zum Online-Banking auf deren Internetseite durch. Dort wird genau beschrieben, welche Verfahren zur TAN-Erzeugung angeboten werden und welche Geräte man für das Online-Banking braucht.

• Wichtig ist auch das genaue Lesen der AGBs zum Online-Banking. Hier sind im Detail die Pflichten des Kunden beschrieben, z.B., dass man die PIN oder TAN nie am Telefon oder per Email weitergeben darf. Auch finden sich auf der Homepage immer aktuelle Warnhinweise bezüglich Betrugsmaschen.

• Sichern Sie Ihre Hardware, also Ihren PC, Laptop, Tablet oder Smartphone. Installieren Sie ein gutes Virenschutzprogramm. Lassen Sie sich bei Bedarf von einem Fachmann dabei helfen. Richten Sie Ihr Smartphone so ein, dass es immer die neuesten Sicherheitsupdates des Betriebssystems erhält.

• Machen Sie das Online-Banking immer nur an Ihren eigenen Geräten und lassen Sie sich Zeit für den Vorgang. Lassen Sie sich dabei nicht ablenken.

• Schreiben Sie sich für einen möglichen Notfall, also einen unberechtigten Zugriff auf Ihr Konto, einen Merkzettel, auf dem alle dann wesentlichen Schritte und Telefonnummern stehen. Das ist z.B. die Telefonnummer, über die Sie die Sperrung des Online-Bankings und ggf. eine Kontosperre veranlassen können.

• Um Sicherheit beim Umgang mit Tablet und Smartphone zu gewinnen, gibt es Seniorenkurse z.B. bei den Volkshochschulen. Außerdem bietet die Stiftung Warentest zu diesem Thema Ratgeber an.
  

Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.