Online-Banking

Von: Verbraucherzentrale Bayern

Die meisten Bankgeschäfte lassen sich bequem von zuhause aus und rund um die Uhr erledigen. Egal, ob Geld überwiesen werden muss, Wertpapiere gekauft oder verkauft werden oder ein Dauerauftrag geändert wird: Online-Banking macht es zu jeder Zeit möglich.

In diesem Beitrag finden Sie

Vor- und Nachteile
MobileTAN und chipTAN
PushTAN
PhotoTAN
HBCI-Verfahren
PIN/TAN-Verfahren, iTan
Die wichtigsten Vorsorgemaßnahmen
Verhalten im Schadensfall

Vor- und Nachteile

Über die stetig steigende Zahl der Nutzer sind auch die Kreditinstitute erfreut. Jeder Kunde, der seine Geschäfte selbst am PC vornimmt, bringt für die Bank einen Rationalisierungsvorteil. Dank zahlreich aufgestellter Geldausgabeautomaten kann zunehmend teures Personal am Schalter eingespart werden.
Über diese Entwicklung ist nicht jeder Bankkunde erfreut. Gerade ältere Leute haben häufig weder die technische Ausstattung noch das notwendige Vertrauen in die neuen Übertragungstechniken und lassen sich beim Ausfüllen von Überweisungsträgern lieber von einem Bankangestellten helfen. Diesen "Luxus" lassen sich einige Kreditinstitute mittlerweile teuer bezahlen, z.B. mit einem Entgelt für „beleghafte Überweisungen“.
Je mehr Nutzer ihre Zahlungen online ausführen, desto lukrativer wird dieser Markt auch für Kriminelle, die fremde Daten ausspähen und die Zahlungssysteme missbrauchen. Verbraucher sollten daher besonders achtsam mit persönlichen und vertraulichen Daten im Internet umgehen. Die Rechtslage zwischen der Bank und dem Kunden, wenn ein Dritter unberechtigt über das Konto verfügt, ist kompliziert. Grundsätzlich ist die Bank gemäß § 675u BGB dann verpflichtet, den Betrag, der vom Konto des Kunden abgebucht wurde, wieder einzuzahlen.
Der Kunde haftet der Bank gegenüber allerdings gemäß § 675v BGB auf Schadensersatz, wenn er Sorgfaltspflichten verletzt hat. Dieser Schadensersatz ist höhenmäßig auf 50 Euro begrenzt, wenn der Kunde nicht vorsätzlich gehandelt hat und nicht grob fahrlässig Pflichten verletzt hat. Streitigkeiten gibt es hier oft zu der Frage, wie gravierend die Pflichtverletzung des Kunden war. Die entscheidende Frage, wer für was die Beweislast trägt, lässt sich nicht immer klar aus dem Gesetz beantworten. Hierzu gibt es eine Vielzahl von Urteilen.
Nicht zum Schadensersatz verpflichtet ist der Kunde, wenn der Zahlungsdienstleister, was in der Regel eine Bank ist, bei dem Vorgang eine „starke Kundenauthentifizierung“ nicht verlangt oder der Zahlungsempfänger oder sein Zahlungsdienstleister eine solche nicht akzeptiert. Was eine „starke Kundenauthentifizierung“ ist, wird in § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) genannt. Das ist das Vorliegen von insgesamt mindestens zwei Merkmalen aus den Bereichen „Wissen“, „Besitz“ und „Inhärenz“. „Wissen“ bezieht sich zum Beispiel auf eine PIN-Nummer oder ein Passwort. Bei dem „Besitz“ geht es zum Beispiel um eine Karte. Mit „Inhärenz“ ist etwas gemeint, das quasi an einer Person haftet, wie beispielsweise ihr Fingerabdruck oder die Iris ihrer Augen.
Wenn der Kunde sich also mit einer PIN-Nummer an seinem PC zum Online-Banking anmeldet und dann eine TAN-Nummer mittels eines TAN-Generators und seiner Bankkarte erzeugt, dann liegt ein Element aus dem Bereich „Wissen“ und eines aus dem Bereich „Besitz“ vor.
Falls der Kunde aber selbst betrügerisch gehandelt hat, haftet er dennoch auf Schadensersatz.

Manche Kunden nutzen sogenannte Zahlungsauslösedienste. Das sind Dienstleister, die für den Kunden Überweisungen, meist im Zusammenhang mit Online-Bestellungen, durchführen. Diese müssen eine Erlaubnis der BaFin haben. Sie sind inzwischen anerkannt und reguliert. Für den Kunden änderts sich nichts an der dargestellten Haftungsverteilung zwischen ihm und der kontoführenden Bank. Die Bank könnte aber, wenn der Zahlungsauslösedienst einen Fehler gemacht hat, von diesem Schadensersatz verlangen.

Folgende Verfahren werden beim Online-Banking angeboten:

MobileTAN und chipTAN

Bei der mobilenTAN (mTAN) oder auch sms-TAN-Verfahren genannt, erhält der Kunde während des Überweisungsvorgangs eine einmalig zu verwendende TAN auf sein Mobiltelefon.

Beim Chip-TAN-Verfahren wird mittels eines Generators und der Bankkarte, ebenfalls nur für einen Banking-Vorgang, eine TAN generiert.

Der Sicherheitsvorteil beider Verfahren besteht in der anlassbezogenen TAN-Erstellung außerhalb des Internets. Obwohl dies sogar Überweisungen von unterwegs aus möglich macht, wird der Zugriff durch Hacker erschwert. Der eigene PC, aber auch das Smart Phone stellen jedoch auch weiterhin eine Schwachstelle für die Internetsicherheit dar.

Nachteil der neuen Verfahren ist, dass dem Kunden Mehrkosten entstehen. Für die SMS der Bank muss er oft mehrere Cent zahlen und die Kosten für die Anschaffung des TAN-Generator liegen zwischen 10 und 30 Euro. Da die Banken und Sparkassen durch das Onlineverfahren auch deutliche Kosteneinsparungen haben und es daher auch Institute gibt, die keine Mehrkosten verlangen, bleibt abzuwarten, ob sich über den Wettbewerb die kostenlosen Angebote nicht doch durchsetzen.

PushTAN

Wenn man die Überweisungsdaten am PC eingibt, erscheint ein bunter Barcode. Dieser muss mit einem Lesegerät oder einer App, die auf dem Handy installiert ist, gescannt werden. Daraufhin erscheinen im Display des Handys die Überweisungsdaten und eine TAN. Wenn der Kunde an seinem PC diese TAN eingibt, wird der Überweisungsauftrag von der Bank durchgeführt.

PhotoTAN

Das PushTAN-Verfahren kann nur mit einem SmartPhone oder Tablet genutzt werden. Der Kunde bekommt eine App auf sein Gerät, über die er dann eine TAN-Nummer erhält, die jeweils nur für den einen Zahlungsvorgang gilt. Hier muss der Kunde aber eine Internetverbindung haben, um die TAN zu erhalten.

HBCI-Verfahren

Hier handelt es sich um eine Hardware-Lösung. Der Kunde kauft oder mietet von seiner Hausbank ein Home Banking Computer Interface.
Dabei handelt es sich um Kartenlesegerät, in das der Kunde eine Chipkarte steckt. Die deutschen Kreditinstitute haben insoweit einen gemeinsamen Standard erarbeitet, mit dem Homebanking noch sicherer, komfortabler und umfangreicher wird. Der HBCI-Standard wurde vom Zentralen Kreditausschuss der deutschen Kreditwirtschaft verabschiedet und erlaubt dank der Verwendung moderner kryptographischer Funktionen und der Nutzung von Chipkarten eine sichere Kommunikation über offene Netze wie das Internet.

PIN/TAN-Verfahren, iTAN

Hierbei handelt es sich um das ursprüngliche Verfahren mit einer PIN sowie einer von der Bank verschickten TAN-Liste auf Papier. Das Verfahren gilt mittlerweile als nicht mehr sicher und wurde im Herbst 2019 vollständig eingestellt.

Die wichtigsten Vorsorgemaßnahmen

Sorgen Sie für die Sicherheit Ihrer Hardware.
Installieren Sie ein Virenschutzprogramm und aktualisieren Sie dieses regelmäßig.
Nehmen Sie die Sicherheitshinweise Ihrer Bank ernst.
Lesen Sie die Sicherheitshinweise und auch die aktuellen Informationen zu Angriffen auf der Homepage Ihrer Bank. In Streitfällen berufen sich die Institute regelmäßig darauf, dass vor bestimmten Angriffen bzw. vor einem bestimmten Verhalten gewarnt worden sei. Damit versuchen die Banken, den Vorwurf des grob fahrlässigen Verhaltens des Kunden zu begründen.
Teilen Sie Ihre PIN nie einem Dritten mit, auch nicht Ihrer Bank.
Ausnahme: Seriöse und registrierte Zahlungsauslösedienste
Verwenden Sie eine TAN nur für einen bestimmten Zahlungsauftrag.
Reagieren Sie nicht auf dubiose Mails mit unklarer Herkunft und öffnen Sie keine Anhänge.
Tragen Sie die Internetadresse Ihrer Bank per Hand ein und nutzen keine Verlinkungen.
Nutzen Sie keine fremden Rechner für Bankgeschäfte.
Richten Sie ein Auftrags- und/oder Tageslimit ein.
Kontrollieren Sie regelmäßig Ihre Kontoauszüge.
Achten Sie auf so genannte Phishing-Attacken (von Password-Harvesting-Fishing). Das sind gefälschte E-Mails mit Links auf täuschend echt nachgemachte Webseiten, mit deren Hilfe die Zugangsdaten zu Online-Bankkonten erschwindelt werden sollen. Mitteilungen über gefälschte Internetseiten nehmen die betroffenen Banken sehr ernst. Sie können außerdem beim Pishing Radar der Verbraucherzentralen gemeldet werden:

Verhalten im Schadensfall

Informieren Sie sofort Ihren Zahlungsdienstleister.
Erstatten Sie Anzeige bei der Polizei.
Sichern Sie Ihren Rechner, lassen Sie ihn sachverständig auf den Befall durch Schadsoftware und auf die Aktualität der Virenschutzprogramme untersuchen.

Mehr zum Thema

Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.

Aktuelles

08.03.2021
Proteinreiche Erdnüsse

04.03.2021
Leasing: BGH urteilt zum Widerrufsrecht

26.02.2021
Broschüre zum neuen EU-Energielabel

26.02.2021
ADAC Sommerreifentest 2021

26.02.2021
Tipps zum Energiesparen im Homeoffice

23.02.2021
Umfrage: Sharing-Angebote wenig genutzt

22.02.2021
Fahrradhelme; Kennzeichnung und Benutzung

18.02.2021
Vitamin D Mangel bei Veganern

17.02.2021
Betriebskosten: Mietende dürfen Belege einsehen

12.02.2021
Corona: Krankenkasse wechseln einfacher