Online-Banking
Die meisten Bankgeschäfte lassen sich bequem von zuhause aus und rund um die Uhr erledigen. Egal, ob Geld überwiesen werden muss, Wertpapiere gekauft oder verkauft werden oder ein Dauerauftrag geändert wird: Online-Banking macht es zu jeder Zeit möglich.
In diesem Beitrag finden Sie
Vor- und Nachteile
- Über die stetig steigende Zahl der Nutzer sind auch die Kreditinstitute erfreut. Jeder Kunde, der seine Geschäfte selbst am PC vornimmt, bringt für die Bank einen Rationalisierungsvorteil. Dank zahlreich aufgestellter Geldausgabeautomaten kann zunehmend teures Personal am Schalter eingespart werden.
Über diese Entwicklung ist nicht jeder Bankkunde erfreut. Gerade ältere Leute haben häufig weder die technische Ausstattung noch das notwendige Vertrauen in die neuen Übertragungstechniken und lassen sich beim Ausfüllen von Überweisungsträgern lieber von einem Bankangestellten helfen. Diesen "Luxus" lassen sich einige Kreditinstitute mittlerweile teuer bezahlen, z.B. mit einem Entgelt für „beleghafte Überweisungen“. - Je mehr Nutzer ihre Zahlungen online ausführen, desto lukrativer wird dieser Markt auch für Kriminelle, die fremde Daten ausspähen und die Zahlungssysteme missbrauchen. Verbraucher sollten daher besonders achtsam mit persönlichen und vertraulichen Daten im Internet umgehen. Die Rechtslage zwischen der Bank und dem Kunden, wenn ein Dritter unberechtigt über das Konto verfügt, ist kompliziert. Grundsätzlich ist die Bank gemäß § 675u BGB dann verpflichtet, den Betrag, der vom Konto des Kunden abgebucht wurde, wieder einzuzahlen.
- Der Kunde haftet der Bank gegenüber allerdings gemäß § 675v BGB auf Schadensersatz, wenn er Sorgfaltspflichten verletzt hat. Dieser Schadensersatz ist höhenmäßig auf 50 Euro begrenzt, wenn der Kunde nicht vorsätzlich gehandelt hat und nicht grob fahrlässig Pflichten verletzt hat. Streitigkeiten gibt es hier oft zu der Frage, wie gravierend die Pflichtverletzung des Kunden war. Die entscheidende Frage, wer für was die Beweislast trägt, lässt sich nicht immer klar aus dem Gesetz beantworten. Hierzu gibt es eine Vielzahl von Urteilen.
- Nicht zum Schadensersatz verpflichtet ist der Kunde, wenn der Zahlungsdienstleister, was in der Regel eine Bank ist, bei dem Vorgang eine „starke Kundenauthentifizierung“ nicht verlangt oder der Zahlungsempfänger oder sein Zahlungsdienstleister eine solche nicht akzeptiert. Was eine „starke Kundenauthentifizierung“ ist, wird in § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) genannt. Das ist das Vorliegen von insgesamt mindestens zwei Merkmalen aus den Bereichen „Wissen“, „Besitz“ und „Inhärenz“. „Wissen“ bezieht sich zum Beispiel auf eine PIN-Nummer oder ein Passwort. Bei dem „Besitz“ geht es zum Beispiel um eine Karte. Mit „Inhärenz“ ist etwas gemeint, das quasi an einer Person haftet, wie beispielsweise ihr Fingerabdruck oder die Iris ihrer Augen.
Wenn der Kunde sich also mit einer PIN-Nummer an seinem PC zum Online-Banking anmeldet und dann eine TAN-Nummer mittels eines TAN-Generators und seiner Bankkarte erzeugt, dann liegt ein Element aus dem Bereich „Wissen“ und eines aus dem Bereich „Besitz“ vor. - Falls der Kunde aber selbst betrügerisch gehandelt hat, haftet er dennoch auf Schadensersatz.
Manche Kunden nutzen sogenannte Zahlungsauslösedienste. Das sind Dienstleister, die für den Kunden Überweisungen, meist im Zusammenhang mit Online-Bestellungen, durchführen. Diese müssen eine Erlaubnis der BaFin haben. Sie sind inzwischen anerkannt und reguliert. Für den Kunden änderts sich nichts an der dargestellten Haftungsverteilung zwischen ihm und der kontoführenden Bank. Die Bank könnte aber, wenn der Zahlungsauslösedienst einen Fehler gemacht hat, von diesem Schadensersatz verlangen.
Folgende Verfahren werden beim Online-Banking angeboten:
MobileTAN und chipTAN
Bei der mobilenTAN (mTAN) oder auch sms-TAN-Verfahren genannt, erhält der Kunde während des Überweisungsvorgangs eine einmalig zu verwendende TAN auf sein Mobiltelefon.
Beim Chip-TAN-Verfahren wird mittels eines Generators und der Bankkarte, ebenfalls nur für einen Banking-Vorgang, eine TAN generiert.
Der Sicherheitsvorteil beider Verfahren besteht in der anlassbezogenen TAN-Erstellung außerhalb des Internets. Obwohl dies sogar Überweisungen von unterwegs aus möglich macht, wird der Zugriff durch Hacker erschwert. Der eigene PC, aber auch das Smart Phone stellen jedoch auch weiterhin eine Schwachstelle für die Internetsicherheit dar.
Nachteil der neuen Verfahren ist, dass dem Kunden Mehrkosten entstehen. Für die SMS der Bank muss er oft mehrere Cent zahlen und die Kosten für die Anschaffung des TAN-Generator liegen zwischen 10 und 30 Euro. Da die Banken und Sparkassen durch das Onlineverfahren auch deutliche Kosteneinsparungen haben und es daher auch Institute gibt, die keine Mehrkosten verlangen, bleibt abzuwarten, ob sich über den Wettbewerb die kostenlosen Angebote nicht doch durchsetzen.
PushTAN
Wenn man die Überweisungsdaten am PC eingibt, erscheint ein bunter Barcode. Dieser muss mit einem Lesegerät oder einer App, die auf dem Handy installiert ist, gescannt werden. Daraufhin erscheinen im Display des Handys die Überweisungsdaten und eine TAN. Wenn der Kunde an seinem PC diese TAN eingibt, wird der Überweisungsauftrag von der Bank durchgeführt.
PhotoTAN
Das PushTAN-Verfahren kann nur mit einem SmartPhone oder Tablet genutzt werden. Der Kunde bekommt eine App auf sein Gerät, über die er dann eine TAN-Nummer erhält, die jeweils nur für den einen Zahlungsvorgang gilt. Hier muss der Kunde aber eine Internetverbindung haben, um die TAN zu erhalten.
HBCI-Verfahren
Hier handelt es sich um eine Hardware-Lösung. Der Kunde kauft oder mietet von seiner Hausbank ein Home Banking Computer Interface.
Dabei handelt es sich um Kartenlesegerät, in das der Kunde eine Chipkarte steckt. Die deutschen Kreditinstitute haben insoweit einen gemeinsamen Standard erarbeitet, mit dem Homebanking noch sicherer, komfortabler und umfangreicher wird. Der HBCI-Standard wurde vom Zentralen Kreditausschuss der deutschen Kreditwirtschaft verabschiedet und erlaubt dank der Verwendung moderner kryptographischer Funktionen und der Nutzung von Chipkarten eine sichere Kommunikation über offene Netze wie das Internet.
PIN/TAN-Verfahren, iTAN
Hierbei handelt es sich um das ursprüngliche Verfahren. Es gilt mittlerweile als nicht mehr sicher und wird von Banken so gut wie nicht mehr angeboten. Voraussichtlich im Herbst 2019 wird dieses Verfahren vollständig eingestellt werden.
Der Kunde erhält eine PIN (Persönliche Identifikationsnummer). Diese kann, wie die PIN für den Geldautomaten, aus einer Zahl bestehen oder aus einer Buchstabenkombination. Je nach Kreditinstitut kann der Kunde die PIN verändern. Die PIN wird benutzt, um sich bei Bank einzuloggen.
Bei jeder Transaktion muss der Kunde zusätzlich eine TAN (Transaktionsnummer) eingeben, die jeweils nur für diesen einen Vorgang gültig ist. Hierfür erhält der Kunde von der Bank eine Liste mit Nummern. Beim ursprünglichen Verfahren konnte der Kunde eine beliebige TAN-Nummer von der Liste auswählen. Beim iTAN-Verfahren hingegen haben die TAN-Nummern voranstehende Ordnungsnummern. Der Kunde darf dann nur diejenige TAN-Nummer verwenden, deren Ordnungsnummer die Bank nennt. Sind alle TANs aufgebraucht, so versendet die Bank meist von allein eine neue Liste.
Die wichtigsten Vorsorgemaßnahmen
- Sorgen Sie für die Sicherheit Ihrer Hardware.
Installieren Sie ein Virenschutzprogramm und aktualisieren Sie dieses regelmäßig. - Nehmen Sie die Sicherheitshinweise Ihrer Bank ernst.
Lesen Sie die Sicherheitshinweise und auch die aktuellen Informationen zu Angriffen auf der Homepage Ihrer Bank. In Streitfällen berufen sich die Institute regelmäßig darauf, dass vor bestimmten Angriffen bzw. vor einem bestimmten Verhalten gewarnt worden sei. Damit versuchen die Banken, den Vorwurf des grob fahrlässigen Verhaltens des Kunden zu begründen. - Teilen Sie Ihre PIN nie einem Dritten mit, auch nicht Ihrer Bank.
Ausnahme: Seriöse und registrierte Zahlungsauslösedienste - Verwenden Sie eine TAN nur für einen bestimmten Zahlungsauftrag.
- Reagieren Sie nicht auf dubiose Mails mit unklarer Herkunft und öffnen Sie keine Anhänge.
- Tragen Sie die Internetadresse Ihrer Bank per Hand ein und nutzen keine Verlinkungen.
- Nutzen Sie keine fremden Rechner für Bankgeschäfte.
- Richten Sie ein Auftrags- und/oder Tageslimit ein.
- Kontrollieren Sie regelmäßig Ihre Kontoauszüge.
- Achten Sie auf so genannte Phishing-Attacken (von Password-Harvesting-Fishing). Das sind gefälschte E-Mails mit Links auf täuschend echt nachgemachte Webseiten, mit deren Hilfe die Zugangsdaten zu Online-Bankkonten erschwindelt werden sollen. Mitteilungen über gefälschte Internetseiten nehmen die betroffenen Banken sehr ernst. Sie können außerdem beim Pishing Radar der Verbraucherzentralen gemeldet werden:
Verhalten im Schadensfall
- Informieren Sie sofort Ihren Zahlungsdienstleister.
- Erstatten Sie Anzeige bei der Polizei.
- Sichern Sie Ihren Rechner, lassen Sie ihn sachverständig auf den Befall durch Schadsoftware und auf die Aktualität der Virenschutzprogramme untersuchen.
Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.
Aktuelles
06.11.2019
Online-Service hilft bei Ärger mit dem Telefon- oder Internetanbieter
04.11.2019
Sicher Indoorklettern
31.10.2019
Laubbläser und –sauger mit Verstand einsetzen
30.10.2019
ADAC Winterreifentest
25.10.2019
Verbraucherzentrale auf der Consumenta
21.10.2019
Insolvenz des Energieversorgers BEV
17.10.2019
Vorsicht Zierkürbisse
14.10.2019
Keine Gebühr für Umschuldung von Immobilienkrediten
09.10.2019
Verbraucherhotline eingerichtet
09.10.2019
"Flugärger": Mit neuer App Entschädigung berechnen
