Keine starke Kundenauthentifizierung durch pushTAN-Verfahren

Online-Banking gilt als bequem, schnell und sicher – zumindest aus Sicht der Banken. Doch was passiert, wenn das Sicherheitsverfahren, auf das sich die Kreditinstitute verlassen, den rechtlichen Anforderungen gar nicht genügt? Mit dieser Frage musste sich das Oberlandesgericht Dresden im Juni 2025 beschäftigen. Im Mittelpunkt stand das bei Sparkassen weit verbreitete pushTAN-Verfahren. Das OLG Dresden (Az.: 8 U 1482/24) kam zu einem bemerkenswerten Ergebnis: Das Verfahren stellt keine starke Kundenauthentifizierung dar. Für Banken kann dies gravierende Folgen haben, denn sie haften auch dann teilweise, wenn der Kunde selbst grob fahrlässig handelt.

Der Sachverhalt – wie es zum Streit kam

Ein Sparkassenkunde fiel auf eine täuschend echt gestaltete Phishing-Mail herein. Unter dem Vorwand technischer Anpassungen gab er seine Zugangsdaten preis. Kurze Zeit später erhielt er einen Anruf von einer vermeintlichen Mitarbeiterin seiner Sparkasse. Diese überzeugte ihn, mehrere pushTAN-Freigaben in seiner Banking-App zu bestätigen. Tatsächlich handelte es sich dabei um Aufträge zur Erhöhung seines Überweisungslimits sowie um mehrere Echtzeitüberweisungen in hoher Summe. Innerhalb weniger Minuten waren fast 50.000 Euro von seinem Konto verschwunden.

Der Kunde verlangte von seiner Sparkasse die Erstattung des Schadens. Diese verweigerte jedoch die Rückzahlung mit der Begründung, der Kunde habe die Transaktionen autorisiert und sich zudem grob fahrlässig verhalten. Der Fall landete schließlich vor Gericht.

Die rechtliche Ausgangslage

Grundsätzlich haftet nach § 675u BGB die Bank für nicht autorisierte Zahlungsvorgänge. Nur wenn nachgewiesen werden kann, dass der Kunde die Zahlung tatsächlich autorisiert hat, entfällt die Haftung. Banken stützen sich dabei regelmäßig auf die durchgeführte Authentifizierung – etwa durch PIN und TAN. Doch reicht das aus? Hier kommt die europäische Zahlungsdiensterichtlinie (PSD2) ins Spiel, die in Deutschland durch das Zahlungsdiensteaufsichtsgesetz (ZAG) umgesetzt wurde. Danach sind Banken verpflichtet, bei Zugriff auf das Online-Banking wie auch bei der Auslösung von Zahlungen eine „starke Kundenauthentifizierung“ einzusetzen.

Das pushTAN-Verfahren im Fokus

Beim pushTAN-Verfahren loggen sich Kunden zunächst mit Benutzername und PIN ins Online-Banking ein. Für Zahlungen oder Änderungen erhalten sie anschließend eine TAN per App, die sie bestätigen müssen. Problematisch ist dabei, dass beim Login nur eine einzige Komponente – nämlich die PIN – abgefragt wird. Eine zweite unabhängige Authentifizierung fehlt.

Nach Auffassung des OLG Dresden genügt dieses Verfahren nicht den gesetzlichen Anforderungen. Eine starke Kundenauthentifizierung erfordert immer zwei voneinander unabhängige Faktoren, etwa Wissen (PIN), Besitz (Smartphone) oder Biometrie (Fingerabdruck). Da die pushTAN-App auf demselben Gerät wie das Online-Banking läuft, ist die notwendige Trennung und Verknüpfung nicht gewährleistet.

Grobe Fahrlässigkeit des Kunden – und dennoch Haftung der Bank

Das Gericht stellte zwar fest, dass der Kunde grob fahrlässig handelte. Er hätte die TAN-Aufträge nicht ungeprüft bestätigen dürfen, ohne zu hinterfragen, warum weder Empfänger noch Betrag angezeigt wurden. Angesichts der zahlreichen Warnungen vor Phishing hätte er erkennen müssen, dass es sich um betrügerische Transaktionen handelte.

Doch das entband die Sparkasse nicht vollständig von der Haftung. Der Grund: Die Bank setzte kein Verfahren ein, das den gesetzlichen Anforderungen genügte. Sie verstieß damit gegen ihre Pflicht zur sicheren Authentifizierung. Dieses Versäumnis wertete das Gericht als Mitverschulden der Bank.

Aufteilung der Haftung

Das OLG Dresden entschied, dass beide Seiten Verantwortung tragen. Auf den Kunden entfiel der weitaus größere Teil der Verantwortung, da er die Transaktionen letztlich selbst freigegeben hatte. Allerdings musste die Sparkasse aufgrund ihres Sicherheitsdefizits einen Mitverschuldensanteil von 20 % tragen. Konkret erhielt der Kunde rund 10.000 Euro seines Schadens ersetzt, zusätzlich auch die Kosten seiner anwaltlichen Vertretung.

Tragweite des Urteils

Die Entscheidung ist von erheblicher Bedeutung für alle Banken und Sparkassen, die auf pushTAN oder vergleichbare Verfahren setzen. Es genügt nicht, die Verantwortung allein auf den Kunden abzuwälzen. Wer keine starke Kundenauthentifizierung implementiert, riskiert eine Mithaftung – selbst wenn der Kunde grob fahrlässig handelt.

Für Verbraucher bedeutet das Urteil, dass sie in vergleichbaren Fällen nicht völlig schutzlos dastehen. Auch wenn sie in eine Phishing-Falle tappen und Fehler machen, können sie zumindest einen Teil des Schadens ersetzt bekommen, wenn die Bank die rechtlichen Anforderungen nicht erfüllt.

Praktische Konsequenzen für Banken und Kunden

• Für Banken: Sie müssen ihre Authentifizierungsverfahren dringend überprüfen. Verfahren, die sich auf PIN plus pushTAN auf demselben Gerät beschränken, sind nicht ausreichend. Ohne Umstellung drohen erhebliche Haftungsrisiken.
• Für Kunden: Auch wenn das Urteil eine gewisse Entlastung bietet, gilt weiterhin: Push-Nachrichten dürfen nie ungeprüft bestätigt werden. Bei jeder TAN-Bestätigung sollten Empfänger und Betrag genau kontrolliert werden. Andernfalls droht der Vorwurf grober Fahrlässigkeit.
• Für die Praxis: Es zeichnet sich ab, dass Gerichte strenger prüfen werden, ob Banken die Anforderungen der PSD2 tatsächlich einhalten. Eine einfache Berufung auf das pushTAN-Verfahren wird künftig kaum ausreichen.

Fazit

Das Urteil des OLG Dresden vom 05.06.2025 (Az.: 8 U 1482/24) macht deutlich, dass die Bankenwelt ihre Sicherheitsstandards im Online-Banking anpassen muss. PushTAN ist kein ausreichendes Mittel zur starken Kundenauthentifizierung. Kunden sind zwar verpflichtet, aufmerksam und vorsichtig zu handeln. Doch die Verantwortung liegt nicht allein bei ihnen. Banken müssen für sichere Systeme sorgen – andernfalls haften sie zumindest teilweise für entstandene Schäden.

Für Verbraucher ist dies eine wichtige Stärkung ihrer Rechte. Wer Opfer eines Phishing-Angriffs wird, sollte anwaltlichen Rat suchen und prüfen lassen, ob eine Mithaftung der Bank besteht.