Die digitale Transformation hat das Online-Banking zu einer beliebten und bequemen Methode gemacht, um die Finanzen zu verwalten. Doch mit dem Anstieg der Online-Transaktionen steigt auch die Anzahl der Sicherheitsbedenken und rechtlichen Herausforderungen. In meiner Praxis erfahre ich derzeit einen deutlichen Anstieg an Mandaten und Mandatsanfragen, die sich mit unrechtmäßigen Abbuchungen im Rahmen des Online-Bankings beschäftigen. Ein wiederkehrendes Thema dabei ist die Frage, ob die Nutzer fahrlässig gehandelt haben oder ob die Systeme der Banken einen unzureichenden Schutz boten. Ein kürzlich ergangenes Urteil des Landgerichts Heilbronn bringt interessante Erkenntnisse in diese Diskussion und wirft ein Licht auf die Praxis der Verwendung von Banking-Apps und PushTAN-Apps auf dem gleichen Gerät.
In der Entscheidung des Landgerichts Heilbronn (siehe Urteil des LG Heilbronn) wurde die Nutzung einer Banking-App zusammen mit einer PushTAN-App auf demselben Smartphone als unzureichend bewertet. Dieses Urteil beruht auf den Grundsätzen der Zwei-Faktor-Authentifizierung (2FA), die in der Verordnung (EU) Nr. 2018/389, besser bekannt als „Regulatory Technical Standards (RTS) für eine starke Kundenauthentifizierung und sichere Kommunikation“, festgelegt sind.
Die RTS legen fest, dass zwei unabhängige Elemente für die Authentifizierung erforderlich sind, die aus zwei unterschiedlichen Kategorien stammen müssen: Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) und Inhärenz (etwas, das der Nutzer ist). Wenn jedoch sowohl die Banking-App als auch die PushTAN-App auf dem gleichen Gerät installiert sind, stellt sich die Frage, ob diese Elemente tatsächlich unabhängig voneinander sind.
Die Bedenken des Gerichts sind klar: Wenn das Smartphone kompromittiert wird, z.B. durch Malware, könnten beide Apps gleichzeitig betroffen sein, was das Risiko eines unberechtigten Zugriffs auf das Bankkonto erheblich erhöht.
Die Implikationen dieses Urteils könnten weitreichend sein. Banken könnten nun gezwungen sein, ihre Sicherheitsprotokolle zu überarbeiten und Nutzer dazu zu ermutigen, separate Geräte für Banking und TAN-Generierung zu verwenden. Diese neue Anforderung könnte besonders für diejenigen herausfordernd sein, die die Bequemlichkeit des mobilen Bankings schätzen und nun ihre Sicherheitspraktiken neu bewerten müssen.
Das Urteil des Landgerichts Heilbronn ist ein klarer Hinweis darauf, dass die Sicherheitsprotokolle im Online-Banking kritisch hinterfragt und gegebenenfalls angepasst werden müssen. Sowohl Banken als auch Kunden sollten bereit sein, die notwendigen Schritte zu unternehmen, um ein sicheres Online-Banking-Erlebnis zu gewährleisten, auch wenn dies mit einem gewissen zusätzlichen Aufwand verbunden sein mag.
Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.
Veröffentlicht jemand auf einer Webseite mehere Verkaufsanzeigen auf Webseite, soll dies laut EuGH nicht automatisch die Tätigkeit als "Gewerbebetreibender" begründen....
Mehr lesenDetails
Letzte Woche war es hier auf dem Blog etwas ruhiger. Der Grund dafür ist, dass ich auf der Bits &...
Mehr lesenDetails
In meinem neuesten LinkedIn-Beitrag, den Sie hier finden, habe ich das zweite Video meiner Serie mit 1Pitch zu Influencern und...
Mehr lesenDetails
Warum Startups und Selbstständige keine KI-generierten Verträge verwenden sollten Als IT-Rechtsanwalt berate ich täglich Startups, Selbstständige und Unternehmen bei der...
Mehr lesenDetails
Worum geht es? Dem heute veröffentlichten Beschluss „Recht auf Vergessen II“, der ergänzt wird durch den Beschluss vom selben Tag...
Mehr lesenDetails
Das OLG Köln hat in einem Urteil vom 26.07.2019 den Auskunftsanspruch aus der Datenschutzgrundverordnung sehr weit ausgelegt. Auch wenn das...
Mehr lesenDetails
Für viele Unternehmen, Selbstständige aber auch Freiberufler gilt inzwischen oder demnächst eine Pflicht zur Erfassung der Kontaktdaten aller Kundinnen und...
Mehr lesenDetails
E-Rechnungen ab 2025: Sind Sie als Unternehmer vorbereitet? Die Digitalisierung schreitet in allen Bereichen voran, so auch bei der Rechnungsstellung....
Mehr lesenDetails
Anlass der zivilrechtlichen Streitigkeit zwischen dem Kläger (Boris Becker) und dem Beklagten (Oliver Pocher) ist ein am 29.10.2020 ausgestrahlter etwa...
Mehr lesenDetails
Eine No-Shop Clause, auch bekannt als No-Shop Provision oder Exclusivity Clause, ist eine vertragliche Bestimmung, die häufig in Vereinbarungen über...
Mehr lesenDetails
In this captivating podcast episode, I dive deep into the world of legal challenges associated with innovative business models as...
In this captivating episode, lawyer Marian Härtel takes listeners on an exciting journey through the dynamic world of influencers and...
In this exciting episode of our podcast, we take a deep dive into the world of innovative business models. Our...
Welcome to the third episode of our podcast "IT Media Law"! In this episode, we delve into the fascinating world...
