Sicherheitsrisiken im pushTAN-Verfahren und die Relevanz für das IT-Recht

Das sogenannte pushTAN-Verfahren, bei dem die Transaktionsnummer (TAN) auf dem Mobiltelefon in einer separaten App angezeigt wird, birgt ein erhöhtes Gefährdungspotenzial, so das Landgericht Heilbronn in einem aktuellen Urteil vom 16. Mai 2023 – Bm 6 O 10/23. Dies resultiert aus der Tatsache, dass die TAN in einer anderen Anwendung generiert wird als der Bankzugang, welcher ebenfalls über eine auf demselben Smartphone installierte BankApp (SecureGo-App) vermittelt wird.

Diese Konstellation führt dazu, dass die Verwendung nur noch zweier Apps auf einem Gerät statt der Nutzung getrennter Kommunikationswege erfolgt. Nach gängigen Standards liegt in einem solchen Fall keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen gemäß § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) vor.

Die Bedeutung dieser Tatsache wird besonders evident, wenn es um die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung gemäß § 675w des Bürgerlichen Gesetzbuchs (BGB) geht. Eine sehr hohe Sicherheit ist für diese Annahme erforderlich, jedoch kann diese im pushTAN-Verfahren nicht hinreichend bejaht werden.

Die problematische Authentifizierungssituation, in der sich Nutzerinnen und Nutzer durch die Nutzung zweier Apps auf dem gleichen Gerät befinden, erfordert eine genaue Prüfung und rechtliche Einordnung im Kontext des IT-Rechts. Anwälte für IT-Recht spielen hier eine entscheidende Rolle, um die Rechte und Pflichten der Beteiligten klar zu definieren und mögliche rechtliche Konsequenzen abzuschätzen.

In Anbetracht der stetig fortschreitenden digitalen Entwicklungen ist es von essentieller Bedeutung, dass rechtliche Experten im IT-Recht über ein tiefgehendes Verständnis für innovative Technologien und deren potenzielle Risiken verfügen. Die genannte Problematik im pushTAN-Verfahren verdeutlicht die Notwendigkeit einer fachkundigen Beratung, um die Sicherheit und Integrität von digitalen Zahlungsdiensten zu gewährleisten.

Stefan Lutz, LL.M.

Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.

Telefon: 0751 / 27 088 530

 lutz@datenschutz-rv.de  https://www.datenschutz-rv.de