Skip to content

Bundeskartellamt: Beschränkung von Online-Bezahldiensten durch die deutsche Kreditwirtschaft verstößt gegen Kartellrecht

Das Bundeskartellamt hat entschieden, dass die Beschränkung von Online-Bezahldiensten durch die deutsche Kreditwirtschaft kartellrechtswidrig ist.

Die Pressemitteilung des Bundeskartellamts:

Beschränkung von Online-Bezahldiensten durch die deutsche Kreditwirtschaft verstößt gegen das Kartellrecht

Das Bundeskartellamt hat bestimmte Regelungen der Online-Banking-Bedingungen der Deutschen Kreditwirtschaft für rechtswidrig erklärt. Die Behörde ist der Ansicht, dass die Allgemeinen Geschäftsbedingungen der Banken den Wettbewerb der verschiedenen Anbieter von Bezahlverfahren im Internet beschränken und gegen deutsches und europäisches Kartellrecht verstoßen.

Andreas Mundt, Präsident des Bundeskartellamtes: „Die Online-Banking-Bedingungen der Deutschen Kreditwirtschaft führen zu einer Behinderung von neuen und innovativen Dienstleistungsangeboten auf dem wachsenden Markt für Bezahlverfahren im Internethandel. Im Kern geht es darum, ob auch bankenunabhängige Bezahlverfahren PIN und TAN nutzen dürfen. Wir haben uns intensiv mit dem berechtigten Anliegen der Kreditwirtschaft auseinandergesetzt, dass Sicherheit im Online-Banking gewährleistet sein muss. Die derzeit verwendeten Regelungen lassen sich aber nicht als notwendigen Teil eines konsistenten Sicherheitskonzepts der Banken einstufen und behindern bankunabhängige Wettbewerber.“

Die Deutsche Kreditwirtschaft sowie die in ihr vereinten Verbände Bundesverband der Volks- und Raiffeisenbanken e.V. (BVR), Deutscher Sparkassen- und Giroverband e.V. (DSGV) sowie Bundesverband deutscher Banken e.V. (BdB) verwenden seit vielen Jahren gemeinsam abgestimmte Allgemeine Geschäftsbedingungen (AGB), zu denen auch die „Sonderbedingungen für das Online-Banking“ zählen. Die AGB werden in der Deutschen Kreditwirtschaft beschlossen und von den ihr angeschlossenen Spitzenverbänden gegenüber ihren Mitgliedern zur Nutzung empfohlen. Sie werden flächendeckend von den in Deutschland tätigen Kreditinstituten verwendet.

Die festgestellte Rechtswidrigkeit bezieht sich auf die in den „Sonderbedingungen für das Online-Banking“ dem Online-Banking-Kunden auferlegten Vorgaben beim Umgang mit den personalisierten Sicherheitsmerkmalen PIN (Persönliche Identifikationsnummer) und TAN (Transaktionsnummer). Demnach dürfen Online-Banking-Kunden im Internethandel im Rahmen der Nutzung bankenunabhängiger Bezahlverfahren ihre PIN und TAN nicht als Zugangsinstrumente bei Dritten, zu denen auch sogenannte Zahlungsauslösedienste gehören, eingeben.

Durch diese Regelung wurde und wird die Nutzung von bankenunabhängigen und innovativen Bezahlverfahren beim Einkauf im Internet erheblich behindert. Die Anbieter dieser Bezahlverfahren haben ein Dienstleistungsangebot entwickelt, das eine preisgünstigere Alternative zu den bereits am Markt etablierten Bezahlverfahren darstellt und ein Bedürfnis von Online-Kunden und Online-Händlern nach einer preiswerten und schnellen Zahlungsoption deckt.

Das Bundeskartellamt hat sich auf die Feststellung der Rechtswidrigkeit der beanstandeten Klauseln beschränkt und auf Antrag der Beteiligten die sofortige Vollziehung ausgesetzt. Damit wird der Handlungsspielraum der Beteiligten bei der Umsetzung des Beschlusses und der Abstellung des beanstandeten Verhaltens nicht durch kartellbehördliche Vorgaben und enge Fristen eingeschränkt. Andererseits werden die klaren kartellrechtlichen Grenzen dieses Handlungsspielraums aufgezeigt. Die parallel anhängigen und zwischenzeitlich zum Teil ausgesetzten Zivilverfahren sowie die Überlegungen zu einer gesetzlichen Neuregelung dieses Bereichs werden durch die ausführliche Begründung der Rechtsauffassung des Bundeskartellamtes auf der Grundlage eines im Wege der Amtsermittlung aufgeklärten Sachverhalts befördert.

Hintergrund:
Die Regelungen für die Tätigkeit von bankenunabhängigen Bezahlverfahren unterliegen aktuell einem europäischen Gesetzgebungsprozess: Die für diesen Bereich relevante europäische Zahlungsdiensterichtlinie (PSD) wurde 2015 novelliert und ist bis Anfang 2018 in nationales Recht umzusetzen. Mit dieser Umsetzung wird ein einheitlicher Rechtsrahmen geschaffen, in dem Zahlungsauslösedienste einer staatlichen Aufsicht unterliegen und einheitliche technische Regulierungsstandards bei der Erbringung ihrer Dienstleistungen einhalten müssen.


LG Oldenburg: Bank muss Kunden Schadensersatz für Phishing-Attacke beim Online-Banking ersetzen - Kein Anscheinsbeweis bei mTan-Verfahren

LG Oldenburg
Urteil vom 15.01.2016
8 O 1454/15


Das LG Oldenburg hat eine Bank dazu verurteilt, ihrem Kunden den durch eine Phishing-Attacke beim Online-Banking entstandenen Schaden zu ersetzen. Das Gericht weist dabei darauf hin, dass die Bank beweisen muss, dass der Kunde eine Zahlung autorisiert hat. Es gibt - so das Gericht zutreffend - mangels ausreichender Sicherheit keinen Anscheinsbeweis beim mTan-Verfahren.

Landgericht Oldenburg verurteilt Bank zum Ausgleich des Schadens aufgrund einer Phishing-Attacke beim Online-Banking

Mit Urteil vom 15.01.2016 hat die 8. Zivilkammer des Landgerichts Oldenburg eine Bank aus Lohne zum Ausgleich des Schadens verurteilt, den der Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hat.

Der Kläger nutzte seit 15 Jahren das von der beklagten Bank angebotene Online Banking System und zwar zuletzt in Form des mTan-Verfahrens. Dort erhält der Kunde von der Bank zur Freigabe seines Bankauftrags eine SMS an sein Mobiltelefon, mittels derer er sich am PC als Berechtigter legitimieren kann.

In der Zeit vom 09.03.2015 bis 13.03.2015 sei es zu 44 unberechtigten Überweisungen von den Konten des Klägers gekommen mit einem Gesamtschaden von 11.244,62 €. Der Kläger verlangte von der Beklagten - vereinfacht dargestellt - Schadensersatz in dieser Höhe. Die Beklagte weigerte sich mit der Begründung, der Kläger habe grob fahrlässig gehandelt, insbesondere habe er App´s auf sein Mobiltelefon heruntergeladen, die nicht aus sicheren Quellen herrührten.

Nach durchgeführter Beweisaufnahme hat das Landgericht der Klage stattgegeben. Die Beklagte hat nachzuweisen, dass es sich bei den streitgegenständlichen Zahlungsvorgängen um solche gehandelt hat, die der Kläger autorisiert hat. Nicht der Kläger hat zu beweisen, dass er Opfer einer Phishing-Attacke wurde und somit die Zahlungsvorgänge durch unberechtigte Dritte erfolgten. Dafür ist es nicht ausreichend, dass die Bank die Zahlungsvorgänge elektronisch aufzeichnet. Auch spricht kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt.

Das Urteil ist noch nicht rechtskräftig. Az.: 8 O 1454/15


LG Darmstadt: Kontoinhaber haftet für manipulierte Online-Überweisung mit Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen

LG Darmstadt
Urteil vom 28.08.2014
28 O 36/14


Das LG Darmstadt hat entschieden, dass der Kontoinhaber für eine manipulierte Online-Überweisung mit dem Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen haftet. Das Verfahren sei - so das Gericht dem Sachverständigengutachten folgende - ausreichend sicher.

"Dies ergibt sich zur Überzeugung des Gerichts aus den nachvollziehbaren Ausführungen des Sachverständigen, der Folgendes feststellte:

Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden.

Auf Grundlage der überzeugenden Feststellungen des Sachverständigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmöglichkeiten, wobei es sich bei beiden um sog. „Man-in-the-Middle-Angriffe“ handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klägerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht. Bei diesen beiden Szenarien gab der Geschäftsführer der Klägerin die Daten der von ihm jeweils beabsichtigten Überweisung an die A GmbH & Co. KG in die ihm auf dem PC-Bildschirm ersichtliche (manipulierte) Überweisungsmaske ein. Im Hintergrund – und damit für den Geschäftsführer nicht sichtbar – wurden die streitgegenständlichen Überweisung vorbereitet und deren Daten über die optische Schnittstelle des Bildschirms an den TAN-Generator übermittelt. Der TAN-Generator erzeugte jeweils eine TAN, die für die streitgegenständliche Überweisung bestimmt und auf diese bezogen war. Auf dem Display des TAN-Generators wurden – für den Geschäftsführer der Klägerin sichtbar – die Daten (Empfänger, dessen Kontonummer und BLZ bzw. IBAN und BIC sowie zu überweisender Betrag) der streitgegenständlichen Überweisungen angezeigt. Sodann drückte der Geschäftsführer der Klägerin trotz dieser Anzeige die O.K.-Taste und erzeugte damit die TAN für die streitgegenständlichen Überweisungen. Anschließend gab der Geschäftsführer der Klägerin die erzeugte TAN in die Online-Überweisungsmaske ein. Auf dieser war wegen des betrügerischen Angriffs nach wie vor die von ihm gewollte Überweisung an die A GmbH & Co. KG angezeigt. Der „Angreifer“ fing die derart am 12.11. und am 27.11 erzeugten TAN ab und nutzte sie sodann für die streitgegenständlichen Überweisungen.

Bei dieser Sachlage ist der Klägerin die Zustimmung zu den beiden streitgegenständlichen Überweisungen nach den entsprechend anwendbaren Grundsätzen der Anscheinsvollmacht zuzurechnen."


Den Volltext der Entscheidung finden Sie hier: