Pre-PSD2: Geheim­haltungs­pflicht von PIN und TAN im Online-Banking ist kartell­rechts­widrig

Na­he­zu ge­räusch­los hat in der ver­gan­ge­nen Wo­che das Ober­lan­des­ge­richt Düs­sel­dorf ein be­mer­kens­wer­tes Ur­teil ge­spro­chen: Die von deut­schen Ban­ken und Spar­kas­sen in den Ge­schäfts­be­din­gun­gen zum On­line-Ban­king bis Ja­nu­ar 2018 ver­an­ker­te Ge­heim­hal­tungs­pflicht von PIN und TAN ist kar­tell­rechts­wid­rig. Hier nun auch die Presse­mitteilung (PDF), die die DK ausschließlich auf Anfrage verschickte. 

Damit folgt das OLG Düsseldorf dem Bundes­kartellamt, das gegen die betroffenen Verbände der Deutschen Kreditwirtschaft jahrelang ermittelt und die Wettbewerbswidrigkeit dieser Klauseln festgestellt hatte (siehe “Bundeskartellamt erklärt Sicherheitsklauseln zum PIN/TAN-Verfahren für rechtswidrig”).

In Zeiten von PSD2 trägt dieses Urteil jedoch nur noch zur Vergangen­heits­bewältigung bei.”

PSD2 ersetzt die PIN/TAN-Diskussion … und doch war es der Ausgangspunkt

Durch die PSD2 ist seit Januar 2018 alles das geregelt, worum es in dem Rechtsstreit ging: Darf ein Kunde seine PIN und TAN auf den Seiten eines Dritten eingeben oder verstößt er damit gegen die Online-Banking-Geschäftsbedingungen seiner Bank? Stein des Anstoßes war die ehemalige Sofort AG (richtiger: die Payment Network AG), die ihre Services als Mittler anbot. Landläufig sprachen Banken sogar von einer “Man-in-the-middle”-Attacke, die das Zahlverfahren sei.

Natürlich haben alle Beteiligten (Banken, Kunden, Dienstleister) ein Interesse daran, die Sicherheit im Online-Banking maximal hoch zu halten. Tägliche Schlagzeilen erinnern uns an Datenklau im Internet, Betrügereien auf Basis gestohlener Identitäten usw. Gerade der leichtfertige Umgang mancher Nutzer mit Zugangsdaten, wie PIN und TAN, führt zu beträchtlichen Schäden, die in den allermeisten Fällen von den Banken erstattet werden. Durch einheitliche und klare Regeln wie die Geheimhaltungspflicht der Zugangsdaten (PIN und TAN) wollten die Banken Kunden eine Leitlinie an die Hand geben und für hohe Sicherheit sorgen.

Sicherheit vs. Digitalisierung und Wettbewerb

Die Argumente der Bankenverbände sind nicht abwegig. Aber sind deshalb die Argumente vom Bundeskartellamt weniger gewichtig? Die Digitalisierung hat in den letzten Jahren enorme Fahrt aufgenommen. FinTechs gründen auf Basis des Kontozugangs ihr Unternehmen und wollen so potenziellen Nutzern das Leben erleichtern. Der Zugang zum Kundenkonto ist daher essentiell für das Geschäftsmodell vieler FinTechs.

Insofern ist es nur folgerichtig, dass die Wettbewerbshüter unter dem Gesichtspunkt der Datensouveränität Abschottung verhindern und Wettbewerb einfordern. Das dies zulasten der Sicherheit geht, wie die Bankverbände anführen, ließ das Bundeskartellamt nicht gelten.”

Sicherheit oder Wettbewerb oder Zukunft des Banking? Nein, alles zusammen …

Was wiegt nun schwerer? Die Aufrechterhaltung der Sicherheitsstandards im Online-Banking oder die Öffnung des Kontozugangs für mehr Wettbewerb? Europa hat zumindest in punkto Sicherheit eine dezidiertere Auffassung als das Bundeskartellamt und die Richter in Düsseldorf. Zwar wurden die Banken europaweit dazu verpflichtet, ihre Schnittstellen für Dritte zu öffnen, gleichwohl wurde ihnen aber auch zugestanden, die Sicherheitsregeln im Umgang mit den Zugangsdaten PIN und TAN in einem gewissen Rahmen selbst auszulegen. Denn mit der Bereitstellung der sog. PSD2-Schnittstelle und damit dem Zugang Dritter zum Kundenkonto obliegt der Bank die Entscheidung, wo der Kunde seine PIN und TAN eingibt; Stichwort: redirect, decoupled oder embedded.

Die schriftliche Urteilsbegründung steht noch aus. Die Bankenverbände haben angekündigt, dieses Urteil sehr genau zu prüfen und mögliche Rechtsmittel einzulegen. Es ist daher davon auszugehen, dass die endgültige Klärung erst in einigen Jahren durch den Bundesgerichtshof (BGH) erfolgen wird.aj