PushTan-Verfahren weiterhin zulässig im Rahmen der starken Kundenauthentifizierung (2FA)?

Das Landgericht Heilbronn hat in seinem Urteil vom 16.05.2023 (Az. Bm 6 O 10/23) festgestellt, dass das pushTAN-Verfahren ein erhöhtes Sicherheitsrisiko aufweist. Daher gibt es nach Meinung des Gerichts keinen Anscheinsbeweis für die Autorisierung einer Zahlung gemäß § 675w BGB.
Allerdings bleiben aufgrund von Unstimmigkeiten im Leitsatz und in den Entscheidungsgründen Fragen offen, ob das Gericht das pushTAN-Verfahren auch im Rahmen der starken Kundenauthentifizierung als unzulässig ansieht:

1. Leitsatz
Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotential auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt; es liegt deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann.

2. Leitsatz
Zur groben Fahrlässigkeit bei telefonischer Weitergabe von TAN im Rahmen eines Social Engineering beim pushTAN-Verfahren im Online-Banking.

Im Rahmen eines Obiter Dictum wies das Gericht darauf hin, dass selbst ohne die unstreitige Tatsache der Nachweis der Autorisierung mittels Anscheinsbeweis gescheitert wäre. Dies wurde durch das Gericht bereits im Vorfeld erläutert. Der Grund dafür liegt in dem pushTAN-Verfahren, bei dem die TAN in einer App auf demselben Smartphone wie auch die BankApp angezeigt wird. Für einen Anscheinsbeweis fehlt jedoch die erforderliche sehr hohe Wahrscheinlichkeit.

Quellen: