Banken und Sparkassen dürfen ihren Kunden den Versand einer Transaktionsnummer (TAN) per SMS nur dann extra berechnen, wenn diese Nummer beim Online-Banking auch tatsächlich für einen Zahlungsauftrag verwendet wird. Das geht aus einem Urteil des Bundesgerichtshofs (BGH) hervor.

Nicht zulässig sind die Extra-Kosten beispielsweise, pauschal zehn Cent für jede verschickte SMS zu kassieren - die TAN muss auch eingesetzt werden.

In dem Musterfall hatten die Verbraucherzentralen stellvertretend die Kreissparkasse Groß-Gerau verklagt. Dort kostete das Online-Konto zwei Euro im Monat. Jede SMS-TAN sollte nach Darstellung der Verbraucherschützer noch einmal zehn Cent kosten. Das wäre nach dem Karlsruher Urteil nicht zulässig.

Der Streit ist aber noch nicht entschieden: Weil die Sparkasse abstreitet, die Klausel so formuliert zu haben, muss das zuständige Oberlandesgericht sich den Fall noch einmal genauer anschauen.

Beim Online-Banking muss jede Transaktion aus Sicherheitsgründen mit Eingabe einer TAN bestätigt werden. (Az. XI ZR 260/15)

Sowohl Transaktionsnummern auf Papierlisten (iTANs) als auch TANs per SMS sind unsicher, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bankkunden sollten besser auf bestimmte TAN-Generatoren oder Signaturkarten in Kombination mit Tastatur-Kartenlesegeräten setzen.

TAN-Generatoren sind kleine, taschenrechnerähnliche Geräte mit Display und Ziffernfeld (eTAN) oder Display und Einschub für die Bankkarte (sm@rtTAN). Relativ sicher sind diese Lösungen immer dann, wenn die erzeugte TAN nur auftragsbezogen für diese eine Überweisung gültig ist. Das ist laut BSI zum Beispiel bei eTAN-Generatoren der Fall, nicht aber bei den wenig verbreiteten sm@rtTAN-Generatoren. Als relativ sicher gelten auch Verfahren, bei denen der Generator sowohl Ziffernfeld als auch Karteneinschub aufweist (sm@rtTAN plus und chipTAN manuell).

Als sehr sicher gilt laut BSI das Online-Banking per Signaturkarte und Tastatur-Kartenlesegerät über die Verfahren HBCI (Homebanking Computer Interface) oder dessen Nachfolger Secoder. Voraussetzung dafür ist neben dem Lesegerät eine Finanzsoftware, in die zum Beispiel die Überweisungsdaten eingegeben werden.