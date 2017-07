Banken und Sparkassen dürfen ihren Kunden beim Online-Banking den Versand der Transaktionsnummern (TANs) per SMS extra berechnen. Voraussetzung dafür ist, dass die Nummer auch tatsächlich für einen Zahlungsauftrag eingesetzt wird.

Nicht zulässig ist es damit beispielsweise, pauschal zehn Cent je verschickter SMS-TAN zu kassieren (Az. XI ZR 260/15). Das geht aus einem Urteil des Bundesgerichtshofs (BGH) hervor.

Die Nummern werden benötigt, um online eine Überweisung, ein Lastschriftmandat oder einen Dauerauftrag abzuschicken. Der Kunde bestätigt seine Eingaben, indem er die Zahlenfolge eintippt. Diese Sicherheitsabfrage soll beim Online-Banking vor Betrügern schützen, die mit technischen Tricks versuchen, fremde Konten leerzuräumen.

Neben dem SMS-Versand gibt es noch andere, oft modernere und sicherere TAN-Verfahren . Der Empfang über das Mobilfunknetz ist aber durchaus verbreitet: Bei den Sparkassen lässt sich laut Deutschem Sparkassen- und Giroverband derzeit jeder dritte Online-Banking-Kunde seine Transaktionsnummern per SMS aufs Handy schicken.

Wie viele Institute für ihre SMS-TAN extra kassieren, ist nicht bekannt. Die Deutsche Kreditwirtschaft (DK) als Zusammenschluss der Bankenverbände gibt an, dass der Versand längst nicht überall kostenlos ist. Demnach verlangen manche Häuser ab der ersten SMS eine Gebühr, bei anderen sind zum Beispiel nur fünf SMS im Monat gratis.

Verbraucherschützer werfen den Instituten vor, die Kosten rund ums Girokonto in immer mehr einzelne Entgelte aufzusplitten. Für die Kunden werde es dadurch schwieriger, den Überblick zu behalten.

In der Hoffnung auf ein Grundsatzurteil zu den SMS-TAN hatte der Bundesverband der Verbraucherzentralen stellvertretend die Kreissparkasse Groß-Gerau verklagt. Dort kostete das Online-Konto zwei Euro im Monat. Jede SMS-TAN sollte noch einmal zehn Cent kosten.

Dem Karlsruher Urteil zufolge ist eine solche Klausel ohne Ausnahmen und Einschränkungen zu pauschal. Kassiert werden darf nur, wenn der Kunde die TAN auch wirklich nutzt. Denkbar wäre zum Beispiel, dass er in seinem Auftrag noch einen Fehler entdeckt oder das vorgesehene Zeitfenster überschreitet und die Nummer deshalb verfällt. Dass so etwas passiert, dürfte aber wohl eher die Ausnahme sein.

Die Bankenverbände reagierten eher verhalten auf das Urteil, denn die Gerichte der Vorinstanzen hatten an der Klausel überhaupt nichts auszusetzen gehabt. Es sei zu begrüßen, «dass der BGH in seiner Bewertung differenziert und die einen Zahlungsdienst auslösende SMS-TAN für entgeltfähig hält», teilte die DK mit. Den Instituten entstünden «beim Versenden einer SMS Kosten und Aufwand».

Unklar war zunächst, inwieweit die Banken und ihre Dienstleister derzeit nachvollziehen können, ob eine TAN auch genutzt wird. Können sie es nicht, könnte das Urteil möglicherweise Anpassungen der Systeme notwendig machen.

Allerdings entwickeln die Institute ihre TAN-Verfahren auch so immer weiter, um sie sicherer zu machen. Mit der Post verschickte Papierlisten haben so gut wie ausgedient. Inzwischen gibt es auch Smartphone-Apps für den kostenlosen Empfang der Nummern. Sie könnten die SMS nach und nach ablösen.

Der Streit um die SMS-TAN der Sparkasse Groß-Gerau geht noch vor dem Oberlandesgericht Frankfurt weiter. Die Verbraucherschützer hatten die Geschäftsbedingungen nicht selbst einsehen können und ihre Informationen nur aus der Werbung für das Konto bezogen. Daraus schlossen sie, dass im Preisverzeichnis die nun vom BGH beanstandete Klausel «Jede smsTAN kostet 0,10 ? (unabhängig vom Kontomodell)» stehen müsse. Die Sparkasse bestreitet das aber. Wer Recht hat, wurde bislang nicht geklärt. Das muss jetzt nachgeholt werden.

Sowohl Transaktionsnummern auf Papierlisten (iTANs) als auch TANs per SMS sind unsicher, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bankkunden sollten besser auf bestimmte TAN-Generatoren oder Signaturkarten in Kombination mit Tastatur-Kartenlesegeräten setzen.

TAN-Generatoren sind kleine, taschenrechnerähnliche Geräte mit Display und Ziffernfeld (eTAN) oder Display und Einschub für die Bankkarte (sm@rtTAN). Relativ sicher sind diese Lösungen immer dann, wenn die erzeugte TAN nur auftragsbezogen für diese eine Überweisung gültig ist. Das ist laut BSI zum Beispiel bei eTAN-Generatoren der Fall, nicht aber bei den wenig verbreiteten sm@rtTAN-Generatoren. Als relativ sicher gelten auch Verfahren, bei denen der Generator sowohl Ziffernfeld als auch Karteneinschub aufweist (sm@rtTAN plus und chipTAN manuell).

Als sehr sicher gilt laut BSI das Online-Banking per Signaturkarte und Tastatur-Kartenlesegerät über die Verfahren HBCI (Homebanking Computer Interface) oder dessen Nachfolger Secoder. Voraussetzung dafür ist neben dem Lesegerät eine Finanzsoftware, in die zum Beispiel die Überweisungsdaten eingegeben werden.