Starke Kundenauthentifizierung beim chipTAN-Verfahren

Mai 7, 2026

Starke Kundenauthentifizierung beim chipTAN-Verfahren

BGH Urteil vom 3.3.2026 – XI ZR 20/24

Sicherheit beim Online-Banking: Ein wichtiges Urteil zum chipTAN-Verfahren

In der heutigen Zeit ist Online-Banking aus dem Alltag nicht mehr wegzudenken. Doch mit der Bequemlichkeit steigen auch die Risiken durch Betrugsversuche. Ein aktueller Fall zeigt deutlich, wie wichtig es ist, die Sicherheitsregeln der Banken genau zu befolgen und welche rechtlichen Folgen Fehler bei der Nutzung von TAN-Verfahren haben können. Im Zentrum steht dabei die Frage, ob eine Bank für gestohlenes Geld haftet, wenn der Kunde sensible Daten am Telefon weitergibt.

Ein betrügerischer Anruf mit schweren Folgen

Der Fall begann mit einer täuschend echt wirkenden E-Mail. Ein Handwerker, der ein Geschäftskonto bei einer Sparkasse führt, erhielt eine Nachricht. Darin wurde behauptet, dass das Sicherheitssystem der Bank umgestellt werden müsse. Die Ehefrau des Kontoinhabers, die sich um die Finanzen kümmerte, folgte den Anweisungen in der E-Mail. Sie gab auf einer gefälschten Internetseite bereits erste Daten zur Bankkarte ein.

Wenig später erhielt sie einen Anruf. Der Anrufer gab sich als Mitarbeiter der Sparkasse aus. Da auf dem Telefondisplay die echte Nummer der Sparkasse angezeigt wurde, schöpfte die Frau keinen Verdacht. Der Betrüger überredete sie dazu, ihren TAN-Generator zu bedienen. Sie steckte ihre Karte in das Gerät und gab Codes ein, die ihr der Anrufer nannte. Die am Ende erzeugten TANs las sie dem Fremden am Telefon vor.

Hohe Verluste durch manipulierte Limits

Durch die Preisgabe der TANs konnten die Betrüger innerhalb kurzer Zeit das Überweisungslimit des Kontos massiv erhöhen. Ursprünglich lag dieses bei 10.000 Euro. Die Täter setzten es jedoch auf fast 95.000 Euro herauf.

Starke Kundenauthentifizierung beim chipTAN-Verfahren

In der Folge wurden mehrere Echtzeit-Überweisungen durchgeführt. Insgesamt verschwand so ein Betrag von fast 40.000 Euro vom Konto des Handwerkers. Dieser verlangte nun von seiner Sparkasse, ihm das Geld zurückzuerstatten. Er argumentierte, dass er die Zahlungen nicht selbst erlaubt habe.

Die rechtliche Verantwortung des Kontoinhabers

Grundsätzlich gilt im Gesetz: Wenn eine Bank Geld vom Konto abbucht, ohne dass der Kunde dies erlaubt hat, muss sie den Betrag zurückgeben. Das ist der sogenannte Erstattungsanspruch. Doch es gibt eine wichtige Ausnahme. Wenn der Kunde seine Pflichten grob fahrlässig verletzt hat, kann die Bank Schadensersatz verlangen. Dieser Schadensersatzanspruch der Bank ist oft genau so hoch wie der Rückzahlungsanspruch des Kunden. Im Ergebnis muss die Bank dann nicht zahlen.

Was bedeutet grobe Fahrlässigkeit?

Grobe Fahrlässigkeit liegt vor, wenn jemand die erforderliche Sorgfalt in einem besonders hohen Maße verletzt. Man sagt auch: Es muss sich um einen Fehler handeln, der jedem hätte einleuchten müssen. Im vorliegenden Fall sah das Gericht dieses Fehlverhalten als gegeben an.

  • Verstoß gegen Sicherheitsregeln: In den Bedingungen für das Online-Banking steht klar, dass TANs niemals außerhalb des offiziellen Bankportals weitergegeben werden dürfen.
  • Warnsignale ignoriert: Die Anrufe fanden am Wochenende außerhalb der Geschäftszeiten statt. Zudem fordert eine Bank ihre Kunden niemals am Telefon auf, TANs zu generieren und vorzulesen.
  • Zurechnung: Da die Ehefrau die Vollmacht für das Konto hatte, wurde ihr leichtsinniges Verhalten dem Kontoinhaber rechtlich zugerechnet.

Die Technik des chipTAN-Verfahrens im Fokus

Der Kläger versuchte, die Verantwortung auf die Bank abzuwälzen. Er behauptete, das verwendete chipTAN-Verfahren sei nicht sicher genug gewesen. Sein Argument: Der TAN-Generator habe im Display nur die IBAN und den Betrag angezeigt, aber nicht den Namen des Empfängers. Er meinte, das Gesetz verlange eine „starke Kundenauthentifizierung“, zu der auch der Name des Empfängers auf dem Gerät gehöre.

Das Urteil: Die IBAN reicht aus

Das Gericht wies diese Argumentation zurück. Es stellte klar, dass das manuelle chipTAN-Verfahren den gesetzlichen Anforderungen entspricht. Es ist nicht zwingend erforderlich, dass der Name des Empfängers auf dem kleinen Display des TAN-Generators erscheint.

  1. Dynamische Verknüpfung: Das Verfahren verknüpft die TAN sicher mit dem Betrag und der IBAN. Da die IBAN das eindeutige Merkmal eines Kontos ist, reicht deren Anzeige aus.
  2. Gesamtbild des Online-Bankings: Der TAN-Generator ist nur ein Teil des Systems. Wenn der Kunde den Generator wie vorgesehen nutzt, sieht er den Namen des Empfängers auf dem Computerbildschirm im Online-Portal. Dass man das Gerät theoretisch auch „blind“ am Telefon nutzen kann, ist kein technischer Fehler der Bank, sondern eine falsche Bedienung durch den Nutzer.
  3. Klare Rechtslage: Die Richter sahen keinen Grund, den Fall dem Europäischen Gerichtshof vorzulegen. Die Regeln seien eindeutig genug.

Fazit und Empfehlung für Bankkunden

Dieses Urteil ist eine Warnung an alle Bankkunden. Die Technik schützt nur dann, wenn der Mensch sie richtig bedient. Wer TANs am Telefon oder per E-Mail weitergibt, handelt fast immer grob fahrlässig und bleibt auf seinem Schaden sitzen. Die Bank hat ihre Pflicht erfüllt, wenn sie ein System bereitstellt, das Betrag und Empfänger-IBAN prüft.

Wichtige Tipps für Ihre Sicherheit:

  • Geben Sie niemals eine TAN am Telefon weiter.
  • Bankmitarbeiter fragen Sie niemals nach PINs oder TANs.
  • Prüfen Sie immer die Angaben (Betrag und IBAN) auf dem Display Ihres TAN-Generators, bevor Sie auf „OK“ drücken.
  • Seien Sie misstrauisch bei E-Mails, die Sie zur Eingabe von Daten auf externen Webseiten auffordern.

Sollten Sie Opfer eines Betrugs geworden sein oder Fragen zu Ihren Pflichten im Online-Banking haben, ist schnelles Handeln gefragt. In solchen Fällen ist eine fachkundige rechtliche Beratung unerlässlich, um Ihre Ansprüche zu prüfen und gegenüber der Bank zu vertreten.

Für eine detaillierte Prüfung Ihres Falles und eine professionelle rechtliche Unterstützung sollten Sie Kontakt mit der Anwalts- und Notarkanzlei Krau in Hohenahr aufnehmen.

RA und Notar Krau
Dieser Beitrag wurde von Anwalts- und Notarkanzlei Krau aus Hohenahr im Lahn-Dill-Kreis erstellt. Die Kanzlei berät Mandantinnen und Mandanten in Mittelhessen, insbesondere in der Region Wetzlar, Gießen und Marburg.

Schlagworte

Anfrage Mandat

    Starten Sie jetzt Ihre Anfrage.

    Die Beauftragung erfolgt erst nach erfolgreichem Interessenkonflikt-Check.
    Über die Vergütung informieren wir Sie transparent vor Beginn der anwaltlichen Tätigkeit.

    Benötigen Sie eine Beratung oder haben Sie Fragen?

    Rufen Sie uns an oder schreiben Sie uns eine E-Mail, damit wir die grundsätzlichen Fragen klären können.

    Telefon
    E-Mail

    Rechtliche Hinweise zur Nutzung der Website und Haftungsausschluss

    Die auf dieser Homepage bereitgestellten Gerichtsentscheidungen stellen einen sorgfältig ausgewählten, jedoch nur ausschnitthaften Überblick über die Rechtsentwicklung der vergangenen Jahrzehnte dar. Aufgrund der kontinuierlichen Fortentwicklung von Gesetzgebung und Rechtsprechung kann für die stetige Aktualität, Richtigkeit und Vollständigkeit der angebotenen Informationen keine Gewähr übernommen werden, da ältere Entscheidungen zwischenzeitlich im Instanzenzug abgeändert, durch neuere obergerichtliche Urteile überholt oder durch gesetzliche Neuregelungen gegenstandslos geworden sein können.

    Die Wiedergabe dieser Entscheidungen sowie alle sonstigen Beiträge auf dieser Website dienen ausschließlich der allgemeinen, unverbindlichen Information der Rechtsuchenden und sind als gedankliche Anregungen zur vertieften Recherche zu verstehen. Sie können und sollen eine individuelle, auf den konkreten Sachverhalt abgestimmte juristische Beratung keinesfalls ersetzen.

    Durch den Abruf dieser Informationen wird kein Mandatsverhältnis begründet, und es entsteht kein vertraglicher Anspruch auf Rechtsauskunft.

    Um Missverständnissen vorzubeugen, stellt die Kanzlei Krau klar, dass die hier veröffentlichten Entscheidungen – sofern im Einzelfall nicht ausdrücklich abweichend gekennzeichnet – nicht von der Kanzlei Krau selbst erstritten wurden. Es handelt sich vielmehr um einen allgemeinen Auszug aus dem deutschen Rechtsleben zur Information der Öffentlichkeit.

    Die Kanzlei Krau haftet für die von ihr bereitgestellten eigenen Informationen nach den allgemeinen gesetzlichen Bestimmungen. Für Schäden, die durch den fehlerhaften juristischen Gebrauch der auf dieser Website bereitgestellten Informationen durch Dritte außerhalb eines aktiven Mandatsverhältnisses entstehen, ist die Haftung der Kanzlei Krau für leichte Fahrlässigkeit ausgeschlossen. Dieser Ausschluss gilt nicht für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer fahrlässigen Pflichtverletzung der Kanzlei Krau oder einer vorsätzlichen oder fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen der Kanzlei Krau beruhen. Der Haftungsausschluss gilt ferner nicht für sonstige Schäden, die auf einer grob fahrlässigen Pflichtverletzung der Kanzlei Krau oder auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung eines gesetzlichen Vertreters oder Erfüllungsgehilfen der Kanzlei Krau beruhen. Die Haftung für vorsätzliches Verhalten bleibt hiervon unberührt.

    Um komplexe rechtliche Sachverhalte für juristische Laien leicht verständlich aufzubereiten, kommt bei der Erstellung meiner Beiträge Künstliche Intelligenz zum Einsatz. Jeder Text wird vor der Veröffentlichung auf fachliche Richtigkeit und rechtliche Präzision geprüft. Die redaktionelle Verantwortung liegt vollständig bei der Anwalts- und Notarkanzlei Krau in Hohenahr.

    Letzte Beiträge