Bundeskartellamt erklärt Sicherheitsklauseln zum PIN/TAN-Verfahren für rechtswidrig

Lange schwebte das Damo­kles­schwert sowohl über der Sofort-Überweisung, als auch über der Deutschen Kreditwirtschaft. Nun hat das Bundeskartellamt entschieden – zugunsten der Drittanbieter und gegen die DK. Damit würde die Sicherheit beim PIN/TAN-Verfahren geschwächt – sagt die DK und läuft mit BVR, DSGV und BdB dagegen Sturm und kündigt Rechtsmittel gegen die Feststellungsverfügung an.

Das Bundeskartellamt hat einzelne Regelungen der Online-Banking-Bedingungen der Deutschen Kreditwirtschaft gekippt. Die Behörde ist der Ansicht, dass die Allgemeinen Geschäftsbedingungen der Banken den Wettbewerb der verschiedenen Anbieter von Bezahlverfahren im Internet beschränken und gegen deutsches und europäisches Kartellrecht verstoßen. Die DK – allen voran BVR, DSGV und BdB sehen die Sicherheit beim Online-Banking mit Pin/TAN massiv in Gefahr, weil Dritte so Zugriff auf die geheimen Zahlungsbestätigungen und sogar auf Kontoinformationen erlangen könnten.

Auslöser für den Streit um das Verfahren war die damalige Sofort AG (heute Sofort GmbH), die das Bundeskartellamt nach einem verlorenen Verfahren in Köln angerufen hat (Interview mit dem ehemaligen Geschäftsführer). Auch die PSD & PSD2 steht damit in Zusammenhang. Allerdings wurde der Spagat auf europäischer Ebene verstanden: Denn mit der PSD2 werden Ende 2017 europaweite Regelungen getroffen, die sowohl der Sicherheit des Verbrauchers dienen, als auch einen fairen Wettbewerb zwischen den Anbietern ermöglichen soll.

Nun stellt das Bundeskartellamt also fest: Die DK (BVR, DSGV, BdB) verwenden in den AGB, zu denen auch die „Sonderbedingungen für das Online-Banking“ zählen würden, ein dem Online-Banking-Kunden auferlegten Vorgaben beim Umgang mit PIN und TAN. Demnach dürfen Online-Banking-Kunden im Internethandel im Rahmen der Nutzung bankenunabhängiger Bezahlverfahren ihre PIN und TAN nicht als Zugangsinstrumente bei Dritten, zu denen auch sogenannte Zahlungsauslösedienste gehören, eingeben. Der Knackpunkt: DK (BVR, DSGV, BdB) sehen die Sicherheit des PIN/TAN-Verfahrens in Gefahr, wenn Kunden die sensiblen Daten bei Dritten eingeben dürfen und kündigen ihrerseits rechtliche Schritte gegen die Feststellungsverfügung vor dem Oberlandesgericht Düsseldorf an.

Die Online-Banking-Bedingungen der Deutschen Kreditwirtschaft führen zu einer Behinderung von neuen und innovativen Dienstleistungsangeboten auf dem wachsenden Markt für Bezahlverfahren im Internethandel. Im Kern geht es darum, ob auch bankenunabhängige Bezahlverfahren PIN und TAN nutzen dürfen. Wir haben uns intensiv mit dem berechtigten Anliegen der Kreditwirtschaft auseinandergesetzt, dass Sicherheit im Online-Banking gewährleistet sein muss. Die derzeit verwendeten Regelungen lassen sich aber nicht als notwendigen Teil eines konsistenten Sicherheitskonzepts der Banken einstufen und behindern bankunabhängige Wettbewerber.“

Andreas Mundt, Präsident des Bundeskartellamtes

Deutsche Kreditwirtschaft läuft Sturm: Geheimhaltungspflicht sei wichtig gegen Missbrauch

Der BdB, BVR sowie der DSGV wehren sich vehement gegen die Fest­stellung des Bundeskar­tell­amtes. Die ge­rüg­ten Klau­seln sei­en den kredit­wirt­schaftli­chen Ver­bän­den ih­ren Mit­glieds­in­sti­tu­ten zuletzt im Jah­re 2009 empfoh­len wor­den. Sie regeln un­ter an­de­rem Geheimhal­tungs­pf­lich­ten des Kun­den hinsichtlich sei­ner PIN/TAN. Die Kar­tellbehörde meint, dass dadurch sol­che Online-Bezahldienste am Markt un­ge­rechtfertigt behindert wor­den sei­en, die die PIN/TAN des Kun­den nut­zen. Die Verbände teilen diese Bewertung nicht und werden ihrerseits Rechtsmittel gegen die Feststellungsverfügung vor dem Oberlandesgericht Düsseldorf einlegen. Denn die Klauseln sind im Interesse des Kunden und des Kreditinstituts, weil sie alleine der Sicherheit des Online-Banking und dem Datenschutz dienen.

Die Klauseln regeln das Prinzip, dass der Kunden seine ihm vom Kreditinstitut zur Verfügung gestellte Online-Banking-PIN und -TAN vor dem Zugriff Dritter schützen soll. Ansonsten bestünde die Gefahr, dass diese „Schlüssel zum Kundenkonto“ für unberechtigte Zugriffe auf Kundenkontendaten und missbräuchliche Transaktionen eingesetzt werden.

Sofort will sofort – aber Bundeskartellamt triff nur eine “Feststellung” – ohne  sofortigen Vollzug

So meldete sich auch gleich die Sofort GmbH zu Wort und erklärte, dass Banken demnach nun Kunden nicht daran hindern dürfe, die Sofort-Überweisung zu nutzen. Das ist so aber nicht ganz korrekt, denn das Bundeskartellamt habe sich auf die Feststellung der Rechtswidrigkeit der beanstandeten Klauseln beschränkt und auf Antrag der Beteiligten die sofortige Vollziehung ausgesetzt. Damit solle der Handlungsspielraum der Beteiligten bei der Umsetzung des Beschlusses und der Abstellung des beanstandeten Verhaltens ermöglicht werden. Andererseits würden die klaren kartellrechtlichen Grenzen dieses Handlungsspielraums aufgezeigt. Gleichzeitig regt das Bundeskartellamt eine gesetzlichen Neuregelung an.

Die Regelung wird FinTechs, Banken und PSPs sicher noch eine Weile beschäftigen.aj