--- name: spezial-pushtan-compliance-dokumentation-und-akte description: "Pushtan: Compliance-Dokumentation und Aktenvermerk: konkreter Spezialworkflow mit Sachverhaltsklärung, Rechtsrahmen, Belegen, Risikoampel und verwertbarem Output." --- # Pushtan: Compliance-Dokumentation und Aktenvermerk ## Aufgabe Dieser Skill ist ein konkreter Fachbaustein für `phishing-vorfall-pruefer`. Ausgangspunkt ist: Freistehender Phishing-Vorfall-Prüfer für Online-Banking: BGB § 675u, § 675v, § 675w, pushTAN, Call-ID-Spoofing, grobe Fahrlässigkeit, Beweislast, Bankpflichten, Schlichtung und Klage. Er führt durch **Compliance-Dokumentation und Aktenvermerk** im Themenfeld **Pushtan**. Ziel ist nicht ein abstrakter Lexikontext, sondern ein belastbares Arbeitsprodukt für die nächste anwaltliche, behördliche, gerichtliche, organisatorische oder mandantenbezogene Entscheidung. ## Kaltstart Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern: 1. Welche Rolle hat die fragende Person und wer ist Gegenüber? 2. Welches konkrete Ziel soll erreicht oder verhindert werden? 3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch? 4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt? 5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage? ## Arbeitsworkflow 1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen. 2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **pushTAN** prüfen. 3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen. 4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben. 5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist. ## pushTAN-Verfahren technisch pushTAN ist ein App-basiertes Authentifizierungsverfahren der Sparkassen / Volksbanken / Banken-eigenen Apps: - Banking-App auf Endgerät A. - pushTAN-App (oder integriertes Verfahren) auf demselben oder einem zweiten Endgerät. - Transaktion wird vom Endgerät an die Bank gesendet; Bank pusht Bestätigungsanforderung an die pushTAN-App; Nutzer bestätigt mit PIN/Biometrie. ## Schwachstellen pushTAN - **Same-Device-Risiko**: pushTAN-App und Banking-App auf demselben Smartphone → bei Malware-Befall beide kompromittierbar. - **Visualisierung Empfänger/Betrag**: muss in pushTAN-App dargestellt werden — bei kompromittierten Anzeigen Manipulation möglich. - **Social Engineering (Callcenter-Trick)**: Anrufer gibt sich als Bankmitarbeiter aus, lässt Kunden TAN bestätigen "um den Vorfall abzuwehren". - **Phishing-Webseite**: leitet Eingaben in die echte Banking-Strecke; Kunde glaubt, eigene Transaktion zu autorisieren, autorisiert in Wahrheit Angreiferüberweisung. ## Dokumentationspflicht in der Akte - **Tool-Beschreibung**: Welches pushTAN-Verfahren? Welche Version der App? Welche Endgeräte (gleiches/getrenntes)? - **Beweismittelliste**: Screenshots der Banking-App im fraglichen Zeitraum, pushTAN-Verlauf, Geräte-Logs (soweit verfügbar), Telefon-Verbindungsnachweise, Phishing-Mail / SMS / Webseite. - **Sachverhaltschronologie**: Minute für Minute der Angriff (Eingang Mail/Anruf, Klick, Eingabe, TAN-Bestätigung, Buchung, Entdeckung). - **Kundenverhalten dokumentieren**: Wahrnehmung des Visualisierungstextes? Wurde Empfänger/Betrag in der TAN-App geprüft? Anzeichen für Druckaufbau (Eile, Drohung)? ## Pflichten Bank zu pushTAN - **Starke Kundenauthentifizierung** § 55 ZAG (PSD2-Umsetzung): zwei unabhängige Elemente; bei Same-Device pushTAN ist die Unabhängigkeit fraglich — Anti-Fraud-Mechanismen zwingend. - **Dynamische Verknüpfung** (Art. 5 Delegierte VO (EU) 2018/389): Authentifizierungs-Code dynamisch verknüpft mit Betrag und Empfänger; bei manipulierter Anzeige Pflichtverletzung. - **Risikoanalyse** § 27 ZAG: laufende Anomalie-Erkennung. ## Akten-Output für Schlichtung/Klage - Risikoampel pushTAN-Vorfall (rot/gelb/grün) mit Begründung. - Pflichtenmatrix Bank (erfüllt/nicht erfüllt). - Kundenmatrix § 675l BGB (verletzt/nicht verletzt). - Konkretisierungsempfehlung Klage/Schlichtung. ## Trade-off pushTAN ist faktisch mehrheitlich Same-Device — Banken werden in Verfahren regelmäßig zur Erstattung verurteilt, wenn Anomalie-Erkennung schwach und Visualisierung manipulierbar war. Live-Recherche aktueller OLG-Linien lohnt sich. ## Output-Standard - **Kurzlage:** maximal fünf Sätze zu Ziel, Lage, Frist, Risiko und nächstem Schritt. - **Prüfmatrix:** Punkt, Norm/Quelle, Tatsache, Beleg, Bewertung, To-do. - **Arbeitsprodukt:** direkt nutzbarer Entwurf oder Baustein in der passenden Tonalität. - **Qualitätsgate:** keine Scheingenauigkeit; Lücken, Annahmen und Live-Check-Bedarf ausdrücklich markieren. ## Quellenregel - Aktuelle Normen, Behördenhinweise, Gerichtsseiten, Register, Formulare und EU-/Landesrecht live prüfen, wenn sie für das Ergebnis tragend sind. - Rechtsprechung nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle ausgeben. - Keine BeckRS-, juris-, Kommentar-, Handbuch- oder Aufsatz-Blindzitate aus Modellwissen. - Paywall-Literatur nur verwerten, wenn sie von der Nutzerin oder dem Nutzer als Text bereitgestellt wurde; dann nicht als frei verifizierte Quelle ausgeben.