Freitag, 5. August 2022

Identitätsüberprüfung durch Banken und Sparkassen nach dem GwG

Zur Zulässigkeit einer von Dritten erstellten „ausländischen“ Qualifizierten Elektronischen Signatur (QES)

RA Prof. Dr. Marwan Hamdan, Hochschule für Finanzwirtschaft & Management, Bonn[1]

I. Einleitung

Durch die Zusammenarbeit mehrerer Unternehmen im Kontext der Digitalisierung und Vernetzung entstehen wertschöpfungsorientierte und internetbasierte Ökosysteme; sie ermöglichen auf Basis der Internettechnologie nicht nur neue Produkt-Service-Systeme, sondern bieten auch Chancen für Unternehmen, über branchenübergreifende und interdisziplinäre Kooperationen den eigenen Wertschöpfungsanteil zu steigern. Technische Plattformen unterstützen dabei die Kommunikation sowohl zwischen den Unternehmen als auch mit dem Kunden. Jenseits dieser technischen Lösungen wird der Aufbau der Kooperation innerhalb eines solchen Ökosystems durch das gemeinsame Verständnis zwischen den Unternehmen von der Entwicklung der gemeinsamen Wertschöpfungsszenarien und das Aufstellen entsprechender Kooperationsregeln erreicht. Daraus ergeben sich zum Teil neue Fragestellungen im Hinblick auf Sorgfaltspflichten nach dem Geldwäschegesetz.

1. Sachverhalt 

Dies lässt sich anhand des Modells der yes.com AG („yes.com“) exemplifizieren: Sie betreibt ein solches Ökosystem (das „yes®-Ökosystem“ oder „yes®“), über welches sich die Teilnehmer an yes® („yes®-Partner“) zum Austausch von Daten und Services („yes®-Services“) verbinden können. Ähnlich wie MasterCard im Kreditkarten-Schema legt yes.com die Regeln für das yes®-Ökosystem fest und überwacht diese. Ähnlich wie MasterCard vergibt yes.com Lizenzen zur Teilnahme an yes® und zur Nutzung bestimmter yes®-Komponenten (Dokumentation für API, Account Chooser [= ein Tool zum Zusammenführen der yes®-Partner in konkreten Transaktionen], die Marke „yes®“, etc.). Die Daten und (technischen) Leistungen selbst werden dagegen immer direkt zwischen den yes®-Partnern und stets im Auftrag eines Endnutzers ausgetauscht. 

yes®-Partner sind dabei im Wesentlichen:

  • Banken und Sparkassen (Identity Provider oder IDPs): Diese bieten die Übermittlung von Identitätsdaten und Leistungen rund um die Identifizierung und Authentifizierung ihrer Online Banking Kunden (Endnutzer) an. 
  • Vertrauensdienstleister (sog. QTSP): Diese bieten Vertrauensdienste wie die Erstellung und Bereitstellung einer Qualifizierten Elektronischen Signatur (QES) gemäß eIDAS an. 
  • Händler (Relying Parties): Diese beziehen die yes®-Services in einer konkreten Transaktion mit den Endnutzern: z. B. wenn sich ein Endnutzer bei der Relying Party identifiziert oder einen Vertrag unterzeichnen möchte.

yes.com hat im yes®-Ökosystem verschiedene Funktionen und Schnittstellen (yes®-Services) normiert. Über einen dieser yes®-Services, den sogenannten „yes®-Signing Service“, kann ein Endnutzer über seinen IDP einen Vertrauensdienstleister (QTSP) beauftragen, eine QES nach den Anforderungen der eIDAS zu erzeugen und an einen anderen yes®-Partner zu übermitteln. Hierzu muss der Endnutzer seinen IDP zunächst mit der Übermittlung von Identitätsdaten an den QTSP beauftragen. In der Grundform „yes®-Signing Services (QES)“ wählt der QTSP grundsätzlich selbst, welche Daten er für die Identifizierung benötigt und welche er in das QES-Zertifikat hineinschreibt. Die Relying Party erhält eine QES, welche sie mit dem zu unterzeichnenden Dokument verbindet. In der Variante „yes®-Signing Service (QID)“ kann ein Endnutzer über seinen IDP den QTSP beauftragen, bestimmte Identitätsdaten in einem technisch auslesbaren Format in diese QES hineinzuschreiben und an die RP zu übermitteln. Der QTSP bedient sich hierzu einer technischen Funktion einer typischen QES nach eIDAS. 

Die Relying Party erhält damit sowohl die QES als auch die darin enthaltenen Identitätsdaten. Die Variante „yes®-Signing Service (QID)“ ist Grundlage des vorliegenden Beitrags. 

Lässt man die vertraglichen Beziehungen der yes.com AG mit den beteiligten Akteuren außen vor, lassen sich die Leistungsbeziehungen zwischen den Parteien – skizzenhaft – wie folgt darstellen: 

Abbildung: Leistungsbeziehungen zwischen den Parteien


[...]
Beitragsnummer: 20646

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr

aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Produkte zum Thema:

Produkticon
Bearbeitungs- und Prüfungsleitfaden: Risikoorientierte Prävention von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen, 4. Aufl

89,00 € inkl. 7 %

Beiträge zum Thema:

Beitragsicon
Verstärkte Sorgfaltspflichten bei der Geldwäscheprävention

Welchen Einfluss Länderlisten bei der Geldwäscheprävention haben und was bei verstärkten Sorgfaltspflichten im Umgang mit Hochrisikoländern zu beachten ist.

08.08.2022

Beitragsicon
Digitalisierung der Internen Revision

Mit der verstärkten Nutzung des Homeoffice steht auch die Revision vor mehreren Herausforderungen. Wie können Vorgänge, Prozesse und Sachverhalte geprüft werden, wenn die Ansprechpartner nicht mehr vor Ort sind und überwiegend im Homeoffice arbeiten und wie gelingt es der Revision auch die eigenen Mitarbeiter überwiegend im Homeoffice arbeiten zu lassen? Auch die Revision muss auf die fortschreitende Digitalisierung Antworten finden.

15.01.2021


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.