Fundamentale Rechtsfragen des Digitalen Bankings - Thomas Söbbing - E-Book

Fundamentale Rechtsfragen des Digitalen Bankings E-Book

Thomas Söbbing

0,0
87,99 €

Beschreibung

Kaum eine andere Branche ist von der digitalen Transformation in solchem Maße betroffen wie die Bankenindustrie. Dabei steht diese nicht am Anfang der digitalen Transformationen, sondern ist bereits mittendrin bzw. weit darüber hinaus, wenn man sich die Möglichkeiten von Künstlicher Intelligenz im algorithmischen Wertpapierhandel und im Scoring anschaut. Um Bankgeschäfte abzuwickeln, muss heute keine Bankfiliale mehr aufgesucht werden. Online-Banking oder -Brokerage sind inzwischen Alltag geworden – das Stichwort der jungen Generation lautet: "App statt Bank". Es findet eine Digitalisierung der Bankwirtschaft statt, die gleichzeitig auch der stärkste Treiber für die Entwicklung des Online-Banking ist. Aber wie in keiner andere Branche unterliegt die digitale Transformation in der Bankenwelt engen juristischen Grenzen und Möglichkeiten. Diese zu kennen, ist äußerst wichtig bei der (Neu-)Gestaltung von digitalen Geschäftsmodellen. Anders als herkömmliche juristische Werke, orientiert sich dieses Werk deshalb nicht an den Rechtsthemen, sondern vielmehr an den digitalen Bankprozessen, die rechtlich erörtert werden. Behandelt werden insbesondere die folgenden Themengebiete: - Online-Bankprozess - Digitaler Zahlungsverkehr - Plattform Banking - Hochfrequenzhandel und Algotrading - Robo-Advisor - Bitcoin und Smart Contracts - Cloud Computing und Outsourcing - Datenschutz und Dateneigentum

Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:

EPUB
MOBI

Seitenzahl: 418

Bewertungen
0,0
0
0
0
0
0



Fundamentale Rechtsfragen des Digitalen Bankings

 

Thomas Söbbing

 

 

Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main

 

 

 

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN: 978-3-8005-1796-1

© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Vorwort

Die zunehmende Digitalisierung wesentlicher Wirtschafts- und Lebensbereiche erscheint dem Zeitgenossen als die alles überragende technologische Entwicklung der letzten Jahre und Jahrzehnte. Die Rasanz mit der hier Fortschritte erzielt werden ist atemberaubend. Ein Ende dieser hochdynamischen Entwicklung ist nicht absehbar. Vor diesem Hintergrund nimmt es nicht Wunder, dass sich die Rechtswissenschaft des Themas – mit der ihr eigenen zeitlichen Verzögerung – annimmt und zunehmend Regelungs- und Regulierungsbedarfe identifiziert sowie hieran anknüpfende Lösungen anbietet. Die technologische Dynamik bildet sich dabei zunehmend auch in der Regelungsaktivität der politischen Akteure ab. So hat etwa die Europäische Kommission „Europas digitale Dekade“ ausgerufen und treibt im Zuge dessen ihre Digitalstrategie mit Macht voran.

Ungeachtet des aktuellen Technologie- und – nachfolgend – Regulierungsschubs kann der Einsatz von Informationstechnik in der Bankwirtschaft bereits auf eine recht lange Geschichte zurückblicken. So besteht etwa die Möglichkeit des Online-Banking – zunächst über eine Bildschirmtext-Schnittstelle (BTX) – seit den 1980er Jahren. Ist also der Gegenstand des vorliegenden Buchs, das „digitale Banking“, ein alter Hut? Mitnichten! Die rasante Entwicklung der letzten Jahre hat vielmehr die technologischen Grundlagen dafür gelegt, dass neue „Spieler“ das Feld betreten, die mit ihren innovativen Dienstleistungen in die angestammten Geschäftsbereiche der Banken vordringen oder sich jedenfalls in unmittelbarer Nachbarschaft zu deren Kerngeschäft ausbreiten. Diese Veränderung des Marktes für Finanzdienstleistungen wirft unweigerlich auch rechtliche Fragen auf.

Hier setzt das vorliegende Buch von Thomas Söbbing an, indem es wesentliche Rechtsfragen der digitalen Bankwirtschaft identifiziert und Antworten hierauf anbietet. Die von digitalem Zahlungsverkehr über den Hochfrequenzhandel bis zu Bitcoins und Dateneigentum reichende Themenpalette bildet dabei die Breite der aktuellen Rechtsdebatte zur Digitalisierung des Finanzdiensleistungssektors ab. Trotz der hiermit verbundenen Stofffülle gerät die dargebotene tour d’horizon aus der Leserperspektive niemals zum Parforceritt. Dies liegt an der großen Anschaulichkeit der Darstellung, welche die technischen Hintergründe nicht ausspart. Auf diese Weise gelingt es dem Autor die wegen ihrer Technizität bisweilen sperrige Materie leicht zugänglich zu machen. So verschafft das Werk dem Leser einen guten Überblick über das digitale Banking, der als sichere Grundlage und Orientierung für die weitere Vertiefung der Einzelthemen dienen kann. Damit bietet es eine wertvolle Hilfe zur Erschließung dieses in die Zukunft weisenden Themenkreises.

Prof. Dr. Klaus Ulrich Schmolke

Vorwort des Autors

Urs Rohner, Verwaltungsratspräsident der Credit Suisse, hat bereits 2015 in einem Vortrag an der SAID Business School der Universität Oxford intensiv erläutert, welche Bedeutung digitale Bankprozesse für die Zukunft einer Bank haben. Dabei erwähnte er auch, dass bei der Credit Suisse ca. 10.000 Mitarbeiter (von ca. 48.000 Mitarbeitern) in IT-Abteilungen arbeiten. Wenn die Credit Suisse diese Mitarbeiter in einer eigenständigen Firma zusammenfassen würde, wäre diese Firma nach Rohners Angaben der größte IT-Dienstleister der Schweiz.1

Kaum eine Branche ist dermaßen von der digitalen Transformation betroffen wie die Bankenindustrie. Neben dem allgemeinen Druck der Digitalisierung von Geschäftsprozessen besteht in der Bankenindustrie zusätzlich durch die anhaltende Niedrigzinsphase und die steigenden regulatorischen Anforderungen ein erheblicher Bedarf an Optimierung. Dabei stehen wir nicht am Anfang der digitalen Transformationen, sondern sind bereits mittendrin und weit darüber hinaus, wenn man sich heute schon Möglichkeiten von künstlicher Intelligenz (KI) anschaut. Aber wie auch in keiner anderen Branche unterliegt die digitale Transformation in der Bankenwelt engen juristischen Grenzen und Möglichkeiten. Diese zu kennen, ist äußerst wichtig bei der Gestaltung von neuen (digitalen) Geschäftsmodellen.

Neben dem oben bestehen Druck auf die Finanzinstitute haben sich die Fin-Techs2 auf den Weg gemacht, der klassischen Finanzwirtschaft mit „coolen Produkten“ den Rang abzulaufen. Um seine Bankgeschäfte abzuwickeln, muss man heute keine Bankfinale mehr aufsuchen. Es findet eine Digitalisierung der Bankwirtschaft statt, die gleichzeitig auch der stärkste Treiber für die Entwicklung des Online-Bankings ist. Dieser Trend hat durch die SARS-CoV-2-Pandemie rasant an Fahrt aufgenommen und dadurch das Filialsterben massiv beschleunigt. Auf einmal war es nicht mehr nur „oldschool“ und „aufwendig“ in eine Bankfiliale zu gehen, sondern während der Hochphasen der Pandemie war es gar nicht möglich, für seine Bankgeschäfte eine Bankfiliale aufzusuchen. Bargeldloses Bezahlen wurde in den Supermärken und Einzelhandelsgeschäften fokussiert und favorisiert, was die Welt des digitalen Bankings massiv unterstützt hat.

Das Ideal eines FinTechs ist, mit einer neuen Technologie einen alteingesessenen Platzhirsch vom Markt zu verdrängen. Daher müssen sich deutsche Banken nicht von einer Konkurrenz wie ICBC oder HCBC fürchten, sondern vielmehr vor modernen Bezahlsystemen wie PayPal, mit allein 20 Millionen Kunden in Deutschland, oder Apple Pay. Während sich mit der Einführung des SEPA-Verfahrens das konservative Überweisen erheblich verkompliziert hat (notwendig ist eine 22-stellige Zahlenkombination), bietet PayPal eine Überweisung mittels der meist viel geläufigeren eigenen E-Mail-Adresse an. Und Apple Pay bedient sich des iPhones, welches sicherlich die meisten Konsumenten häufiger benutzen als ein Online-Banking-Tool. Beim Bezahlen im Internet hat es nur wenige Jahre gedauert, bis PayPal zum Marktführer wurde.

Mit „FinTech“ ist nicht die klassische Finanztechnologie (z.B. ein Kernbankensystem) gemeint, sondern es handelt sich um disruptive Innovationen/Technologien, die sich auf den Finanzsektor spezialisiert haben. Dabei dienen disruptive Innovationen/Technologien nicht dazu, bisherige Geschäftsmodelle oder IT-Systeme zu verbessern, sondern völlig neue Ideen/IT-Systeme zu verwenden, um die bisherigen Finanzdienstleistungen zu revolutionieren. Konkrete Beispiele im Finanzsektor sind Geschäftsmodelle wie Mobile Payment (z.B. Apple Pay), Systeme im Online-Zahlungsverkehr (z.B. PayPal) oder auch online organisiertes Crowdfunding (z.B. Brainpool). In der Regel werden FinTech-Produkte von Start-ups entwickelt, die versuchen, etablierten Wettbewerbern im Finanzsektor Marktanteile abzunehmen. Dabei stoßen diese Start-ups auf eine Reihe von rechtlichen Anforderungen, die zwingend berücksichtigt werden müssen, weil FinTechs sonst sehr schnell Schiffbruch erleiden.

Banking im 21. Jahrhundert findet an vielen Stellen statt, nicht mehr nur wie in den Jahrhunderten zuvor. Es vollzieht sich eine Digitalisierung der Bankwirtschaft, die gleichzeitig auch der stärkste Treiber für die Entwicklung des Kreditgeschäftes ist.3 Um seine Bankgeschäfte abzuwickeln, muss man heute keine Bankfinale mehr aufsuchen. Online-Banking oder -Brokerage sind dabei schon Alltag geworden und gelten schon fast als „uncool“. Das Stichwort der jungen Generation lautet: „App statt Bank“.4

FinTech-Produkte bedienen sich dabei des Prinzips der disruptiven Innovationen.5 Bereits 1942 erläuterte Joseph Schumpeter6 das Konzept der schöpferischen Zerstörung7 in seinem Werk „Kapitalismus, Sozialismus und Demokratie“. Nach Schumpeter illustrieren die „Eröffnung neuer, fremder oder einheimischer Märkte und die organisatorische Entwicklung vom Handwerksbetrieb und der Fabrik zu solchen Konzernen wie dem U. S.-Steel (...) den gleichen Prozess einer industriellen Mutation (...), der unaufhörlich die Wirtschaftsstruktur von innen heraus revolutioniert, unaufhörlich die alte Struktur zerstört und unaufhörlich eine neue schafft.“8 Disruptive Innovationen versuchen somit, (bisher) erfolgreiche Geschäftsmodelle zum Scheitern zu bringen.9

Das konkrete Prinzip der disruptiven Innovationen (englisch: disrupt – unterbrechen, zerreißen) geht im Wesentlichen auf Clayton M. Christensen10 zurück. Christensen untersuchte dabei die Auswirkungen von disruptiven Innovationen erstmalig in größerem Umfang im Zeitalter moderner Technologien, wie der des Internets. Christensen beschreibt dabei das Dilemma, in welchem das Management erfolgreicher Unternehmen steckt: „Die logischen, kompetenten Entscheidungen des Managements, die Voraussetzungen für den dauerhaften Erfolg einer Firma sind, bilden gleichzeitig den Grund, warum diesen Firmen ihre Führungsposition wieder verlieren.“11

Hal R. Varian12 gibt in seinem Standardwerk sogar eine Anleitung für die Vorgehensweise von disruptiver Innovation.13 Er führt hierzu acht maßgebliche Ratschläge an:

– Biete überragende Leistung an.

– Wähle offene Standards anstatt Kontrolle.

– Finde die richtigen Verbündeten.

– Schütze dein geistiges Eigentum.

– Bleibe innovativ.

– Bewege dich schnell.

– Dringe in benachbarte Märkte ein.

– Setze Standards und verschaffe ihnen Geltung.

Nach Paul14 kristallisieren sich vier FinTech-Typen heraus, die sich auf Teile der Wertschöpfung von Banken konzentrieren:

– Zahlungsverkehr (z.B. PayPal)

– Kreditplattformen (z.B. auxmoney oder Funding Circle)

– Crowdfunding15 (z.B. Seedmatch oder Bergfürst)

– Online Trading (z.B. eToro oder ZuluTrade)

Eine konservative Kultur, mangelnde IT-Kenntnisse und die Bankgehälter behindern die FinTech-Szene in Frankfurt am Main.16 Hinzu kommen die mangelnden Kenntnisse über die rechtlichen Rahmenbedingungen für die digitale Transformation in der Bankenindustrie. Deutsche Finanzinstitute investieren kaum in junge FinTechs, haben deshalb einen großen Nachholbedarf und wenig Zeit zu verlieren.17

Es ist damit aber damit zu rechnen, dass FinTechs in den nächsten Jahren und auf lange Zeit intensiv die im Finanzsektor tätigen Juristen beschäftigen werden. Umso wichtiger ist es, einen Überblick über die bedeutsamen Rechtsfragen zu FinTechs zu bekommen.

FinTechs zeigen auf, dass Banking im 21. Jahrhundert anders funktioniert als noch in den Jahrhunderten zuvor. Der Gesetzgeber hat bereits darauf reagiert und gesetzliche Möglichkeiten für FinTechs wie Mobile Payment, Online-Bezahldienste, Crowdfunding etc. geschaffen. Aber weitere rechtliche Rahmenbedingungen sind notwendig. So hat Standard & Poor’s die Frage aufgeworfen, ob FinTechs auch für das Rating der etablierten Kreditinstitute disruptiv sein können.

Prof. Dr. Thomas Söbbing, LL.M.

1

https://www.youtube.com/watch?v=4uYyXd5s1VU, abgerufen am 21.04.2021.

2

„FinTech“ ist ein Akronym aus den Anfangsbuchstaben von „

Fin

ancial“ und „

Tech

nology“ und bezeichnet innovative Technologien und Geschäftsmodelle auf dem Sektor der Finanzdienstleistungen.

3

Paul

, FinTechs: Geschäftsmodelle traditioneller Banken unter Druck, WPg 2016, Heft 2, S. 57.

4

Storn

, Fintech – App statt Bank, Zeit Online, 13.05.2015, DIE ZEIT Nr. 20/2015, 13.05.2015, http://www.zeit.de/2015/20/fintech-banken-konkurrenz, abgerufen am 22.04.2021.

5

Paul

, FinTechs: Geschäftsmodelle traditioneller Banken unter Druck, WPg 2016, Heft 2, S. 57.

6

Joseph Alois Schumpeter

(* 08.02.1883 in Österreich und † 08.01.1950 in Taconic, Connecticut, USA), lehrte ab 1932 an der Harvard University.

7

Die schöpferische Zerstörung (auch kreative Zerstörung) ist ein Begriff aus der Makroökonomie, dessen Kernaussage lautet: Jede ökonomische Entwicklung (im Sinne von nicht bloß quantitativer Entwicklung) baut auf dem Prozess der schöpferischen bzw. kreativen Zerstörung auf.

8

Schumpeter

, Kapitalismus, Sozialismus und Demokratie, 8. Auflage 2005, Kap. 7.

9

Keese

, Silicon Valley, 6. Auflage 2016, S. 165ff.

10

Clayton M. Christensen

(* 06.04.1952 in Salt Lake City, Utah) ist ein US-amerikanischer Wirtschaftswissenschaftler. Seit 1992 ist

Christensen

Professor an der Harvard Business School Professor für Betriebswirtschaft.

11

Christensen

, The Innovator’s Dilemma: The Revolutionary Book That Will Change the Way You Do Business, 5. Auflage 2011, S. 5.

12

Hal Ronald Varian

ist seit Juli 2007 als Chefökonom für die Google Inc. tätig. Zuvor war er Professor am MIT und an der Stanford University.

13

Varian

, Grundzüge der Mikroökonomik, 8. Auflage 2011.

14

Paul

, FinTechs: Geschäftsmodelle traditioneller Banken unter Druck, WPg 2016, Heft 2, S. 57.

15

Über FinTechs im Bereich Crowdfunding (vgl. „Seedmatch“, „Bergfürst“) ist es möglich, außerhalb der Börse Unternehmensanteile oder hybrides Kapital zu platzieren.

16

Röth

, Frankfurt frustriert Fintech-Startups – Zu teuer, zu konservativ, FAZ.NET vom 12.08.2015, http://www.faz.net/aktuell/beruf-chance/zu-teuer-zu-konservativ-frankfurt-frustriert-fintech-startups-13747083.html, abgerufen am 22.04.2021.

17

Schreiber

, Banken verschlafen Fintech-Boom – Deutsche investieren kaum in junge Fintechs, Süddeutsche Online vom 14.07.2015, http://www.sueddeutsche.de/wirtschaft/finanzierung-banken-verschlafen-fintech-boom-1.2565393, abgerufen am 22.04.2021.

Kapitelübersicht

Kapitel A. Online-Bankprozess

Kapitel B. Digitaler Zahlungsverkehr

Kapitel C. Plattform-Banking

Kapitel D. Hochfrequenzhandel und Algo-Trading

Kapitel E. Robo-Advisor

Kapitel F. Bitcoins und Smart Contracts

Kapitel G. Cloud Computing & Outsourcing

Kapitel H. Datenschutz, Dateneigentum

Inhaltsverzeichnis

Vorworte

Kapitelübersicht

Kapitel A. Online-Bankprozess

I. Know your customer

1. Notwendigkeit der Legitimationsprüfung

2. Anforderung der Legitimationsprüfung (eIDAS-VO, VDG)

3. Anforderung der Legitimationsprüfung (BaFin)

II. Kreditwürdigkeitsprüfung

III. Informationen vor Vertragsabschluss

IV. Digitaler Abschluss

Kapitel B. Digitaler Zahlungsverkehr

I. Grundlagen

II. PSD2

1. Aufsichtsrecht

a) Zahlungsdienste

b) Anforderungen

2. Vertragsrecht

a) Vertrag zwischen Kunden und Geschäft (1)

b) ZDRV zwischen Kunde und ZDL (2)

(1) Zahlungsvorgang

(2) Kontaktloses Bezahlen

c) ZRDV zwischen Geschäften und ZDL (3)

III. Bezahldienste

1. Acquiring

a) Erlaubnispflicht

b) Zahlungsinstrument (§ 1 Abs. 20 ZAG)

c) Kundenauthentifizierung

2. Open Banking

3. Payments-as-a-Service

a) Vertragskonstellation

b) Vertrag zwischen Acquirer und Processor

c) Vertrag zwischen Händler & Processor

d) Servicevertrag zwischen Acquirer & Händlern

e) Einbindung der AGB des Processors

(1) Ausdrücklicher Hinweis

(2) Möglichkeit der Kenntnisnahme und Einverständnis

(3) Transparenzgebot

(4) Impressumsangaben

(5) Wirksame Einbeziehung der AGB

4. E-Geld-Institute

5. Technischer Infrastrukturdienstleister

IV. Entscheidungen zu Bezahldiensten

1. Entscheidung des LG München I

2. PayPal-Entscheidung des BGH 2018

3. PayPal-Entscheidung des BGH 2021

Kapitel C. Plattform-Banking

I. Vermittlung von Krediten

1. Plattformen als Geschäftsmodell

2. Plattformverträge

a) Dreiecksbeziehung

b) Vertrag zwischen Betreiber und Anbieter

c) Vertrag zwischen Kunde und Betreiber

d) Vertrag zwischen Anbieter und Kunde

e) AGB des Betreibers

(1) Ausdrücklicher Hinweis

(2) Möglichkeit der Kenntnisnahme und Einverständnis

(3) Transparenzgebot

f) Angaben im Impressum

3. Aufsichtsrecht

II. Online-Trading

1. Plattformverträge

2. Aufsichtsrecht

3. Social Trading

III. Online-Crowdfunding

1. Erlaubnispflicht nach dem Kreditwesengesetz (KWG)

2. Erlaubnispflicht nach dem Zahlungsdienstaufsichtsgesetz (ZAG)

3. Prospektpflicht für Crowdfunding

IV. Vermittlung als Handelsvertreter

V. Platform-to-Business-Verordnung (P2B-VO)

1. Systematische Einordnung

2. Zielgruppe der P2B-VO

3. Inhalte

a) Grundsätzliches in AGB

b) Änderungen von AGB

c) Transparenzpflichten

d) Informationspflichten/Ranking

e) Außergerichtliche Streitbeilegung

f) Verbandsklagen

Kapitel D. Hochfrequenzhandel und Algo-Trading

I. Algorithmen

1. Transformation des Algorithmus

2. Entscheidungsbaum

3. Algorithmus als mathematische Formel

4. Pseudocode

5. Quellcode

6. Schutzbereich des § 69a Abs. 1 UrhG

7. Entwurfsmaterial

8. Quellcode

II. Künstliche neuronale Netze

1. Grundelemente des maschinellen Lernens

2. Arbeitsweisen von maschinellem Lernen

3. Arbeitsweisen von Deep Learning und künstlichen

4. Rechtsfragen

a) Schutz für die Schaffung eines künstlichen neuronalen Netzwerkes

(1) Patentschutz für Deep Learning

(2) Urheberrechtlicher Schutz als Werk

(3) Urheberrechtlicher Schutz als Datenbank

b) Schutz für die Ergebnisse des künstlichen neuronalen Netzwerkes

(1) Daten

(2) Geschäftsgeheimnisse

III. Auswirkungen von KI (BaFin)

IV. Gesetzliche Grundlagen

1. Algorithmisch gesteuerter Handel

2. Hochfrequenzhandel

3. Börsenaufsicht

4. Kreditgefährdung

Kapitel E. Robo-Advisor

I. Grundlagen

II. Aufsichtsrecht

1. Anlageberatung

2. Anlagevermittlung

3. Informationsbereitstellung

III. Vertragsrecht

Kapitel F. Bitcoins und Smart Contracts

I. Arbeitsweise von Bitcoins

II. Arbeitsweise von Smart Contracts

III. Rechtliche Fragen

1. Aufsichtsrecht

a) Zulässigkeit

b) ZAG

2. Vertragsrecht

a) Willenserklärungen

b) AGB-Recht

IV. Resümee

Kapitel G. Cloud Computing & Outsourcing

I. Grundlagen

II. Aufsichtsrecht

1. § 25b Abs. 1 KWG

2. MaRisk (BA)

a) Vorliegen einer Auslagerung

b) Bestimmung der Wesentlichkeit

c) Auslagerungsfähigkeit

d) Beendigung

e) Auslagerungsvertrag

f) Steuerung der Risiken

g) Weiterverlagerung

h) Notfallkonzept

i) Datensicherheit/-schutz (Hinweis zum Ort der Datenspeicherung)

j) BaFin

3. Controls Reports, SAS 70, SSAE 16, ISAE 3402

a) Controls Reports

b) SAS-70-Prüfung

c) ISAE 3402, SSAE 16

d) Assertion

4. BAIT

III. Vertragsrecht

1. Software-as-a-Service

2. Outsourcing

3. Vertragsaufbau

a) Rumpf des Outsourcing-Vertrags

b) Anlagen

c) Leistungsbeschreibungen

Kapitel H. Datenschutz, Dateneigentum

I. Grundlagen des Datenschutzes

II. Datenschutzrechtlicher Rahmen für maschinelles Lernen/Deep Learning

1. Einwilligung

2. Erfüllung eines Vertrags

3. Erfüllung einer rechtlichen Verpflichtung

4. Berechtigtes Interesse

III. Automatisierte Entscheidungen „Scoring/Profiling“

1. Grundlagen

2. Scoring, Screening und Profiling

3. Ausnahmen vom Verbot

4. Konkrete Fälle für Ausnahmen

5. Informationspflichten

6. Transparenzpflichten

7. Wahrung der Rechte der Betroffenen

8. Datensparsamkeit

9. Rechtsfolgen

IV. Auftragsdatenverarbeitung

1. Auftragsverarbeiter

2. Auftragsdatenverarbeitungsvertrag (AVV)

3. Haftung des Auftragsverarbeiters

V. Privacy by Design und Privacy by Default

VI. Datenschutz-Folgenabschätzung

VII. Dateneigentum

1. Rechte an Daten

2. Daten als Schutzgegenstand

3. Schutz des Rechts an Daten

4. Datenweitergabe

Stichwortverzeichnis

Literaturverzeichnis

Kapitel A. Online-Bankprozess

Der folgende Abschnitt18 orientiert sich am Lifecycle eines digitalen Bankproduktes, wie dem Abschluss eines Online-Kredits, und erläutert dabei die juristischen Rahmenbedingungen. Die einzelnen Schritte sind:

– Know your customer

– Kreditwürdigkeitsprüfung

– Informationen vor Abschluss

– digitaler Abschluss

Natürlich ist dieser Prozess austauschbar und andere Bankprodukte, wie ein Investitionskredit, wären möglich. Aber dieser Prozess kann als klassisch angesehen werden, wenn es um die Digitalisierung von Bankprozessen geht; er kann somit als Blaupause für andere (rechtliche) Bankprozesse dienen.

18

Siehe auch

Söbbing

, BKR 2019, S. 443–449.

I. Know your customer

Zu Beginn des Lifecycles (auch) eines digitalen Bankproduktes muss die Bank wissen, wer ihr Kunde ist. Als „know your customer“ (KYC; deutsch: kenne deinen Kunden) wird für Kreditinstitute die vorgeschriebene Legitimationsprüfung von bestimmten Neukunden zur Verhinderung von Geldwäsche bezeichnet.

1.Notwendigkeit der Legitimationsprüfung

Eine Legitimationsprüfung müssen nicht nur Banken vornehmen, sondern auch Wirtschaftsunternehmen, Verwaltung und Polizei/Gericht („Feststellung der Personalien“; vgl. § 163b StPO), jedoch wird der Begriff meist auf Kreditinstitute und gerade auf die Geldwäsche reduziert. Grundsätzlich begründen Privaturkunden gem. § 416 ZPO, sofern sie von den Ausstellern unterschrieben oder mittels notariell beglaubigtem Handzeichen unterzeichnet sind, vollen Beweis dafür, dass die in ihnen enthaltenen Erklärungen von den Ausstellern abgegeben sind. Somit kommt es bei privaten Urkunden auf die Echtheit der Unterschrift an.19 Der gute Glaube an die Echtheit einer Unterschrift genießt allerdings keinen Rechtsschutz.20 Somit machen Legitimationsprüfungen auch dort Sinn, wo sie gesetzlich nicht vorgeschrieben sind, z.B. beim Gebrauchtwagenhandel. Legitimationsprüfungen sind überall dort notwendig, wo die Übereinstimmung einer geleisteten Unterschrift mit der auf den Legitimationspapieren vorhandenen Originalunterschrift durch Vergleich festgestellt werden muss. Stimmen beide Unterschriften überein, wird von der Echtheit der Unterschrift gesprochen, durch die die unterzeichneten Verträge, Schriftstücke oder Urkunden erst rechtswirksam werden. Mit seiner Unterschrift bringt der Unterzeichner den unbedingten Willen zum Ausdruck, die volle Verantwortung für den Inhalt des Schriftsatzes zu übernehmen.21

Grundlage für das KYC-Erfordernis sind Art. 10 bis 29 der 4. EU-Anti-Geldwäsche-Richtlinie,22 welche ergänzt werden durch die 5. EU-Anti-Geldwäsche-Richtlinie.23 National sind es die Regelungen der §§ 10 bis 17 GwG Grundlagen für KYC. So müssen sich Kreditinstitute Gewissheit über Person und Anschrift des Verfügungsberechtigten verschaffen und die entsprechenden Angaben in geeigneter Form, bei Konten auf dem Konto, festhalten (Pflicht zur Kontenwahrheit). Zu diesem Zweck sind Kreditinstitute nach § 10 Abs. 1 GwG gezwungen, Angaben zur Person zu erheben und die Identität zu überprüfen. Durch den § 2 GwG wird der Kreis der identitätsprüfenden Institutionen weit über das Kreditwesen hinaus ausgedehnt. Gem. § 11 Abs. 4 GwG erstreckt sich die Identitätsfeststellung auf Name, Geburtsort, Geburtsdatum, Staatsangehörigkeit und Anschrift. Diese Angaben müssen durch einen gültigen amtlichen Ausweis, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes verifiziert werden, vgl. § 12 Abs. 1 GwG. Bei juristischen Personen oder Personengesellschaften ist gem. § 12 Abs. 2 GwG der Auszug aus dem Handels- oder Genossenschaftsregister oder einem vergleichbaren amtlichen Register oder Verzeichnis anzufordern.

Gem. § 154 Abs. 1 AO darf niemand auf einen falschen oder erdichteten Namen für sich oder einen Dritten ein Konto errichten oder Buchungen vornehmen lassen, Wertsachen (Geld, Wertpapiere, Kostbarkeiten) in Verwahrung geben oder verpfänden oder sich ein Schließfach geben lassen. So hat sich, wer ein Konto führt, Wertsachen verwahrt oder als Pfand nimmt oder ein Schließfach überlässt (Verpflichteter), gem. § 154 Abs. 2 AO zuvor Gewissheit über die Person und Anschrift jedes Verfügungsberechtigten und jedes wirtschaftlich Berechtigten im Sinne des Geldwäschegesetzes zu verschaffen (Nr. 1) und die entsprechenden Angaben in geeigneter Form, bei Konten auf dem Konto, festzuhalten (Nr. 2). Steuerrechtlich wird hierbei von Identitätsprüfung gesprochen. Bei der Legitimationsprüfung i.S.v. § 154 AO ist nicht nur die Identität des Konto- oder Depotinhabers festzustellen, sondern auch die Identität etwaiger Kontobevollmächtigter. Sind die Kunden nicht präsent, wie etwa bei Internetbanken, muss eine unpersönliche Legitimationsprüfung durchgeführt werden.

In der analogen Welt ist die verbreitetste Methode der Identitätsfeststellung das Postident-Verfahren, wobei die Post mittlerweile auch Online-Identifikation durch Videochat (Video-Ident-Verfahren) ermöglicht.24

Bei dem Postident-Verfahren in der Postfiliale prüft der Mitarbeiter der Post anhand von Legitimationspapieren (z.B. Personalausweis) die Identität und leitet die Bestätigung der Legitimation dann an die jeweilige Bank weiter. Juristische Personen müssen sich anhand aktueller Auszüge aus dem Handelsregister, dem Vereinsregister, Genossenschaftsregister oder Partnerschaftsregister legitimieren. In dem Auszug sind der vollständige Name der juristischen Person, der Firmensitz und die Namen aller vertretungsberechtigten Personen aufgeführt.

Es ist davon auszugehen, dass eine Identitätsfeststellung durch das Postident-Verfahren die Anforderungen von § 11 Abs. 4 GwG erfüllt.

2.Anforderung der Legitimationsprüfung (eIDAS-VO, VDG)

Eine Legitimationsprüfung ist in der digitalen Welt deutlich schwerer als in der realen Welt. Dies gilt natürlich nicht nur für die Bankenindustrie, aber hier im besonderen Maße. Die häufigste Methode zur Online-Identitätsprüfung ist das Video-Ident-Verfahren.25

Am 29.07.2017 trat das eIDAS-VO-Durchführungsgesetz in Kraft und damit das deutsche Vertrauensdienstegesetz (VDG). Es ergänzt die Verordnung (EU) Nr. 910/2014 (eIDAS-VO). Die eIDAS-VO bestimmt die Mitwirkungspflichten der Anbieter, die Vertrauensdienste erbringen und legt in diesem Zusammenhang die zuständige nationale Aufsicht fest. Mit Art. 1 wurde das Vertrauensdienstegesetz (VDG) geschaffen, welches das Signaturgesetz (SigG) und die Signaturverordnung (SigV) ersetzt (Art. 11 Abs. 1 eIDAS-VO-Durchführungsgesetz). Als Folgeänderung wurden gemäß Art. 11 Abs. 27 des eIDAS-VO-Durchführungsgesetzes in § 126a Abs. 1 BGB die Wörter „nach dem Signaturgesetz“ gestrichen. Das VDG bestimmt die Mitwirkungspflichten der Anbieter, die Vertrauensdienste erbringen (wie Erstellung, Überprüfung und Validierung von elektronischen Signaturen),26 und legt in diesem Zusammenhang die zuständige nationale Aufsicht fest.

Gem. Art. 24 Abs. 1 Unterabs. 2 eIDAS-VO muss ein Vertrauensdiensteanbieter für die Ausstellung qualifizierter Zertifikate die Identität der natürlichen oder juristischen Person, der das qualifizierte Zertifikat ausgestellt wird, überprüfen. Der Vertrauensdiensteanbieter kann die Identität entweder (a) durch Anwesenheit des Antragstellers für ein Zertifikat, (b) durch elektronische Identifikationsmittel, dessen Erteilung eine Anwesenheit vorausgesetzt hat, oder (c) durch ein qualifiziertes Signatur- oder Siegel-Zertifikat feststellen. Nach Art. 24 Abs. 1 Unterabs. 2 lit. d eIDAS-VO kann er – je nach gewähltem Vertriebsweg – auch sonstige Identifizierungsmethoden anwenden, die auf nationaler Ebene anerkannt sind und gleichwertige Sicherheit hinsichtlich der Verlässlichkeit bei der persönlichen Anwesenheit bieten. Die gleichwertige Sicherheit muss von einer Konformitätsbewertungsstelle bestätigt werden.

Dabei legt das Vertrauensdienstegesetz seine detaillierten Anforderungen zur Identitätsprüfung in § 11 VDG fest. Nach § 11 Abs. 1 VDG legt die Bundesnetzagentur (BNetzA) nach Anhörung der betroffenen Kreise und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durch Verfügung im Amtsblatt fest, welche sonstigen Identifizierungsmethoden i.S.v. Art. 24 Abs. 1 Unterabs. 2 Buchst. d Satz 1 Verordnung (EU) Nr. 910/2014 anerkannt sind und welche Mindestanforderungen dafür jeweils gelten. Gem. § 17 VDG benennt die BNetzA auf Antrag eine Organisation als private Zertifizierungsstelle, sofern die Deutsche Akkreditierungsstelle GmbH festgestellt hat, dass die private Stelle die erforderlichen Anforderungen erfüllt. In der Bekanntmachung gem. § 17 Abs. 2 Nr. 2 VDG zu den Anforderungen für die Benennung privater Zertifizierungsstellen nach Art. 30 Abs. 1 Verordnung (EU) Nr. 910/2014 werden die Anforderungen der BNetzA festgehalten.27

Solange die Europäische Kommission keine delegierten Rechtsakte nach Art. 30 Abs. 4 eIDAS-VO erlassen hat, erstellt und veröffentlicht die BNetzA die fachlichen Kriterien, die für die Benennung als private Zertifizierungsstelle zu erfüllen sind.

Abb. 1: Möglicher Ablauf bei der Nutzung der elektronischen Vertrauensdienste (Quelle: Bundesnetzagentur)

Die BNetzA überprüft gem. § 11 Abs. 2 VDG die Verfügung nach § 11 Abs. 1 VDG regelmäßig im Abstand von vier Jahren sowie

1. bei der begründeten Annahme, dass Methoden nicht mehr hinreichend sicher sind, oder

2. auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik.

Innovative Identifizierungsmethoden, die gemäß § 11 Abs. 3 VDG noch nicht durch Verfügung im Amtsblatt anerkannt sind, können von der BNetzA im Einvernehmen mit dem BSI und nach Anhörung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit für einen Zeitraum von bis zu zwei Jahren vorläufig anerkannt werden, sofern eine Konformitätsbewertungsstelle die gleichwertige Sicherheit der Identifizierungsmethode i.S.v. Art. 24 Abs. 1 Unterabs. 2 Buchst. d eIDAS-VO bestätigt hat. Die BNetzA veröffentlicht die vorläufig anerkannten Identifizierungsmethoden auf ihrer Internetseite. Die BNetzA und das BSI überwachen die Eignung der vorläufig anerkannten Identifizierungsmethoden über den gesamten Zeitraum der vorläufigen Anerkennung. Werden durch die Überwachung sicherheitsrelevante Risiken bei der vorläufig anerkannten Identifizierungsmethode erkannt, so kann die Aufsichtsstelle im Einvernehmen mit dem BSI dem qualifizierten Vertrauensdiensteanbieter die Behebung dieser Risiken durch ergänzende Maßnahmen auferlegen, sofern dies sicherheitstechnisch sinnvoll ist. Lässt sich durch ergänzende Maßnahmen keine hinreichende Sicherheit der vorläufig anerkannten Identifizierungsmethode gewährleisten, so soll die Aufsichtsstelle dem qualifizierten Vertrauensdiensteanbieter die Nutzung dieser Identifizierungsmethode untersagen.

Der qualifizierte Vertrauensdiensteanbieter darf gem. § 11 Abs. 4 VDG nach Maßgabe der datenschutzrechtlichen Bestimmungen personenbezogene Daten nutzen, die zu einem früheren Zeitpunkt im Rahmen einer ordnungsgemäßen Identitätsprüfung erhoben wurden, sofern und soweit diese Daten zum Zeitpunkt der Antragstellung die zuverlässige Identitätsfeststellung des Antragstellers gewährleisten.

3.Anforderung der Legitimationsprüfung (BaFin)

Der am 05.03.2014 veröffentlichte Beschluss der BaFin, die Anforderungen für die Kundenidentifizierung per Videoübertragung erstmalig zu formulieren, ermöglicht es nun Instituten, auch bei physisch nicht anwesenden Kunden die allgemeinen Sorgfaltspflichten nach § 3 Abs. 1 Nr. 1 i.V.m. § 4 Abs. 1, Abs. 3 Nr. 1 und Abs. 4 Nr. 1 GwG anzuwenden (Rundschreiben 1/2014 (GW) vom 05.03.2014). Dies stellte eine richtungsweisende Entscheidung für den Bereich der Personenidentifikation und Legitimation dar, da nun das Video-Ident-Verfahren als dem Post-Ident-Verfahren gleichwertig anerkannt wurde. Kunden wurde es mit dieser Entscheidung erstmalig möglich, ohne Medienbruch eine Antragsstrecke komplett online durchzuführen. Diese Entscheidung kam dem starken Wunsch vieler Finanzdienstleister entgegen, eine Alternative zur Identifikation in der Bankfiliale oder einer Filiale bei der Deutschen Post zu bieten und wurde mit überwältigendem Zuspruch vom Markt angenommen.28

Mit dem Rundschreiben 3/201729 stellte die BaFin die Rahmenbedingungen für das Videoidentifizierungsverfahren auf. Nach Abschnitt B. (Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung) unter I. (Identifizierung durch geschulte Mitarbeiter) darf eine Videoidentifizierung nur von entsprechend geschulten und hierfür ausgebildeten Mitarbeitern des Verpflichteten oder eines Dritten, auf den der Verpflichtete die Identifizierungspflicht gemäß § 7 Abs. 2 GwG ausgelagert hat oder auf den er gemäß § 7 Abs. 1 GwG zurückgreift, durchgeführt werden.30 Eine weitere (Sub-)Auslagerung oder ein Zurückgreifen eines Dritten i.S.v. § 7 Abs. 1 GwG auf einen weiteren Dritten ist nicht zulässig.

Vorausgesetzt wird von den tätigen Mitarbeitern dabei mindestens die Kenntnis der mittels Videoidentifizierung prüfbaren Merkmale einschließlich der anzuwendenden Prüfverfahren derjenigen Dokumente, die im Rahmen des Videoidentifizierungsverfahrens akzeptiert werden, samt gängigen Fälschungsmöglichkeiten dieser Dokumente sowie die Kenntnis der maßgeblichen geldwäscherechtlichen und datenschutzrechtlichen Vorschriften und der in diesem Rundschreiben gestellten Anforderungen. Zu den akzeptierten Dokumenten, ihren prüfbaren Merkmalen und den entsprechenden Schulungsmaßnahmen muss eine geeignete Dokumentation vorliegen.

Die vorgenannten Inhalte müssen den Mitarbeitern vor Aufnahme ihrer Identifizierungstätigkeit angemessen vermittelt und nachfolgend in regelmäßigen Abständen (mindestens einmal jährlich) sowie bei Bedarf aktualisiert werden. Ein Bedarf kann z.B. in einer Änderung der gesetzlichen und/oder aufsichtsrechtlichen bzw. datenschutzrechtlichen Anforderungen oder im Falle eines Auftretens einer signifikanten Zahl von Betrugsversuchen, des Bekanntwerdens neuer Betrugsmöglichkeiten oder sonstiger Fehler im Verfahrensablauf begründet sein.

Die Mitarbeiter müssen sich während der Identifizierung in abgetrennten und mit einer Zugangskontrolle ausgestatteten Räumlichkeiten befinden.31

Die zu identifizierende Person hat zu Beginn einer Videoidentifizierung ihr ausdrückliches Einverständnis damit zu erklären, dass der gesamte Identifizierungsprozess sowie Fotos oder Screenshots ihrer Person und ihres Ausweisdokuments aufgezeichnet werden. Das Einverständnis ist explizit zu protokollieren/aufzuzeichnen.32

Bei der Zuteilung der Identifizierungsvorgänge an die Mitarbeiter müssen Mechanismen eingesetzt werden, die einer vorhersehbaren Zuteilung von Fällen und damit der dadurch bestehenden Möglichkeit einer Manipulation entgegenwirken.

Die Durchführung der Videoidentifizierung muss in Echtzeit und ohne Unterbrechung erfolgen. Die audiovisuelle Kommunikation zwischen dem Mitarbeiter und der zu identifizierenden Person ist in Bezug auf Integrität und Vertraulichkeit ausreichend abzusichern; aus diesem Grund sind nur Ende zu Ende verschlüsselte Videochats zulässig. Es sind hierbei die Empfehlungen der Technischen Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) TR-02102 einzuhalten.

Außerdem muss die Bild- und Tonqualität der Kommunikation in einem ausreichenden Maße gegeben sein, um eine zweifelsfreie Identifizierung anhand aller in diesem Rundschreiben geforderten Prüfungen uneingeschränkt zu ermöglichen. Hierzu zählen insbesondere die Prüfungen der als im Weißlicht visuell prüfbar eingestuften Sicherheitsmerkmale sowie die Prüfung auf Beschädigung und Manipulation des Dokuments. Zur Bewertung der Qualität der Bildübertragung sind geeignete, aussagekräftige Bildelemente zu definieren, z.B. Guillochenstrukturen und Mikroschriften.

Im Rahmen der Videoübertragung sind von dem jeweiligen Mitarbeiter Fotos/Screenshots anzufertigen, auf denen die zu identifizierende Person sowie Vorder- und Rückseite des von dieser zur Identifizierung verwendeten Ausweisdokumentes und die darauf jeweils enthaltenen Angaben deutlich erkennbar sind.33

Nur Ausweisdokumente, die über ausreichend fälschungssichere, im Weißlicht visuell und bei Bildübertragung mittels verfügbarer Technik ausreichend deutlich erkennbare und damit prüfbare Sicherheitsmerkmale (siehe Auflistung unter Kapitel B. Ziff. VI.) sowie über einen maschinenlesbaren Bereich verfügen, können für die geldwäscherechtliche Identitätsüberprüfung im Rahmen eines Videoidentifizierungsverfahrens herangezogen werden.34

Um sich über die Identität der zu identifizierenden Person mittels des zulässigen Identifikationsdokumentes zu vergewissern, hat der Mitarbeiter zunächst sicherzustellen, dass das zur Identitätsüberprüfung konkret verwendete Dokument hinsichtlich der darauf enthaltenen, im Weißlicht visuell zu erkennenden optischen Sicherheitsmerkmale mit den bei dieser Art von Dokumenten vorhandenen Merkmalen übereinstimmt.

Zu den optischen Sicherheitsmerkmalen zählen jeweils unter anderem (je nach Dokument):

– beugungsoptisch wirksame Merkmale:

– Hologramme

– Identigram

– kinematische Strukturen

– Personalisierungstechnik:

– Laserkippbilder

– Ausfüllschrift

– Material:

– Fenster (z.B. personalisiert)

– Sicherheitsfaden (personalisiert)

– optisch variable Farbe

– Sicherheitsdruck:

– Mikroschrift

– Guillochenstruktur

Dabei ist von einer Übereinstimmung auszugehen, wenn die Prüfkriterien von mindestens drei für die Identifizierung zufällig ausgewählten Sicherheitsmerkmalen aus verschiedenen Kategorien der vorstehenden Liste, die das vorgelegte Ausweisdokument enthält, erfüllt werden.

Der Mitarbeiter hat zudem sicherzustellen, dass das zur Identitätsüberprüfung konkret verwendete Dokument hinsichtlich der sonstigen darauf enthaltenen, im Weißlicht visuell zu erkennenden und einer Kontrolle zugänglichen formalen Merkmale (u.a. Layout, Zeichenzahl, -größe, -abstand und Typografie) mit den bei dieser Art von Dokumenten vorhandenen Merkmalen übereinstimmt.

Es ist durch geeignete IT-Unterstützung sicherzustellen, dass im Rahmen der Videoidentifizierung im Weißlicht visuell zu erkennende optische Sicherheitsmerkmale in Form und Inhalt zu den auf dem Ausweis enthaltenen individuellen Merkmalen passen (z.B. Abgleich der auf dem Dokument vorhandenen Primär- und Sekundärlichtbilder, wie Identigram, Laserkippbild etc.) bzw. mit Referenzen aus einer Ausweisdatenbank übereinstimmen.

Alternativ zu einer IT-Unterstützung muss ein entsprechender Abgleich durch vom Mitarbeiter (möglichst aus Serienaufnahmen oder aufgezeichneten Videosequenzen) auszuwählende Standbilder ermöglicht und als Bestandteil des Identifizierungsprozesses zwingend durchgeführt werden.

Der Mitarbeiter muss außerdem stets prüfen, ob das verwendete Ausweisdokument unbeschädigt und nicht manipuliert ist und insbesondere kein aufgeklebtes Bild enthält.

Im Rahmen der visuellen Prüfung muss die zu identifizierende Person den verwendeten Ausweis vor der Kamera nach Anweisung des Mitarbeiters horizontal oder vertikal kippen und zudem auf Aufforderung des Mitarbeiters bestimmte weitere Bewegungen durchführen. Das Interview mit der zu identifizierenden Person muss mindestens im Hinblick auf dessen Ablauf variationsreich in Bezug auf Reihenfolge und/oder Art der vom Mitarbeiter gestellten Fragen gestaltet sein.

Einer Substitution/Manipulation von Teilen oder Elementen des Ausweisdokumentes ist durch geeignete Maßnahmen entgegenzuwirken. Dazu ist die zu identifizierende Person aufzufordern, an geeigneter (variabler, systemseitig zufällig bestimmter) Stelle z.B. einen Finger vor sicherheitsrelevante Teile des Ausweisdokumentes zu halten und etwa eine Hand vor ihrem Gesicht zu bewegen.

Mittels hierbei gefertigter ausschnittsvergrößerter Standbilder ist vom Mitarbeiter zu verifizieren, dass der Ausweis samt der im Weißlicht visuell zu erkennenden Sicherheitsmerkmale an entsprechender Stelle vollständig überdeckt wird und die Übergänge keinerlei Artefakte erkennen lassen, die auf eine entsprechende Manipulation hindeuten würden.

Im Rahmen des Videoidentifizierungsverfahrens ist eine Gültigkeits- und Plausibilitätsprüfung der auf dem Ausweis enthaltenen Daten und Angaben vorzunehmen. Dies beinhaltet u.a. die Überprüfung, ob Ausstellungsdatum und Gültigkeitsdatum des Ausweisdokumentes zueinander passen. Das Ausstellungsdatum darf insbesondere nicht in der Zukunft liegen.

Ferner darf die Gültigkeitsdauer des vorgelegten Ausweisdokumentes nicht gegen die für Ausweisdokumente dieser Art geltenden Normen verstoßen.

Zwingender Bestandteil der Überprüfung ist zudem eine automatisierte Berechnung der in der maschinenlesbaren Zone enthaltenen Prüfziffern sowie ein Kreuzvergleich der in ihr enthaltenen Angaben mit den Angaben im Sichtfeld des Ausweisdokumentes. Außerdem ist die Korrektheit von Ziffernorthografie, Behördenkennziffer und der verwendeten Schriftarten zu überprüfen.

Die zu identifizierende Person hat während der Videoübertragung ferner die vollständige Seriennummer ihres Ausweisdokumentes mitzuteilen.35

Der Mitarbeiter muss sich davon überzeugen, dass das Lichtbild und die Personenbeschreibung auf dem verwendeten Ausweisdokument zu der zu identifizierenden Person passen. Lichtbild, Ausstellungsdatum und Geburtsdatum müssen ebenfalls zueinander kohärent sein.

Der Mitarbeiter muss sich durch psychologische Fragestellungen und Beobachtungen während der Durchführung des Identifizierungsvorgangs von der Plausibilität der Angaben im Ausweisdokument, der Angaben der zu identifizierenden Person im Gespräch sowie der vorgegebenen Absicht der zu identifizierenden Person überzeugen. Dabei können z.B. Fragen nach dem Alter der Person für eine Validierung im Hinblick auf das Ausweisbild sowie die Geburtsangaben im Ausweisdokument erfolgen.

Der Anlass für die Identifikation ist durch die zu identifizierende Person zu bestätigen, auch damit für diese klar ersichtlich ist, wofür sie sich identifiziert. Die Mitarbeiter sind dahingehend zu schulen, dass sie zweifelsfrei feststellen, dass die zu identifizierende Person nach eigenem Willen das jeweilige Produkt beim entsprechenden Anbieter erwirbt (Gefährdung durch Phishing, Social Engineering, Verhalten unter Druck durch zweite Person etc.).

Der Mitarbeiter muss sich davon überzeugen, dass sämtliche auf dem Ausweisdokument enthaltenen Angaben der zu identifizierenden Person mit gegebenenfalls bereits beim Verpflichteten vorhandenen und dem Mitarbeiter verfügbaren Daten übereinstimmen.36

Ist die vorstehend beschriebene visuelle Überprüfung – etwa aufgrund von schlechten Lichtverhältnissen oder einer schlechten Bildqualität/-übertragung – und/oder eine sprachliche Kommunikation mit der zu identifizierenden Person nicht möglich, ist der Identifizierungsprozess abzubrechen. Gleiches gilt bei sonstigen vorliegenden Unstimmigkeiten oder Unsicherheiten. In diesen Fällen kann die Identifizierung mittels eines anderen nach dem Geldwäschegesetz zulässigen Verfahrens vorgenommen werden.37

Die zu identifizierende Person muss während der Videoübertragung eine eigens für diesen Zweck gültige, zentral generierte und von dem Mitarbeiter an sie (per E-Mail oder SMS) übermittelte Ziffernfolge (TAN) unmittelbar online eingeben und an den Mitarbeiter elektronisch zurücksenden. Mit Eingabe dieser TAN durch die zu identifizierende Person ist das Identifizierungsverfahren, einen erfolgreichen systemseitigen Abgleich der TAN vorausgesetzt, abgeschlossen.38

Der gesamte Prozess einer Identifizierung mittels Videotechnologie ist von dem Verpflichteten oder einem Dritten, auf den der Verpflichtete die Identifizierung gemäß § 7 Abs. 2 GwG ausgelagert hat oder auf den er gemäß § 7 Abs. 1 GwG zurückgreift, für die interne und externe Revision sowie die BaFin nachprüfbar in allen Einzelschritten aufzuzeichnen und aufzubewahren. Die Dokumentationspflicht erfordert somit eine visuelle und akustische Aufzeichnung und Aufbewahrung des erfolgten Verfahrensablaufs, auf die sich die o.g. Einwilligung der zu identifizierenden Person beziehen muss.

Aus den Aufzeichnungen muss neben der Einhaltung der an geldwäscherechtliche Identifizierungen allgemein gestellten Anforderungen, insbesondere die Einhaltung der in diesem Rundschreiben genannten Mindestanforderungen für Videoidentifizierungen, ersichtlich sein.

Die Aufzeichnungen sind gemäß § 8 Abs. 3 GwG fünf Jahre aufzubewahren.39

Die BaFin weist ausdrücklich darauf hin, dass die vorstehenden aufsichtsrechtlichen Anforderungen ungeachtet etwaiger daneben zu beachtender Anforderungen gemäß §§ 7 und 8 GwG und unbeschadet von den parallel zu beachtenden datenschutzrechtlichen Anforderungen gelten.40

Zusammenfassend lässt sich sagen, dass die Anforderungen durch das Rundschreiben 3/2007 an das Video-Ident-Verfahren in hohem Maße konkretisiert worden sind. Dies ist sicherlich aus den ersten Erfahrungen mit dem Video-Ident-Verfahren erwachsen, zeigt aber auf, dass weiterhin die Möglichkeit einer digitalen Lösung für das KYC durch die BaFin besteht.

19

Zöller

, ZPO, 33. Auflage 2019, § 416 Rn. 4.

20

Zöller

, ZPO, 33. Auflage 2019, § 416 Rn. 4.

21

BGH, Urteil vom 10.05.2005 – XI ZR 128/04, Volltext; NJW 2005, S. 2086, 2087 für Prozessurkunden.

22

Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission.

23

Richtlinie (EU) 2018/843 des Europäischen Parlaments und des Rates vom 30. Mai 2018 zur Änderung der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung und zur Änderung der Richtlinien 2009/138/EG und 2013/36/EU.

24

https://www.deutschepost.de/de/p/postident/privatkunden/identifikation-per-videochat.html, abgerufen am 22.04.2021.

25

Siehe auch

Söbbing

, BKR 2019, S. 443–449.

26

Vgl. Art. 3 Nr. 16 Verordnung (EU) Nr. 910/2014.

27

https://www.elektronische-vertrauensdienste.de/EVD/SharedDocuments/Downloads/QES/Zertifizierungsstellen/FachlicheKriterienZertifizierungsstellen.pdf?__blob=publicationFile&v=1, abgerufen am 22.04.2021.

28

Jorga/Fürst

, CB 2016, S. 390–392.

29

Das Rundschreiben richtet sich an alle Kreditinstitute, Finanzdienstleistungsinstitute, Zahlungsinstitute, E-Geld-Institute, Agenten i.S.d. § 1 Abs. 7 ZAG, E-Geld-Agenten i.S.d. § 1a Abs. 6 ZAG, Unternehmen und Personen i.S.d. § 2 Abs. 1 Nr. 2c GwG, Kapitalverwaltungsgesellschaften, Zweigniederlassungen von EU-Verwaltungsgesellschaften und ausländischen AIF-Verwaltungsgesellschaften, ausländische AIF-Verwaltungsgesellschaften, für die die Bundesrepublik Deutschland Referenzmitgliedstaat ist und die der Aufsicht der BaFin gemäß § 57 Abs. 1 Satz 3 KAGB unterliegen, Versicherungsunternehmen, die Lebensversicherungsverträge bzw. Unfallversicherungsverträge mit Prämienrückgewähr anbieten sowie Finanzholding-Gesellschaften und gemischte Finanzholding-Gesellschaften in der Bundesrepublik Deutschland. Bezug: Rundschreiben 1/2014, Ziffer III., vom 05.03.2014.

30

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, I. Identifizierung durch geschulte Mitarbeiter.

31

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, II. Räumlichkeiten.

32

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, III. Einverständnis.

33

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, IV. Technische und organisatorische Anforderungen.

34

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, V. Zulässige Ausweisdokumente.

35

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, VI. Überprüfung des Ausweisdokuments.

36

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, VII. Überprüfung der zu identifizierenden Person.

37

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, VIII. Abbruch des Videoidentifizierungsvorgangs.

38

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, IX. Übermittlung einer TAN.

39

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, X. Aufbewahrung und Aufzeichnung.

40

Rundschreiben 3/2017, Abschnitt B. Geldwäscherechtliche Anforderungen an die Durchführung einer Videoidentifizierung, XI. Datenschutz.

II. Kreditwürdigkeitsprüfung

Der nächste Schritt im (Online-)Bankprozess ist die Kreditwürdigkeitsprüfung bzw. auch das Scoring. Die Kreditwürdigkeitsprüfung ist bei Kreditinstituten die erstmalige und laufende Überwachung der Bonität eines Kreditnehmers, vgl. § 18 KWG. Dabei bezieht sich die Kreditwürdigkeitsprüfung nicht nur auf die erstmalige Vergabe von Krediten sondern auch auf deren Prolongation. Insbesondere für Kredite an einen Kreditnehmer, die 10 % des haftenden Eigenkapitals (maximal 750.000 Euro41) übersteigen, ist diese Prüfung für die Banken verpflichtend und wird von der Bankenaufsicht BaFin im Rahmen der jährlicher Prüfungen der Kreditinstitute entsprechend überwacht.

Natürlich ist eine Kreditwürdigkeitsprüfung auch bei Verbraucherkrediten rechtlich verpflichtend vorgeschrieben. Dies ergibt sich zum einen aus § 18a KWG sowie auch aus §§ 505a, 505b BGB.42 Danach müssen Kreditinstitute vor Abschluss eines Verbraucherdarlehensvertrags die Kreditwürdigkeit des Darlehensnehmers prüfen. Das Kreditinstitut darf einen Verbraucherdarlehensvertrag nur abschließen, wenn aus der Kreditwürdigkeitsprüfung hervorgeht, dass bei einem Allgemein-Verbraucherdarlehensvertrag keine erheblichen Zweifel an der Kreditwürdigkeit des Darlehensnehmers bestehen und dass es bei einem Immobiliar-Verbraucherdarlehensvertrag wahrscheinlich ist, dass der Darlehensnehmer seinen Verpflichtungen, die im Zusammenhang mit dem Darlehensvertrag stehen, vertragsgemäß nachkommen wird.

Neben der Notwendigkeit einer Kreditwürdigkeitsprüfung nach § 18a KWG sowie nach §§ 505a, 505b BGB, stellt sich auch die Frage nach der inhaltlichen Frage der Ausgestaltung der Kreditwürdigkeitsprüfung bzw. des Scorings. Die rechtlichen Rahmenbedingungen für Kreditwürdigkeitsprüfungen sind in Art. 22 DSGVO und § 31 BDSG geregelt, welche im Kapitel H. Ziff. III. (Automatisierte Entscheidungen) erläutert werden.

41

Der im Gesetz verankerte Schwellenwert bedeutet nicht, dass Kreditvergaben unterhalb dieser Größenordnung keine Kreditwürdigkeitsprüfung (Bonitätsprüfung) erfordern würden.

42

Diese Regelung beruht auf der Richtlinie 2014/17/EU vom 4. Februar 2014, die unter Kreditwürdigkeitsprüfung in Art. 4 Nr. 17 die Bewertung der Aussicht versteht, „dass den Schuldverpflichtungen aus dem Kreditvertrag nachgekommen wird“.

III. Informationen vor Vertragsabschluss

Kennt die Bank ihren Kunden, so müssen in der Phase der Anbahnung von Verträgen für Finanzprodukte, insbesondere bei Geschäften mit Verbrauchern, umfangreiche vorvertragliche Informationen ausgetauscht werden.43 Geht es dabei nicht um die Vergabe von Krediten, sondern um Anlagemöglichkeiten, werden bei niedrigmargigen Produkten gerne Robo-Advisor für den vorvertraglichen Informationsaustausch eingesetzt. Siehe hierzu ausführlich Kapitel E. (Robo-Advisor).

Werden dabei Finanzdienstleistungen im Fernabsatz (also online) vertrieben, sind die Informationspflichten aus § 312d Abs. 2 BGB i.V.m. Art. 246b EGBGB zu beachten. So hat nach Art. 246b § 1 Abs. 1 EGBGB (Art. 3 FAF-DRiL) der Unternehmer den Verbraucher im Fernabsatz rechtzeitig vor Abschluss von dessen Vertragserklärung in einer dem benutzten Fernkommunikationsmittel angepassten Weise klar und verständlich und unter Angabe des geschäftlichen Zwecks über die in der Norm genannten Umstände zu informieren. Hierzu zählt insbesondere auch das Widerrufsrecht nach Art. 246b § 1 Abs. 1 Nr. 12 EGBGB. Zudem muss der Unternehmer (die Bank) den Kunden – erneut rechtzeitig vor dessen Vertragserklärung – gem. Art. 246b § 2 EGBGB (Art. 5 FAFDRiL) „weitere Informationen“ auf einem dauerhaften Datenträger mitteilen, also gem. Art. 246b § 2 Abs. 1 Nr. 1 EGBGB die Vertragsbestimmungen sowie die AGB des Unternehmens.44

Gem. § 491a Abs. 1 BGB ist der Darlehensgeber verpflichtet, den Darlehensnehmer nach Maßgabe des Artikels 247 des Einführungsgesetzes zum Bürgerlichen Gesetzbuch zu informieren. Daran hat sich auch durch die Neuregelung mit Wirkung zum 21.03.2016 (Umsetzung der Wohnimmobilienkredit-RiLi) nichts geändert.45 Die Norm erfasst sowohl den Allgemeinals auch den Immobiliar-Verbraucherdarlehensvertrag. So sind europaweit einheitliche, vorvertragliche Informationspflichten entstanden.46 Mit den Informationen soll der Darlehensnehmer in die Lage versetzt werden, auf der Grundlage der vom Darlehensgeber angebotenen Vertragsbedingungen und unter Berücksichtigung seiner eigenen Wünsche verschiedene Angebote miteinander zu vergleichen und eine eigenverantwortliche Entscheidung für oder gegen einen Vertragsabschluss zu fällen.47

Dabei kann der Darlehensnehmer gem. § 491a Abs. 2 BGB vom Darlehensgeber einen Entwurf des Verbraucherdarlehensvertrags verlangen. Dies gilt nicht, solange der Darlehensgeber zum Vertragsabschluss nicht bereit ist. Unterbreitet der Darlehensgeber bei einem Immobiliar-Verbraucherdarlehensvertrag dem Darlehensnehmer ein Angebot oder einen bindenden Vorschlag für bestimmte Vertragsbestimmungen, so muss er dem Darlehensnehmer anbieten, einen Vertragsentwurf auszuhändigen oder zu übermitteln; besteht kein Widerrufsrecht nach § 495 BGB, ist der Darlehensgeber dazu verpflichtet, dem Darlehensnehmer einen Vertragsentwurf auszuhändigen oder zu übermitteln. Der Darlehensgeber muss gem. § 491a Abs. 3 BGB vor Abschluss eines Verbraucherdarlehensvertrages „angemessene Erläuterungen“ geben, um den Darlehensnehmer in die Lage zu versetzen, beurteilen zu können, ob der Vertrag dem von ihm verfolgten Zweck und seinen Vermögensverhältnissen gerecht wird. Bei einem Verstoß der Bank gegen diese Erläuterungspflichten kann dies ggf. zu einem Schadensersatz nach § 280 Abs. 1 i.V.m. § 311 Abs. 2 BGB führen.48

Die Erteilung der Information erfolgt nach Art. 247 § 3 Abs. 1 Nr. 2 EGBGB in Textform, also nach § 126b BGB. Eine Ausnahme davon macht Art. 247 § 5 Abs. 1 EGBGB für Fernkommunikationsmittel, sofern die schriftliche Erteilung unverzüglich nachgeholt wird (Abs. 1) und in dem Gespräch die in Abs. 2 der Vorschrift genannten Mindestinhalte des ESIS-Merkblatts beschrieben wurden. Bei online abgeschlossenen Verträgen muss die Bank dafür sorgen, dass der Kunde die Möglichkeit hat, Erläuterungen zum Vertragsentwurf einzuholen, die insbesondere bei einer Onlinehilfe zu Standard-Vertragsklauseln abrufbar sind.49 Für den Fall eines darüber hinausgehenden Erläuterungsbedarfs des Kunden sollte zusätzlich ein persönlicher Kontakt per Telefon möglich sein.50

Der Umfang der Erläuterungspflichten kann dahingehend verstanden werden, dass der Darlehensnehmer individuell darüber aufzuklären ist, ob er das Darlehen auf der Grundlage seiner Vermögensverhältnisse zurückzahlen kann und ob die Vertragsgestaltung für den vom Darlehensnehmer angestrebten Zweck geeignet ist.51 Dagegen wird auch vertreten, dass der Darlehensnehmer lediglich in genereller, produktbezogener Weise, etwa in Form einer Broschüre (online: ein PDF), über die besonderen Spezifika des aufgenommen Kredits informiert werden kann.52

Transformiert man diese Sichtweisen in die digitale Welt, muss die Bank dafür sorgen, dass der Kunde die Möglichkeit hat, Erläuterungen zum Vertragsentwurf einzuholen, die insbesondere im Rahmen einer Onlinehilfe zu Standard-Vertragsklauseln abrufbar sind. Das LG Frankfurt/M. ist dabei zur der Ansicht gelangt, dass ein Kreditinstitut, das im Internet ein Kontomodell mit der Option eines Überziehungskredits bewirbt, die Pflicht gem. Art. 247a § 2 Abs. 2 Satz 1 und 2 EGBGB, den Sollzins für die Überziehung in auffallender Weise anzugeben, noch nicht dadurch erfüllt, dass es den Sollzins in einer Gesamtdarstellung mit anderen Gebührentatbeständen aufführt.53

Bei einem Immobiliar-Verbraucherdarlehensvertrag entsprechend § 491 Abs. 2 Satz 2 Nr. 5 BGB ist der Darlehensgeber gem. § 491a Abs. 4 BGB verpflichtet, den Darlehensnehmer rechtzeitig vor Abgabe von dessen Vertragserklärung auf einem dauerhaften Datenträger über die Merkmale gemäß den Abschnitten 3, 4 und 13 des in Art. 247 § 1 Abs. 2 Satz 2 des Einführungsgesetzes zum Bürgerlichen Gesetzbuch genannten Musters zu informieren. Art. 247 § 1 Abs. 2 Satz 6 des Einführungsgesetzes zum Bürgerlichen Gesetzbuch findet Anwendung.

43

Siehe auch

Söbbing

, BKR 2019, S. 443–449.

44

Freitag

, ZIP 2018, S. 1805ff.

45

BT-Drs. 18/5922, S. 79.

46

Schwintowski

in: Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK-BGB, 9. Auflage, § 491a BGB (Stand: 01.02.2020), Rn. 2.

47

BT-Drs. 18/5922, S. 798.

48

Knops

in: BeckOGK BGB, Stand 01.02.2018, § 491a Rn. 99ff.

49

Nietsch

in: Erman, BGB, 16. Auflage 2020, § 491a BGB Rn. 7a.

50

Freitag

, ZIP 2018, S. 1805, 1808;

Söbbing

, BKR 2018, S. 443, 445.

51

Knops

in: BeckOGK BGB, Stand 01.02.2018, § 491a Rn. 75ff.

52

Erman

/

Nietsch

, BGB, 15. Auflage 2017, § 491, Rn. 54.

IV. Digitaler Abschluss

Gem. § 492 Abs. 1 Satz 1 BGB sind Verbraucherdarlehensverträge, soweit nicht eine strengere Form vorgeschrieben ist, schriftlich abzuschließen. Nach Satz 2 ist der Schriftform Genüge getan, wenn Antrag und Annahme durch die Vertragsparteien jeweils getrennt schriftlich erklärt werden. Dabei bedarf gem. Satz 3 die Erklärung des Darlehensgebers keiner Unterzeichnung, wenn sie mit Hilfe einer automatischen Einrichtung erstellt wird. Sind diese Anforderungen nicht erfüllt, so ist der Vertrag gem. § 494 Abs. 1 BGB nichtig. Es besteht aber die Ausnahme nach § 494 Abs. 2 BGB, dass mit Valutierung des Darlehens der Formmangel geheilt wird. Sollte dieser Fall vorliegen, kann der Darlehensnehmer indes nicht den Vertragszins, sondern „nur“ den gesetzlichen Zins verlangen und verliert damit ggf. seine Marge.54 Der Formverstoß wirkt sich auf das Widerrufsrecht des Verbrauchers aus, da nach § 356b BGB die Widerrufsfrist erst dann beginnt, wenn der Darlehensgeber dem Darlehensnehmer eine für diesen bestimmte Vertragsurkunde, den schriftlichen Antrag des Darlehensnehmers, eine Abschrift der Vertragsurkunde oder eine Kopie seines Antrags zur Verfügung gestellt hat. In diesem Fall beginnt gem. § 494 BGB die 14-tägige Frist für die Ausübung des Widerrufsrechts.55

Um das digitale Geschäft zu erleichtern, zu dem auch der Online-Abschluss eines Finanzgeschäftes zählt, hat der EU-Gesetzgeber die eIDAS-VO (Verordnung (EU) Nr. 910/2014) geschaffen. Nach Art. 25 Abs. 2 eIDAS-VO kann die Schriftform durch eine qualifizierte elektronische Signatur ersetzt werden. Danach ist es möglich, Online-Finanzgeschäfte abzuwickeln. Das deutsche Vertrauensdienstegesetz (VDG) ergänzt die eIDAS-VO und trat am 29.07.2017 in Kraft. Das VDG löste damit auch das Signaturgesetz (SigG) ab. Firmen, Behörden und Bürger sollen mit den VDG in die Lage versetzt werden, Dokumente in der gesamten EU elektronisch zu unterzeichnen und zu zertifizieren. Ziel der eIDAS-VO ist es, europaweit den elektronischen Rechts- und Verwaltungsverkehr zu regeln. Geplant ist eine elektronische Signatur ohne Chipkarte, die ohne Kartenlesegerät funktioniert und der handschriftlichen Signatur gleichgestellt ist. So könnten elektronisch und rechtssicher Bankgeschäfte grenzüberschreitend abgeschlossen werden. Auch Webseiten können per eIDAS-Standard authentifiziert werden (in Deutschland etwa durch das Bundesamt für Sicherheit in der Informationstechnik – BSI) und dann europaweit ein einheitliches Logo erhalten.

Das VDG kann wegen des Anwendungsvorrangs der eIDAS-VO nur präzisierende, konkretisierende und ergänzende Regelungen enthalten. Daher enthält bereits die eIDAS-VO alle wesentlichen Regelungen zu Vertrauensdiensten. Das VDG enthält in Teil 1 vor allem Ergänzungen zu den allgemeinen Bestimmungen für Vertrauensdienste in den Art. 13 bis 19 eIDAS-VO und in Teil 2 ergänzende Vorschriften zu den allgemeinen Bestimmungen für qualifizierte Vertrauensdienste in den Art. 20 bis 24 eIDAS-VO, in Teil 3 und 4 wenige spezifische Regelungen zu einzelnen Vertrauensdiensten sowie in Teil 5 Schlussbestimmungen.

Der sachliche Anwendungsbereich gem. § 1 Abs. 1 VDG benennt „die wirksame Durchführung der Vorschriften über Vertrauensdienste“ in der eIDAS-VO. Das VDG ordnet sich damit für den räumlichen Geltungsbereich als deutsches Gesetz dem sachlichen Anwendungsbereich in Art. 2 eIDAS-VO unter. Nach § 1 Abs. 2 gilt das VDG nicht für die Nutzung bestimmter Vertrauensdienste und die hierfür zu verwendenden Produkte.

Nach § 2 VDG sind die Bundesnetzagentur (BNetzA) und das BSI die zuständigen Behörden zur Durchführung der eIDAS-VO. Die Aufgaben als Aufsichtsstelle nach Art. 17 eIDAS-VO sind zwischen beiden Behörden aufgeteilt. Dabei ist die BNetzA für die Vertrauensdienste, für elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel und für die Zustellung elektronischer Einschreiben sowie die Bewahrung von elektronischen Signaturen, Siegeln und Zertifikaten zuständig. Sie führt gem. § 9 VDG auch die Vertrauenslisten nach Art. 22 eIDAS-VO. Das BSI ist für die Vertrauensdienste zur Website-Authentifizierung zuständig. Zudem ist das BSI die für die Informationssicherheit zuständige nationale Stelle nach Art. 19 Abs. 3 eIDAS-VO.

Die §§ 9 bis 16 VDG enthalten allgemeine Bestimmungen, die für alle qualifizierten Vertrauensdiensteanbieter gelten. Qualifiziert sind Vertrauensdiensteanbieter nach Art. 3 Nr. 20 eIDAS-VO, wenn sie qualifizierte Vertrauensdienste erbringen und ihnen von der Aufsichtsstelle der Status eines qualifizierten Anbieters verliehen wurde.

In Art. 13 eIDAS-VO ist die Haftung der Vertrauensdiensteanbieter als verschuldensabhängige Haftung (Fahrlässigkeit und Vorsatz) geregelt. Nach Art. 13 Abs. 1 Unterabs. 3 eIDAS-VO ist diese aber für qualifizierte Vertrauensdiensteanbieter mit einer Beweislastumkehr hinsichtlich des Verschuldens verbunden. Grundsätzlich können die Vertrauensdiensteanbieter nach Art. 13 Abs. 2 eIDAS-VO die Haftung beschränken, wenn sie diese Beschränkungen ihren Kunden hinreichend mitgeteilt und Dritten gegenüber ersichtlich gemacht haben.

54

Freitag

, ZIP 2018, S. 1805, 1808.

55

Siehe auch

Söbbing

, BKR 2019, S. 443–449.

Kapitel B. Digitaler Zahlungsverkehr

Das digitale Bezahlen und damit der digitale Zahlungsverkehr hat in den letzten Jahren massiv zugenommen und stellt somit einen eleganteren Bereich des Digitalen Bankings da. Die Barzahlung, die früher die bevorzugte Zahlungsmethode der Deutschen war, dürfte durch die Corona-Pandemie gegenüber kontaktlosen Zahlungen an den Ladenkassen zusätzlich an Boden verlieren. Der langfristige Trend zur unbaren Zahlung hat durch den Wunsch nach Schutz vor Infektionen und die Aufforderungen des Handels einen kräftigen Schub erhalten.56

56

DB Research, Bezahlen in der Krise Corona, Karten und Bargeld, vom 13.05.2020.

I. Grundlagen

Im Jahr 2014 wurden noch 53,2 % der Umsätze oder 79,1 % aller Transaktionen bar beglichen.57 Aber bereits 2018 zahlten in Deutschland das erste Mal mehr Kunden mit Kredit- und Debitkarte als mit Bargeld.58 In einer Zwischenerhebung zum Zahlungsverhalten in Deutschland in 2019 kam die Bundesbank zu dem Ergebnis,59