Identitätsüberprüfung durch Banken und Sparkassen nach dem GwG

RA Prof. Dr. Marwan Hamdan, Hochschule für Finanzwirtschaft & Management, Bonn[1]

I. Einleitung

Durch die Zusammenarbeit mehrerer Unternehmen im Kontext der Digitalisierung und Vernetzung entstehen wertschöpfungsorientierte und internetbasierte Ökosysteme; sie ermöglichen auf Basis der Internettechnologie nicht nur neue Produkt-Service-Systeme, sondern bieten auch Chancen für Unternehmen, über branchenübergreifende und interdisziplinäre Kooperationen den eigenen Wertschöpfungsanteil zu steigern. Technische Plattformen unterstützen dabei die Kommunikation sowohl zwischen den Unternehmen als auch mit dem Kunden. Jenseits dieser technischen Lösungen wird der Aufbau der Kooperation innerhalb eines solchen Ökosystems durch das gemeinsame Verständnis zwischen den Unternehmen von der Entwicklung der gemeinsamen Wertschöpfungsszenarien und das Aufstellen entsprechender Kooperationsregeln erreicht. Daraus ergeben sich zum Teil neue Fragestellungen im Hinblick auf Sorgfaltspflichten nach dem Geldwäschegesetz.

1. Sachverhalt 

Dies lässt sich anhand des Modells der yes.com AG („yes.com“) exemplifizieren: Sie betreibt ein solches Ökosystem (das „yes®-Ökosystem“ oder „yes®“), über welches sich die Teilnehmer an yes® („yes®-Partner“) zum Austausch von Daten und Services („yes®-Services“) verbinden können. Ähnlich wie MasterCard im Kreditkarten-Schema legt yes.com die Regeln für das yes®-Ökosystem fest und überwacht diese. Ähnlich wie MasterCard vergibt yes.com Lizenzen zur Teilnahme an yes® und zur Nutzung bestimmter yes®-Komponenten (Dokumentation für API, Account Chooser [= ein Tool zum Zusammenführen der yes®-Partner in konkreten Transaktionen], die Marke „yes®“, etc.). Die Daten und (technischen) Leistungen selbst werden dagegen immer direkt zwischen den yes®-Partnern und stets im Auftrag eines Endnutzers ausgetauscht. 

yes®-Partner sind dabei im Wesentlichen:

• Banken und Sparkassen (Identity Provider oder IDPs): Diese bieten die Übermittlung von Identitätsdaten und Leistungen rund um die Identifizierung und Authentifizierung ihrer Online Banking Kunden (Endnutzer) an. 
• Vertrauensdienstleister (sog. QTSP): Diese bieten Vertrauensdienste wie die Erstellung und Bereitstellung einer Qualifizierten Elektronischen Signatur (QES) gemäß eIDAS an. 
• Händler (Relying Parties): Diese beziehen die yes®-Services in einer konkreten Transaktion mit den Endnutzern: z. B. wenn sich ein Endnutzer bei der Relying Party identifiziert oder einen Vertrag unterzeichnen möchte.

yes.com hat im yes®-Ökosystem verschiedene Funktionen und Schnittstellen (yes®-Services) normiert. Über einen dieser yes®-Services, den sogenannten „yes®-Signing Service“, kann ein Endnutzer über seinen IDP einen Vertrauensdienstleister (QTSP) beauftragen, eine QES nach den Anforderungen der eIDAS zu erzeugen und an einen anderen yes®-Partner zu übermitteln. Hierzu muss der Endnutzer seinen IDP zunächst mit der Übermittlung von Identitätsdaten an den QTSP beauftragen. In der Grundform „yes®-Signing Services (QES)“ wählt der QTSP grundsätzlich selbst, welche Daten er für die Identifizierung benötigt und welche er in das QES-Zertifikat hineinschreibt. Die Relying Party erhält eine QES, welche sie mit dem zu unterzeichnenden Dokument verbindet. In der Variante „yes®-Signing Service (QID)“ kann ein Endnutzer über seinen IDP den QTSP beauftragen, bestimmte Identitätsdaten in einem technisch auslesbaren Format in diese QES hineinzuschreiben und an die RP zu übermitteln. Der QTSP bedient sich hierzu einer technischen Funktion einer typischen QES nach eIDAS. 

Die Relying Party erhält damit sowohl die QES als auch die darin enthaltenen Identitätsdaten. Die Variante „yes®-Signing Service (QID)“ ist Grundlage des vorliegenden Beitrags. 

Lässt man die vertraglichen Beziehungen der yes.com AG mit den beteiligten Akteuren außen vor, lassen sich die Leistungsbeziehungen zwischen den Parteien – skizzenhaft – wie folgt darstellen: 

Abbildung: Leistungsbeziehungen zwischen den Parteien

[...]
Beitragsnummer: 20646