Im Kampf gegen Geldwäsche und Terrorismusfinanzierung ist die akkurate Identifizierung und Verifizierung von Kundendaten ein wesentlicher Bestandteil der Sorgfaltspflichten, die Finanzinstitute erfüllen müssen. Mit der Verabschiedung der 5. Geldwäscherichtlinie¹, wird den Finanzinstituten eine zusätzliche Option in Form einer sicheren Fernidentifizierung oder elektronischen Kundenidentifizierung angeboten, indem auf die in der eIDAS-Verordnung von 2014 festgelegten elektronischen Identifizierungsmittel und Vertrauensdiensten verwiesen wird².
Rückblick auf die eIDAS-Verordnung
eIDAS steht für electronic IDentification, Authentication and trust Services. Die eIDAS-Verordnung, die in sämtlichen EU-Mitgliedstaaten direkt anwendbar und seit 2018 vollständig in Kraft ist, wurde mit dem Ziel verabschiedet, das Vertrauen in elektronische Transaktionen zwischen Unternehmen, Bürgern und Behörden zu stärken, indem ein gemeinsamer Rechtsrahmen für die grenzüberschreitende Anerkennung nationaler elektronischer Identifizierungssysteme (eIDs) und einheitliche Regeln für Vertrauensdienste in der gesamten EU geschaffen werden.
In diesem Sinne ermöglicht die eIDAS-Verordnung Bürgern, Unternehmen und öffentlichen Verwaltungen die Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste (d.h. elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Zustellung und Website-Authentifizierung) für den Zugang zu Online-Diensten oder die Verwaltung elektronischer Transaktionen (MEMO/14/586 der Europäischen Kommission).
Zu den Anwendungsfällen von eIDAS gehören das Einreichen von Steuererklärungen, die Einschreibung an einer ausländischen Universität, die Eröffnung eines Bankkontos aus der Ferne, die Gründung eines Unternehmens in einem anderen Mitgliedstaat, die Authentifizierung für Internet-Zahlungen, das Bieten bei Online-Ausschreibungen usw., wobei für alle diese Online-Aktivitäten eine höhere Sicherheit und mehr Nutzerfreundlichkeit geboten wird. Insbesondere soll die Notwendigkeit, dass Kunden für jede neue Dienstleistung manuell per Post oder persönlich nachweisen müssen, wer sie sind, abgeschafft und unnötige Dokumentation vermieden werden.
Warum bezieht sich die AMLD5 auf eIDAS?
Im Rahmen der Schaffung eines digitalen Binnenmarkts sind die von den Finanzinstituten durchzuführenden Sorgfaltspflichten gegenüber Kunden Bereiche, in dem die eIDAS-Toolbox (d.h. die elektronische oder ferngesteuerte Identifizierung und Unterzeichnung) dazu beitragen kann, den Kunden durch die vollständige Digitalisierung an den Zugang zu Finanzdienstleistungen heranzuführen und die Kundenzufriedenheit dabei zu optimieren.
Daher war es wichtig, die Unstimmigkeit zwischen eIDAS zur Förderung der elektronischen Fernidentifizierung einerseits und der 4. Geldwäscherichtlinie³ andererseits, die nach wie vor Transaktionen ohne persönliche Kontakte als risikoreich betrachtete und somit hierfür verstärkte Sorgfaltspflichten forderte, zu bereinigen.
Da die Vorschriften für die Kundenidentifizierung auf europäischer Ebene nicht einheitlich sind, sollte der Verweis auf die in der eIDAS-Verordnung vorgesehenen elektronischen Identifizierungs- und Unterschriftsverfahren darüber hinaus die Sicherheit grenzüberschreitender elektronischer Transaktionen sowie die grenzüberschreitende Zusammenarbeit im Finanzsektor fördern, indem den Bürgern ermöglicht wird, mit ihren eigenen nationalen eIDs nahtlos, schnell und sicher auf öffentliche Dienstleistungen in anderen EU-Ländern zuzugreifen.
Abschließend kann festgehalten werden, dass der Ansatz zur Integration der eIDAS-Standards in den Identifizierungs- und Verifizierungsprozess von Finanzinstitutionen auch auf internationaler Ebene verfolgt wird . Vor dem Hintergrund der sich entwickelnden Sicherheitsrahmen und technischen Standards für die Zuverlässigkeit der digitalen ID-Technologie enthält die kürzlich veröffentlichte Anleitung zur digitalen Identität der Financial Action Task Force (FATF) mehrere Verweise auf den eIDAS-Rahmen und ermutigt die zuständigen Behörden, eng mit den entsprechenden Stellen für digitale ID, Cybersicherheit und anderen zuständigen Behörden zusammenzuarbeiten, um die anwendbaren Sicherheitsrahmen und -standards (FATF (2020), Leitfaden zur digitalen Identität Punkt 74) für digitale ID zu ermitteln. Darüber hinaus arbeitet die Internationale Organisation für Normung (ISO) derzeit an der Entwicklung globaler Standards für die Identifizierung von natürlichen Personen für Finanzdienstleistungen, auch im digitalen Kontext (FATF (2020), Leitfaden zur digitalen Identität Punkt 52).
Ist die Referenz ein potenzieller Wendepunkt für die Sorgfaltspflicht gegenüber Kunden?
Laut der Europäischen Kommission können bisher EU-Bürger und Unternehmen in acht EU-Mitgliedstaaten ihre nationalen eID EU-weit verwenden, und ab dem nächsten Jahr werden 55 % der EU-Bevölkerung abgedeckt sein (Digitale Identität und Vertrauen: Kommission leitet öffentliche Konsultation zur eIDAS-Verordnung ein (Juli 2020)).
In diesem Zusammenhang haben die Mitgliedstaaten damit begonnen, ihre elektronischen Verfahren zur Identifizierung bei der EU-Kommission notifizieren zu lassen, und die Anerkennung der angemeldeten elektronischen Identifizierungsverfahren ist seit September 2018 obligatorisch. Für Deutschland sind dies der nationale Personalausweis und der elektronische Aufenthaltstitel, beide mit Vertrauensniveau „hoch“ nach den eIDAS-Standards, und für Luxemburg der nationale Personalausweis, ebenfalls mit dem Vertrauensniveau „hoch“. Hier sei auch angemerkt, dass bei der eiDAS-Verordnung nicht die Harmonisierung von eID-Systemen anvisiert wird, sondern die Interoperabilität zwischen den nationalen Systemen.
Auf dem Weg zu einem einheitlichen EU-Regelwerk für elektronische Identifikationsdienstleistungen und digitales Onboarding sind somit noch Hürden zu überwinden. Zwar erlaubt die AMLD5 die Nutzung von Vertrauensdiensten für die Identifizierung im Sinne der eIDAS-Verordnung, doch liegt es nach wie vor in der Verantwortung der nationalen Gesetzgeber und Regulierungsbehörden, die Identifikationsverfahren festzulegen, die sie für die Identifizierung eines Kunden während des Onboardings für geeignet halten, was auch die grenzüberschreitende Skalierung von Geschäftsmodellen erschwert.
Ein Beispiel für die fehlende Angleichung ist die Anwendung des Video-Identifikationsverfahrens, das in Deutschland gefördert und geregelt wurde (BaFin-Rundschreiben 3/2017 (GW) – Video-Identifizierungsverfahren (angekündigt zur Überprüfung im Jahr 2020)), das aber nicht in allen Mitgliedstaaten der Europäischen Union auf der Grundlage einheitlicher Anforderungen als Identifikationsverfahren zulässig ist.
Zudem ist die zugrunde liegende Technologie der Identifikation über einen Anbieter von Vertrauensdiensten nach der eIDAS-Verordnung, wie z.B. der elektronische Personalausweis, oft (noch) nicht für alle Kunden aller Mitgliedsstaaten verfügbar, was die grenzüberschreitende Skalierung einheitlicher Identifikationsverfahren erschwert.
Schließlich schaffen die unterschiedliche Umsetzung und Auslegung der AMLD5 und ihrer Vorgänger sowie die daraus resultierenden uneinheitlichen Know-Your-Customer (KYC)-Verfahren und Ansätze in der Europäischen Union eine ungleiche Grundlage für die grenzüberschreitende Integration von digitalen Identifikationsdiensten.
Ausblick
Im Juli 2020 startete die Europäische Kommission ihre öffentliche Konsultation, um Feedback zu den Einflussfaktoren und Hindernissen für die Entwicklung und Einführung von eID- und Vertrauensdiensten in Europa sowie zu den Auswirkungen der potentiellen Schaffung einer EU-weiten digitalen Identität zu sammeln.
Die breite Öffentlichkeit sowie auch Unternehmen, die direkt von der eIDAS-Verordnung betroffen sind, die zuständigen Behörden in den Mitgliedstaaten, internationale Organisationen und betroffene Akteure sind eingeladen, sich bis zum 2. Oktober 2020 an der Befragung zu beteiligen.
Nach der Auswertung der Konsultation wird die Kommission eine Überarbeitung der eIDAS-Verordnung in Betracht ziehen, um die Wirksamkeit zu verbessern, den Nutzen auf den privaten Sektor auszuweiten und vertrauenswürdige digitale Identitäten zu fördern, wobei die neuesten technologischen und politischen Entwicklungen, wie z.B. das zunehmende Vertrauen in Online-Geschäfte, berücksichtigt werden sollen.
In dieser Hinsicht kann man sicherlich ein breites Spektrum von Reaktionen erwarten, und es wird interessant sein zu schauen ob diese zu einer umfassenderen Konsolidierung der verschiedenen digitalen Identifikationsstandards und -verfahren führen werden, die derzeit in der Europäischen Union existieren.
¹ Richtlinie (EU) 2018/843 des Europäischen Parlaments und des Rates vom 30. Mai 2018 zur Änderung der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche oder der Terrorismusfinanzierung und zur Änderung der Richtlinien 2009/138/EG und 2013/36/EU; AMLD5
² Richtlinie (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifikation und Vertrauensdiensten für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG
³ Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche oder der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates sowie der Richtlinie 2006/70/EG der Kommission
Cover picture: Copyright © Adobe Stock / jirsak