Patrick Hunger *Die (Kunden-)Identifikation von natürlichen Personen im Internet-BankingGedanken zu den "Mindeststandards für reine Internet-Banken und -Effektenhändler zur Kontoeröffnung auf dem Korrespondenzweg und zur Kontoüberwachung" der Eidgenössischen Bankenkommission (EBK)JurPC Web-Dok. 198/2001, Abs. 1 - 25 |
Die "Mindeststandards für reine Internet-Banken und -Effektenhändler zur Kontoeröffnung auf dem Korrespondenzweg und zur Kontoüberwachung" der EBK greifen eine Technologie-basierte Entwicklung auf, welche in rechtlicher, technischer und organisatorischer Hinsicht das (schweizerische) Bankgeschäft vor neue Herausforderungen stellt. Der vorliegende Beitrag nimmt sich der Kundenidentifikation im Rahmen der Kontoeröffnung an und skizziert ein auf Monopolisierung basierendes Lösungsmodell, welches in der Diskussion im Hinblick auf die Änderung/Ergänzung des EBK-RS 98/1 und der VSB 98 Berücksichtigung finden sollte. | JurPC Web-Dok. 198/2001, Abs. 1 |
I.Einleitung |
Das Faktum, dass die Information ein wesentlicher Bestandteil der Wertschöpfungskette in den Unternehmen und Voraussetzung für die Operabilität und Rentabilität jeder arbeitsteiligen Organisation ist, zwingt gegenwärtig die Banken, den Informationsfluss innerhalb ihrer Organisationseinheiten und über die Organisationsgrenzen hinweg unabhängig von der Informationsform sicherzustellen. Im Hinblick auf das sich wandelnde Kommunikationsverhalten des (potentiellen) Bankkunden bedarf es folglich der Adaption bestehender Kommunikationsplattformen an modifizierte - auf dem strukturierten elektronischen Informationsaustausch basierende - Datenverarbeitungsprozesse. Namentlich die Schnittstellen zwischen der Bank- und Kundensphäre werfen hierbei in technologischer, organisatorischer und rechtlicher Hinsicht zahlreiche Fragen auf. | Abs. 3 |
In Anerkennung dieser Technologie-basierten Entwicklung hat sich die EBK einiger der aktuellen Schnittstellenprobleme im Internet-Banking als Anwendungsbeispiele für modifizierte Datenverarbeitungsprozesse angenommen und anlässlich ihrer (Jahres-)Pressekonferenz vom 26. April 2001 erste Regulierungsansätze (verbindlich) kommuniziert: Mittels "Mindeststandards für reine Internet-Banken und -Effektenhändler zur Kontoeröffnung auf dem Korrespondenzweg und zur Kontoüberwachung"(1) (nachfolgend ,Mindeststandards') werden die Regulierungsadressaten ("reine Internet-Banken und -Effektenhändler"(2)) angehalten, "vor der Kontoeröffnung zum Zwecke der Überprüfung der Kundenidentität [...] für Kunden [natürliche Personen], denen aufgrund der Höhe der eingebrachten Vermögenswerte, [...] oder auf sonstige Art eine gewisse Bedeutsamkeit zukommt ("wichtiger Kunde"), eine persönliche Vorsprache obligatorisch durchzuführen"(3). Lediglich' im Bezug auf diejenigen natürlichen Personen, denen diese "gewisse Bedeutsamkeit" nicht attestiert wird, kann insofern auf die persönliche Vorsprache im Rahmen der Kontoeröffnung auf dem Korrespondenzweg ("Nachidentifizierung"(4)) gänzlich verzichtet werden(5), als den "bestehenden Vorschriften zur Kontoeröffnung"(6) - durch den Regulierungsadressaten anhand eines "Konzeptes zur Kundenidentifikation"(7) zu belegen - vollumfänglich nachgekommen wird. Die Geltungsdauer dieser Mindeststandards ist dabei auf die Zeit "bis zum Vorliegen von geänderten Vorschriften in der VSB [Vereinbarung über die Standesregeln zur Sorgfaltspflicht der Banken der Schweizerischen Bankiervereinigung (SBVg) vom 28. Januar 1998; nachfolgend VSB 98'] und in den Geldwäschereirichtlinien der EBK (zur Zeit EBK-RS 98/1)"(8) beschränkt. | Abs. 4 |
Diese Aufforderung seitens der EBK an die SBVg (und mittelbar an sich selber), bestehende Bestimmungen und folglich normierte Identifikationsprozesse veränderten Datenverarbeitungsprozessen bzw. Kommunikationsstrukturen anzupassen, führt im Hinblick auf das regulatorische Ziel ( "Kontoeröffnung im E-Banking"(9)) zur Frage, welches Kommunikationsverhalten der anstehenden Novellierung zugrunde zu legen ist, wie die Identifikationsprozesse zu (re)strukturieren und inwiefern die vorliegenden Mindeststandards geeignet sind, einen Beitrag zu den von der EBK lokalisierten "Lücken oder Problembereiche[n]"(10) der "Regulierung und Aufsicht von E-Finance"(11) zu leisten. | Abs. 5 |
Die nachfolgenden Überlegungen nehmen diesen - durch die EBK formulierten - Leistungsauftrag auf und thematisieren - basierend auf den in einem ersten Schritt zu lokalisierenden Problemstellungen - ausgewählte Aspekte eines Lösungsmodells, welches (konsequent) moderne Kommunikationsstrukturen auf der Basis öffentlicher (Kommunikations-)Netze mit der Sorgfaltspflichtenordnung der Banken verbindet. Angefügt sei, dass eine technoide Problemanalyse unabhängig vom Lösungsmodell im Einzelfall Ausgangspunkt für die (legislatorische) Realisierung der (Kunden-)Identifikation von natürlichen Personen im Internet-Banking sein muss, soll das Medium Internet systemkonform Verwendung finden. | Abs. 6 |
II.(Kunden-)Identifikation von natürlichen Personen im Internet-Banking |
1.Problemstellung |
a)Kommunikationsverhalten |
Der Anwendungsbereich des Internet-Banking ist vielfältig, und zwar sowohl in Bezug auf die Art der angebotenen Bankdienstleistungen als auch in Bezug auf die (elektronischen) Arten der Kommunikation. Während die Art der angebotenen Bankdienstleistungen primär die sozio-ökonomische Eignung von Vertriebswegen determiniert, beziehen sich die Arten der Kommunikation auf die technologische Eignung der im Einzelfall Anwendung findenden (elektronischen) Kommunikationsplattformen (d.h. auf die Ausgestaltung der Bank-Kunde-Schnittstelle). Beide Aspekte beeinflussen jedoch massgebend das Kommunikationsverhalten der am Kommunikationsprozess beteiligten Parteien bzw. den implementierten Datenverarbeitungsprozess. Übertragen auf die zur Diskussion stehende Kontoeröffnung lässt sich demnach folgendes ausführen: Die Kontoeröffnung, verstanden als vornehmlich administrativer und hochstandardisierter Prozess, zeichnet sich durch ihre niedrige Komplexität und einen vergleichsweise geringen Erklärungsbedarf aus. Entsprechend lässt sich diese Bankdienstleistung - die sozio-ökonomische Akzeptanz dieses Vorganges vorausgesetzt - hinsichtlich der zwischenmenschlichen Interaktionen abstrahieren und der zugrunde gelegte Datenverarbeitungsprozess automatisieren; die direkte Einflussnahme eines Bankmitarbeiters ist grundsätzlich entbehrlich. Im Hinblick auf die Arten der (elektronischen) Kommunikation führt dies - die Rentabilität des Vertriebsweges vorausgesetzt - zu einer Technologisierung der Kontoeröffnung bzw. des Kontoeröffnungsverfahrens und mithin zum Einsatz interaktiver Online-Informationssysteme auf der Grundlage einer Mensch-zu-Maschine-Kommunikation (sog. Interactive Banking)(12). | Abs. 7 |
Soll nun verhindert werden, dass diese Ökonomie der (elektronischen) Vertriebswege' durch systemfremde Datenverarbeitungsschritte (sog. Medienbruch) neutralisiert wird (z.B. durch die Pflicht seitens des Bankkunden zur persönlichen Vorsprache), muss eine (gesetzliche) Regulierung der Kontoeröffnung diesem (ökonomischen) Muster Rechnung tragen und die Mensch-zu-Maschine-Kommunikation als (tatbeständliche) Basis für die Normierung zulassen; ein Technologie-konformer Ansatz, der allerdings in den Mindeststandards nur ungenügend Berücksichtigung findet. Obwohl allgemein hervorgehoben wird, dass eine "Nachidentifizierung [...] bei reinen Internet-Banken und -Effektenhändlern mangels geeigneten Geschäftsräumlichkeiten nicht erfolgen"(13) kann und dass die "Entwicklung der elektronisch angebotenen und abgewickelten Finanzdienstleistungen"(14) die Regulierung vor neue Herausforderungen stellt, fehlt es an einer konkreten, die technologischen Eigenheiten berücksichtigenden Versuchs- bzw. Modellanordnung, die - von den (medialen) Bedürfnissen der am Kommunikationsprozess beteiligten Parteien ausgehend - Regulierungsansätze und insbesondere Regulierungsgrenzen verdeutlicht. Selbst der Hinweis auf digitale Signaturen(15) ist in dieser Form ohne praktische Bedeutung, da lediglich auf eine Infrastruktur bzw. eine Technologie hingewiesen wird, entscheidend jedoch für die - im Hinblick auf die Identifikation des Bankkunden erstrebenswerte - Heranziehung Dritter im Rahmen der Kontoeröffnung das Verhältnis (insb. das Kommunikationsverhalten und die Datenverarbeitung) zwischen der Bank und dem Bankkunden bzw. das (Sorgfalts-)Pflichtenheft der Bank ist. Folglich ist gegenwärtig nicht erkennbar, welches Kommunikationsverhalten der am Kommunikationsprozess beteiligten Parteien der anstehenden Novellierung zugrunde gelegt wird bzw. zugrunde gelegt werden soll. Unter Berücksichtigung des Umstandes, dass hinsichtlich der Kontoeröffnung von einer hochstandardisierten Bankdienstleistung ausgegangen werden darf, welche sich durch ihre niedrige Komplexität und einen vergleichsweise geringen Erklärungsbedarf auszeichnet, reduziert sich jedoch m.E. im Ergebnis die Problemstellung auf die Frage nach der Art der Kommunikation: Wie darf bzw. muss die Bank-Kunde-Schnittstelle ausgestaltet sein? | Abs. 8 |
b)(Re)Strukturierung der Identifikationsprozesse |
Während die Frage nach dem Kommunikationsverhalten primär systemisch auf die Bedürfnisse der involvierten Parteien eingeht und die Mechanismen des Datenaustausches (abstrakt) festlegt (Bank-Kunde-Schnittstelle), befasst sich - anknüpfend an die Herrschaftssphäre der Bank - die Frage nach dem (Re)Strukturierungsbedarf bestehender Identifikationsprozesse mit den aus dem festgestellten bzw. beabsichtigten Kommunikationsverhalten resultierenden rechtlichen, technischen und organisatorischen Konsequenzen. Hierbei steht in Zusammenhang mit der Kontoeröffnung im Internet-Banking die Einhaltung und (elektronische) Abwicklung der Identifikationspflicht(16) im Zuge modifizierter Kommunikationsstrukturen im Vordergrund, wobei der Form und der Beweiskraft(17) des im elektronischen Umfeld herangezogenen Identifikationsbehelfs und entsprechend die Verwendung findende Technologie (z.B. biometrische Verfahren) im Hinblick auf die konsequente Umsetzung des Kommunikationsverhaltens (d.h. keine systemfremden Datenverarbeitungsschritte) eine Schlüsselfunktion zukommt. | Abs. 9 |
Dieser Kausalität von Kommunikationsverhalten und Identifikationsprozess nur ungenügend Rechnung tragend, beschränken sich die Ausführungen der EBK zum Identifikationsprozess im Internet-Banking auf allgemeine - bestehende Vorschriften und Verfahren (persönliche Vorsprache) zur Kontoeröffnung wiedergebende - Grundsätze und unterlassen die system- und lösungsorientierte Anknüpfung an die Eigenheiten moderner - auf der Grundlage einer Mensch-zu-Maschine-Kommunikation basierenden - Kommunikationsstrukturen. Der Hinweis, dass die "bereits bestehenden Vorschriften zur Kontoeröffnung"(18) "weiterhin vollumfänglich anwendbar"(19) sind, reduziert die in den Mindeststandards aufgegriffene (elektronische) Kontoeröffnung (basierend auf dem Konzept im Einzelfall(20)) auf einen Vorgang, dem im Hinblick auf die Erfüllung der einschlägigen Sorgfaltspflichten keine Rechtserheblichkeit zukommt; der juristisch relevante Dialog findet weiterhin auf dem (postalischen) Korrespondenzweg statt, der nunmehr - als Regelfall ausgestaltet und als Kompensation für die fehlende persönliche Vorsprache (Nachidentifikation) gedacht - lediglich eine (qualitative) Anreicherung (z.B. Beglaubigung der Fotokopie eines amtlichen Ausweises) erfährt. Die Abkehr von der Postzustellung - als unverzichtbare Voraussetzung für die elektronische (unkörperliche) Datenverarbeitung - wird in den Mindeststandards nicht thematisiert. Selbst der Hinweis auf die digitale Signatur(21) lässt in diesem Zusammenhang keine weitergehenden Schlussfolgerungen zu, da namentlich nicht auf das Verhältnis zwischen der Bank und dem Zertifizierungsdiensteanbieter eingegangen wird und infolgedessen die jeweiligen Funktionen im Rahmen des Identifikationsprozesses nicht definiert und abgegrenzt werden. Dementsprechend ist zum jetzigen Zeitpunkt nicht nachvollziehbar, wie die Identifikationsprozesse (folgerichtig) dem veränderten Kommunikationsverhalten der Parteien anzupassen sind und welche (elektronischen) Identifikationsbehelfe zur Anwendung gelangen dürfen. Angemerkt sei hingegen, dass der Hinweis der EBK auf digitale Signaturen wohl dahingehend zu interpretieren ist, dass diese Technologie Eingang in den Identifikationsprozess finden soll. | Abs. 10 |
c)Regulierung und Aufsicht |
Neben den Aspekten Kommunikationsverhalten und Identifikationsprozess gilt es schließlich dem Aspekt Regulierung und Aufsicht adäquat Rechnung zu tragen. Während die ersteren Aspekte (primär) die Sphären der am Kommunikationsprozess beteiligten Parteien tangieren, berührt letzterer Aspekt die Sphäre der Regulierungs- und Aufsichtsbehörde(n). Dabei steht die Frage nach wirksamen Kontroll- und Eingriffsmechanismen im Zuge moderner - auf dem strukturierten elektronischen Informationsaustausch basierender - Datenverarbeitungsprozesse bzw. die Frage nach allfälligen (Medium-bedingten) Geboten und Verboten im Hinblick auf die Wahrung des Kontroll- und Eingriffsmonopols im Vordergrund. | Abs. 11 |
Obwohl die Mindeststandards auf der Erkenntnis beruhen, dass die rasante Entwicklung der elektronisch angebotenen und abgewickelten Finanzdienstleistungen "allfällige Lücken oder Problembereiche der Regulierung"(22) offen legen könnten, wird seitens der EBK (systemwidrig) davon abgesehen, die veränderten (elektronischen) Rahmenbedingungen als (ausschliessliche) Kommunikationsplattform ihrem Regulierungsansatz zugrunde zu legen und dem Regulierungsadressaten die spezifischen - aus der medialen Neuausrichtung resultierenden - aufsichtsrechtlichen und aufsichtstechnischen Problemstellungen darzulegen bzw. eine Gebots- und Verbotsordnung im Rahmen der Kontoeröffnung im Internet-Banking zu skizzieren. Den Mindeststandards lässt sich nicht entnehmen, wem welche Sorgfaltspflichten im Lichte moderner Kommunikationsplattformen (sinnvollerweise) zuzuordnen sind, wie die EBK im Zuge der Entmaterialisierung der Informationen und Extemporalisierung der Kommunikationsschritte gedenkt, ihrem eigenen Leistungsauftrag nachzukommen, welche Rahmenbedingungen (z.B. Verfügbarkeit der Informationen) unabhängig von der im Einzelfall Anwendung findenden Technologie zwingend Bestand haben müssen und inwiefern Dritte (z.B. Zertifizierungsdiensteanbieter) durch ihre (Schlüssel-)Funktion möglicherweise der Aufsicht der EBK oder einer vergleichbaren Aufsichtsbehörde zu unterstellen sind (bzw. inwiefern dieser Schritt wünschenswert wäre). Die EBK beschränkt sich lediglich darauf, ungeachtet der Kommunikationsplattform bestehende Mechanismen (persönliche Vorsprache) zu konsolidieren(23), lässt die Frage nach wirksamen Kontroll- und Eingriffsmechanismen im Zuge moderner - auf dem strukturierten elektronischen Informationsaustausch basierender - Datenverarbeitungsprozesse unbeantwortet und legt ihrem Lösungsmodell ausschliesslich ein Kommunikationsverhalten zugrunde, welches auf einem (initialen) Medienbruch basiert. Angesichts der angesprochenen ,Ökonomie der (elektronischen) Vertriebswege' ist dieser Ansatz daher nicht geeignet, das Internet-Banking (auf der Grundlage einer Mensch-zu-Maschine-Kommunikation) einer eigenen (systemkonformen) Gebots- und Verbotsordnung zuzuführen, welche das angesprochene Rationalisierungspotential berücksichtigt. | Abs. 12 |
2.Gemeinschaftsunternehmen als Lösungsmodell |
a)Mensch-zu-Maschine-Kommunikation auf der Basis öffentlicher (Kommunikations-)Netze |
Die unter Ziff. II.1. skizzierten Problemstellungen in Zusammenhang mit der Kontoeröffnung im Internet-Banking werfen mangels angemessener Regulierungsansätze seitens der EBK die Frage nach verwertbaren - dem Basismechanismus der "elektronisch angebotenen und abgewickelten Finanzdienstleistungen"(24) Rechnung tragenden - Lösungsmodellen auf. Wie sind die (elektronischen) Kommunikations- und Datenverarbeitungsprozesse im Rahmen der Kontoeröffnung zu (re)strukturieren und modellieren, um den von der EBK lokalisierten "Lücken oder Problembereiche[n]" Rechnung zu tragen? | Abs. 13 |
Das Internet-Banking, d.h. die Bereitstellung bankwirtschaftlicher Informationen und die Durchführung von Bankgeschäften via Internet, vermag als Sammelbegriff lediglich die in Zusammenhang mit der Abwicklung von Finanzdienstleistungen Anwendung findende Basistechnologie zu bezeichnen. Das Kommunikationsverhalten im Einzelfall (Mensch-zu-Mensch-Kommunikation, Mensch-zu-Maschine-Kommunikation, Maschine-zu-Maschine-Kommunikation) wird - die technologische Realisierbarkeit der Kommunikationsstruktur vorausgesetzt - ausschliesslich von der Art der angebotenen Finanzdienstleistung und der sozio-ökonomischen Akzeptanz des (durch die Bank) veranschlagten Kommunikationsverhalten beeinflusst. Folglich ist einem Lösungsmodell (im Internet-Banking) in Anlehnung an die Ausführungen unter Ziff. II.1.a) zwingend das Abstraktionspotential einer Finanzdienstleistung zugrunde zu legen, der Automationsprozess auszuschöpfen und die Bank-Kunde-Schnittstelle entsprechend auszugestalten. Im Bezug auf die Kontoeröffnung bedeutet dies, dass mangels Komplexität und Erklärungsbedarf auf den Bankmitarbeiter als Kommunikationspartner verzichtet und der (strukturierte) Dialog mit dem Kunden durch die Maschine geführt werden können muss. Auf den Bankmitarbeiter verzichten und den Automationsprozess ausschöpfen bedeutet dabei, dass der Kunde - abgesehen von Ausnahmefällen - zu keinem Zeitpunkt auf eine Mensch-zu-Mensch-Kommunikation verwiesen wird und dass das gewählte Medium (Internet) konstant bleibt. Angemerkt sei, dass es sich beim Internet um einen Verbund von öffentlichen (Kommunikations-)Netzen handelt und zwischen den jeweiligen Dialogpartnern keine feststehende (identifizierte) Zweierbeziehung besteht (Anonymität). Ein Umstand, dem es insbesondere im Rahmen der (Re)Strukturierung der Identifikationsprozesse adäquat Rechnung zu tragen gilt. | Abs. 14 |
Die einem systemkongruenten Lösungsmodell zugrunde zu legende Mensch-zu-Maschine-Kommunikation auf der Basis öffentlicher (Kommunikations-)Netze schafft eine Kommunikationsplattform, in welcher sich personenbezogene, räumlichkeitsorientierte und auf körperliche Dokumente fokussierte Arbeits- bzw. Identifikationsprozesse als ungeeignet erweisen. Das Internet schafft eigene "virtuelle" Marktplätze, die keinerlei Schnittstellen zur menschlichen Mobilität und Identität aufweisen(25). Das daraus resultierende Spannungsverhältnis zur Zweckausrichtung der Mindeststandards, Transparenz in den Geschäftsverbindungen zu schaffen und der (drohenden) Anonymisierung der Vertragsparteien entgegenzuwirken, gilt es folglich im Rahmen der (Re)Strukturierung der Identifikationsprozesse aufzugreifen und mittels geeigneter (elektronischer) Identifikationsbehelfe zu neutralisieren bzw. im Hinblick auf wirksame Kontroll- und Eingriffsmechanismen abzubauen. | Abs. 15 |
Angesichts des Hinweises der EBK auf die "[zu erwartende] Verwendung digitaler Signaturen, welche durch Zertifizierungsstellen nach Prüfung von Ausweispapieren ausgestellt werden" und namentlich den - im Hinblick auf die drohende Anonymisierung der Vertragsparteien - wesentlichen Zweck verfolgen, "Teilnehmern [im Internet] die Sicherheit zu verschaffen, dass eine Botschaft tatsächlich von derjenigen Person stammt, die der Kommunikationspartner meinte (Identität bzw. Authentizität)"(26), kann nachfolgend darauf verzichtet werden, alternative (elektronische) Identifikationsbehelfe auf ihre Geeignetheit, das "persönliche Erscheinen des Kunden"(27) zu ersetzen, zu prüfen. Entsprechend ist - gestützt auf den vorgegebenen (elektronischen) Identifikationsbehelf - ausschliesslich anhand digitaler Signaturen bzw. des Ausstellungsverfahrens für Zertifikate auf den (zu modellierenden) Identifikationsprozess einzugehen und nach der Qualität der im Zertifikat aufgeführten Informationen (Aspekt der sog. Organisationssicherheit) im Hinblick auf die Identifikationspflicht (Art. 3 GwG) der Bank zu fragen. Angemerkt sei, dass hierbei die technische Funktionsweise digitaler Signaturen (insb. die kryptologische Sicherheit, die Verwendungs- und Zugriffssicherheit), die geltenden Ausführungsbestimmungen (EBK-RS 98/1 und VSB 98) zur Identifikation natürlicher Personen(28) und die SBVg als (privatrechtliche) Standesorganisation - basierend auf dem Umstand, dass das zu skizzierende Lösungsmodell auf obrigkeitlicher Weisungs- und Kontrollbefugnis beruht - nur eine untergeordnete Rolle spielen. | Abs. 16 |
b)Monopolisierung (und Zentralisierung) der Ausgabe "virtueller" Identitäten |
Die Verpflichtung der Bank, die Vertragspartei bei der Aufnahme der Geschäftsbeziehung aufgrund eines beweiskräftigen Dokumentes zu identifizieren (Art. 3 Abs. 1 GwG), ist im Rahmen der hier diskutierten Kontoeröffnung via Internet in zweierlei Hinsicht unklar. Sowohl der Hinweis auf die Form ("Dokumente") als auch der Hinweis auf die prozessuale Bestimmtheit und Geeignetheit ("beweiskräftig") des heranzuziehenden Identifikationsbehelfs erweisen sich in einem abstrakten, die Anwesenheit des Vertragspartners entbehrenden Dialogumfeldes, welches gänzlich vom elektronischen Datenaustausch dominiert wird, als auslegungsbedürftig und bedingen eine mediumsspezifische Konkretisierung. | Abs. 17 |
Während sich die digitale Signatur bzw. das digitale Zertifikat, welches die Beziehung eines öffentlichen Schlüssels zu einer bestimmten Identität bestätigt, als unkörperlicher Identifikationsbehelf durch Auslegung(29) des Passus "eines beweiskräftigen Dokumentes" formell - mangels Anknüpfung an die körperliche Form des heranzuziehenden Dokumentes - unter die durch das GwG zugelassenen Identifikationsbehelfe subsumieren lässt und folglich zur Identifikation der Vertragspartei und zur Erfassung der relevanten Daten (data trail') grundsätzlich herangezogen werden kann, erfordert die materielle Zulassung digitaler Signaturen zusätzlich eine qualifiziert vertrauenswürdige Verknüpfung von Mensch und Identifikationsbehelf. Den Teilnehmern im elektronischen Rechtsverkehr ist initial - im Rahmen des Ausstellungsverfahrens für Zertifikate - eine "virtuelle" Identität zuzuordnen (sog. Initialisierungsphase(30)), die den tatsächlichen Gegebenheiten entspricht, überprüfbar und gegen Missbrauch geschützt ist, sowie ein Verfahren zur Verfügung zu stellen, welches die Integrität der übermittelten Daten garantiert. Mittels zuverlässiger Eintrittsmechanismen' in den "virtuellen" Marktplatz, der keinerlei Schnittstellen zur menschlichen Mobilität und Identität aufweist, ist der Erstkontakt zwischen den Kommunikationspartnern (d.h. zwischen dem Kunden und der Bank) der (mediumsinhärenten) Anonymität zu entziehen(31). Die Qualität dieser Verknüpfungshandlung - wahrgenommen durch (vertrauenswürdige) Dritte (sog. Zertifizierungsdiensteanbieter) - ist hierbei abhängig von der "unmissverständliche[n] und zweifelsfreie[n] Zuordnung eines Zertifikatsinhabers zum öffentlichen Schlüssel"(32); eine Variable, welche hinsichtlich der - Sanktionsordnungen unterstehenden - Identifikationspflicht der Bank zwingend eine grösstmögliche, dem Sorgfaltsmassstab des GwG entsprechende (qualitative) Konstanz aufweisen muss, sollen digitale Signaturen im Rahmen der Kontoeröffnung via Internet kommerziell Anwendung finden bzw. soll die Sanktionierungsgefahr gebannt werden. | Abs. 18 |
Anknüpfend an dieses Mass der den Banken auferlegten Sorgfalt im Rahmen der Kundenidentifikation und an die dargelegte Schlüsselfunktion des Zertifizierungsdiensteanbieters hinsichtlich der vertrauenswürdigen Verknüpfung von Mensch und digitaler Signatur bzw. Zertifikat ist die Bank folglich gezwungen, auf das Ausstellungsverfahren einzuwirken und sicherzustellen, dass Art. 3 Abs. 1 GwG sinngemäss Anwendung findet. Hierbei lassen sich grundsätzlich zwei Kontrollansätze unterscheiden: Der eine Kontrollansatz basiert auf der Leistungserbringung durch Dritte (Prinzip der Fremdleistung). Die mit digitalen Signaturen konfrontierte Bank vergewissert sich nach dem Singularitätsprinzip, dass der jeweilige Zertifizierungsdiensteanbieter den Antragsteller (im Einzelfall) entsprechend dem - der Bank auferlegten - Sorgfaltsmassstab identifiziert. Der andere Kontrollansatz basiert auf der Leistungserbringung durch den Sorgfaltsadressaten (Prinzip der Eigenleistung). Die Bank schafft sich hierbei ein (geschlossenes) System, in welchem die Verknüpfung von Mensch und digitaler Signatur bzw. Zertifikat originär vom Adressaten der Sorgfaltspflicht (i.c. der Bank) vorgenommen wird. Obwohl vordergründig lediglich das Prinzip der Fremdleistung der Architektur des Internet (d.h. einem Verbund von öffentlichen (Kommunikations-)Netzen, in welchen zwischen den jeweiligen Dialogpartnern keine feststehende (identifizierte) Zweierbeziehung besteht) Rechnung trägt und das Prinzip der Eigenleistung die Kontoeröffnung via Internet scheinbar auf einen administrativen - der eigentlichen Identifikation des Kunden nachgelagerten - Vorgang reduziert, wird an dieser Stelle auf weitergehende Ausführungen zum Prinzip der Fremdleistung verzichtet. Einer genaueren Prüfung wird - basierend auf der konzeptionellen Ausrichtung (Leistungserbringung durch die Bank') des vorliegenden Lösungsmodells - einzig Prinzip der Eigenleistung unterzogen. Im Zusammenhang mit dem Prinzip der Fremdleistung sei lediglich angemerkt, dass Lösungsmodelle auf der Grundlage der Leistungserbringung durch Dritte' gleichermassen entworfen werden können(33), hierbei jedoch Fragen hinsichtlich der Kontrollpflicht der Bank (z.B. Bestand und Umfang der Kontrollpflicht, Rechtsgrundlage eines allfälligen Kontrollrechts, Haftung, Durchgriff der Aufsichtsbehörde) vermehrt in den Vordergrund rücken. | Abs. 19 |
Das Prinzip der Eigenleistung, verstanden als Verschmelzung von Zertifizierungsdiensteanbieter und Bank, schafft ein System, welches im Grundsatz - sofern die Banken insulär betrachtet werden - erkennbare Defizite aufweist. Besonders hervorgehoben seien hierbei die Eliminierung des (ökonomisch) interessanten Erstkontaktes zwischen den Kommunikationspartnern im Internet und die enormen Kosten, die mit dem Aufbau und Betrieb einer Public Key Infrastruktur (PKI) verbunden sind. Beide Punkte sind jedoch m.E. im Ergebnis von der Dimensionierung des Systems abhängig. Würde die EBK(34) sämtliche ihrer Aufsicht unterstellten Banken verpflichten, im Hinblick auf die Begründung der Geschäftsverbindung im Internet-Banking eine einheitliche, durch die Banken zu errichtende und zu betreibende PKI (in der Form eines Gemeinschaftsunternehmens(35)) in den Kontoeröffnungsprozess zu integrieren (und ausschliesslich die dabei ausgestellten Zertifikate zu akzeptieren), liesse sich eine finanzielle Trägerschaft finden, welche namentlich die substantiellen Initialisierungskosten (im eigenen Interesse) aufbringen kann. Soll dabei verhindert werden, dass die Kostenanteile derjenigen - die Kontoeröffnung via Internet de facto anbietenden - Banken keine unverhältnismässige Dimensionierung erfahren, sind sämtliche der Aufsicht der EBK unterstellten Banken einer Beitragspflicht zu unterstellen(36), wobei diese finanzielle Belastung im Gegenzug Beteiligungs- und Kontrollrechte (bzw. -pflichten) am Gemeinschaftsunternehmen nach sich zieht. Inwiefern diese Monopolisierung der Ausgabe "virtueller" Identitäten im Internet-Banking möglicherweise aus wettbewerbsrechtlicher Sicht problematisch ist, kann an dieser Stelle nicht näher untersucht werden. Angemerkt sei lediglich, dass sowohl die Beziehung zu anderen Zertifizierungsdiensteanbietern als auch die (finanziellen) Auswirkungen auf den Kunden weiterer Abklärungen bedürfen. Hingegen erscheint - den internationalen Kontext (Marktabschottung) ausklammernd - das Verhältnis unter den Banken weniger problematisch, zumal sich sämtliche der Aufsicht der EBK unterstellten Banken am Gemeinschaftsunternehmen beteiligen müssten. Was den angesprochenen Erstkontakt zwischen den Kommunikationspartnern im Internet betrifft, liesse sich durch die Beteiligung sämtlicher der Aufsicht der EBK unterstellten Banken zumindest ein einheitlicher, auf vertrauenswürdigen Zertifikaten basierender "virtueller" Marktplatz schaffen, welcher dem einzelnen (potentiellen) Bankkunden eine grösstmögliche Flexibilität im Bezug auf den Bankdienstleistungserbringer verschafft und folglich den Wettbewerb im Internet-Banking sicherstellen würde; die Substituierbarkeit des Bankdienstleistungserbringers wird durch Harmonisierung der Eintrittsmechanismen in den "virtuellen" Marktplatz geschaffen. Der (potentielle) Bankkunde, versehen mit einem - in sämtlichen Filialen(37) aller am Gemeinschaftsunternehmen beteiligten Banken beantragbaren(38) und durch das Gemeinschaftsunternehmen (zentral) auszustellenden - Banken-Zertifikat'(39), kann - ohne eine hierdurch geschaffene Erstbeziehung - wiederholt den Erstkontakt zum jeweiligen Bankdienstleistungserbringer seiner Wahl ohne weitere Verfahrensschritte bzw. ohne feststehende Zweierbeziehung herstellen. | Abs. 20 |
Als initiale Stärken erweisen sich hingegen in Zusammenhang mit dem Prinzip der Eigenleistung die Unmittelbarkeit der Eingriffs- und Aufsichtsherrschaft. Während das Prinzip der Fremdleistung eine Auslagerung der Kundenidentifikation und den Verlust der (Identifikations-)Verfahrensherrschaft - namentlich hinsichtlich Wahrung der in Art. 3 GwG auferlegten Sorgfaltsmaßstabes - nach sich zieht, wahrt das Prinzip der Eigenleistung die Einheit zwischen Adressat und Anwender der Sorgfaltspflicht. Aus der Optik der Bank führt dies folglich zu einer exklusiven Selbstkontrolle und Eliminierung komplexer Schnittstellen zu Fremdleistern, d.h. einer Unmittelbarkeit der Eingriffsherrschaft. Unter Berücksichtigung der Idee eines Gemeinschaftsunternehmens führt das Prinzip der Eigenleistung überdies - ausgehend von der normativen Harmonisierung in Art. 3 GwG - zu einer faktischen Vereinheitlichung des Sorgfaltsmassstabes und entsprechend des Identifikationsverfahrens. Das "Konzept im Einzelfall" weicht einem Standard, welcher - in Anbetracht der Beteiligungsverhältnisse am Gemeinschaftsunternehmen - von sämtlichen der Aufsicht der EBK unterstehenden Banken getragen, angewendet und sichergestellt wird. Die gemeinschaftliche Sicherstellung wird dabei durch den Umstand verstärkt, dass die gemeinsame Trägerschaft mittelbar auch eine gemeinsame Verantwortung hervorruft und eine Sorgfaltspflichtverletzung im Ergebnis sämtliche Gesellschafter (gleichermassen) trifft; eine (neue) Form der Selbstregulierung, die nachfolgend in Zusammenhang mit den Eingriffs- und Kontrollmechanismen der EBK erneut aufzugreifen ist. Schliesslich ist auch unter dem Aspekt des sog. Outsourcing (Auslagerung von Geschäftsbereichen)(40) auf die Vorteile eines Gemeinschaftsunternehmens hinzuweisen. Ausgehend von der Annahme, dass die Auslagerung der Kundenidentifikation eine für die Geschäftstätigkeit der Banken wesentliche Dienstleistung betrifft(41), genießt "dieser nach schweizerischem Recht organisierte Dienstleister"(42), welcher von einer Gruppe von Banken gemeinsam gehalten wird, dessen Geschäftstätigkeit ausschliesslich darin besteht, Dienstleistungen für diese Banken zu erbringen, einerseits partielle Befreiung von der Anwendbarkeit des Rundschreibens. Andererseits lassen sich die verbleibenden (Zulässigkeits-)Voraussetzungen (namentlich Datenschutz, Geschäfts- und Bankgeheimnis, Revision und Aufsicht) mittels Gemeinschaftsunternehmen - und im Gegensatz zu (verschiedenen) Fremdleistern - mit geringerem Aufwand erfüllen, zumal diese Zentralisierung der Aktivitäten sowohl zur Reduktion und Optimierung der Prozesse führt als auch die (zentrale) Informationsaufbewahrung und -aufbereitung (insb. im Hinblick auf Art. 7 GwG) ermöglicht. Angemerkt sei, dass sich die Funktion des Gemeinschaftsunternehmens ausschließlich auf die Identifikation eines (potentiellen) Bankkunden beschränkt und es weiterhin Aufgabe der im Einzelfall (elektronisch) kontaktierten Bank ist, einen Entscheid - unter Berücksichtigung weiterer Faktoren - über die Aufnahme der Geschäftsbeziehung zu fällen(43). Der Versuch, im Rahmen einer initialen - keine Erstbeziehung begründende - Identifikation abschliessend über die Aufnahme der Geschäftsbeziehung zu befinden, würde sowohl in zeitlicher Hinsicht als auch im Hinblick auf das "Know your customer-Prinzip" zu einer unzulässigen Instrumentalisierung der Identifikation führen. Aus der Optik der Regulierungsbehörde wahrt das Prinzip der Eigenleistung die Einheit zwischen Adressat und Anwender der Sorgfaltspflicht und ermöglicht folglich eine integrierte - insbesondere (Identifikations-)verfahrensorientierte - Aufsicht über die Einhaltung des Sorgfaltsmassstabes (sog. Unmittelbarkeit der Aufsichtsherrschaft). Unter Berücksichtigung der Idee eines Gemeinschaftsunternehmens führt das Prinzip der Eigenleistung überdies zu einer - die Aufsicht (quantitativ) vereinfachenden - Konzentrierung der Zertifizierung und zu einer - die Effektivität der Massnahmen verstärkenden - Kollektivierung der Sanktionierung. Die EBK reguliert und sanktioniert hierbei - unter Verwendung bestehender Aufsichtsmechanismen - primär über die Banken das (Identifikations-)Verhalten des Gemeinschaftsunternehmens und nutzt die gemeinsame Verantwortung der Gesellschafter im Sinne einer unternehmungsinternen - und als Alternative zur bestehenden Selbstregulierung im Rahmen der SBVg gedachten - Selbstregulierung(44). | Abs. 21 |
Bisher keiner gesonderten Analyse wurden (potentielle) Bankkunden ohne Wohnsitz in der Schweiz unterzogen(45). Unter Berücksichtigung des vorgelegten Modells eines Gemeinschaftsunternehmens, welches die (schweizerischen) Filialnetze sämtlicher der Aufsicht der EBK unterstellten Banken zur Entgegennahme der (Identifikations-)Dokumente heranzieht und den Antragsteller zentralisiert identifiziert, stellt sich dementsprechend die Frage, inwiefern Personen ohne Wohnsitz in der Schweiz zwingend diese Registrierstellen in Anspruch nehmen müssen bzw. inwiefern internationale Registrierstellen in das Verfahren integriert werden können, welche - im Sinne der im Rahmen der Informationsgesellschaft erkennbaren Deterritorialisierung - die ordnungsgemässe Einführung des (potentiellen) ausländischen Bankkunden in das (geschlossene) System ohne territoriale Anknüpfung gleichwohl sicher stellen. Auszugehen ist erneut von der Prämisse, dass von "reine[n] virtuelle[n] Rechtsbeziehungen"(46) Abstand zu nehmen und den Teilnehmern im elektronischen Rechtsverkehr eine "virtuelle" Identität zuzuordnen ist. Zudem gilt es zu beachten, dass das vorliegende Lösungsmodell die Unmittelbarkeit der Eingriffsherrschaft seitens der am Gemeinschaftsunternehmen beteiligten Banken und die Unmittelbarkeit der Aufsichtsherrschaft seitens der EBK als Basismechanismen vorsieht. Folglich ist in Zusammenhang mit weiteren (internationalen) Registrierstellen auszuführen, dass es im Ermessen und in der Verantwortung des Gemeinschaftsunternehmens (und mittelbar der Banken) liegt, geeignete Korrespondenz-Registrierstellen" in den Identifikationsprozess zu integrieren. Geeignet' bedeutet dabei, dass in qualitativer Hinsicht ein gleichwertiger Sorgfaltsmassstab im Rahmen der Entgegennahme der (Identifikations-)Dokumente angewendet wird. Die EBK kann sich darauf beschränken, auf das Gemeinschaftsunternehmen und die Banken einzuwirken; der unmittelbare Zugriff auf internationale Registrierstellen erscheint im Lichte des vorliegenden Verantwortlichkeitsregimes entbehrlich. Unerlässlich ist hingegen die Wahrung des Generierungsmonopols' der ,Banken-Zertifikate' durch das Gemeinschaftsunternehmen. Namentlich im Hinblick auf die Qualitätssicherung des Identifikationsbehelfs (in zeitlicher Hinsicht) und die erforderliche (fortwährende und unmittelbare) Eingriffsherrschaft seitens der EBK muss davon Abstand genommen werden, weitere (ausländische) Zertifizierungsdiensteanbieter in den Ausstellungsprozess zu integrieren; ungenügend erscheint hierbei auch die sog. Unter- bzw. Crosszertifizierung weiterer Zertifizierungsdiensteanbieter durch das Gemeinschaftsunternehmen. Inwiefern dieser Beschränkung allenfalls mittels Primärzertifizierung der fraglichen Zertifizierungsdiensteanbieter durch die EBK (bzw. ausländische Aufsichtsbehörden) begegnet werden könnte, darf an dieser Stelle offen gelassen werden. | Abs. 22 |
Abschliessend sei noch kurz auf die Frage eingegangen, inwiefern das geplante Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (ZertES)(47) die Daseinsberechtigung des skizzierten Gemeinschaftsunternehmens im (elektronischen) Kontoeröffnungsverfahren eliminiert. Einleitend ist darauf hinzuweisen, dass in Zusammenhang mit der Begründung der Geschäftsverbindung - entgegen der (primären) Zweckausrichtung des ZertES(48) - der "Gleichstellung der elektronischen Signatur mit der eigenhändigen Unterschrift"(49) keine Bedeutung zukommt. Das diskutierte Lösungsmodell dient grundsätzlich ausschliesslich der Erfüllung der in Art. 3 Abs. 1 GwG den Banken auferlegten Sorgfaltspflicht. Ferner ist erneut festzuhalten, dass das Prinzip der Fremdleistung schwierige Haftungsfragen provoziert. Hierbei ist das Augenmerk in erster Linie auf das Dilemma der Bank zu richten, dass sie - unabhängig vom herangezogenen Identifikationsbehelf - gegenwärtig nicht aus der Verantwortung entlassen wird und entsprechend selbst unter Verwendung qualifizierter Zertifikate i.S.v. Art. 7 ZertES für eine allfällige mangelhafte Identifikation durch den Zertifizierungsdiensteanbieter von der EBK im Rahmen ihrer Sanktionsordnung zur Rechenschaft gezogen würde(50). Selbst Art. 16 ZertES (Haftung des Zertifizierungsdiensteanbieters), welcher das Verhältnis zwischen dem Zertifizierungsdiensteanbieter und der Bank normiert, vermag dieses Problem nicht zu relativieren, zumal die Sanktionsordnung der EBK nicht ausschliesslich auf finanzieller Abgeltung basiert. Schliesslich ist anzumerken, dass die qualitativen Anforderungen an die Identifikation der Vertragspartei - namentlich an die heranzuziehenden Dokumente - im GwG und im ZertES gleichwertig sein müssen, soll eine Auslagerung der Identifikation der Vertragspartei überhaupt in Erwägung gezogen werden. Dies bedingt jedoch Stabilität (vgl. Art, 8 Abs. 2 ZertES) und realistischerweise eine - durch die EBK zu verifizierende - Angleichung des Sorgfaltsmassstabes des ZertES an den Sorgfaltsmassstab des GwG; eine Voraussetzung, welche mangels institutionalisierter Harmonisierung gegenwärtig insbesondere die Rechtssicherheit in Mitleidenschaft zieht. Als Fazit kann demnach festgehalten werden, dass die gegenwärtige Ausgestaltung des ZertES die zwingend erforderlichen Kernelemente des skizzierten Gemeinschaftsunternehmens im Lichte des GwG nicht zu absorbieren vermag. Die spezifischen Anliegen der Banken im Rahmen der Kontoeröffnung via Internet lassen sich mittels dem ZertES nur ungenügend absichern. Angefügt sei hingegen, dass dieses angedachte Gemeinschaftsunternehmen - namentlich im Hinblick auf die Abwicklung formbedürftiger Bankgeschäfte via Internet - ideale Voraussetzungen für eine Anerkennung nach Art. 3 ZertES mitbringen würde (und sich - in fortwährender Wahrung der Bedürfnisse der Banken - konsequenterweise weitere - der Rentabilität dienliche - Geschäftsfelder erschliessen liessen). | Abs. 23 |
3.Fazit |
Die Auseinandersetzung mit dem sog. Prinzip der Eigenleistung vermag aufzuzeigen, dass in Bezug zu Art. 3 GwG beachtenswerte Gründe (Wahrung der Eingriffs- und Aufsichtsherrschaft) dafür sprechen, seitens der Bank ein (geschlossenes) System zu schaffen, in welchem die Verknüpfung von Mensch und digitaler Signatur bzw. Zertifikat originär vom Adressaten der Sorgfaltspflicht (i.c. der Bank) vorgenommen wird (Verschmelzung von Zertifizierungsdiensteanbieter und Bank). Die dabei auftretenden (System-)Defizite (z.B. Kosten) lassen sich durch eine entsprechende Dimensionierung des (hypothetischen) Marktes und durch Auslagerung des Ausstellungsverfahrens für digitale Signaturen bzw. Zertifikate auf ein durch Banken gehaltenes Gemeinschaftsunternehmen kompensieren. Angemerkt sei, dass die Modelllösung eines Gemeinschaftsunternehmens - sollen sämtliche skizzierten Vorteile ausgeschöpft werden - realistischerweise bedingt, dass die EBK sämtliche ihrer Aufsicht unterstellten Banken verpflichtet, im Hinblick auf die Begründung der Geschäftsverbindung im Internet-Banking eine einheitliche, durch die Banken zu errichtende und zu betreibende PKI (in der Form eines Gemeinschaftsunternehmens) in den Kontoeröffnungsprozess zu integrieren (und ausschliesslich die dabei ausgestellten Zertifikate zu akzeptieren). | Abs. 24 |
III.Schlussbemerkung |
Bei Redaktionsschluss für den vorliegenden Beitrag ist
mangels Verlautbarungen seitens der EBK und der SBVg weiterhin unklar, welches
Kommunikationsverhalten im Ergebnis der Begründung der Geschäftsverbindung
im Internet-Banking zugrunde gelegt werden soll, wie die Identifikationsprozesse
den modifizierten Kommunikationsstrukturen anzupassen sind und wie die EBK bzw.
die SBVg gedenken, wirksame Kontroll- und Eingriffsmechanismen zu erhalten.
Inwiefern sich hierbei die Idee einer Gemeinschaftsunternehmung, geprägt
von der Monopolisierung der Ausgabe virtueller Identitäten' und der
Zentralisierung der Datenaufbewahrung, durchzusetzen vermag, lässt sich
folglich nicht abschätzen. Zu hoffen bleibt, dass - unabhängig von dem
im Ergebnis Anwendung findenden Modell - die zahlreichen Schnittstellen zwischen
den am Kommunikationsprozess beteiligten Parteien erkannt und entsprechend
Eingang in eine Regulierung finden, Technologiepotentiale im Gesamtzusammenhang
auf ihre rechtlichen, technischen und organisatorischen Folgen geprüft und
Sorgfaltspflichten sinnvoll den einzelnen (Prozess-)Parteien zugeordnet werden;
hierfür bedarf es jedoch einer ganzheitlichen Betrachtungsweise des "virtuellen"
Marktplatzes.
|
JurPC Web-Dok. 198/2001, Abs. 25 |
Fußnoten:(1) Abrufbar unter http://www.ebk.admin.ch/d/aktuell/neu5-01.pdf (Stand: 09.08.01).(2) Ziff. 5 Mindeststandards. (3) Rz 4 Mindeststandards. (4) Rz 3 Mindeststandards. (5) Rz 3 Mindeststandards. (6) Rz 2 Mindeststandards. (7) Pressemitteilung in Sachen Regulierung und Aufsicht von E-Finance' der EBK vom 26. April 2001, 3 (abrufbar unter http://www.ebk.admin.ch/d/aktuell/neu4-01.pdf (Stand: 09.08.01)); nachfolgend Pressemitteilung'); Rz 2 Mindeststandards. (8) Rz 16 Mindeststandards. (9) Pressemitteilung, 1. (10) Pressemitteilung, 1; EBK-Jber. 2000, 19 f. (abrufbar unter http://www.ebk.admin.ch/d/publik/bericht/jb00.pdf (Stand: 09.08.2001). (11) Pressemitteilung, 1; ferner EBK-Jber. 2000, 18 ff. (12) B. A. KERSCHER, Telekommunikation im Bankgeschäft, Diss. Regensburg 1996, 91 f. (13) Rz 3 Mindeststandards. (14) Pressemitteilung, 1. (15) Pressemitteilung, 2. (16) Auf die Dokumentationspflicht (Art. 7 Bundesgesetz zur Bekämpfung der Geldwäscherei im Finanzsektor vom 10. Oktober 1997 (GwG; SR 955.0)), welche im Hinblick auf die (fortwährende) Verfügbarkeit der im Rahmen der Kontoeröffnung gesammelten Informationen von Bedeutung ist, wird nachfolgend nicht näher eingegangen. (17) Art. 3 GwG. (18) Rz 2 Mindeststandards. (19) Rz 2 Mindeststandards. (20) Rz 2 Mindeststandards, Pressemitteilung, 3. (21) Pressemitteilung, 2. (22) Pressemitteilung, 1. (23) Angesichts des Umstandes, dass im Rahmen des vorliegenden Beitrages ausschliesslich auf die Kundenidentifikation eingegangen wird, werden weitere Aspekte in Zusammenhang mit der persönlichen Vorsprache (vornehmlich die Anliegen im Rahmen des Know your customer-Prinzip) ausgeblendet. (24) Pressemitteilung, 1. (25) P. HUNGER, Die Begründung der Geschäftsverbindung im Internet-Banking, Diss. Zürich 2000, 185. (26) T. LEGLER, Digitale Signaturen in der Schweiz: Vom realen zum virtuellen Notariat?, in: ZBGR 3/82 (2001), 129 ff., 130. (27) EBK-Jber. 2000, 19. (28) HUNGER (Fn 25), 166 ff., 206 ff. (29) HUNGER (Fn. 25), 167 ff. m.w.H.. (30) HUNGER (Fn 25), 191 ff. m.w.H.. (31) HUNGER (Fn 25), 166 ff., 185 ff.; R.H. WEBER, E-Commerce und Recht, Zürich 2001, 600, führt aus, dass "reine virtuelle Rechtsbeziehungen" im Lichte des "Know your customer-Prinzip" als ausgeschlossen erscheinen. (32) WEBER (Fn 31), 304. (33) Vgl. hierzu die Ausführungen unter Ziff. II.2.b) und Fn. 50. (34) Als Alternative liesse sich wohl auch ein Modell skizzieren, welches auf der Trägerschaft durch die SBVg (bzw. die unterzeichnenden Banken) beruht. Dergestalt liesse sich auch gleichzeitig die VSB entsprechend anpassen. (35) Kurz vor Redaktionsschluss wurde in der NZZ Nr. 176, 21, auf eine durch die EG-Wettbewerbskommission am 1.8.2001 genehmigte internationale Kooperation hingewiesen (Identrus), welche sich des Modells eines Gemeinschaftsunternehmens bedient. (36) Auf das Modell, welches die Beteiligungspflicht erst im Zeitpunkt der (konkreten) Leistungserbringung vorsieht, sind die nachfolgenden Ausführungen sinngemäss anzuwenden. (37) Der Begriff Filiale' wird nachfolgend als Sammelbegriff verwendet und beinhaltet namentlich auch (ausländische) Zweigniederlassungen und Agenturen. (38) Auszugehen ist von einer weitgehenden Automation der Verfahrensschritte, d.h. der potentielle Bankkunde wird im (elektronischen) Dialog mir dem Gemeinschaftsunternehmen im Hinblick auf seine (persönliche) Vorsprache in einer Bankfiliale umfassend instruiert. Im Ergebnis dient die Filiale lediglich als Eingangsfenster für die erforderlichen (Identifikations-)Dokumente, welche ausschliesslich im Gemeinschaftsunternehmen als zentralisierte Formalitätenkontrollstelle' geprüft werden. Angefügt sei, dass die (standardisierte) Entgegennahme der Dokumente realistischerweise eine qualitative Vereinheitlichung erfahren muss, soll die Fehlerquote optimiert werden. (39) Angemerkt sei, dass die Swisskey AG insbesondere mangels entsprechender Gesellschafter und Zweckausrichtung nicht mit dem vorliegenden Modell verwechselt werden darf, obwohl sich auch die Swisskey AG das Filialnetz der Banken zu Nutzen machte. (40) Vgl. hierzu das Rundschreiben der EBK in Sachen Auslagerung von Geschäftsbereichen (Outsourcing; EBK-RS 99/2) vom 26. August 1999 (abrufbar unter http://www.ebk.admin.ch/d/publik/rundsch/99-2.pdf (Stand: 09.08.01)). (41) Rz 2 EBK-RS 99/2. (42) Rz 9 EBK-RS 99/2. (43) Vgl. hierzu auch die Restriktion in Rz 16 EBK-RS 99/2. (44) Nicht in Abrede gestellt sei der Umstand, dass auch das Prinzip der Eigenleistung sowohl in gesellschafts- als auch in aufsichtsrechtlicher Hinsicht im Ergebnis eine Fremdleistung zum Gegenstand hat. (45) Vgl. Ziff. 11 VSB 98. (46) WEBER (Fn 31), 304. (47) Abrufbar unter http://www.ofj.admin.ch/themen/e-commerce/bg-zertes-d.pdf (Stand: 09.08.01) (48) F. SCHÖBI, Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur: Botschaft liegt vor, in: Jusletter 9. Juli 2001, Rz 11. (49) SCHÖBI (Fn 48), Rz 11. (50) Hinzuweisen ist darauf, dass dieser Problemstellung legislatorisch begegnet werden könnte. Zu denken ist etwa an die Zulassung sämtlicher qualifizierten Zertifikate, die von anerkannten Zertifizierungsdiensteanbieter i.S.d. ZertES ausgestellt wurden, durch die EBK (im Rahmen der Revision des EBK-RS 98/1). |
* Dr. Patrick Hunger ist derzeit Anwalts-Substitut in der Kanzlei Staub, Hilti & Partner und Absolvent des Nachdiplomstudiums der Universität Zürich im Internationalen Wirtschaftsrecht (LL.M). Titel seiner Dissertation ist "Die Begründung der Geschäftsverbindung im Internet-Banking", Schweizer Schriften zum Bankrecht, SSBR 60, Zürich 2000. Seine Tätigkeitsschwerpunkte sind Informations- und Bankrecht. E-Mail: patrick.hunger@shp-lawyers.ch. |
[online seit: 01.10.2001] |
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs. |
Zitiervorschlag: Hunger, Patrick, Die (Kunden-)Identifikation von natürlichen Personen im Internet-Banking - JurPC-Web-Dok. 0198/2001 |