Punkt 13 der 885. Sitzung des Bundesrates am 8. Juli 2011
Der Bundesrat möge beschließen, zu dem Gesetzentwurf wie folgt Stellung zu nehmen:
Der Bundesrat begrüßt, dass die Bundesregierung mit dem vorliegenden Entwurf die Prävention und Bekämpfung von Geldwäsche und Terrorismusfinanzierung stärkt und damit einen wichtigen Beitrag zur allgemeinen Sicherheit leistet. Er ist der Ansicht, dass der Aspekt der Rechtssicherheit angesichts des mit der Anpassung der technischen Infrastruktur verbundenen erheblichen Investitionsbedarfs von besonderer Bedeutung ist.
Der Bundesrat bittet die Bundesregierung deshalb im weiteren Gesetzgebungsverfahren klarzustellen, dass hinsichtlich des elektronischen Identitätsnachweises gem. § 6 Abs. 2 Nr. 2 Buchstabe c) des Gesetzentwurfs auch die mit dem Betrieb eines eID-Servers notwendigerweise verbundenen automatisierten Prüfungsvorgänge keine Übertragung von Sorgfaltspflichten im Sinne des § 7 Abs. 2 GwG begründen.
Begründung:
Der Gesetzentwurf regelt in § 6 Abs. 2 Nr. 2 Geldwäschegesetz (GwG) sogenannte "verstärkte" Sorgfaltspflichten, wenn der Vertragspartner des nach dem GwG Verpflichteten zur Feststellung der Identität nicht persönlich anwesend ist. In einem solchen Fall besteht nach § 6 Abs. 2 Nr. 2 Buchstabe c) GwG-E die Möglichkeit eines elektronischen Identitätsnachweises nach § 18 Personalausweisgesetz.
In der Regel verfügen Kreditinstitute und andere Verpflichtete des GwG nicht über die zum Auslesen und Auswerten der Daten erforderliche technische Infrastruktur. Diese wird bislang überwiegend von Service-Tochter-Unternehmen der Kreditinstitute oder anderen darauf spezialisierten Drittanbietern vorgehalten.
Gemäß § 7 Abs. 2 GwG können Dritte bislang nur hinsichtlich der "einfachen" Sorgfaltspflichten nach § 3 Abs. 1 Nr. 1 bis 3 GWG mit den zur Erfüllung erforderlichen Maßnahmen betraut werden.
In der Begründung des Gesetzentwurfs zu § 6 Abs. 2 Nr. 2 GwG-E wird ausdrücklich darauf hingewiesen, dass "bloße technische Vorgänge wie etwa der Betrieb eines sicheren eID-Servers" von technischen Intermediären erledigt werden können. Für eine solche Aufgabenverlagerung müssten die Voraussetzungen des § 7 Abs. 2 GwG nicht erfüllt sein, da eine Übertragung von Sorgfaltspflichten auf Dritte mit diesen IT-Aktivitäten nicht verbunden sei.
Die Erfüllung der in der Identifizierung liegenden Sorgfaltspflicht erfolgt im Außenverhältnis durch die nach dem GwG verpflichteten Personen. Nur sie verfügen über die zum Auslesen der Daten erforderliche Berechtigung und bestätigen gegenüber ihren Vertragspartnern, dass sie die elektronische Authentifizierung akzeptieren.
Faktisch erschöpft sich die Identitätsprüfung bei dem derzeit angewandten technischen Verfahren in automatisierten Vorgängen auf dem eID-Server. Durch automatischen Abgleich wird sowohl die Echtheit des elektronischen Personalausweises als auch die durch Nutzung einer PIN-Nr. ausgewiesene Berechtigung des Ausweisinhabers festgestellt. Das Verfahren bietet in der Regel keine Ansatzpunkte für darüber hinaus gehende Prüfungsmöglichkeiten der Verpflichteten. Diese kommen nur in Betracht, wenn sie positiv Kenntnis von Umständen haben, die auf eine unberechtigte Nutzung von Ausweis und/oder PIN-Nr. hindeuten.
Im Gesetzestext selbst und in der Gesetzesbegründung kommt nicht hinreichend deutlich zum Ausdruck, dass sich die Sorgfaltspflichten im betroffenen technischen Verfahren faktisch auf automatisierte Vorgänge beschränken. Da als erläuterndes Beispiel für "rein technische Vorgänge" in der Gesetzesbegründung lediglich der "Betrieb eines sicheren eID-Servers" angeführt wird, bleibt die Frage offen, ob auch die automatisierten Prüfungsvorgänge auf diesem Server davon erfasst sind. Der daraus folgende Interpretationsspielraum muss durch die erbetene Klarstellung beseitigt werden, damit die zahlreichen Marktteilnehmer Rechtssicherheit im Hinblick auf die Rechtsanwendung und die damit verbundenen Investitionen haben.