{"id":1624,"date":"2016-09-08T09:13:46","date_gmt":"2016-09-08T09:13:46","guid":{"rendered":"https:\/\/www.eaid-berlin.de\/?p=1317"},"modified":"2016-09-08T09:13:46","modified_gmt":"2016-09-08T09:13:46","slug":"soll-vor-dem-bargeld-das-anonyme-bezahlen-im-internet-verboten-werden","status":"publish","type":"post","link":"https:\/\/www.kai-wittenburg.de\/?p=1624","title":{"rendered":"Soll vor dem Bargeld das anonyme Bezahlen im Internet verboten werden?"},"content":{"rendered":"

Der von der Europ\u00e4ischen Kommission am 5. Juli 2016 vorgelegte Vorschlag zur \u00dcberarbeitung<\/a> der Vierten EU-Geldw\u00e4scherichtlinie (2015\/849 v. 20.5.2015 – GW-RL) begegnet erheblichen datenschutzrechtlichen Bedenken. Die im Entwurf vorgesehene ausnahmslose Identifikationspflicht der Nutzer von Online-Bezahlverfahren widerspricht dem in Art. 8 EU-Grundrechtecharta verb\u00fcrgten Grundrecht auf Datenschutz. Sie verfehlt insbesondere die Vorgaben des Europ\u00e4ischen Gerichtshofs zur Vorratsdatenspeicherung (EuGH, 08.04.2014 – C-293\/12 und C-594\/12<\/a>).<\/strong><\/p>\n

Zudem bestehen erhebliche Zweifel, inwieweit der vorgeschlagene Wegfall anonymer Bezahlm\u00f6glichkeiten im Internet kompatibel ist mit dem durch die Datenschutzgrundverordnung (2016\/697 – DS-GVO<\/a>) und der Datenschutzrichtlinie f\u00fcr Polizei und Justiz (RL 2016\/680 – DS-JI-RL<\/a>) vorgegebenen Rahmen.<\/p>\n

Schlie\u00dflich widerspricht die \u00c4nderung den Vorgaben des Bundesverfassungsgerichts zum Grundrecht auf informationelle Selbstbestimmung, indem sie den deutschen Gesetzgeber daran hindern w\u00fcrde, die europarechtlichen Vorgaben verfassungskonform umzusetzen.<\/p>\n

Bemerkenswert ist auch, dass die vorgesehene Versch\u00e4rfung des EU-Rechtsrahmens erfolgen soll, ehe die einschl\u00e4gigen Regelungen der erst im vergangenen Jahr novellierten Geldw\u00e4scherichtlinie in nationales Recht umgesetzt worden sind – deren Umsetzungsfrist endet am 26. Juni 2017. Angesichts fehlender Erfahrungen mit deren Vorgaben sind Aussagen dar\u00fcber nicht m\u00f6glich, wie sich die versch\u00e4rften Identifikationspflichten und die mitgliedsstaatlichen Gestaltungsm\u00f6glichkeiten bei deren Umsetzung auswirken. Dies gilt insbesondere f\u00fcr den sogenannten \u201erisikobasierten Ansatz\u201c, wonach die Verpflichteten bestimmte Vorgaben unter in \u00a7 12 Abs. 1 der GW-RL spezifizierten Voraussetzungen nicht anzuwenden haben.<\/p>\n

Vorgaben aus der Vierten Geldw\u00e4scherichtlinie (RL 2015\/849)<\/a><\/strong><\/p>\n

Die Verhinderung der Geldw\u00e4sche und die Bek\u00e4mpfung der Terrorismusfinanzierung sind zweifellos legitime Ziele. Dementsprechend betrachtet der Europ\u00e4ische Gesetzgeber E-Geld-Produkte \u201eals Ersatz f\u00fcr Bankkonten\u201c und unterwirft sie den Verpflichtungen zur Bek\u00e4mpfung der Geldw\u00e4sche und der Terrorismusfinanzierung, insbesondere durch Transparenzvorgaben und Identifikationspflichten bez\u00fcglich deren Nutzern. Allerdings k\u00f6nnen die Mitgliedstaaten in F\u00e4llen, in denen erwiesenerma\u00dfen ein geringes Risiko besteht, und sofern strikte risikomindernde Ma\u00dfnahmen ergriffen werden, E-Geld von der Pflicht zur Feststellung und \u00dcberpr\u00fcfung der Identit\u00e4t des Kunden und des wirtschaftlichen Eigent\u00fcmers freistellen (Art. 12 Abs. 1 GW-RL).<\/p>\n

Zu den risikomindernden Voraussetzungen z\u00e4hlt, dass die ausgenommenen E-Geld-Produkte ausschlie\u00dflich f\u00fcr den Erwerb von Waren oder Dienstleistungen genutzt werden und dass der elektronisch gespeicherte Betrag so gering sein muss, dass eine Umgehung der Vorschriften \u00fcber die Bek\u00e4mpfung der Geldw\u00e4sche und der Terrorismusfinanzierung ausgeschlossen werden kann. Die Kommission will die ohnehin niedrig bemessene H\u00f6chstgrenze des in anonymen Prepaid-Produkten zu speichernden Betrags weiter begrenzen, was den Einsatzbereich von anonymen Zahlungsmitteln auch au\u00dferhalb des Online-Bereichs weiter einschr\u00e4nken w\u00fcrde.<\/p>\n

Generelle Identifikationspflichten<\/strong><\/p>\n

Nach dem Kommissionsvorschlag zur \u00c4nderung von Art. 12 Abs. 2 GW-RL (\u201e \u2026 either of online payment \u2026\u201c) sollen E-Geldprodukte, die f\u00fcr Online-Zahlungen verwendet werden, ausnahmslos von diesem risikobasierten Ansatz ausgenommen werden. Damit k\u00f6nnten die Mitgliedstaaten – anders als bisher – bei derartigen E-Geld-Produkten generell keine Ausnahmen von der Identifizierungspflicht mehr vorsehen.<\/p>\n

Nach Art. 12 (neu) m\u00fcsste sich jede Person, die ein entsprechendes E-Geld-Produkt erwirbt, identifizieren, z.B. mit ihren Ausweisdokumenten. Unklar ist in diesem Zusammenhang, inwieweit die nach Art. 15 GW-RL weiterhin m\u00f6glichen \u201evereinfachten Sorgfaltspflichten\u201c auch die Kundenidentifizierung umfassen k\u00f6nnen, etwa im Hinblick auf die zum Nachweis der Identit\u00e4t erforderlichen Unterlagen bzw. die zur Identifikation eingesetzten Verfahren und die Dokumentations- und Aufbewahrungspflichten. Sofern hier eine Minderung der Sorgfaltspflichten nicht greifen sollte, w\u00e4ren etwa die Emittenten eines Prepaid-Zahlungsmittels zuk\u00fcnftig verpflichtet, eine Kopie der erhaltenen Dokumente und Informationen mindestens f\u00fcr die Dauer von f\u00fcnf Jahren aufzubewahren (Art. 40 Abs.1 GW-RL). S\u00e4mtliche Online-Transaktionen – auch die Zahlung von kleinsten Betr\u00e4gen – k\u00f6nnten \u00fcber viele Jahre namentlich nachvollzogen werden.<\/p>\n

Eine generelle Identifizierungspflicht w\u00fcrde dazu f\u00fchren, dass anonymes Einkaufen und Bezahlen im Internet selbst bei Bagatellbetr\u00e4gen praktisch ausgeschlossen werden. Anonyme Bezahlsysteme im Internet bieten ihren Nutzern jedoch M\u00f6glichkeiten, die Risiken eines Missbrauchs ihrer Finanzdaten beispielsweise durch IT-Spionage unter Ausnutzung unzureichend gesicherter IT-Systeme zu minimieren. Zahlreiche F\u00e4lle belegen, dass Systeme, in denen zahlungsrelevante personenbezogene Daten gespeichert werden, entsprechenden Angriffen in besonderem Ma\u00dfe ausgesetzt sind. Durch die Verpflichtung zur namentlichen Nutzer-Identifikation und die damit verbundenen Speicherungspflichten w\u00fcrden diesen Angriffen neue Ziele geboten.<\/p>\n

Anonyme Bezahlm\u00f6glichkeiten im Internet sind zugleich ein wichtiger Baustein, um die M\u00f6glichkeit zum anonymen Medienkonsum zu erhalten, da Online-Medien, Apps und Spiele zunehmend gegen Bezahlung angeboten werden. Auf jeden Fall muss verhindert werden, dass detaillierte personenbeziehbare Nutzungsdaten – etwa bei Streaming-Diensten – immer dann entstehen, wenn eine Nutzung entgeltpflichtig ist. Die datenschutzfreundliche, dem Grundsatz der Minimierung entsprechende, Gestaltung interaktiver Dienste setzt insofern voraus, dass anonyme Bezahlm\u00f6glichkeiten bei Klein- und Kleinstbetr\u00e4gen m\u00f6glich bleiben.<\/p>\n

Schlie\u00dflich w\u00e4re bei der vorgeschlagenen Neuregelung zu bef\u00fcrchten, dass Nutzer, die weiterhin einer l\u00fcckenlosen Registrierung entgehen wollen, auf Online-Bezahlverfahren ausweichen, die keinerlei wirksamen Regulierung unterliegen. Ein solches F\u00f6rderprogramm international verf\u00fcgbarer unkontrollierbarer Transaktionsplattformen w\u00fcrde letztlich die Geldw\u00e4sche und die Terrorismusfinanzierung erleichtern und nicht unterbinden. Die gegen die Umgehung des EU-Rechts gerichtete Regelung im Kommissionsvorschlag (neuer Art. 12 Abs. 3) d\u00fcrften schon deshalb weitgehend leer laufen, weil sie die Geldinstitute zur l\u00fcckenlosen und detaillierten Pr\u00fcfung der Zulassungsvoraussetzungen f\u00fcr Drittstaats-Dienste verpflichten w\u00fcrde, was aus hiesiger Sicht unrealistisch erscheint. Der Ausschluss einzelner aus Drittstaaten angebotener Dienste (Blacklisting) w\u00fcrde diese Anforderung nur unzureichend erf\u00fcllen.<\/p>\n

Unzul\u00e4ssige Vorratsdatenspeicherung<\/strong><\/p>\n

Unter Berufung auf den legitimen Zweck der Geldw\u00e4sche-Richtlinie, n\u00e4mlich der Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldw\u00e4sche und der Terrorismusfinanzierung, w\u00fcrden durch den vorgesehenen Wegfall anonymer Online-Bezahlm\u00f6glichkeiten anlasslos massenhaft personenbezogene Daten erfasst, die mit derartigen Praktiken in keinerlei Zusammenhang stehen.<\/p>\n

Eine derartige anlass- und schwellenlose Identifikations- und Speicherungsverpflichtung widerspricht den Vorgaben der Europ\u00e4ischen Grundrechtecharta. Dies ergibt sich aus dem Urteil des Europ\u00e4ischen Gerichtshofs, mit dem er die Richtlinie 2006\/24\/EG zur Vorratsspeicherung von Telekommunikationsdaten annullierte (Urteil v. 8. April 2014, C\u2011293\/12 u. C\u2011594\/12<\/a>).<\/p>\n

Der EuGH stellte fest, dass eine solche Verpflichtung zur Datenspeicherung in Art. 8 der Charta eingreift, der das Grundrecht auf Datenschutz garantiert. Eine solche Einschr\u00e4nkung von Grundrechten d\u00fcrfe nur unter Wahrung des Grundsatzes der Verh\u00e4ltnism\u00e4\u00dfigkeit vorgenommen werden. Gesetzliche Vorgaben zur Datenspeicherung sind nur zul\u00e4ssig, soweit sie den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen tats\u00e4chlich entsprechen, erforderlich und verh\u00e4ltnism\u00e4\u00dfig sind. Die obligatorische Datenspeicherung darf nicht die Grenzen dessen \u00fcberschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist und muss sich auf das absolut Notwendige beschr\u00e4nken.<\/p>\n

Der EuGH bem\u00e4ngelte, dass sich die Richtlinie 2006\/24<\/a> generell auf alle Personen und alle elektronischen Kommunikationsmittel erstreckte, \u201eohne irgendeine Differenzierung, Einschr\u00e4nkung oder Ausnahme anhand des Ziels der Bek\u00e4mpfung schwerer Straftaten vorzusehen.\u201c Sie betreffe \u201ezum einen in umfassender Weise alle Personen, \u2026, ohne dass sich jedoch die Personen, deren Daten auf Vorrat gespeichert werden, auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben k\u00f6nnte. Sie gilt also auch f\u00fcr Personen, bei denen keinerlei Anhaltspunkt daf\u00fcr besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen k\u00f6nnte.\u201c Die annullierte Richtlinie verlangte \u201ekeinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen war, und einer Bedrohung der \u00f6ffentlichen Sicherheit; insbesondere beschr\u00e4nkt sie die Vorratsspeicherung weder auf die Daten \u2026 eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein k\u00f6nnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gr\u00fcnden zur Verh\u00fctung, Feststellung oder Verfolgung schwerer Straftaten beitragen k\u00f6nnten.\u201c Das Gericht stellte deswegen fest, dass die angegriffene RL zur Vorratsdatenspeicherung unverh\u00e4ltnism\u00e4\u00dfig in das durch Art. 8 EuGrCh garantierte Grundrecht auf Datenschutz eingriff und deshalb ung\u00fcltig war.<\/p>\n

Diese Kritik l\u00e4sst sich auf die von der Kommission mit der \u00c4nderung der GW-RL verfolgte generelle Identifikationspflicht bei Online-Transaktionen \u00fcbertragen. Auch die Neuregelung betrifft s\u00e4mtliche F\u00e4lle, v\u00f6llig unabh\u00e4ngig von einem damit verbundenen Risiko. Die dabei erfassten Daten beschr\u00e4nken sich nicht auf Personen, \u201edie auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben k\u00f6nnte,\u201c wie der EuGH in seinem Vorratsdaten-Urteil ausf\u00fchrt. Zudem sind – wie bei der Vorratsspeicherung von Telekommunikationsdaten – die Zwecke, zu denen die Daten verwendet werden d\u00fcrfen, nicht hinreichend pr\u00e4zise gefasst und die Stellen, die auf die Daten zugreifen k\u00f6nnen, nicht hinreichend genau bestimmt. Im Ergebnis ist deshalb festzustellen, dass die vorgesehenen \u00c4nderungen zur Europarechtswidigkeit der GW-RL f\u00fchren w\u00fcrden.<\/p>\n

Eine durch EU-Recht festgelegte generelle Identifikationspflicht w\u00e4re auch nicht vereinbar mit dem durch das Grundgesetz garantierte Recht auf informationelle Selbstbestimmung. In seinem Urteil zur Vorratsdatenspeicherung von Telekommunikationsdaten v. 2. M\u00e4rz 2010 (1 BvR 256\/08) hat das Bundesverfassungsgericht gemahnt, dass Gesetze, die auf eine m\u00f6glichst fl\u00e4chendeckende vorsorgliche Speicherung aller f\u00fcr die Strafverfolgung oder Gefahrenpr\u00e4vention n\u00fctzlichen Daten zielen, mit der Verfassung unvereinbar sind.<\/p>\n

Fehlende Kompatibilit\u00e4t mit dem neuen EU-Datenschutzrecht<\/strong><\/p>\n

Die Europ\u00e4ische Kommission ist der Auffassung, dass ihre Vorschl\u00e4ge konsistent mit dem neuen EU-Rechtsrahmen f\u00fcr den Datenschutz seien, namentlich mit der Datenschutzgrundverordnung 2016\/679 (DS-GVO) und der Datenschutzrichtlinie f\u00fcr Polizei und Justiz 2016\/680 (DS-JI-RL). An dieser Aussage sind erhebliche Zweifel angebracht.<\/p>\n

Entsprechend der Vorgaben in Art. 8 EUGrCh folgt die Datenschutzgrundverordnung dem Grundsatz der Datenminimierung. Die personenbezogenen Daten m\u00fcssen dem Zweck angemessen und erheblich sowie auf das f\u00fcr die Zwecke der Verarbeitung notwendige Ma\u00df beschr\u00e4nkt sein. Zudem m\u00fcssen die Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange erm\u00f6glicht, wie es f\u00fcr die Zwecke, f\u00fcr die sie verarbeitet werden, erforderlich ist (Art. 5 Abs. 1 DS-GVO). Zwar ist die Verarbeitung personenbezogener Daten f\u00fcr die Erf\u00fcllung rechtlicher Verpflichtungen zul\u00e4ssig, denen der Verantwortliche unterliegt, namentlich f\u00fcr die Wahrnehmung einer Aufgabe im \u00f6ffentlichen Interesse (Art. 6 Abs.1 c,e DS-GVO). Die entsprechenden Rechtsvorschriften m\u00fcssen jedoch ebenfalls den Vorgaben der Grundrechtecharta gen\u00fcgen und insbesondere in einem angemessenen Verh\u00e4ltnis zu dem verfolgten legitimen Zweck stehen.<\/p>\n

Der Vorschlag, die Emittenten von f\u00fcr Online-Transaktionen geeignetem E-Geld zur namentlichen Identifikation der Nutzer zu verpflichten, unabh\u00e4ngig von irgendwelchen Risiken oder Schwellenwerten, und die Identifikationsdaten und die get\u00e4tigten Transaktionen f\u00fcr mindestens 5 Jahre aufzubewahren, widerspricht den im neuen EU-Datenschutzrecht festgelegten Geboten der Verh\u00e4ltnism\u00e4\u00dfigkeit und der Datenminimierung.<\/p>\n

Der Vorschlag ist auch im Hinblick auf die Datenschutz-Richtlinie f\u00fcr Polizei und Justiz problematisch. Die DS-JI-RL verpflichtet die Mitgliedstaaten zum Schutz der Grundrechte und Grundfreiheiten nat\u00fcrlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 a DS-JI-RL). Hierf\u00fcr legt sie Mindestanforderungen fest. Jedoch hindert sie die Mitgliedstaaten nicht daran, bei der Verarbeitung personenbezogener Daten durch die zust\u00e4ndigen Beh\u00f6rden Garantien festzulegen, die strenger sind als die Garantien der DS-JI-RL. Insbesondere d\u00fcrfe die Angleichung der Rechtsvorschriften der Mitgliedstaaten nicht zu einer Lockerung des Schutzes personenbezogener Daten in diesen L\u00e4ndern f\u00fchren (EG 15 DS-JI-RL).<\/p>\n

M\u00f6glichkeiten, \u00fcber die datenschutzrechtlichen Vorgaben der DS-JI-RL im Sinne eines effektiven Grundrechtsschutzes hinauszugehen, sind in Deutschland geboten, weil der deutsche Gesetzgeber an die strikten Vorgaben des Bundesverfassungsgerichts zum informationellen Selbstbestimmungsrecht gebunden ist, die dieses im Volksz\u00e4hlungsurteil von 1983 entwickelt und seither in einer Vielzahl von Entscheidungen fortgeschrieben hat. Von daher ist es zwingend, dass der deutsche Gesetzgeber von den in \u00a7 12 GW-RL vorgesehenen M\u00f6glichkeiten Gebrauch macht, entsprechend des dort vorgesehenen risikobezogenen Ansatzes von einer generellen Identifikationspflicht der Nutzer von Online-Payments abzusehen, indem er insbesondere Schwellenwerte festlegt, unterhalb derer keine Verpflichtung zur namentlichen Registrierung besteht.<\/p>\n

Wenn den Mitgliedstaaten die M\u00f6glichkeit genommen w\u00fcrde, bestimmte f\u00fcr Online-Transaktionen geeignete E-Geldprodukte mit niedrigem Risikopotential von der Identifikationspflicht auszunehmen, w\u00e4re dem deutschen Gesetzgeber eine verfassungskonforme Umsetzung der GW-Richtlinie nicht mehr m\u00f6glich.<\/p>\n","protected":false},"excerpt":{"rendered":"

Der von der Europäischen Kommission am 5. Juli 2016 vorgelegte Vorschlag zur Überarbeitung der Vierten EU-Geldwäscherichtlinie (2015\/849 v. 20.5.2015 – GW-RL) begegnet erheblichen datenschutzrechtlichen Bedenken. Die im Entwurf vorgesehene ausnahmslose Identifikationspflicht der Nutzer von Online-Bezahlverfahren widerspricht dem in Art. 8 EU-Grundrechtecharta verbürgten Grundrecht auf Datenschutz. Sie verfehlt insbesondere die Vorgaben<\/p>\n","protected":false},"author":17,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1167,1078,1168,1169,5,196,1162,1170,221,198,1171,1172,1173,865,1174,6,3,7,862,4,12,17,193,1175,15,16,14,240,8],"tags":[],"class_list":["post-1624","post","type-post","status-publish","format-standard","hentry","category-4aml","category-anonymes-bezahlen","category-anti-money-laundering","category-bargeld","category-bsi","category-datenschutz-grundverordnung","category-dsgvo","category-e-geld","category-eaid-blog","category-eu-grundrechtecharta","category-geldwaesche","category-geldwaesche-richtlinie","category-geldwaeschebekaempfung","category-grundrechtecharta","category-identifikationspflicht","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-ji-richtlinie","category-notfallmanagement","category-penetrationstest","category-penetrationstests","category-peter-schaar-der-blog","category-prepaid","category-risikomanagement","category-unternehmen","category-veranstaltungen","category-vorratsdatenspeicherung","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1624","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1624"}],"version-history":[{"count":1,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1624\/revisions"}],"predecessor-version":[{"id":1625,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1624\/revisions\/1625"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1624"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1624"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1624"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}