Digitales Europa - Verbraucherkreditverträge komplett online abschließen

Elektronische Signatur unabhängig von Geschäftszeiten und -ort der Bank

Mona Pirouz

Die "Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt der Europäischen Union", kurz eIDAS-Verordnung, ist am 1. Juli 2016 in Kraft getreten. Sie vereinheitlicht zum einen das europäische Signaturrecht und ermöglicht zum anderen reine Online-Kreditabschlüsse. In Zusammenarbeit mit sogenannten Vertrauensdiensteanbietern können Banken das Verfahren der elektronischen Signatur für ihre Kunden erheblich vereinfachen.

Für den Abschluss eines Verbraucherkreditvertrags schreibt das Gesetz die Schriftform vor.1) Demnach sind Darlehensverträge erst dann wirksam, wenn der Verbraucher sie handschriftlich unterzeichnet.2)

Da dieses Erfordernis in Zeiten der Digitalisierung wenig praktikabel erschien, ist für Verträge ab Juni 2011 auch die elektronische Form möglich.3) Einfache elektronische Signaturen, wie zum Beispiel die als Bild eingescannte Unterschrift, können gemäß § 127 Bürgerliches Gesetzbuch (BGB) für formfreie Vereinbarungen eingesetzt werden, ersetzen aber nicht die Schriftform nach § 126 a BGB. So hatte das Oberlandesgericht (OLG) München bereits 2012 entschieden, dass die Unterschrift auf einem Unterschriftenpad (sogenanntes "Sign Pad") nicht die gesetzlichen Anforderungen an einen wirksamen Verbraucherkreditvertrag erfüllt, da sie keine eigenhändige Unterschrift darstellt.4) Das besondere Sicherungsmittel, das für elektronische Transaktionen gefordert wird, heißt in Deutschland qualifizierte elektronische Signatur. Eine derartige Signatur konnte man bislang nur mithilfe externer Hardware wie einem Signaturkartenlesegerät und einer entsprechenden Signaturkarte erstellen.

Die Anschaffung dieser Hardware war für Verbraucher hingegen nicht sinnvoll. Außerdem wurde die fehlende Interoperabilität der Signaturen innerhalb Europas als Hindernis des freien Warenverkehrs erkannt.5)

Um den Vertragsschluss sowohl für die Verbraucher als auch für die darlehensgebenden Finanzinstitute zu vereinfachen, grenzüberschreitende elektronische Identifizierungen zu erleichtern und gleichzeitig das Vertrauen der Verbraucher in elektronische Transaktionen zu stärken, erließ die Europäische Union (EU) die eIDAS-Verordnung.6)

Elektronische Signatur in drei Formen

Seit dem 1. Juli 2016 gilt die eIDAS-Verordnung unmittelbar in allen Mitgliedstaaten der EU und hebt die EU-Signaturrichtlinie7) auf.8) In Deutschland löst die eIDAS-Verordnung wegen ihres Anwendungsvorrangs nach Artikel 288 Absatz 2 Satz 1 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) das Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz/ SigG) weitgehend ab. Regelungen zur Ergänzung der eIDAS-Verordnung werden in einem Vertrauensdienste-Gesetz festgelegt.9)

Die neue EU-Verordnung fordert zwar nach wie vor eine qualifizierte elektronische Signatur, jedoch verändert sie die Voraussetzungen und stärkt so den Wert der qualifizierten elektronischen Signatur. Nach Artikel 25 Absatz 2 eIDAS-Verordnung hat eine qualifizierte elektronische Signatur nunmehr die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Soweit eine Unterschrift Voraussetzung zur Erfüllung einer rechtlichen Form ist, kann eine qualifizierte elektronische Signatur die Unterschrift also ersetzen. Die Neuregelung unterscheidet zwischen drei Arten von elektronischen Signaturen. Eine "einfache elektronische Signatur" besteht aus Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.10) Eine "fortgeschrittene elektronische Signatur" ist eine elektronische Signatur, die folgende Anforderungen erfüllt:

- sie ist ausschließlich dem Unterzeichner zugeordnet,

- sie ermöglicht die Identifizierung des Unterzeichners,

- sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann und

- sie ist so mit den Daten, auf die sie sich bezieht, verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann.11)

Eine "qualifizierte elektronische Signatur" (QES) ist eine fortgeschrittene elektronische Signatur, die auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit erzeugt wurde.12)

Alleinige Kontrolle des Unterzeichners

Erstellt wird eine QES durch sogenannte Vertrauensdienste. Die Vertrauensdiensteanbieter müssen abgesicherte elektronische Kommunikationskanäle verwenden, um für eine vertrauenswürdige Umgebung zur Erstellung elektronischer Signaturen zu sorgen und zu gewährleisten, dass diese Umgebung unter alleiniger Kontrolle des Unterzeichners genutzt worden ist (Erwägungsgrund 52 eIDAS-Verordnung). Die alleinige Kontrolle des Unterzeichners kann durch sichere Kommunikationskanäle und zertifizierte Produkte gewährleistet werden, die durch einen qualifizierten und geprüften Vertrauensdiensteanbieter in manipulationssicherer Umgebung betrieben werden.13)

Bisher benötigte man zur Erstellung von QES neben dem Computer, Laptop oder einem vergleichbaren Gerät folgende Komponenten: ein qualifiziertes Zertifikat auf einer sicheren Signaturerstellungseinheit (umgangssprachlich zum Beispiel die sogenannte Signaturkarte), einen Chipkartenleser und eine entsprechende Software.14)

Die qualifizierte Signaturerstellungseinheit muss sich nun nicht mehr im unmittelbaren Besitz des Signierenden befinden, sondern kann auch entfernt beziehungsweise zentral von einem Vertrauensdiensteanbieter verwaltet werden.15) Eine vom Unterzeichner entfernte und zentral existierende Signaturerstellungseinheit kann nunmehr durch externe Dienstleister abgebildet werden, die sogenannte Remote Signaturen (Fernsignatur) erstellen.16)

Allein die Identität desjenigen, der eine digitale Unterschrift leistet, muss ein hohes Sicherheitsniveau vorweisen.17) Die Identifizierung hat dabei durch qualifizierte Vertrauensdiensteanbieter zu erfolgen (siehe Abbildung 1, Seite 113).18)

Eine sogenannte Fernsignatur, die in einer von einem akkreditierten Zertifizierungsdiensteanbieter im Namen des Unterzeichners geführten Umgebung erstellt wird, ist nach derzeitigem Stand des Signaturgesetzes nicht möglich. Mit der eIDAS-Verordnung entfällt die Verpflichtung zum Einsatz von einem Chipkartenleser und einer Signaturkarte. Sie ermöglicht die Erstellung elektronischer Fernsignaturen in einer von einem Vertrauensdiensteanbieter im Namen des Unterzeichners geführten Umgebung. Ein Kreditvertrag kann voll ständig digital geschlossen werden. Dies erleichtert die Umsetzung durchgängig digitaler Prozesse ohne Medienbrüche.

Ein weiterer wesentlicher Vorteil der neuen Verordnung ist die Schaffung europaweit einheitlicher Rahmenbedingungen für vertrauenswürdige elektronische Transaktionsprozesse. Jeder Mitgliedstaat muss qualifizierte elektronische Signaturen aus anderen Mitgliedstaaten akzeptieren und darf keine elektronischen Signaturen mit einem höheren Sicherheitsniveau als dem der qualifizierten Signatur verlangen.19) Die eIDAS-Verordnung verbietet es, Vertrauensdienste aus einem anderen Mitgliedstaat Beschränkungen zu unterwerfen, die in den Anwendungsbereich der Verordnung fallen.20)

Ablauf eines eSign-Verfahrens

So kann der deutsche Kunde von nun an die eine qualifizierte elektronische Signatur auch zur Authentifizierung in anderen EU-Ländern nutzen, was in Zeiten der Globalisierung einen großen und unumgänglichen Fortschritt und eine Harmonisierung der Vertrauensdienste darstellt. Die Signatur kann dabei vom Anbieter in einem Signaturspeicher verwaltet und auf Aufforderung des Nutzers abgerufen werden, was die Bestätigung von Dokumenten erheblich vereinfacht.21)

Abseits dessen werden die Verwaltungskosten durch Vermeidung von Papier und Medienbrüchen reduziert. Als Folge ist eine Zunahme der Nutzung elektronischer Vertrauensdienste und elektronischer Geschäftsprozesse bei Finanzdienstleistern und anderen Unternehmen generell zu erwarten.

In einem Verfahren der elektronischen Signatur (eSign-Verfahren) können sich Kunden die Vorteile der QES zu eigen machen und müssen für die nach dem Geldwäschegesetz vorgeschriebene Legitimation ihre Verbraucherkreditverträge nicht mehr mit Stift auf Papier unterschreiben und ebenso wenig mit ihrem Ausweis in einer Postfiliale vorstellig werden.

Die Anforderungen an die Nutzung von Videoidentifizierungsverfahren hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihrem Rundschreiben 1/2014 für Kreditinstitute präzisiert. Die am Identifizierungsverfahren Beteiligten sind zwar nicht physisch, aber im Rahmen einer Videoübertragung visuell wahrnehmbar. Gleichzeitig müsse eine sprachliche Kontaktaufnahme möglich sein, damit eine Überprüfung der Identität des Vertragspartners anhand eines Identifikationsdokuments vorgenommen werden kann. In diesem Fall werde ungeachtet der räumlichen Trennung eine sinnliche Wahrnehmung der am Identifizierungsprozess beteiligten Personen ermöglicht, da sich die zu identifizierende Person und der Mitarbeiter im Rahmen der Videoübertragung "von Angesicht zu Angesicht" gegenübersitzen und kommunizieren.22)

Beantragt der Kunde online ein Finanzprodukt - beispielsweise einen Ratenkreditvertrag -, übermittelt er der Bank dafür zunächst seine Daten. Die Bank stellt dem potenziellen Kunden dann die direkte Unterzeichnung des Kreditvertrags mittels elektronischer Signatur zur Auswahl.

Wählt der Kunde diese Möglichkeit, folgt das Videoidentifizierungsverfahren, die Eingabe einer Signatur-PIN (Persönliche Identifikationsnummer), die der Kunde während des Prozesses per SMS oder E-Mail erhält, sowie schließlich die Ausstellung eines Zertifikats und das Auslösen der Signatur. Alles, was der Kunde benötigt, ist ein Internetzugang, ein Endgerät mit Kamera sowie ein Video-Telefonie-Programm.

Um sich zu identifizieren, wird er aufgefordert, die Vorder- und Rückseite seines gültigen Personalausweises oder Reisepasses vor die Webcam zu halten und diesen zu kippen und zu be wegen, sodass unter anderem das Hologramm geprüft werden und der Ausweis verifiziert werden kann. Zudem werden Fotos angefertigt und die Ausweisnummer wird erfasst. Um die Identitätsprüfung abzuschließen, wird dem Antragsteller per E-Mail oder SMS eine Transaktionsnummer (TAN) zugesendet, die in einem dafür vorgesehenen Formular eintragen wird - damit ist die Legitimation beendet. Der gesamte Prozess des Online-Vertragsabschlusses dauert nach Angaben der Bank fünf bis zehn Minuten. Der Kunde kann sich am Ende des Vorgangs die signierten Vertragsunterlagen herunterladen und direkt auf seinen eigenen Rechner abspeichern.

Ein Beispiel aus der Praxis

Da die digitale Signatur direkt an die Online-Legitimation gekoppelt ist, ermöglicht dieses Verfahren eine schnellere und bequemere Abwicklung des Kreditantrags und damit verbunden eine noch schnellere Auszahlung des Kredites (siehe Abbildung 2, Seite 114). Konkret kann ein wirksamer Kreditvertrag nach nur zehn Minuten abgeschlossen werden - unabhängig von Geschäftszeiten und dem Geschäftsort der Bank.

Die Süd-West-Kreditbank Finanzierung GmbH (SWK-Bank) bietet als eine der ersten Banken in Deutschland ihren Kunden seit dem 30. Januar 2017 den digitalen Kreditvertragsabschluss mit Online-Identifizierung und Online-Vertragsunterzeichnung an. Sie ist eine Direktbank mit Sitz in Bingen am Rhein, die sich auf die Vergabe von Krediten und die Annahme von Einlagen über das Internet spezialisiert hat.

Durch eine Kooperation mit einem Vertrauensdiensteanbieter so wie einer vertrauenswürdigen dritten Instanz (Trustcenter) hält die SWK-Bank für ihre Kunden beispielsweise unter couchkredit.de diesen Prozess für Kreditbeträge bis zu einer Höhe von 1 000 bis maximal 5 000 Euro vollständig digitalisiert bereit. Gleichzeitig erfüllt sie damit die europarechtlichen Anforderungen der eIDAS-Verordnung. Das garantiert höchste Sicherheit und bekämpft Kreditbetrug effektiv.

1) § 492 Abs. 1 BGB.

2) Schürnbrand in Münchener Kommentar zum BGB, § 492, Rn. 8.

3) Unter Berücksichtigung des Art. 9 Absatz 1 RL 2000/31/EG des Europäischen Parlaments und des Rates vom 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt ("Richtlinie über den elektronischen Geschäftsverkehr").

4) OLG München, Urteil vom 4.6.2012, AZ 19 U 771/12.

5) Auer-Reinsdorff/Conrad, IT- und Datenschutzrecht, § 30, Rn. 93.

6) EU-Verordnung Nr. 910/2014, abrufbar unter: www.bsi.bund.de.

7) EU-Signaturrichtlinie 1999/93/EG

8) Roßnagel, MMR 2015, 359 ff., 359.

9) Maass, Stand der Anpassung des nationalen Rechts an die eIDAS-Verordnung, Vortrag beim Workshop zum elektronischen Siegel am 7.3.2016, BMWi, Berlin.

10) Art. 3 Nr. 10 eIDAS-Verordnung.

11) Art. 3 Nr. 11 i. V. m. Art. 26 eIDAS-Verordnung

12) Art. 3 Nr.12 eIDAS- Verordnung

13) Sutter, CEN Normungsaktivitäten mit Bezug zu EIDAS, TüViT Workshop, Berlin 7.3.2016.

14) Vgl. § 2 Nr. 3 SigG

15) Kügler, Dennis, Remote Signatures und mögliche Angriffe, 25. SmartCard Workshop des BSI, 4. und 5.2.2015.

16) Ballüder/Kürth/Buschke, EU-Verordnung ebnet Weg zur Prozessdigitalisierung, in: Die Bank - Zeitschrift für Bankpolitik und Praxis, Februar 2016, S. 62.

17) Art. 24 Abs. 1 lit. b eIDAS-Verordnung.

18) Art. 24 Abs. 1 eIDAS-Verordnung.

19) Roßnagel, DNotZ-Sonderheft 2016, S. 142 ff., S. 146.

20) Roßnagel, MMR 2015, 359 ff., S. 361.

21) Degen/Emmert, Elektronischer Rechtsverkehr, § 7 Umsetzung und Muster-Workflow, Rn. 362.

22) Vgl. BaFin, Rundschreiben 1/2014 (GW) - Verdachtsmeldung nach §§ 11, 14 GwG und anderes vom 5.3.2014, geändert am 10.11.2014.

DIE AUTORINNEN: Dr. Stela Rrjolli, LL. M. Eur., Frankfurt am Main,ist Rechtsanwältin und Senior Associate bei der Rechtsanwalts- und Steuerberatungsgesellschaft EY Law GmbH. Sie berät Kreditinstitute und Versicherungsunternehmen in Bank- und Kapitalmarkrecht sowie Corporate/M&A.E-Mail: stela.rrjolli[at]de.ey[dot]comMona Pirouz, Frankfurt am Main,ist Rechtsanwältin und Associate bei der Rechtsanwalts- und Steuerberatungsgesellschaft EY Law GmbH. Ihre Beratungsschwerpunkte liegen im IT-Recht und im Datenschutzrecht.E-Mail: mona.pirouz[at]de.ey[dot]com

Weitere Artikelbilder

Noch keine Bewertungen vorhanden


X