GwG-konforme Signaturen durch qualifizierten Diensteanbieter nach eIDAS möglich Zusammenfassung Die Identifikation und Legitimierung von Kunden ist ein Kerninstrument der Geldwäschebekämpfung Bei nicht persönlich anwesenden Vertragspartnern (e.g. Online-Geschäfte) findet die verstärkte Sorgfaltspflicht Anwendung; Video-Ident- Verfahren betrifft dies nicht1 Sofern durch VDG bestätigt, wird es in Zukunft möglich sein der verstärkten Sorgfaltspflicht mittels Server-Signaturen durch Vertrauens- diensteanbieter nachzukommen Aktuelle Regulierung - Signaturgesetz Signaturerzeugungsmittel unter alleiniger Kontrolle des Unterzeichners Für die Zertifikatserstellung für Unterzeichner ist Besitz einer sicheren Signaturerstellungseinheit (SSEE) erforderlich Speicherung von Signaturschlüsseln außerhalb der SSEE unzulässig Geldwäschegesetz Identifikation von Vertragsparteien im Geldwäschegesetz (GwG) geregelt, um Geldwäsche zu bekämpfen Verstärkte Sorgfaltspflicht gilt bei Vertragspartnern, die zur Identitätsfeststellung nicht persönlich anwesend sind Eine qualifizierte elektronische Signatur (QES) mit einem qualifizierten Zertifikat darf in diesem Fall verwendet werden Unterzeichner Signatur-Server eIDAS Vertrauensdiensteverordnung seit Juli 2016 Signaturerstellungsdaten sollen mit einem hohen Maß an Vertrauen unter alleiniger Kontrolle des Unterzeichners sein Kein Besitznachweis einer SSEE notwendig Speicherung und Verwaltung privater Signaturschlüssel durch Vertrauensdiensteanbieter explizit möglich Unterzeichner Signatur-Server Authentifizierung 1gemäß BaFin Rundschreiben 1/2014

eIDAS enables MLA-compliant signatures through qualified service provider Summary The identification and legitimacy of customers is a key instrument for anti- money laundering In case of non-personally present contracting partners enhanced diligence obligations apply (eg. online transactions); video identification methods are are not affected1 If confirmed by Trust Services Law (TSL) the enhanced diligence obligations via server signatures by trust service provider will be allowed Current regulation – Signature Law Signature generation method under signatory’s sole control For certificate generation, the signatory is required to own a secure-signature creation device (SSGCD) Storage of signature keys outside the SSGD is not permitted Money Laundering Act Identification of contracting partners regulated within Money Laundering Act (MLA) to prevent money laundering Enhanced diligence obligations for contracting partners that are not personally present for the purpose of verifying their identity A qualified electronic signature (QES) with a qualified certificate is allowed to be used in that case Signatory Signature server eIDAS trusted services regulation from July 2016 Signature-creation-data should stay under signatory’s sole control with a high level of trust No deed of ownership of a SSGD required Storage and management of private signature keys by trust service providers is explicitly allowed signatory Signature server Authentication 1according BaFin circulation 1/2014