SCHWERPUNKT26. Februar 2024

DLT und “das Recht auf eine Wallet”: EUDI-Wallet, eIDAS2.0 & Co

Schwerpunkt: DLT, Blockchain & CBDC
Dr. Christoph Wronka, Director im Bereich Anti-Financial Crime Advisory FSI, Deloitte Deutschland und DLT-Experte
Dr. Christoph Wronka, Director im Bereich Anti-Financial Crime Advisory FSI, Deloitte Deutschland

Distributed-Ledger-Technologie (DLT) und die Blockchain: Rechtlicher Hintergrund, politische Strukturen und warum sich vor allem hochregulierte Branchen mit dem Thema befassen sollten.

von Dr. Christoph Wronka, Director im Bereich Anti-Financial Crime Advisory FSI, Deloitte Deutschland, und Steffen Schwalm, Senior Manager Digital Identity and Trust, msg

Bis 2019 hat die Distributed-Ledger-Technologie (DLT) und ihr bekanntester Vertreter, die Blockchain, einen regelrechten Hype ausgelöst, insbesondere der bekannte Anwendungsfall Bitcoin.

Steffen Schwalm,  Senior Manager Digital Identity and Trust, msg und DLT-Experte
Steffen Schwalm,  Senior Manager Digital Identity and Trust, msg

Nach dem Bitcoin-Crash und insbesondere den Sicherheitsbedenken des BSI kamen erste Zweifel an der tatsächlichen Leistungsfähigkeit, Sicherheit und dem Vertrauen in die DLT auf. In diesem Zusammenhang wurde die Standardisierung von DLT vorangetrieben und die Industrie sowie der öffentliche Sektor nutzten die Chance, die Technologie für hochregulierte Branchen mit entsprechenden Anforderungen an regulatorische Verbindlichkeit.

Um DLT für vertrauenswürdige digitale Transaktionen zu nutzen, ist es notwendig, Sicherheit prüfbar und damit Vertrauen in die Transaktionen nachweisbar zu halten. Aufgrund des Fehlens geeigneter Standards zur Erfüllung dieser Anforderungen war es nicht möglich, DLT für vertrauenswürdige digitale Transaktionen im Allgemeinen und dezentralisierte Identitäten im Besonderen zu nutzen, wie sie in regulierten Umgebungen benötigt werden.

eIDAS2.0 schafft einen rechtlichen und technischen Rahmen für vertrauenswürdige dezentrale Identitäten mit der EU-Digital-Wallet und damit verbundenen (qualifizierten) Vertrauensdiensten mit oder ohne DLT auf der einen Seite, aber mit einem qualifizierten Vertrauensdienst für Electronic Ledger auf der anderen Seite.”

Die Verordnung eIDAS2.0 schafft einen rechtlichen und technischen Rahmen für vertrauenswürdige dezentrale Identitäten mit der EU-Digital-Wallet und damit verbundenen (qualifizierten) Vertrauensdiensten mit oder ohne DLT auf der einen Seite, aber mit einem speziellen qualifizierten Vertrauensdienst für Electronic Ledger auf der anderen Seite. Obwohl der Begriff Electronic Ledger in der neuen nicht notwendigerweise nur DLT bedeutet, scheint diese Verordnung ein Schritt nach vorne zu sein, um die Lücken zu schließen und die Nutzung von DLT in regulierten Umgebungen mit typischerweise umfassenden Anforderungen an nachgewiesene Sicherheit und rechtliches Vertrauen zu ermöglichen.

eIDAS 2.0 und DLT

Im Dezember 2023 stimmte der ITRE-Ausschuss des Europäischen Parlaments der endgültigen Fassung von eIDAS 2.0 zu. Die vermutlich größte Änderung  besteht darin, dass jeder Mitgliedsstaat seinen natürlichen Personen eine EU Digital Wallet zur Verfügung stellen muss. Die Wallet kann von einem Mitgliedstaat veröffentlicht werden, unter der Autorität eines Mitgliedstaates stehen oder von einem Mitgliedstaat anerkannt sein. Dies macht auch private Wallets unter der Anerkennung eines Mitgliedstaates möglich.

Autor Dr. Christoph Wronka
Dr. Christoph Wronka ist Director im Bereich Anti-Financial Crime Advisory FSI und leitet die Expertengruppe “Blockchain, Digital Assets and Financial Crime” von Deloitte Deutschland. Seine Beratungstätigkeit konzentriert sich auf die Unterstützung seiner Kunden bei der Erfüllung ihrer regulatorischen Anforderungen, insbesondere in den Bereichen Compliance und Geldwäscheprävention. Neben seiner Tätigkeit bei Deloitte ist Dr. Wronka Mitglied der TEG on AML/CASPs der European Banking Authority und Mitglied des Expertenbeirats des Blockchain Bundesverbands (Bundesblock)
Die Wallet wird sowohl die persönliche Identifizierung des Bürgers oder der Organisation, also die Grundlage beispielsweise für die Erfüllung der KYC-Anforderungen nach § 11 ff. GWG, jedoch auch sogenannte (qualifizierte) Attributsbescheinigungen, also digitale Nachweise wie Kontoangaben, Zahlungsinformationen enthalten. Die technischen Anforderungen ans EUDI-Wallet sowie bspw. der qualifizierten Vertrauensdienste zur Ausstellung der Attributsbescheinigungen werden aktuell im so genannten Architecture and Reference Framework durch die Expert Group (eIDAS Toolbox) der EU-Mitgliedsstaaten definiert. Dabei kann es sich auch um eine DLT handeln, wie bspw. die European Blockchain Service Infrastructure.

Eine Pilotierung erfolgt aktuell durch die sogenannte Large Scale Pilots, von denen mit dem von Spanien geführten Digital Credentials for Europe (DC4EU)  sowie dem von Schweden und Finnland geführten EU Digital Wallet Konsortium (EWC) auch zwei unter anderem auf DLT setzen. In beiden sind deutsche Unternehmen und Organisationen aktiv, wobei insbesondere EWC mit Payment auch einen expliziten Anwendungsfall aus dem Bank-/Finanzwesen umsetzt. Im NOBID-Konsortium wird ebenso Payment realisiert, das offizielle deutsche Konsortium ist das von Frankreich und Deutschland geführte Konsortium Potential.

Anforderungen an EUDI-Wallet und (qualifizierte) Vertrauensdienste mit und ohne DLT

Jedes EUDI-Wallet sowie jeder qualifizierte Vertrauensdienst so genannte QTSP werden von einer unabhängigen Konformitätsbewertungsstelle gegen verbindliche europäische Standards zertifiziert. Die Vorgaben werden in den europäischen Standardisierungsorganisationen ETSI und CEN entwickelt. Durch verbindliche Durchführungsrechtsakte werden sie de facto regulatorisch verbindlich. Die Kernanforderungen an QTSP wie zum Beispiel vollständige Haftung beim QTSP, regelmäßige Rezertifizierung, Berichtspflicht zu Sicherheitsfragen etc. bleiben auch in eIDAS 2.0 erhalten.

Beim EUDI-Wallet liegt die Haftung de facto beim Mitgliedsstaat als Herausgeber. Eine grundlegende Änderung ist die Bindung von QTSP an die NIS2-Richtlinie.”

Autor Steffen Schwalm, msg
Steffen Schwalm

verfügt über mehr als 15 Jahre Erfahrung in der Konzeption, Implementierung und Einführung vertrauenswürdiger (dezentraler) digitaler Ökosysteme auf Basis digitaler Identitäten und Vertrauensdienste in stark regulierten Branchen in Europa. Er arbeitet als Senior Manager Digital Identity and Trust bei msg. Seine Hauptthemen sind Legal Compliance und Governance (z. B. eIDAS, eIDAS 2.0 usw.), Dezentrale digitale Identitäten und Wallets, DLT und Blockchain, Trust Services, Zertifizierung und Audit sowie Cybersecurity. Steffen Schwalm beteiligt sich an der internationalen Normung hinsichtlich DLT, SSI und Security u.a. in ISO, ETSI, CEN und ist Autor zahlreicher Publikationen. Seit langem ist er an der Gestaltung des europäischen digitalen Identitäts- und Trust-Framework beteiligt so aktuell u.a. in den Large Scale Pilots sowie an der Europäischen Blockchain Infrastruktur EBSI.

Im Ergebnis wird jeder QTSP Teil der Kritischen Infrastruktur und damit im Falle der Verwendung auch die eingesetzte DLT.

Für jeden (qualifizierten) Vertrauensdienst werden in eIDAS2 auch obligatorische Durchführungsbestimmungen gefordert, die auf europäische Normen verweisen. Da für jeden (qualifizierten) Vertrauensdienst auch DLT als Infrastruktur möglich ist, werden diese Normen die erforderlichen Sicherheits- und Vertrauensanforderungen definieren, die von der Konformitätsbewertungsstelle zertifiziert werden.

Die aus Sicht DLT beziehungsweise Blockchain spannendste Änderung in der eIDAS 2.0 ist Sektion 11, Diese definiert sog. QTSP for Electronic Ledger und kann als faktisch Regulierung für die Europäische Blockchain Service Infrastructure (EBSI) – also DLT gesehen werden. Damit wird der Provider eines DLT-Netzwerks erstmals umfassend reguliert. Auf ihn treffen alle vorgenannten Anforderungen an QTSP, also Zertifizierung durch Konformitätsbewertungsstelle, vollständige Haftung bis hin zur Zugehörigkeit zur Kritischen Infrastruktur zu. DLT wird also in das eIDAS Trust Framework integriert.

Es ist anzumerken, dass sich Sektion 11 eIDAS 2.0 auf alle Anwendungsfälle konzentriert, die nicht von EUDI Wallet oder allen anderen (qualifizierten) Vertrauensdiensten abgedeckt werden, wie (qualifizierte) Signaturen, Siegel, Zeitstempel, Bescheinigungen, elektronische Zustellung usw. Das bedeutet, dass DLT als Infrastruktur für jede EUDI Wallet und auch für jeden anderen QTSP verwendet werden kann – die Sicherheit wird im Rahmen der Zertifizierung nachgewiesen, aber es besteht keine Notwendigkeit, QTSP für Ledger als Voraussetzung für die Bereitstellung eines anderen (qualifizierten) Vertrauensdienstes oder eines EUDIW zu verwenden. Diese Unterscheidung ist wichtig, da sie zum einen das Anwendungsgebiet einer quasi zertifizierten DLT deutlich erweitert, zum anderen zu den Kernanwendungsfällen für QTSP for Electronic Ledger führt, wie:

  • Tokenisierung oder digitale Vermögenswerte
  • Kryptowährungen
  • Rückverfolgbarkeit in Lieferketten und digitaler Produktpass
  • Web 3 Anwendungen
  • Digital Payment

Mit der EBSI hat die Europäische Union eine europäische DLT-Infrastruktur geschaffen, die von den Mitgliedsstaaten bereitgestellt wird. Dies bedeutet, dass die DLT-Knoten in der Verantwortung der Mitgliedsstaaten liegen und so einen staatlichen Vertrauensanker gewährleisten. Da die EBSI eigene Governance- und technische Spezifikationen sowie Konformitätstests für Wallets enthält, könnte sie die Sicherheits- und Vertrauensprobleme in der DLT lösen, aber da es ihr an Sicherheitsstandards und unabhängigen Audit-Prozessen mangelt, war das Wachstum der EBSI bislang begrenzt. Neben EBSI gab es auch andere nationale oder private DLT-Netzwerke, zum Beispiel Alastria in Spanien, ID Union in Deutschland oder Findynet in Finnland.

Aktuell fördert die EU Kommission im Digital Europe Programme verschiedene europäische Konsortien bei der Weiterentwicklung der EBSI im Hinblick auf eIDAS 2.0. Der Fokus liegt dabei zum einen auf der Anpassung von Governance und technischen Spezifikationen, zum anderen auf möglichen Business Cases für Wallet oder die o.g. (qualifizierten) Dienste zur Nutzung von EBSI für konkrete Anwendungsfälle wie bspw. digitale Nachweise, Tokenization, Kryptowährungen etc. Mit EBSI-VECTOR und EBSI-TRACE4EU seien nur zwei Beispiele genannt, bei denen insbesondere deutsche Unternehmen und Behörden vertreten sind.

Zusammenfassung

Zusammenfassend schafft eIDAS 2.0 die Grundlage für einen möglichen Durchbruch der DLT in hochregulierten Branchen, wobei die Beweislast und die Dokumentationsanforderungen als Hauptanforderungen von QTSP für Ledger bzw. Anbieter von EUDIW erfüllt werden müssen. QTSP mit Ledger. Die [EBSI] kann als gemeinsame europäische Infrastruktur fungieren, da ihr staatlicher Vertrauensanker einen zusätzlichen Vorteil im Vergleich zu vollständigen privaten Netzwerken darstellt. Christoph Wronka, Deloitte Deutschland und Steffen Schwalm, msg/ dk

DLT/Blockchain: Use Case Geldwäsche
Kenishirotie / Bigstock

Kreditinstitute sind aufgrund der schnellen Geldumlaufgeschwindigkeit und dem damit einhergehenden Geldwäscherisiko zur Ergreifung geeigneter Maßnahmen verpflichtet und müssen bei der Umsetzung der Maßnahmen das jeweilige Produktrisiko einbeziehen.

Know Your Customer (KYC) sowie Transaktionsmonitoring (TM) sind die wichtigsten Säulen der Sorgfaltspflicht gegenüber Kunden und der Prävention von Finanzkriminalität. Im Rahmen der dafür generierten Prozesse müssen unter anderem die jeweiligen produktspezifischen Risiken von Kryptowährungen berücksichtigt werden. Bei Non-Fungible Token (NFT) besteht beispielsweise ein hohes Geldwäscherisiko. NFTs werden nicht direkt über Banken gehandelt und vertrieben, jedoch sollten Banken im Rahmen ihres TM beispielsweise bei Zahlungseingängen von NFT-Handelsplattformen das Risiko der Transaktion dementsprechend beurteilen.

Bei Fungible Token wie Stablecoin, Currency, oder vermögenswertreferenzierten Token besteht ein Geldwäscherisiko, jedoch entfällt der Risikofaktor der oft scheinbar willkürlichen Preisbildung der Token weg. Eine Geldwäschestrategie ist beispielsweise der Einsatz von Krypto-ATMs. Hierzu erwerben Kriminelle Kryptowerte durch Bareinzahlungen am Krypto-ATM. Einige dieser Automaten erstellen automatisch Wallets, dies ermöglicht den Kriminellen teilweise anonym, Vermögenswerte weltweit zu transferieren. Die Nutzung von Krypto-ATMs kann einen Geldwäscheverdacht begründen. Als weitere Geldwäschestrategie gilt die Nutzung von Mixing-Diensten.

In diesem Kontext sammelt ein Dienstleister Kryptowerte von verschiedenen Akteuren an, um die Herkunft der Vermögenswerte zu verschleiern. Die Nutzung von Mixing-Diensten begründet einen Geldwäscheverdacht. Während in der Fiat-Welt keine Pseudonyme verwendet werden, werden beim TM von Kryptowerten Tools eingesetzt, welche die Verbindungen von Pseudonymen und deren gehaltenen Vermögenswerte analysieren und dem Kunden zuordnen. Für Wallet-Betreiber, Handelsplattformen und Krypto-Dienstleister besteht die gesetzliche Pflicht, KYC-Prozesse zu implementieren, um die erforderlichen personenbezogenen Daten zu der agierenden Person zurückverfolgen zu können. Trotz der bereits genannten Maßnahmen sind insbesondere Peer-2-Peer Kryptowährungsplattformen sowie Local-Bitcoins (persönliche Treffen zwischen Käufern und Verkäufern und Erwerb der Kryptowährung gegen Bargeld) anfällig für eine missbräuchliche Verwendung im Sinne von Geldwäsche, da vorab kein KYC vorgenommen wird. Eine verstärkte Zusammenarbeit zwischen Plattformen, Regulierungsbehörden und der Krypto-Community ist entscheidend, um diese Herausforderungen anzugehen und das Potenzial der Peer-2-Peer Transaktionen sicher zu nutzen. Kriminelle nutzen oft die unterschiedlichen Rechtsprechungen in verschiedenen Ländern aus. Eine effektive Bekämpfung erfordert eine verbesserte internationale Zusammenarbeit der Banken und Aufsichtsbehörden.

Die Schließung dieser Lücken ist entscheidend, um Geldwäsche effektiv zu bekämpfen.

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/206510

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert