1.
Überblick über die rechtlichen Rahmenbedingungen für webbasierte und mobile Zahlungssysteme ^
Gemäss Prof. Dr. Rolf H. Weber fehlt bis heute in der Schweiz und auch in weiten Teilen des Auslands eine Regulierung neuer Marktteilnehmer im Bereich der Zahlungsdienste. Immerhin gibt es einige wenige Beispiele für Regulierungsansätze von webbasierten und mobilen Zahlungssystemen im Ausland, wie Brasilien und der Staat New York. Die EU hat im Hinblick auf neue Zahlungssysteme die Richtlinie zu E-Geld-Instituten bereits 2009 revidiert; zudem ist eine Revision der Zahlungsdienste-Richtlinie vorgesehen. Nachdem der Bundesrat nun aber seinen Bericht zu virtuellen Währungen1 veröffentlicht hat, scheinen Regulierungen in diesem Gebiet für die Schweiz in weiter Ferne zu liegen, zumal er in diesem Bericht einen dringenden Handlungsbedarf verneint und den Standpunkt einnimmt, dass aktuelle Rechtsfragen mit den bestehenden Regulierungen lösbar sind.
Für die verschiedenen Rechtsgebiete führen diese neuen Zahlungsmodelle teilweise zu hohen, zum Teil aber auch zu geringen «Rechtsrisiken». Zu den Bereichen mit geringen Risiken zählen das Bargeldmonopol des Bundes (Art. 99 Abs. 1 der Bundesverfassung [BV]), die Normen zu Zahlungssystemen gemäss dem Nationalbankgesetz (NBG) und die Regelungen zur Börse sowie zu alternativen Handelsplattformen gemäss dem Börsengesetz (BEHG), weil Bitcoins und andere virtuelle Währungen heute nicht zu den alternativen Handelsplattformen zählen. Schwierigkeiten bietet eher die Anwendung des Bankengesetzes (BankG), da in der Schweiz keine Sonderregelung zu E-Geld-Instituten, wie etwa in der EU, oder zu Rechnungseinheiten besteht. Es stellt sich die Frage, ob Anbieter von webbasierten und mobilen Zahlungssystemen als Bank gem. Art. 1 Abs. 2 BankG und Art. 3a der Bankenverordnung (BankV) und Ziff. 18bis des FINMA-Rundschreibens 2008/3 qualifiziert werden können. Zur Beantwortung dieser Frage müsste zunächst zwischen den verschiedenen Diensten der Anbieter unterschieden werden. So können webbasierte und mobile Zahlungssysteme folgende Tätigkeiten übernehmen: Betreiben von Plattformen für den Kauf und Verkauf virtueller Währungen, die Verwendung und Annahme von webbasierten und mobilen Zahlungen als Zahlungsmittel für den Erwerb von Gütern und Dienstleistungen sowie für den Kauf und Verkauf virtueller Währungen (hierzu eingehend das Referat von Prof. Dr. Seraina Grünewald). Das Rundschreiben der FINMA fasst den Begriff der Bankintermediäre sehr weit. Entsprechend ist es zwar denkbar, Anbieter neuer Zahlungsformen als Bankintermediäre zu qualifizieren, in der Regel werden Drittanbieter jedoch nicht dazu zu zählen sein.
2.1.
Risiken bei der Anwendung von Mobilgeräten ^
Die geschilderten Banking- und Zahlungsmodelle sind mit verschiedenen Bedrohungen konfrontiert, so etwa dem Geräteverlust oder -diebstahl, Software-Fehler, Schadcodes, Rooting2, Täuschung oder Backdoors3. Das bekannteste Beispiel ist wohl die Manipulierung von Sensoren in einem Gerät, bspw. der Kamera oder des Mikrofons. So ist es etwa möglich, die Kamera auf einem Handy unbemerkt aus einem App heraus oder über das Handynetzwerk bzw. das Internet (remote) einzuschalten. Dadurch kann dann z.B. ab einer Frontkamera-Auflösung von ca. 10 Megapixeln der eingegebene E-Banking Pin aus der Spiegelung in den Augen des Nutzers abgelesen werden. Darüber hinaus tragen die Nutzer dieser Zahlungssysteme oft selber zum Problem bei, indem sie sich täuschen lassen bzw. die vom Anbieter vorgegebenen Sicherheitsregeln nicht einhalten. Weitere Gefahren bestehen etwa im unbemerkten Erheben von Metadaten, im Ausspähen von Credentials, im App-Spoofing4, im verdeckten Rooting oder in Angriffen auf den Lockscreen.
Abschliessend verweist Eberle auf drei verschiedene Ansätze, um webbasierte und mobile Zahlungssysteme zu sichern: den rein technischen, den interdisziplinären und den rein rechtlichen Ansatz. Wird zum Schutz eines Zahlungssystems der erste Ansatz angewendet, können zwar die meisten technischen Risiken verhindert werden, die Gefahren durch Hacking mit neuen Methoden, Sicherheitslücken wegen Systemfehlern, Täuschung und staatlichen Angriffen werden aber immer bestehen. Beim interdisziplinären Ansatz handelt es sich um eine Kombination aus technischen, operativen und juristischen Elementen. Dadurch kann ein Gerät z.B. zu 99% vor potentiellen Bedrohungen geschützt werden. Das verbleibende z.B. 1% Risiko wird in Kauf genommen und aus den Erträgen der Zahlungsdienstleistung gedeckt, welche entsprechend hoch sein müssen. Der dritte (möglicherweise noch nie vertieft untersuchte) Ansatz wäre Sicherheit durch eine Regulierung von webbasierten und mobilen Zahlungssystemen.
2.2.
Zukunftsszenarien für Cryptocurrencies – Wenn sich die Wolke verselbständigt ^
Der Referent verweist nach seiner technischen Einführung auf die wichtigsten Rechtsfragen im Bereich von Bitcoins: Ist ein Bitcoin ein Zahlungsmittel nach Geldwäschereigesetz (GwG) und Mehrwertsteuergesetz (MWStG)? Können Bitcoins als Währung oder Devisen nach dem Kollektivanlagengesetz (KAG) qualifiziert werden? Sind Miner5 als Finanzintermediäre zu qualifizieren? In der Schweiz setzt der Betrieb einer Bitcoin-Börse wegen der Kundeneinlagen nach Auffassung von Meisser eine Bankenlizenz voraus. Aus seiner Sicht sollten Bitcoins jedoch nicht als E-Geld definiert werden, da E-Geld einen Emittenten voraussetzt. Ferner ist Meisser der Ansicht, dass Miner nicht als Finanzintermediäre qualifiziert werden können, da sie zu keinem Zeitpunkt über die transferierten Bitcoins verfügen. Die Frage, ob Bitcoins als Währung zu klassifizieren sind, ist umstritten, würde aber aus Sicht des Referenten Sinn machen.
3.
Podiumsdiskussion ^
An der ersten Podiumsdiskussion, welche sich den technischen Hintergründen und Möglichkeiten von webbasierten und mobilen Zahlungssystemen widmete und die von Florent Thouvenin moderiert wurde, nahmen neben den drei Referenten des ersten Teils auch Frau lic. iur. Claudia Keller, Rechtsanwältin in Zürich, und Frau lic. iur. Nicole Beranek Zanon EMBA HSG, Rechtsanwältin in Zug, teil.
Beranek Zanon hielt einleitend fest, dass sich die Gesellschaft in einem Paradigmenwechsel befindet. So findet zurzeit eine Ablösung bestehender Zahlungsmöglichkeiten statt, wodurch das Geschäftsmodell der Banken ins wanken gerät. Dadurch können Distanzen überwunden werden, da z.B. eine Zahlung von den USA in die Schweiz mit der Hilfe von Bitcoins innert Sekunden ausgelöst werden kann. Diese Mobilität von Zahlungen wird die derzeit noch bestehenden regulatorischen Hürden und sicherheitstechnischen Risiken langfristig überwinden, weshalb sich bestehende Dienstleistungsanbieter (bspw. Banken) mit diesen neuen Modellen auseinandersetzen und ihre Geschäftsmodelle anpassen müssen. Das grösste Problem stellt derzeit die Regulierung dar, welche die neuen Modelle zu verhindern bzw. sie unter die geltenden Bestimmungen zu subsumieren versucht.
Nach diesen Einstiegsstatements eröffnet Thouvenin die Diskussion für alle Teilnehmer der Tagung. Es stellt sich zuerst die Frage, ob ein Gerät geschützt ist, wenn Citrix darauf installiert ist? Eberle führt aus, dass in der PC-Welt verbreitete Schutzkonzepte (z.B. Virenscanner, Firewalls) auf Handys wenig effektiv seien, weil Handys eine andere Softwarearchitektur aufweisen: Im Gegensatz zu PCs wirken Schutzprogramme auf Handys i.d.R. nur auf Anwendungs- und Anwenderebene, d.h. mit höchstens gleich langen Spiessen wie Malware, und nicht wie bei PCs auf Betriebssystem- und Administratorebene, d.h. ohne taktische Vorteile gegenüber dem Angreifer. Für Anbieter von Sicherheitssoftware sei es i.d.R. nicht möglich, ihre Schutzprodukte im Betriebssystem und mit Root-Privilegien zu installieren. In der «Sandbox»6 eines Apps gespeicherte Daten seien nur so sicher wie die Wände der Sandbox. Durch Softwarefehler, Rooten oder Aktivieren des Debugmodus würden die Wände der Sandbox durchlässig. Weitere Gefahren lauern im «Repackaging»7 von Apps gepaart mit Betriebssystemschwachstellen, so dass sich ein schon länger installiertes App plötzlich bösartig verhält (z.B. scheinbar wie bisher funktioniert, aber den eingegebenen PIN stillschweigend an einen externen Server weiterleitet). Stammen zwei Android-Apps vom gleichen Entwickler, ist es möglich, dass diese Apps verdeckt miteinander kommunizieren und so ihre indivdiuellen Sicherheitsfreigaben (Permissions) kombinieren (sog. «Privilege Escalation»).
4.1.
Rechtsfragen bei virtuellen Währungen ^
4.2.
E-Banking 2.0: Regulierung und Marktzutritt von Drittanbietern von Zahlungsdienstleistungen heute und morgen ^
Der aktuelle Rechtsrahmen der EU für TPPs präsentiert sich wie folgt: Gemäss der Verordnung EU Nr. 260/2012 erfolgen Zahlungen innerhalb der EU nach den Standards der SEPA (Single European Payment Area). Die SEPA dient der Vereinheitlichung von bargeldlosen Zahlungen. 150 Schweizer Institute sind diesem System angeschlossen. Das Angebot von webbasierten und mobilen Zahlungssystemen unterliegt der PSD (Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt [Zahlungsdienste-Richtlinie]). Die PSD regelt das Bank-zu-Kunden-Verhältnis und dient dem Wettbewerbs- und Konsumentenschutz. Dadurch werden grenzüberschreitende Zahlungen ermöglicht und der Marktzutritt und die Transparenz gewährleistet. Unter diese Richtlinie fallen auch sog. Zahlungsinstitute, wie z.B. PayPal, also Zahlungsdienstleister, die keine Einlagen entgegennehmen und damit keine Bankenfunktion haben (sog. Enabler). Die novellierte PSD (PSD-2) wird überdies Anforderungen an Zahlungsauslöse- und Kontoinformationsdienste enthalten. Diese werden künftig auch der sog. NIS Richtlinie (Richtlinie des Europäischen Parlaments und des Rates über die Massnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informtionssicherheit in der Union [«Cybersecurity-RL»]) unterliegen.
Es stellt sich die Frage, welche Auswirkungen die PSD-2 bei in Kraft treten auf die Schweiz hätte. Eine fortgesetzte SEPA Teilnahme bedingt u.a. verbindliche und äquivalente nationale Anforderungen an TPPs. So wäre die Teilnahme an der SEPA wohl gefährdet, wenn die Schweiz in Sachen Regulierung von Drittanbietern untätig bleibt. Die SEPA Rulebooks verlangen, dass Titel III und IV der PSD im Schweizer Recht oder in der verbindlichen Rechtspraxis reflektiert werden müssen («effectively represented in law or in substantially equivalent binding practice»). Die EU-rechtliche TPP-Regelung wurde neu in Title IV der PSD-2 eingefügt. Die EZB hat Empfehlungen für die Behandlung von TPPs abgegeben, welche dieses Jahr noch in Kraft treten sollen, in denen verlangt wird, dass TPPs die gleichen Sicherheits- und Kontrollmassnahmen wie Banken in ihren Systemen implementieren müssen. Weiter empfiehlt die EZB, dass Drittanbieter einen hohen Grad an Transparenz gewährleisten. Darüber hinaus sollen keine Credentials zwischen der Bank und den TPPs ausgetauscht werden, und die Dauer des Kontozugangs über das Internet oder Mobiltelefon soll auf ein Minimum reduziert werden.
4.3.
Rechtliche Anforderungen an System- und Datensicherheit und Compliance für webbasierte und mobile Zahlungen ^
Im Hinblick auf die Compliance eines Anbieters von webbasierten oder mobilen Zahlungsdiensten mit dem Datenschutzgesetz (DSG) ist vor allem die Einhaltung der in Art. 4 DSG genannten Datenschutzgrundprinzipien von Bedeutung: Rechtmässigkeit der Datenbearbeitung, Bearbeitung nach Treu und Glauben, Zweckbindungs-, Verhältnismässigkeits- und Erkennbarkeitsprinzip. Darüber hinaus verankert Art. 6 DSG strikte Voraussetzungen für den Datenaustausch mit Drittstaaten. So muss eine Bearbeitung der ins Ausland transferierten Personendaten den gleichen Datenschutzstandards wie in der Schweiz unterliegen. Hierzu hat der EDÖB eine Art Mustervertrag das «Swiss Transborder Data Flow Agreement» für grenzüberschreitendes Outsourcing veröffentlicht. Die Bekanntgabe von Kundendaten an Dritte ist zudem nur erlaubt, wenn vorher die Einwilligung des Betroffenen eingeholt wurde9. Aus technischer Sicht ist Art. 7 DSG, welcher die Datensicherheit gewährleistet, für die Compliance von grosser Bedeutung. So legt dieser Artikel fest, dass alle Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden müssen. Dies setzt die Vertraulichkeit, Verfügbarkeit und Richtigkeit der Daten (Art. 5 DSG) des Betroffenen voraus10.
Hess schliesst seinen Vortrag mit der Feststellung, dass heute in der Schweiz Rechtsunsicherheit besteht hinsichtlich die anwendbaren Regeln für Anbieter webbasierter und mobiler Zahlungsdienste. Neue Zahlungssysteme müssen reguliert (es bieten sich Art. 81 f. des Finanzmarktinfrastrukturgesetzes [FinfraG] an als gesetzliche Grundlage) und Verantwortlichkeiten definiert werden, um mehr Rechtssicherheit zu garantieren. An oberster Stelle sollte die Schaffung von Vertrauen in ein solches System stehen, denn nur dann können sich diese neuen Zahlungsmodelle durchsetzen.
5.
Schlussdiskussion ^
Keller stellte die These auf, dass die ganze Problematik letztlich auf die Frage zurückgeführt werden kann, ob diese neuen Zahlungsmodelle reguliert werden sollen. Aus den Referaten ging aus ihrer Sicht klar hervor, dass gesetzlicher Handlungsbedarf besteht, die Umsetzung aber Zeit beanspruchen wird. In der Zwischenzeit kann diese Regulierungslücke mit vertraglichen Abmachungen geschlossen werden. In diesem Zusammenhang ist jedoch klar, dass Banken ihre Schnittstellen nicht wegbrechen lassen und Drittanbieter nicht gleich viel Verantwortung wie die Banken übernehmen wollen.
Rehana Harasgama, M.A. HSG, studierte an der Universität St.Gallen (HSG) Rechtswissenschaften und schloss ihren Master 2013 ab. Seither ist sie an der Forschungsstelle für Informationsrecht der Universität St.Gallen (FIR-HSG) als Doktorandin tätig. Sie verfasst ihre Dissertation im Rahmen des SNF-Projekts «Remembering and Forgetting in the Digital Age» bei Prof. Dr. Peter Hettich und Prof. Dr. Florent Thouvenin. Dabei beschäftigt sie sich intensiv mit dem Schnittpunkt der drei Themenbereiche Datenschutz, staatlicher Informationsanspruch und Archivierungsrecht. Seit Januar 2014 ist sie Mitglied des Herausgeberteams der Schriftenreihe der Assistierenden der Universität St.Gallen und Vorstandsmitglied des Doktorandenvereins DocNet der Universität St. Gallen.
- 1 Bericht des Bundesrates zu virtuellen Währungen in Beantwortung der Postulate Schwaab (13.3687) und Weibel (13.4070), abrufbar unter: http://www.news.admin.ch/NSBSubscriber/message/attachments/35361.pdf, zuletzt besucht am 19. November 2014.
- 2 Rooting nennt man den Prozess, der Nutzern von Smartphones, Tablets oder anderen Geräten erlaubt, mit dem bestehenden Betriebssystem eine privilegierte Steuerung innerhalb des Subsystems dieser Geräte zu erlangen. Rooting wird oft mit dem Ziel der Überwindung von (Sicherheits-) Einschränkungen genutzt.
- 3 Als Backdoor (auch Trapdoor oder Hintertür genannt) bezeichnet man einen (oft vom Autor eingebauten) Teil einer Software, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen.
- 4 Spoofing (auf Deutsch Manipulation, Verschleierung oder Vortäuschung) nennt man in der Informationstechnik verschiedene Täuschungsversuche in Computernetzwerken oder in diesen Fällen mobilen Geräten zur Verschleierung der eigenen Identität des Angreifers («Wolf im Schafspelz») mit dem Ziel des Missbrauchs der betroffenen Geräte.
- 5 Grundsätzlich können sich alle Teilnehmer am Mining mit Hilfe von Bitcoin Cores beteiligen. Durch das Mining werden neue Blöcke erzeugt und anschliessend zur Blockkette hinzugefügt. Durch neue Blöcke werden neue Bitcoins ausgegeben und gleichzeitig ein Teil der neuen oder noch offenen Transaktionen bestätigt. Auf diese Weise findet eine dezentrale Geldschöpfung statt.
- 6 Die Sandbox steht für Besonderheiten der Laufzeitumgebung einer Software oder der lokalen Arbeitskopie eines in einem Versionskontrollsystem abgelegten Software-Moduls. Die Software wird vom Rest des Systems in beide Richtungen abgeschirmt, quasi in den Sandkasten gesetzt, in dem sie einerseits keinen Schaden anrichten kann und andererseits gegenüber Einflüssen von ausserhalb der Sandbox geschützt ist.
- 7 Unter Repackaging wird das Dekompilieren, Modifizieren und erneutes Kompilieren eines Apps verstanden.
- 8 Hierunter wird die Imitation eines Nutzers zu eigenen Vorteilen bei Missbrauch seiner Credentials durch eine Drittperson verstanden.
- 9 Sofern auch kein anderer Rechtfertigungsgrund nach Art. 13 DSG vorliegt.
- 10 Die Mindestanforderungen für die Datensicherheit sind in Art. 8–12 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) aufgelistet.