Compliance & Risk Sonderausgabe Geldwäscheprävention
(RS 3/2017 (GW) vom 10. April 2017)
Mit dem Rundschreiben 4/2016, welches die BaFin am 10. Juni 2016 veröffentlichte, wurden gegenüber dem Rundschreiben 1/2014 erhebliche Verschärfungen bei der Nutzung von Videoidentifizierung im Kundenannahmeprozess definiert. Der Nutzerkreis für die Videoidentifizierung wurde auf Kreditinstitute begrenzt und als ergänzende Sicherungsmaßnahme wurde u.a. eine Referenzüberweisung von einem eigenen Konto der zu identifizierenden Person gefordert.
Aufgrund von Einwänden, der von der Neuregelung betroffenen Unternehmensgruppen, und der ausstehenden Umsetzung der 4. EU-Geld-wäscherichtlinie wurde die Anwendbarkeit dieses Rundschreibens ausgesetzt.
Die ursprünglich für das vierte Quartal 2016 angekündigte Neufassung des Rundschreibens erfolgte am 10. April 2017. Das Rundschreiben tritt zum 15. Juni 2017 in Kraft.
Im neuen Rundschreiben sollen sowohl die Bedürfnisse der Verbraucher (auch im Hinblick auf den Datenschutz), als auch der Behörden und Unternehmen, die eine gesetzeskonforme Berücksichtigung der Vorgaben des Geldwäschegesetzes benötigen, berücksichtigt werden. Bei einem Umsetzungsfenster von zwei Monaten handelt es sich um eine relativ kurze Zeit, in der sowohl die Anbieter, als auch die Nutzer derartiger Verfahren überprüfen müssen, ob die geforderten Standards eingehalten werden oder welcher Anpassungsbedarf besteht.
Die in dem Rundschreiben aufgeführten Maßnahmen sollen nach spätestens drei Jahren überprüft und ggf. angepasst werden.
Wer darf zukünftig die Videoidentifizierung nutzen?
Nachdem in dem Rundschreiben 4/2016 der BaFin noch gefordert war, dass ein Videoidentifizierungsverfahren ausschließlich von Kreditinstituten genutzt werden kann, ist diese weitgreifende Einschränkung jetzt vom Tisch. Das aktuelle Rundschreiben sieht vor, dass alle Unternehmen, die unter der Aufsicht der BaFin stehen, die Videoidentifizierung unter Einhaltung der aufgeführten Vorgaben nutzen können.
Weggefallen ist hierbei die in dem Rundschreiben 4/2016 geforderte ergänzende Vorgabe, dass als Bestandteil der Identifizierung eine Referenzüberweisung von einem eigenen Konto des zu Identifizierenden erfolgen muss.
Wichtig ist jedoch, dass alle anderen Verpflichteten, die nicht unter der Aufsicht der BaFin stehen, abwarten müssen, bis ihre zuständige Aufsichtsbehörde eine entsprechende Stellungnahme zu dem Videoidentifizierungsverfahren veröffentlicht. Bis dahin ist das Verfahren für diese Verpflichteten nicht verfügbar. Davon betroffen sind insbesondere Inkassounternehmen sowie Güterhändler.
Anforderung an das Videoidentifizierungsverfahren
Das Rundschreiben weist explizit darauf hin, dass die aufgeführten Anforderungen „vollumfänglich und kumulativ“ einzuhalten sind. Auch wenn die Dienstleistung nicht selbst, sondern von einem Dritten erbracht wird, muss das Unternehmen prüfen, ob der Anbieter die Anforderungen vollumfänglich erfüllt.
Die Videoidentifizierung muss entweder von dem Verpflichteten selbst oder durch einen Dritten durchgeführt werden. Ein beauftragter Dritter darf jedoch keine weitere Verlagerung vornehmen.
Unverändert gilt, dass die Mitarbeiter ausreichend geschult und ausgebildet sein müssen. Neben den prüfbaren Merkmalen der akzeptierten Dokumente müssen sie die gängigen Fälschungsmöglichkeiten kennen, mit den relevanten rechtlichen Vorgaben (insbesondere Datenschutzbestimmungen und Geldwäschegesetz) vertraut sein und regelmäßig geschult werden. Als „regelmäßig“ wird eine jährliche sowie anlassbezogene Schulung (z.B. bei erkannten Betrugsversuchen, Änderung der rechtlichen Vorgaben) angesehen.
Auch die Vorgabe, dass sich die Mitarbeiter im Rahmen des Identifizierungsvorgangs in abgetrennten und mit einer Zugangskontrolle versehenen Räumlichkeit befinden müssen, bleibt unverändert bestehen.
Wichtig ist, dass die zu identifizierende Person ausdrücklich ihre Einwilligung gibt und dass die ermittelten Daten einschließlich erstellter Screenshots / Fotos archiviert werden. Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) weist in diesem Zusammenhang darauf hin, dass der zu Identifizierende zu informieren ist, welche personenbezogenen Daten archiviert werden und wie lange diese gespeichert werden. Im Falle eines Widerrufs ist eine entsprechende Löschung der Daten sicherzustellen.
Wesentliche technische und organisatorische Anforderungen
Der Identifizierungsvorgang muss in Echtzeit und ohne Unterbrechungen
vorgenommen werden. Bei der Kommunikation über einen Videochat muss eine „end- to-end“- Verschlüsselung sichergestellt sein. Bei einer Identifikation via Skype bestehen jedoch starke Vorbehalte des BfDI. Skype ist nach den AGBs berechtigt, die vollständigen Kommunikationsinhalte des Nutzers mitzulesen und auszuwerten. Somit ist der Schutz der sensiblen Daten nicht gewährleistet.
Als zulässige Ausweisdokumente können ausschließlich Dokumente verwendet werden, über einen maschinenlesbaren Bereich und die über ausreichend fälschungssichere Merkmale verfügen, die bei einer Videoübertragung entsprechend erkannt werden können. Nachfolgend sind als Beispiel optische Sicherheitsmerkmale, unterteilt in vier Gruppen, aufgeführt:
Beugungsoptisch wirksame Merkmale:
• Hologramme
• Identigram
• Kinematische Strukturen
Personalisierungstechnik:
• Laserkippbilder • Ausfüllschrift
Material:
• Fenster (die z.B. personalisiert sein können) • Sicherheitsfaden
• Optisch variable Farbe
Sicherheitsdruck:
• Mikroschrift
Bei der Prüfung ist sicherzustellen, dass mindestens drei Merkmale aus verschiedenen Gruppen ausgewählt werden. Hierbei ist auch zu prüfen, ob sich ein möglicher Fälschungsverdacht als Hinweis auf ein manipuliertes Dokument ergibt. Zur Feststellung, welche Sicherheitsmerkmale bei dem jeweiligen Dokumententyp vorhanden sein müssen, ist auf eine Ausweisdatenbank abzustellen.
Ein weiterer Bestandteil der Prüfung ist eine automatisierte Berechnung der vorhandenen Prüfziffern und ein Kreuzvergleich der Angaben in dem maschinenlesbaren Bereich mit den Angaben im Sichtfeld des Ausweises. Weiterhin ist die Orthographie der Ziffern, die verwendete Schriftart und die Behördenkennziffer zu prüfen.
Im Rahmen der Kommunikation ist ergänzend die Plausibilität der Daten zu prüfen. So sind die Mitarbeiter aufgefordert, durch entsprechende Fragen zu prüfen, ob die eventuell bereits vorliegenden Daten mit den Angaben des Ausweisdokumentes
übereinstimmen und ob diese auch tatsächlich mit der Person übereinstimmen. Dies kann zum Beispiel durch Nachfragen nach dem Alter oder den Geburtsdaten erfolgen. Ergänzend ist die zu identifizierende Person auch nach dem Grund der Identifizierung zu befragen. Dies dient als Schutz gegen Phishing oder Social Engineering. Ziel ist es hier, Betrügern entgegenzuwirken, die Personen z. B. als Tester für eine App anwerben und mit der erfolgten Identifizierung unberechtigt Verträge mit Verpflichteten abschließen.
Sollte eine Prüfung aufgrund schlechter Bildverhältnisse oder Störungen in der Kommunikation nicht möglich sein, so ist der Identifizierungsprozess abzubrechen.
Unverändert muss im Rahmen des Identifizierungsvorgangs eine eigens für diesen Vorgang zentral generierte TAN übermittelt werden (per E-Mail oder SMS). Diese muss unmittelbar online eingegeben und an den Identifizierer zurück gesendet werden.
Evaluierung spätestens drei Jahre nach Inkrafttreten
Die Vorgaben werden durch die BaFin in einem laufenden Prozess auf ihre Aktualität geprüft. Insbesondere bei neuen Erkenntnissen, z.B. anhand von Betrugsfällen oder technischen Änderungen, erfolgt eine Prüfung, ob die definierten Vorgaben noch als ausreichend angesehen werden können. Spätestens nach drei Jahren erfolgt eine anlassunabhängige Prüfung.
Fazit
Die bisherigen Anforderungen an die Videoidentifizierung wurden im Wesentlichen beibehalten. Allerdings erfolgt eine Erweiterung der Prüfung der Sicherheitsmerkmale sowie die Forderung nach einer Beobachtung des zu Identifizierenden im Rahmen der Kommunikation, als auch die Forderung nach psychologischen Fragestellungen.
Das Rundschreiben der BaFin richtet sich an alle Unternehmen, die unter der Aufsicht der BaFin stehen. Insbesondere für Banken und Finanzdienstleister dürfte es sich bei der Videoidentifizierung um eine echte Alternative zu den bisher gängigen Identifizierungsmethoden, wie zum Beispiel dem Post Ident Verfahren handeln.
Für Unternehmen, die nicht unter der Aufsicht der BaFin stehen, bleibt nur abzuwarten, ob sich die jeweiligen Aufsichtsbehörden dem Rundschreiben der BaFin anschließen. Diese Unternehmen können das Videoidentifizierungsverfahren nicht nutzen, bis hier eine entsprechende Klarstellung erfolgt.
(Ralf Inderwies, Creditreform Compliance Services GmbH)