Videoidentifizierung – Neues Rundschreiben der BaFin

Compliance & Risk Sonderausgabe Geldwäscheprävention

(RS 3/2017 (GW) vom 10. April 2017)

Mit dem Rundschreiben 4/2016, welches die BaFin am 10. Juni 2016 veröffentlichte, wurden gegenüber dem Rundschreiben 1/2014 erhebliche Verschärfungen bei der Nutzung von Videoidentifizierung im Kundenannahmeprozess definiert. Der Nutzerkreis für die Videoidentifizierung wurde auf Kreditinstitute begrenzt und als ergänzende Sicherungsmaßnahme wurde u.a. eine Referenzüberweisung von einem eigenen Konto der zu identifizierenden Person gefordert.

Aufgrund von Einwänden, der von der Neuregelung betroffenen Unternehmensgruppen, und der ausstehenden Umsetzung der 4. EU-Geld-wäscherichtlinie wurde die Anwendbarkeit dieses Rundschreibens ausgesetzt.

Die ursprünglich für das vierte Quartal 2016 angekündigte Neufassung des Rundschreibens erfolgte am 10. April 2017. Das Rundschreiben tritt zum 15. Juni 2017 in Kraft.

Im neuen Rundschreiben sollen sowohl die Bedürfnisse der Verbraucher (auch im Hinblick auf den Datenschutz), als auch der Behörden und Unternehmen, die eine gesetzeskonforme Berücksichtigung der Vorgaben des Geldwäschegesetzes benötigen, berücksichtigt werden. Bei einem Umsetzungsfenster von zwei Monaten handelt es sich um eine relativ kurze Zeit, in der sowohl die Anbieter, als auch die Nutzer derartiger Verfahren überprüfen müssen, ob die geforderten Standards eingehalten werden oder welcher Anpassungsbedarf besteht.

Die in dem Rundschreiben aufgeführten Maßnahmen sollen nach spätestens drei Jahren überprüft und ggf. angepasst werden.

Wer darf zukünftig die Videoidentifizierung nutzen?

Nachdem in dem Rundschreiben 4/2016 der BaFin noch gefordert war, dass ein Videoidentifizierungsverfahren ausschließlich von Kreditinstituten genutzt werden kann, ist diese weitgreifende Einschränkung jetzt vom Tisch. Das aktuelle Rundschreiben sieht vor, dass alle Unternehmen, die unter der Aufsicht der BaFin stehen, die Videoidentifizierung unter Einhaltung der aufgeführten Vorgaben nutzen können.

Weggefallen ist hierbei die in dem Rundschreiben 4/2016 geforderte ergänzende Vorgabe, dass als Bestandteil der Identifizierung eine Referenzüberweisung von einem eigenen Konto des zu Identifizierenden erfolgen muss.

Wichtig ist jedoch, dass alle anderen Verpflichteten, die nicht unter der Aufsicht der BaFin stehen, abwarten müssen, bis ihre zuständige Aufsichtsbehörde eine entsprechende Stellungnahme zu dem Videoidentifizierungsverfahren veröffentlicht. Bis dahin ist das Verfahren für diese Verpflichteten nicht verfügbar. Davon betroffen sind insbesondere Inkassounternehmen sowie Güterhändler.

Anforderung an das Videoidentifizierungsverfahren

Das Rundschreiben weist explizit darauf hin, dass die aufgeführten Anforderungen „vollumfänglich und kumulativ“ einzuhalten sind. Auch wenn die Dienstleistung nicht selbst, sondern von einem Dritten erbracht wird, muss das Unternehmen prüfen, ob der Anbieter die Anforderungen vollumfänglich erfüllt.

Die Videoidentifizierung muss entweder von dem Verpflichteten selbst oder durch einen Dritten durchgeführt werden. Ein beauftragter Dritter darf jedoch keine weitere Verlagerung vornehmen.

Unverändert gilt, dass die Mitarbeiter ausreichend geschult und ausgebildet sein müssen. Neben den prüfbaren Merkmalen der akzeptierten Dokumente müssen sie die gängigen Fälschungsmöglichkeiten kennen, mit den relevanten rechtlichen Vorgaben (insbesondere Datenschutzbestimmungen und Geldwäschegesetz) vertraut sein und regelmäßig geschult werden. Als „regelmäßig“ wird eine jährliche sowie anlassbezogene Schulung (z.B. bei erkannten Betrugsversuchen, Änderung der rechtlichen Vorgaben) angesehen.

Auch die Vorgabe, dass sich die Mitarbeiter im Rahmen des Identifizierungsvorgangs in abgetrennten und mit einer Zugangskontrolle versehenen Räumlichkeit befinden müssen, bleibt unverändert bestehen.

Wichtig ist, dass die zu identifizierende Person ausdrücklich ihre Einwilligung gibt und dass die ermittelten Daten einschließlich erstellter Screenshots / Fotos archiviert werden. Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) weist in diesem Zusammenhang darauf hin, dass der zu Identifizierende zu informieren ist, welche personenbezogenen Daten archiviert werden und wie lange diese gespeichert werden. Im Falle eines Widerrufs ist eine entsprechende Löschung der Daten sicherzustellen.

Wesentliche technische und organisatorische Anforderungen

Der Identifizierungsvorgang muss in Echtzeit und ohne Unterbrechungen
vorgenommen werden. Bei der Kommunikation über einen Videochat muss eine „end- to-end“- Verschlüsselung sichergestellt sein. Bei einer Identifikation via Skype bestehen jedoch starke Vorbehalte des BfDI. Skype ist nach den AGBs berechtigt, die vollständigen Kommunikationsinhalte des Nutzers mitzulesen und auszuwerten. Somit ist der Schutz der sensiblen Daten nicht gewährleistet.

Als zulässige Ausweisdokumente können ausschließlich Dokumente verwendet werden, über einen maschinenlesbaren Bereich und die über ausreichend fälschungssichere Merkmale verfügen, die bei einer Videoübertragung entsprechend erkannt werden können. Nachfolgend sind als Beispiel optische Sicherheitsmerkmale, unterteilt in vier Gruppen, aufgeführt:

Beugungsoptisch wirksame Merkmale:

• Hologramme
• Identigram
• Kinematische Strukturen

Personalisierungstechnik:

• Laserkippbilder • Ausfüllschrift

Material:

• Fenster (die z.B. personalisiert sein können) • Sicherheitsfaden
• Optisch variable Farbe

Sicherheitsdruck:

• Mikroschrift

Bei der Prüfung ist sicherzustellen, dass mindestens drei Merkmale aus verschiedenen Gruppen ausgewählt werden. Hierbei ist auch zu prüfen, ob sich ein möglicher Fälschungsverdacht als Hinweis auf ein manipuliertes Dokument ergibt. Zur Feststellung, welche Sicherheitsmerkmale bei dem jeweiligen Dokumententyp vorhanden sein müssen, ist auf eine Ausweisdatenbank abzustellen.

Ein weiterer Bestandteil der Prüfung ist eine automatisierte Berechnung der vorhandenen Prüfziffern und ein Kreuzvergleich der Angaben in dem maschinenlesbaren Bereich mit den Angaben im Sichtfeld des Ausweises. Weiterhin ist die Orthographie der Ziffern, die verwendete Schriftart und die Behördenkennziffer zu prüfen.

Im Rahmen der Kommunikation ist ergänzend die Plausibilität der Daten zu prüfen. So sind die Mitarbeiter aufgefordert, durch entsprechende Fragen zu prüfen, ob die eventuell bereits vorliegenden Daten mit den Angaben des Ausweisdokumentes

übereinstimmen und ob diese auch tatsächlich mit der Person übereinstimmen. Dies kann zum Beispiel durch Nachfragen nach dem Alter oder den Geburtsdaten erfolgen. Ergänzend ist die zu identifizierende Person auch nach dem Grund der Identifizierung zu befragen. Dies dient als Schutz gegen Phishing oder Social Engineering. Ziel ist es hier, Betrügern entgegenzuwirken, die Personen z. B. als Tester für eine App anwerben und mit der erfolgten Identifizierung unberechtigt Verträge mit Verpflichteten abschließen.

Sollte eine Prüfung aufgrund schlechter Bildverhältnisse oder Störungen in der Kommunikation nicht möglich sein, so ist der Identifizierungsprozess abzubrechen.

Unverändert muss im Rahmen des Identifizierungsvorgangs eine eigens für diesen Vorgang zentral generierte TAN übermittelt werden (per E-Mail oder SMS). Diese muss unmittelbar online eingegeben und an den Identifizierer zurück gesendet werden.

Evaluierung spätestens drei Jahre nach Inkrafttreten

Die Vorgaben werden durch die BaFin in einem laufenden Prozess auf ihre Aktualität geprüft. Insbesondere bei neuen Erkenntnissen, z.B. anhand von Betrugsfällen oder technischen Änderungen, erfolgt eine Prüfung, ob die definierten Vorgaben noch als ausreichend angesehen werden können. Spätestens nach drei Jahren erfolgt eine anlassunabhängige Prüfung.

Fazit

Die bisherigen Anforderungen an die Videoidentifizierung wurden im Wesentlichen beibehalten. Allerdings erfolgt eine Erweiterung der Prüfung der Sicherheitsmerkmale sowie die Forderung nach einer Beobachtung des zu Identifizierenden im Rahmen der Kommunikation, als auch die Forderung nach psychologischen Fragestellungen.

Das Rundschreiben der BaFin richtet sich an alle Unternehmen, die unter der Aufsicht der BaFin stehen. Insbesondere für Banken und Finanzdienstleister dürfte es sich bei der Videoidentifizierung um eine echte Alternative zu den bisher gängigen Identifizierungsmethoden, wie zum Beispiel dem Post Ident Verfahren handeln.

Für Unternehmen, die nicht unter der Aufsicht der BaFin stehen, bleibt nur abzuwarten, ob sich die jeweiligen Aufsichtsbehörden dem Rundschreiben der BaFin anschließen. Diese Unternehmen können das Videoidentifizierungsverfahren nicht nutzen, bis hier eine entsprechende Klarstellung erfolgt.

(Ralf Inderwies, Creditreform Compliance Services GmbH)

Für die Verstärkung des Teams im Bereich Compliance & AML suchen wir zum nächstmöglichen Termin eine(n)

Experte Compliance & AML (m/w/d)

in Vollzeit.

Ihre Herausforderungen:

  • Eigenverantwortliche fachliche Unterstützung von Mandanten und Ansprechpartner für Compliance- und geldwäscherelevante Fragestellungen
  • Übernahme der Funktion des Compliance-Beauftragten (MaRisk – und Wertpapier-Compliance) sowie des Geldwäschebeauftragten /„Zentrale Stelle“ gemäß § 25h KWG bei Mandanten im Rahmen eines Outsourcings
  • Umfassende Beratung bei der Implementierung von Compliance Management Systemen (CMS)
  • Durchführung von Risikoanalysen
  • Durchführung von Kontroll- und Überwachungshandlungen
  • Pflege und Weiterentwicklung von relevanten Dokumenten (z. B. schriftlich fixierte Ordnung, Arbeitsanweisungen)
  • Organisation von Schulungsmaßnahmen und deren Durchführung bei Mandanten
  • Unterstützung in Projekten 

Was zeichnet Sie aus:

  • Erfolgreich abgeschlossenes Studium der Rechts- oder Wirtschaftswissenschaften, Bankausbildung mit fachbezogener Weiterbildung oder vergleichbare Ausbildung  
  • Einschlägige praktische Erfahrung in den Bereichen MaRisk-Compliance, Wertpapier-Compliance und Geldwäscheprävention 
  • Unternehmerisches Denken und Handeln
  • Interesse an europäischen aufsichtsrechtlichen Entwicklungen in Bezug auf Compliance und Geldwäscheprävention
  • Kenntnisse des Banken- und Finanzdienstleistungsgeschäfts sind von Vorteil
  • Gute Englischkenntnisse (vertragssicher)
  • Sie sind Teamplayer mit starker Serviceorientierung und hohem Verantwortungsbewusstsein
  • Fähigkeit zur perfekten Kommunikation auf Geschäftsführungsebene, sicheres Auftreten sowie eigenverantwortliches Arbeiten
  • Bundesweite Reisebereitschaft (teilweise Projekteinsatz bei unseren Mandanten vor Ort) 

Wir bieten:

  • Arbeit in einem wachsenden, kompetenten Team
  • Einen zukunftsorientierten Arbeitsplatz
  • Ein anspruchsvolles und abwechslungsreiches Aufgabengebiet
  • Ein attraktives Vergütungspaket
  • Work-Life-Balance 

Wenn Sie diese verantwortungsvolle Aufgabe in einem spannenden und dynamischen Markt reizt, freuen wir uns auf Ihre aussagefähige Bewerbung unter Angabe Ihres frühestmöglichen Eintrittstermins und Ihrer Gehaltsvorstellung, vorzugsweise als PDF per E-Mail.

Creditreform Compliance Services GmbH
Silvia Rohe
Hammfelddamm 13
41460 Neuss
bewerbung@creditreform-compliance.de

Unvollständige Bewerbungsunterlagen können leider nicht berücksichtigt werden.