Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 10. April 2017 das Rundschreiben 03/2017 (GW) „Anforderungen an die Nutzung von Videoidentifizierungsverfahren“ veröffentlicht, in dem sie die Vorgaben an die Kundenidentifikation mittels Videoverfahren grundlegend überarbeitet hat.

Einleitung

Nachdem die BaFin erstmals im Rahmen des Rundschreibens 01/2014 (GW) „Verdachtsmeldung nach §§ 11, 14 GwG und anderes“ im März 2014 Vorgaben zur Videoidentifizierung aufstellte, veröffentlichte sie im Mai 2016 das Rundschreiben 04/2016 (GW) „Anforderungen an die Nutzung von Videoidentifizierungsverfahren bei der Kontoeröffnung“, das die Kundenidentifizierung mittels Videotechnik an die aktuellen Erfordernisse einer angemessenen Geldwäscheprävention anpasste. Einen Monat später gab die BaFin bekannt, dass sie die Geltung des gerade erst veröffentlichten Rundschreibens für einen Übergangszeitraum bis zum 31.12.2016 aussetzt – angeblich um den Anforderungen der 4. Geldwäscherichtlinie Rechnung zu tragen (siehe zur Umsetzung der 4. Geldwäscherichtlinie Freshfields Briefing „Referentenentwurf zur Umsetzung der Vierten EUGeldwäscherichtlinie“). Anzunehmen ist jedoch, dass das Vorgehen der BaFin zumindest auch dem Druck von Banken, FinTech-Unternehmen und Verbänden geschuldet war, da das Rundschreiben in der Finanzbranche für erhebliche Unruhe gesorgt hatte (siehe hierzu Freshfields Briefing „Neues BaFin-Rundschreiben zum Videoidentifizierungsverfahren“).

Das nachfolgende Briefing gibt einen Überblick über die wesentlichen Änderungen.

Adressaten und Anwendungsbereich

Während die BaFin in dem Rundschreiben 04/2016 (GW) noch die Ansicht vertrat, dass nur Kreditinstitute i.S.d. § 1 Abs. 1 des Kreditwesengesetzes (KWG) das Videoidentifizierungsverfahren nutzen dürfen, findet sich diese Einschränkung in dem neuen Rundschreiben nicht mehr. Die Möglichkeit, das Videoidentifizierungsverfahren einzusetzen, richtet sich folglich an alle Verpflichtete des Geldwäschegesetzes (GwG), u.a. also an Kreditinstitute, Finanzdienstleistungsinstitute, Zahlungsinstitute, E-Geld-Institute, Kapitalverwaltungsgesellschaften und deren Zweigniederlassungen. Diese können bei der Durchführung der Videoidentifizierung auf Dritte zurückgreifen bzw. auf diese auslagern gem. § 7 Abs. 1 bzw. § 7 Abs. 2 GwG. Eine weitere (Sub-)Auslagerung bzw. ein weiteres Zurückgreifen auf Dritte ist darüber hinaus aber nicht möglich. Durch diese neue Vorgabe werden künftig insbesondere Unternehmen aus dem FinTech-Bereich befugt sein, ihre Dienste im Rahmen der Videoidentifikation anzubieten.

Im Unterschied zu den vorherigen Rundschreiben stellt die BaFin klar, dass eine Videoidentifikation nur bei natürlichen Personen und nicht bei juristischen Personen oder Personengesellschaften durchgeführt werden darf. Eine Videoidentifikation der gesetzlichen Vertreter oder Bevollmächtigten bleibt allerdings möglich.

Technische und organisatorische Anforderungen

Weiterhin spezifiziert die BaFin die Anforderungen an die Durchführung des Videoidentifizierungsverfahrens. Während sie früher noch vertrat, dass bei der Verwendung von Handy-Apps zur Verhinderung von Manipulation der Einsatz von Jailbreak bzw. Rooting Detection Programmen notwendig ist, verzichtet sie nunmehr auf dieses spezielle Erfordernis und verlangt nur noch den Einsatz von Mechanismen, die solchen Risiken entgegenwirken.

Um eine zweifelsfreie Identifizierung uneingeschränkt zu ermöglichen, müssen die Verpflichteten künftig verschiedene, neue Anforderungen in technischer Hinsicht einhalten. So muss die Videoidentifizierung z.B. in Echtzeit durchgeführt werden und ohne Unterbrechung erfolgen. Die Kommunikation zwischen den Mitarbeitern und dem zu Identifizierenden ist abzusichern, wobei die Vorgaben der Technischen Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) TR-02102 einzuhalten sind.

Zulässigkeit und Überprüfung von Ausweisdokumenten

Zu den bisherigen Voraussetzungen an die Zulässigkeit von Ausweisdokumenten müssen diese künftig zusätzlich über ausreichend fälschungssichere, im Weißlicht visuell und bei Bildübertragung mittels verfügbarer Technik ausreichend deutlich erkennbare und damit prüfbare Sicherheitsmerkmale verfügen. Die optischen Sicherheitsmerkmalen werden abschließend aufgezählt und in verschiedene Kategorien (u.a. Material, Personalisierungstechnik, Sicherheitsdruck) unterteilt. Zu den Sicherheitsmerkmalen gehören neben Hologrammen oder kinematischen Strukturen z.B. auch Laserkippbilder, Sicherheitsfaden, optisch variable Farben oder eine Guillochenstruktur (was ein bestimmtes Schutzmuster darstellt). Dabei müssen mindestens drei der für die Identifizierung zufällig ausgewählten Sicherheitsmerkmale aus verschiedenen Kategorien erfüllt werden.

Das Rundschreiben stellt zudem weitere Anforderungen an den Überprüfungsprozess. Mitarbeiter müssen zum einen darauf achten, ob die Merkmale des Ausweisdokuments im Vergleich zu anderen Dokumenten dieser Art typisch sind. Zum anderen sind Gültigkeitsund Plausibilitätsprüfungen der auf dem Ausweis enthaltenen Daten vorzunehmen. Dies beinhaltet u.a. eine Prüfung der Korrektheit von Ziffernorthographie, Behördenkennziffer und der verwendeten Schriftart. Auch ist der Manipulation von Teilen des Ausweisdokuments z.B. dadurch entgegenzuwirken, dass die zu identifizierende Person dazu aufgefordert werden muss, das Ausweisdokument in bestimmter Art und Weise vor die Kamera zu halten.

Überprüfung der zu identifizierenden Personen

Erweitert werden die Pflichten der Mitarbeiter auch in Bezug auf die zu identifizierenden Personen. Neben der Überprüfung, ob Lichtbild, Ausstellungsdatum und Geburtsdatum kohärent sind, muss sich der Mitarbeiter nunmehr durch psychologische Fragestellungen und Beobachtung von der Plausibilität der Angaben auf dem Ausweisdokument überzeugen. Einhergehen muss damit die Bestätigung der zu identifizierenden Person, dass dieser bewusst ist, wofür sie sich identifiziert. Dadurch soll festgestellt werden, dass die Person nach ihrem eigenen Willen handelt, um Gefahren wie Phishing oder Social Engineering zu verhindern.

Aufbewahrungs- und Aufzeichnungspflichten

Die Anforderungen an die Aufbewahrungs- und Aufzeichnungspflichten wurden dahingehend konkretisiert, als dass die Dokumentationspflicht eine visuelle und akustische Aufzeichnung und Aufbewahrung des erfolgten Verfahrensablaufs beinhaltet, auf die sich die Einwilligung der zu identifizierenden Personen beziehen muss. Die Aufzeichnung sind nach § 8 Abs. 3 GwG für fünf Jahre aufzubewahren.

Fazit 

Mit dem Rundschreiben vollzieht die BaFin eine Kehrtwendung zu dem ausgesetzten Rundschreiben 04/2016 (GW), das durch die neue Verwaltungspraxis aufgehoben wird.

Die Einführung einer Referenzüberweisung wird ebenso aufgegeben wie die Pflicht zur Identitätsüberprüfung mittels öffentlich zugänglicher Informationen. So verlangte die BaFin früher zum einen, dass die Verpflichteten anhand von Daten im Internet oder sozialen Netzwerken die Identität ihrer Kunden erneut überprüfen mussten. Aufgrund der sich daraus ergebenden, unklaren Konsequenzen für den Identifikationsprozess lag es nahe, dass die BaFin nunmehr von diesem Erfordernis Abstand nimmt. Zum anderen schien auch die Pflicht zur erforderlichen Referenzüberweisung unverhältnismäßig, da Kunden, die in der EU nicht über ein Konto verfügten, das Videoidentifizierungsverfahren nicht hätten nutzen können und dies im Übrigen zu einer erheblichen Verzögerung des Identifikationsprozesses geführt hätte.

Auch verlangt die BaFin nicht mehr, dass alle wesentlichen Identifizierungsschritte durch eine zweite Ebene im Unternehmen auf ihre Korrektheit überprüft werden müssen, was ebenfalls eine Verzögerung im Rahmen der Identifizierung bedeutet und weitere Kapazitäten gebunden hätte.

Ohne dazu näher Stellung zu nehmen, hat sich die BaFin darüber hinaus von ihrer Auffassung distanziert, dass nur Kreditinstituten die Möglichkeit offen stehen soll, das Videoidentifizierungsverfahren zu nutzen. Dass die BaFin damit ein Zeichen an die FinTech-Branche bzw. bislang nicht regulierte Unternehmen setzen und das Verhältnis der noch jungen Beziehung zwischen FinTechs und Aufsicht stärken wollte, ist nicht ausgeschlossen.

Diese Änderungen sind jedenfalls allesamt zu begrüßen. Aufgrund des Wegfalls der Erschwerungen dürfte das Videoidentifizierungsverfahren daher künftig von potentiellen Kunden verstärkt genutzt werden.

Im Übrigen ist zu konstatieren, dass die neuen Bestimmungen insbesondere die Anforderungen an die Mitarbeiter, die die Videoidentifizierung durchführen, erhöhen. Diese Mitarbeiter werden hinsichtlich der detaillierten Maßnahmen im Rahmen der Identifikation umfassend zu schulen sein.

Besondere Anpassungen, die sich aus der Umsetzung der 4. Geldwäscherichtlinie ergaben, wurden nicht vorgenommen. Die Richtlinie bzw. das Umsetzungsgesetz machen selbst auch keine konkreten Vorgaben zur Videoidentifizierung, sondern sehen darin lediglich ein zulässiges Verfahren zur Identitätsprüfung, wie der Gesetzesbegründung entnommen werden kann.

Das Rundschreiben tritt am 15.6.2017 in Kraft.