Bei der Online-Identifikation ist der Finanzintermediär gemäss Rundschreiben 2016/7 „Video- und Onlineidentifikation“ verpflichtet, die angegebene Adresse der Vertragspartei zu bestätigen. Dabei sieht das Rundschreiben drei Arten von Dokumenten für die Adressbestätigung vor, unter anderem die in der Praxis am häufigsten verwendeten „Utility Bills“. Nachfolgend soll dargelegt werden, warum die vorgesehenen Möglichkeiten weder zweckdienlich noch praktikabel sind, insbesondere für Start-Ups in den Bereichen Fintech und Blockchain-Applikationen. Die vorgeschriebenen Alternativen erschweren geradezu die Prozesse, die das Rundschreiben zu vereinfachen versucht.

Zweck der Revision des Rundschreibens 2016/7

Ziel der Überarbeitung des Rundschreibens 2016/7 der eidgenössischen Finanzmarktaufsicht FINMA (nachfolgend „FINMA“) war es, zu prüfen, ob die Regulierung zielgerichtet ist und sie die Bedürfnisse des Finanzmarkts und der Finanzintermediäre erfüllt. Weiter konzentrierte sich die Revision auf die Technologieneutralität, also darauf, dass die Regulierung gegenüber technologischen Entwicklungen und Geschäftsmodellen neutral ausgestaltet und prinzipienbasiert sein sollte.

Adressbestätigung bei der Online-Identifikation

Für die Adressbestätigung im Rahmen der Online-Identifikation sieht das FINMA Rundschreiben folgende drei Möglichkeiten vor:

  • Adressbestätigung mittels einer „Utility Bill“ (Steuer- oder anderweitige behördliche Rechnung oder eine Energie-, Wasser- oder Telefonrechnung);
  • Adressbestätigung mittels einer Postzustellung;
  • Adressbestätigung mittels eines öffentlichen Registers, einer durch einen vertrauenswürdigen Privaten geführte Datenbank oder eines solchen Verzeichnisses.

Plausibilität der Adressbestätigung

Für die Frage der Beweis- oder Plausibilitätskraft muss zwischen den drei im Rundschreiben vorgesehenen Möglichkeiten zur Adressbestätigung unterschieden werden.

Einer Adressbestätigung mittels öffentlicher Register oder einer von einem vertrauenswürdigen Privaten geführte Datenbank ist zweifelslos erhöhte Plausibilitätskraft zuzusprechen. Dies ist damit zu begründen, dass es nur eine beschränkte Anzahl solcher Register gibt und deren Auszüge eher schwierig zu fälschen sind. Wie später zu sehen ist, ist diese Art der Adressbestätigung jedoch für die Praxis nur beschränkt praktikabel.

Die anderen zwei Methoden – „Utility Bill“ und Postzustellung – haben im Gegensatz zum öffentlichen Register nur sehr beschränkte Aussagekraft hinsichtlich der Adressbestätigung.

Die Idee der Postzustellung besteht darin, dass die Adresse bestätigt wird, wenn ein Brief an die angegebene Kundenadresse versendet wird. Es ist hingegen keine Bestätigung der tatsächlichen Zustellung erforderlich, sodass die Adressbestätigung mittels Postzustellung höchstens in beschränktem Masse die Adresse plausibilisiert. Es wäre für Vertragsparteien zudem kein grosser Aufwand, eine Adresse bei einem Domizilanbieter anzugeben. So würde eine falsche Adresse in einem womöglich sogar falschen Land als korrekte Adresse der Vertragspartei bei der Identifikation aufgenommen und nach den Vorgaben des Rundschreibens bestätigt.

Die dritte Möglichkeit ist die Adressbestätigung mittels „Utility Bill“. Unter „Utility Bill“ ist eine Steuer- oder anderweitige behördliche Rechnung oder eine Energie-, Wasser- oder Telefonrechnung zu verstehen. In der Praxis kommen eine unüberschaubare Menge an möglichen „Utility Bills“ aufgrund der verschiedenen Behörden oder Telefonanbietern in Frage, insbesondere wenn noch ausländische „Utility Bills“ miteinbezogen sind. Eine solche „Utility Bill“, vor allem wenn sie als Scan eingereicht wird, kann schnell und einfach gefälscht werden. Somit kommt auch dieser Art der Adressbestätigung nur kleine Plausibilitätskraft zu. Dennoch genügen der FINMA diese Methoden zur Adressbestätigung im Rahmen der Online-Identifikation.

Praktikabilität

Aus Praxis-Sicht ist die Überprüfung eines öffentlichen Registers wie das der Post für Finanzintermediäre mit Schweizer Kunden sicherlich in beschränktem Masse praktikabel. Denkbar ist ebenso, dass eine solche Abfrage automatisch mit einer entsprechenden Software vorgenommen werden kann. Sobald es sich jedoch um einen Finanzintermediär mit vielen internationalen Kunden handelt, so kommt die Adressbestätigung mittels öffentlicher Register an ihre Grenzen, da jedes Land andere öffentliche Register hat und unterschiedliche Zugriffsvoraussetzungen vorsieht. Eine automatische Abfrage durch entsprechende Softwares ist hier eher unwahrscheinlich. Dies führt dazu, dass eine Adressbestätigung mittels öffentlicher Register einzeln und manuell vorgenommen werden müssen.

Eine Postzustellung hingegen ist nicht nur bei einer Vielzahl von ausländischen Kunden, sondern bereits bei einer hohen Anzahl von schweizerischen Kunden unpraktikabel. Zum einen verursacht eine Postzustellung bei vielen Kunden, ob in- oder ausländisch, hohe Kosten. Anderseits verzögert sich je nach Land aufgrund der langsamen Postzustellung eine Geschäftsbeziehungseröffnung unter Umständen um Monate oder Postzustellungen kommen nicht an, obwohl die Adressangaben korrekt sind. All dies führt dazu, dass die Postzustellung nicht nur wenig Plausibilitätskraft hat, sondern auch in der Praxis unpraktikabel ist.

Die dritte Möglichkeit, „Utility Bills“, sind alle so unterschiedlich ausgestaltet, dass sie in der Regel von einer entsprechenden Identifikationssoftware nicht automatisch eingelesen und geprüft werden können. Dies bedeutet, dass die eingereichten „Utility Bills“ manuell durch eine Person kontrolliert und als genügend eingestuft werden müssen. Dies ist mit entsprechend grossem Aufwand und hohen Kosten verbunden. Bei manueller Prüfung von solchen Dokumenten ist zudem die Fehleranfälligkeit nicht zu ignorieren.

Technisch fortschrittlichere Möglichkeiten denkbar?

Damit die vorgesehene Adressbestätigung entsprechend dem technischen Fortschritt vorgenommen werden kann – und nicht Hard-Copies wie bei den im Rundschreiben vorgesehenen Möglichkeiten verwendet werden müssen – sind verschiedene Möglichkeiten denkbar.

Eine Möglichkeit könnte darin bestehen, die Adressbestätigung mittels der IP-Adresse, welche bei der Online-Identifikation verwendet wurde, vorzunehmen. Weitere Möglichkeiten wären die Verwendung der Angaben der Handynummer sowie das Screening der GPS-Daten bei Einloggen in die grossen Social Media Plattformen. Auch der Ausstellungsort von Identifikationsdokumenten (Pass, Führerausweis etc.) kann als Indiz für die Adressbestätigung miteinbezogen werden. Bei der Online-Identifikation muss der Kunde dem Finanzintermediär zudem ein Lichtbild, bspw. in Form eines Selfies, einreichen resp. hochladen. Bei den heutigen Smartphones und Kameras werden die Bilder oftmals mit Standortangaben versehen. Denkbar wäre beispielsweise, dass eine Online-Identifikations-Software nur Lichtbilder akzeptiert, die mit Standortangaben verknüpft sind. Sollte dies nicht der Fall sein, so könnte die Software das Foto mit dem Hinweis ablehnen, dass ein neues Bild mit aktivierter Standortbestimmung hochgeladen werden muss. Wie all diese Alternativen aus datenschutzrechtlicher Sicht ausgestaltet sein müssen, wäre jeweils im Einzelfall mit dem entsprechenden Dienstleister zu bestimmen.

Die Argumentation, dass beispielsweise eine IP-Adresse sehr anfällig für Fälschungen ist, ist nicht stichhaltig. Wie bereits gesehen, sind „Utility Bills“ einfach zu fälschen und den Postzustellungen kommt auch keine genügend hohe Plausibilitätskraft zu. Um die Adressangaben noch verlässlicher zu plausibilisieren, könnte eine stufenweise Adressbestätigung vorgesehen werden oder es könnten Verfahren eingesetzt werden, um die Nutzung von Online-Anonymitäts-Diensten (z.B. VPN, Proxy, TOR etc.) zu erkennen. Dabei müssten beispielsweise drei Angaben der zuvor genannten technischen Möglichkeiten den vom Kunden angegebenen Wohnort bestätigen. Sollte eine Angabe nicht mit den anderen eingeforderten Angaben übereinstimmen, könnte die Methode als gescheitert betrachtet werden. In diesem Fall könnte immer noch ein Rückgriff auf die im FINMA Rundschreiben aufgeführten ursprünglichen Möglichkeiten vorgesehen werden.

Einer der Vorteile der Online- und Videoidentifikation ist die Standardisierung der Identifikationsprozesse über technische Lösungen, unter Umständen durch einen entsprechenden Partner. Das Rundschreiben bezweckt die Regulierung den technologischen Entwicklungen anzupassen. Bei Festhalten der drei im Rundschreiben aufgeführten Möglichkeiten der Adressbestätigung werden jedoch die Prozesse geradezu erschwert, die aufgrund der Online-Identifikation vereinfacht werden sollten.

Leider ist die FINMA der Meinung, dass diese Ersatzmassnahmen, auch in Kombination von verschiedenen Möglichkeiten, höchstens Rückschlüsse auf eine Region bzw. das Land, in welchem sich die Vertragspartei aufhält, ermöglicht. Eine Begründung, warum Postzustellungen oder „Utility Bills“ höhere Sicherheit als die Auslesung von IP-Adressen oder GPS-Daten bieten sollte, ist nicht ersichtlich.

Wie lange die FINMA noch auf die zurzeit einzigen Methoden der Adressbestätigung beharrt, wird sich zeigen. Es ist nicht von der Hand zu weisen, dass es zeitnah eine Anpassung aufgrund des stetigen technischen Fortschritts und des globalen Umfeldes, in welchem sich viele Unternehmen im Bereich Fintech und Blockchain-Applikationen bewegen, braucht.