BaFin-Rundschreiben: Neue Hürden bei der Videoidentifizierung, erhöhte Anforderungen

Nach dem neuen BaFin-Rundschreiben „04/2016 (GW) – Videoidentifizierungsverfahren“ dürfen zukünftig nur noch Kreditinstitute i.S.d. § 1 Abs. 1 Kreditwesengesetzes (KWG) Video­iden­ti­fi­zierungs­verfahren bei der Kontoeröffnung nutzen. Zudem müssen erhöhte Anforderungen erfüllt werden, die in der Praxis zu einem deutlichen organisatorischen Mehraufwand führen und der Benutzer­freund­lichkeit kaum zuträglich sein werden. Hierzu zählen insbesondere eine Referenzüberweisung und der Abgleich mit öffentlich zugänglichen Daten und Informationen aus dem Internet und sozialen Netzwerken.

von Dr. Christian Conreder,
Rechtsanwalt und Manager der KPMG

Ziel des neuen Rundschreibens ist es, betrügerische Kontoeröffnungen unter falschen Identitäten und einen Missbrauch des Finanzsystems zu vermeiden.

Durch die Digitalisierung sind die Eröffnung eines Kontos am Schalter oder das PostIdent-Verfahren zunehmend in den Hintergrund getreten und der Kundenidentifizierung mittels Videotechnik gewichen. Für diese stellt das neue Rundschreiben detaillierte Mindestanforderungen auf, die von allen Kreditinstituten i.S.d. § 1 Abs. 1 KWG zu beachten sind.

Inhalt des Rundschreibens

Im Einzelnen müssen folgende Anforderungen erfüllt werden:

1. Durchführung der Identifizierung nur noch durch regelmäßig geschulte Mitarbeiter
2. Durchführung der Identifizierung in abgetrennten Räumlichkeiten mit Zugangsbeschränkung
3. Durchführung der Identifizierung unter Einsatz bestimmter Mechanismen zur Vermeidung von Manipulationen (z.B. beim Einsatz von Handy-Apps sog. Jailbreaks bzw. Rooting Detection Programmen)
4. Akzeptanz allein solcher Ausweisdokumente, die spezielle optische Sicherheitsmerkmale (z.B. holographische Bilder oder kinematische Strukturen) aufweisen
5. Aufbewahrungs- und Aufzeichnungspflichten
6. Datenschutz
7. Weitere Anforderungen

Letztere umfassen insbesondere:
8. Optische Verifizierung

Während der Aufzeichnungen sind Screen-Shots bzw. Fotos zu fertigen, die den Vertragspartner und dessen Ausweisdokument (Vorder- und Rückseite) mit den maßgeblichen Daten zeigen. Dabei sind besondere Merkmale des jeweiligen Ausweisdokuments nach vorher festgelegten Merkmalen (Layout, Zeichenzahl, -größe, -abstand und Typographie) im Abgleich mit einem Musterausweisdokument zu überprüfen. Für ausländische Ausweisdokumente erfolgt der Abgleich mit einer Datenbank, die auch ausländische Musterpapiere enthält und deren besondere Merkmale. Es erfolgt eine visuelle Prüfung, ob das Ausweisdokument unversehrt laminiert ist und kein aufgeklebtes Bild enthält.

Der Vertragspartner wirkt mit, indem er auf Anweisung des Mitarbeiters das Ausweisdokument in die Kamera hält und nach einem in verschiedenen Varianten gestalteten Verfahren dieses horizontal und/oder vertikal kippt bzw. nach Aufforderung des Mitarbeiters bewegt.

Inhaltliche Verifizierung

Der Vertragspartner hat während der Videoübertragung ferner die vollständige Seriennummer seines Ausweisdokuments mitzuteilen. Eine Verifizierung des Vertragspartners erfolgt anhand der Informationen auf dem Ausweisdokument (Lichtbild, Ausstellungsdatum und Geburtsdatum) sowie der jeweiligen Informationen im Bezug zueinander. Diese muss der geschulte Mitarbeiter erfragen, wobei er hinsichtlich des Ablaufs variieren muss.

Der Mitarbeiter muss eine Berechnung der in der maschinenlesbaren Zone enthaltenen Prüfziffern sowie einen Kreuzvergleich der in ihr enthaltenen Angaben mit den Angaben im Sichtfeld des Ausweisdokuments vornehmen.

Qualität der Identifizierung

Ist eine eindeutige Identifizierung auf Grund schlechter Licht- oder Übertragungsverhältnisse nicht möglich, so ist der Vorgang abzubrechen und die Identifizierung auf der Grundlage eines anderen nach (Geldwäschegesetz) GwG zulässigen Verfahrens durchzuführen.

Zusätzliche Sicherheitsmaßnahmen

Der Vertragspartner muss während der Videoübertragung eine eigens für diesen Zweck gültige, zentral generierte und von dem Identifizierenden an ihn (per E-Mail oder SMS) übermittelte Ziffernfolge (TAN) unmittelbar online eingeben und an den Mitarbeiter elektronisch zurücksenden. Im Unternehmen ist eine zweite Instanz einzurichten, die die Identifikation auf ihre korrekte Durchführung hin zu prüfen hat.

Zusätzlich hat sich das verpflichtete Kreditinstitut vom Vertragspartner, dessen Konto unter Zugrundelegung des Videoidentifizierungsverfahrens eröffnet worden ist, bei Kontoeröffnung einen – in der Höhe unbestimmten – Geldbetrag von einem auf den Namen des Kunden lautenden Konto bei einem anderen Kreditinstitut in der europäischen Union überweisen zu lassen. Bis zum Eingang der Referenzüberweisung ist sicherzustellen, dass keine Gelder von dem Konto abgeführt werden können (§ 25 j KWG).

Bei Kontoeröffnung erfolgt eine erneute Überprüfung der Identität und der vom Kunden gemachten Angaben auf Grundlage von zusätzlichen öffentlich zugänglichen Daten und Informationen (etwa im Internet oder in sozialen Netzwerken).

Schlussfolgerungen

Um betrügerische Kontoeröffnungen und Missbrauch des Finanzsystems zu vermeiden, hat die BaFin zulasten straffer, kostengünstiger Online-Verfahren die Anforderungen an eine Identifizierung bei Kontoeröffnungen erhöht. Wenngleich das damit verfolgte Ziel sicherlich zu unterstützen ist, stellt sich in der Praxis die Frage, wie Kreditinstitute auf diese eher überraschende Verschärfung effektiv reagieren sollten. Sicher ist allein, dass sie die Vorgaben beachten müssen. Welche Kosten und Auswirkungen auf das Digitalgeschäft dadurch verursacht werden können, scheint indes noch ungewiss.aj

UPDATE: BaFin: Die im Rundschreiben 04/16 zur Videoidentifizierung enthaltenen Ausführungen werden bis 31.12.16 ausgesetzt.