die bank 06 // 2017

DIGITALISIERUNG Wichtig

DIGITALISIERUNG Wichtig ist jedoch der Aspekt, dass die in dem Rundschreiben genannten Anforderungen vollumfänglich und kumulativ einzuhalten sind. Daraus lässt sich ableiten, dass Unternehmen, die ein Videoidentifizierungsverfahren einsetzen wollen, sicherstellen müssen, dass alle Anforderungen eingehalten werden. Auch wenn die Dienstleistung nicht selbst, sondern von einem Dritten erbracht wird, muss das Unternehmen prüfen, ob der Anbieter die Anforderungen vollumfänglich erfüllt. Welche Anforderungen bestehen für die Mitarbeiter, die Videoidentifizierungen durchführen? Unverändert gilt, dass die Mitarbeiter ausreichend geschult und ausgebildet sein müssen. Die Videoidentifizierung muss entweder von dem Verpflichteten selbst oder durch einen Dritten durchgeführt werden. Als zulässige Dritte gelten entweder Verpflichtete nach § 7 Abs. 1 GwG (per Gesetz zuverlässige Dritte) oder vertraglich verpflichtete zuverlässige Dritte nach § 7 Abs. 2 GwG. Hierbei gilt die Einschränkung, dass der Dritte keine weitere Verlagerung vornehmen darf. In der Praxis bleibt damit abzuwarten, ob die von einzelnen Anbietern vorgenommene teilweise Verlagerung an Call-Center unter diesem Aspekt akzeptiert wird. Nach dem Inhalt des BaFin- Rundschreibens dürfte dies zumindest zu bezweifeln sein. Als Mindestanforderung gilt für die identifizierenden Mitarbeiter, dass sie sich neben den prüfbaren Merkmalen der akzeptierten Dokumente auch mit den gängigen Fälschungsmöglichkeiten der Dokumente auskennen. Weiterhin wird die Kenntnis der gängigen relevanten geldwäsche- und datenschutzrechtlichen Vorgaben vorausgesetzt. Die Mitarbeiter müssen mindestens jährlich sowie anlassbezogen (bei entsprechenden rechtlichen Änderungen, erkannten Betrugsversuchen, neuen Betrugsmustern, Änderungen im Betriebsablauf) geschult werden und diese Schulungsmaßnahmen sind nachvollziehbar zu dokumentieren. Unverändert ist die Vorgabe, dass sich die Mitarbeiter im Rahmen des Identifizierungsvorgangs in abgetrennten und mit einer Zugangskontrolle versehenen Räumlichkeit befinden müssen. Wichtig ist, dass die zu identifizierende Person ausdrücklich ihre Einwilligung gibt, dass die ermittelten Daten einschließlich erstellter Screenshots bzw. Fotos archiviert werden. Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) weist in diesem Zusammenhang darauf hin, dass der zu Identifizierende zu informieren ist, welche personenbezogenen Daten archiviert werden und wie lange diese gespeichert werden. Im Fall eines Widerrufs ist eine entsprechende Löschung der Daten sicherzustellen. Was sind die technischen und organisatorischen Anforderungen? Für einen ordnungsgemäßen Identifizierungsvorgang ist es wichtig, dass dieser in Echtzeit und somit auch ohne Unterbrechungen vorgenommen wird. Bei der Kommunikation über einen Videochat muss eine „end-to-end“- Verschlüsselung sichergestellt sein. Die Frage, ob eine Identifikation via Skype möglich ist, führt zu starken Vorbehalten des BfDI. Hintergrund ist die Tatsache, dass Skype sich gemäß seiner 64 06 // 2017

DIGITALISIERUNG AGB vorbehält, die vollständigen Kommunikationsinhalte des Nutzers mitzulesen und auszuwerten. Als zulässige Ausweisdokumente können ausschließlich Dokumente verwendet werden, die über ausreichend fälschungssichere Merkmale verfügen, die bei einer Videoübertragung entsprechend erkannt werden können und über einen maschinenlesbaren Bereich verfügen. In dem Rundschreiben sind als Beispiel optische Sicherheitsmerkmale, unterteilt in vier Gruppen, aufgeführt: Beugungsoptisch wirksame Merkmale: ZZ Hologramme ZZ Identigram ZZ Kinematische Strukturen Personalisierungstechnik: ZZ Laserkippbilder ZZ Ausfüllschrift Material: ZZ Fenster (die z. B. personalisiert sein können) ZZ Sicherheitsfaden ZZ Optisch variable Farbe Sicherheitsdruck ZZ Mikroschrift Es ist sicherzustellen, dass eine Prüfung auf mindestens drei zufällig ausgewählte Merkmale aus verschiedenen Gruppen erfolgt. Hierbei ist auch zu prüfen, ob sich ein möglicher Fälschungsverdacht als Hinweis auf ein manipuliertes Dokument ergibt. Als Referenz, welche Sicherheitsmerkmale bei dem jeweiligen Dokumententyp vorhanden sein müssen, ist auf eine Ausweisdatenbank abzustellen. Als mögliche Quelle bietet sich das Öffentliche Online-Register echter Identitäts- und Reisedokumente des Rates der Europäischen Union (PRADO) an. Ein wesentlicher Bestandteil der Prüfung ist eine automatisierte Berechnung der vorhandenen Prüfziffern und ein Kreuzvergleich der Angaben in dem maschinenlesbaren Bereich mit den Angaben im Sichtfeld des Ausweises. Weiterhin sind die Orthographie der Ziffern, die verwendete Schriftart und die Behördenkennziffer zu prüfen. Im Rahmen der Kommunikation ist ergänzend die Plausibilität der Daten zu prüfen. So sind die Mitarbeiter aufgefordert, durch entsprechende Fragen herauszufinden, ob die Angaben des Ausweisdokuments auch tatsächlich mit der Person übereinstimmen. Dies kann etwa durch Nachfragen nach dem Alter oder den Geburtsdaten erfolgen. Ergänzend ist die zu identifizierende Person auch nach dem Grund der Identifizierung zu befragen. Dadurch soll verhindert werden, dass Betrüger durch Phishing oder Social Engineering Dritte als Tester für Apps anwerben, um mit den so erlangten Daten Vertragsabschlüsse zu generieren. Im Regelfall liegen dem Unternehmen bereits kundenbezogene Daten vor, sodass diese ebenfalls für einen Abgleich herangezogen werden müssen. Der Identifizierer hat sich zu vergewissern, dass die vorhandenen Daten mit den Angaben der identifizierenden Person übereinstimmen. Sollte eine Prüfung aufgrund schlechter Bildverhältnisse oder Störungen in der Kommunikation nicht möglich sein, so ist der Identifizierungsprozess abzubrechen. Bestätigung durch TAN Ergänzend zu dem Vorgang der Videoidentifizierung muss der zu identifizierenden Person während der Videoübertragung eine eigens für diesen Vorgang zentral generierte TAN per E-Mail oder SMS übermittelt werden. Diese muss unmittelbar online eingegeben und an den Identifizierer zurück gesendet werden. Der Identifizierungsvorgang ist nachvollziehbar für die Interne Revision, externe Wirtschaftsprüfer sowie für die BaFin aufzubewahren. Hierbei gilt die in § 8 Abs. 3 GwG definierte Aufbewahrungspflicht von fünf Jahren. Evaluierung spätestens drei Jahre nach Inkrafttreten Die BaFin stellt klar, dass die Vorgaben in einem laufenden Prozess auf ihre Aktualität geprüft werden. Insbesondere wenn sich neue Erkenntnisse, z. B. durch Sicherheitsvorfälle, ergeben, erfolgt eine Prüfung, ob die definierten Vorgaben noch als ausreichend angesehen werden können. Weiterhin ist definiert, dass spätestens nach drei Jahren eine anlassunabhängige Prüfung erfolgen wird. Im Wesentlichen wurden die bisherigen Anforderungen an die Videoidentifizierung beibehalten. Allerdings gibt es eine Erweiterung der Prüfung der Sicherheitsmerkmale. So müssen mindestens drei zufällig ausgewählte Sicherheitsmerkmale aus verschiedenen Kategorien geprüft werden. Weiterhin sind auch eine explizite psychologische Fragestellung sowie die Beobachtung des zu Identifizierenden im Rahmen der Kommunikation Bestandteil der Prüfung. FAZIT Das Rundschreiben der BaFin richtet sich an alle Unternehmen, die unter der Aufsicht der BaFin stehen. Insbesondere für Banken und Finanzdienstleister dürfte es sich bei der Videoidentifizierung um eine echte Alternative zu den bisher gängigen Identifizierungsmethoden, wie etwa Post Ident, handeln. Unverändert gilt jedoch, dass dieses Verfahren neben der Einhaltung der aufsichtsrechtlichen Vorgaben auch unter dem Aspekt der Wirtschaftlichkeit zu bewerten ist. Die BaFin hat explizit eine entsprechende Evaluierung in spätestens drei Jahren in Aussicht gestellt. Dies kann zu ergänzenden Anpassungen der Vorgaben führen, die entsprechende Kosten nach sich ziehen können. Autor: Ralf Inderwies ist Senior Consultant Compliance bei Creditreform Compliance Services GmbH mit Sitz in Neuss. 06 // 2017 65