A. Einleitung | Videoidentifizierungsverfahren
Anlässlich der Überarbeitung seiner Leitlinien zur Kontoeröffnung und Kundenidentifizierung durch den Baseler Bankenausschuss im Februar 2016 sah sich die BaFin veranlasst, u. a. ihre Verwaltungspraxis zu den Anforderungen an die Nutzung des sog. Videoidentifizierungsverfahrens bei einer Kontoeröffnung anzupassen (siehe Rundschreiben 01/2014 (GW) vom 5.3.2014, dort Ziff. III). Mit dem Rundschreiben 04/2016 (GW) vom 10.06.2016 der Abteilung für Geldwäscheprävention hat die BaFin ihre bisherige Verwaltungspraxis zwar weitgehend bestätigt und in Details konkretisiert. Sie hat die Anforderungen an das Videoidentifizierungsverfahren bei einer Kontoeröffnung jedoch weiter verschärft (siehe unter B. 6.), um betrügerische Kontoeröffnungen unter falschen Identitäten zu erschweren.
B. Konkretisierung der bisherigen Verwaltungspraxis der BaFin
Das Rundschreiben 04/2016 (GW) konkretisiert und erweitert die Anforderungen zur Videoidentifizierung aus dem Rundschreiben 01/2014 (GW) vom 5.03.2014 wie folgt:
1. Anforderungen an den Identifizierenden
a. Die Mitarbeiter des Verpflichteten bzw. ein nach § 7 Abs. 2 GWG eingesetzter Dritter (nachfolgend einheitlich „Identifizierender“) müssen mindestens die wesentlichen Merkmale derjenigen Dokumente kennen, die im Rahmen des Videoidentifizierungsverfahrens akzeptiert werden; dazu zählen insbesondere die hierauf bezogenen Fälschungsmerkmale.
b. Der Identifizierende muss außerdem die maßgeblichen geldwäscherechtlichen Vorschriften und die in dem Rundschreiben 04/2016 (GW) vom 10.06.2016 geforderten Anforderungen kennen.
c. Schließlich muss der Identifizierende mindestens einmal jährlich entsprechend geschult werden.
2. Räumlichkeiten
Der Identifizierende muss die Identifizierung in abgetrennten und mit einer Zugangskontrolle ausgestatteten Räumlichkeiten vornehmen.
3. Durchführung der Identifizierung
a. Die Identifizierungsvorgänge müssen anhand von manipulationssicheren Mechanismen durchgeführt werden (z.B. Einsatz von Jailbreak oder Rooting Detection Programme bei mobilen Applikationen).
b. Der zu Identifizierende hat sich zu Beginn einer Identifizierung mittels Videoübertragung mit den Aufzeichnungen ausdrücklich einverstanden zu erklären.
c. Während der Videoübertragung muss der Identifizierende Fotos/Screenshots anfertigen, auf denen (i) der zu Identifizierende, (ii) die Vorder- und Rückseite des Ausweisdokumentes oder Legitimationsdokuments (nachfolgend einheitlich „Legitimationsdokument“) und (iii) die darauf enthaltenen Angaben deutlich erkennbar sind.
4. Zugelassene Legitimationsdokumente
Es sind nur maschinenlesbare Legitimationsdokumente zulässig, die über optische Sicherheitsmerkmale (z. B. holographische Bilder, kinematische Strukturen) verfügen und die einer visuellen Überprüfung zugänglich sind.
5. Sonstige wesentliche Anforderungen an die Videoidentifizierung
a. Generelle Eignung des Legitimationsdokuments
Der Identifizierende muss sicherstellen, dass das zur Identitätsüberprüfung generell geeignete und konkret herangezogene Legitimationsdokument hinsichtlich seiner optischen Sicherheitsmerkmale mit den auf einem Muster-Legitimationsdokument enthaltenen Merkmalen übereinstimmt. Gleiches gilt für die einer optischen Kontrolle mittels Videoübertragung zugänglichen Sicherheits- und formalen Merkmale (hierzu gehört auch eine Prüfung von Layout, Zeichenzahl, -größe, -abstand und Typographie). Diese Merkmale sind im Vorfeld für alle akzeptierten Legitimationsdokumente jeweils zu definieren.
Bei ausländischen Legitimationsdokumenten hat sich der Identifizierende regelmäßig einer Ausweisdatenbank zu bedienen, in welcher Muster von allen zugelassenen Legitimationsdokumenten hinterlegt sind (insbesondere Aufbau des Dokuments mit besonderem Fokus auf den enthaltenen Sicherheitsmerkmalen).
b. Visueller und inhaltlicher Abgleich von Daten
Der Mitarbeiter muss visuell prüfen, ob das Legitimationsdokument unversehrt laminiert ist und kein aufgeklebtes Bild enthält.
Der zu identifizierende Vertragspartner hat das verwendete Legitimationsdokument vor der Kamera nach Anweisung des Identifizierenden horizontal bzw. vertikal zu kippen und zudem auf Aufforderung des Identifizierenden bestimmte weitere Bewegungen durchzuführen. Der Ablauf dieses Verfahrens muss variationsreich gestaltet sein. Die BaFin bezweckt damit vermutlich, dass es Betrügern erschwert werden soll, sich auf bestimmte monotone Prozessabläufe einzustellen.
Der Kunde hat während der Videoübertragung die vollständige Seriennummer seines Legitimationsdokuments mitzuteilen.
Der Identifizierende muss sich davon überzeugen, dass das Lichtbild und die Personenbeschreibung auf dem verwendeten Legitimationsdokument zu dem zu Identifizierenden passen. Lichtbild, Ausstellungsdatum und Geburtsdatum müssen zueinander passen. Zwingender Bestandteil einer Überprüfung ist zudem eine Berechnung der in der maschinenlesbaren Zone enthaltenen Prüfziffern sowie ein Kreuzvergleich der in ihr enthaltenen Angaben mit den Angaben im Sichtfeld des Legitimationsdokuments.
Der Identifizierende muss die Videoidentifizierung abbrechen, wenn es während des Identifizierungsprozesses zu Unstimmigkeiten kommt (z. B. schlechte Lichtverhältnisse, Bild- oder Sprachqualität). Die Identifikation kann aber mittels eines anderen nach dem GwG zulässigen Verfahrens vorgenommen werden.
c. Abgleich mit „Bestandsdaten“
Der Identifizierende hat sämtliche auf dem Legitimationsdokument enthaltenen Angaben des zu Identifizierenden mit etwaigen Bestandsdaten des Verpflichteten abzugleichen.
d. Abschluss des Identifizierungsprozesses
Der zu Identifizierende muss während der Videoübertragung eine eigens für diesen Zweck gültige, zentral generierte und von dem Identifizierenden an ihn (per E-Mail oder SMS) übermittelte Ziffernfolge (TAN) unmittelbar online eingeben und an den Mitarbeiter elektronisch zurücksenden. Mit Eingabe der TAN durch die zu identifizierende Person ist der Identifizierungsprozess, einen erfolgreichen systemseitigen Abgleich der TAN vorausgesetzt, abgeschlossen.
e. „Vier-Augen-Prinzip“
Alle wesentlichen Identifizierungsschritte sind durch eine zweite Ebene des Verpflichteten auf ihre korrekte Durchführung hin zu überprüfen.
6. Überweisung eines Geldbetrages von einem auf den Namen des zu Identifizierenden lautenden Bankkontos bei Kontoeröffnung
In Ergänzung ihrer bisherigen Verwaltungspraxis verlangt die BaFin in dem Rundschreiben 04/2016 (GW) zur Anhebung des Sicherheitsniveaus für Geldwäscheprävention, dass sich ein verpflichtetes Kreditinstitut von dem Kunden, dessen Konto unter Zugrundelegung des Videoidentifizierungsverfahrens eröffnet worden ist, bei Kontoeröffnung
- einen – in der Höhe unbestimmten – Geldbetrag
- von einem auf den Namen des Kunden lautenden Konto (also ein bestehendes Konto) bei einem Kreditinstitut in der europäischen Union (ein Konto in einem Drittstaat genügt also nicht)
überweisen lässt.
Exkurs: In einer am 31.05.2016 kurzfristig veröffentlichen Fassung des oben genannten Rundschreibens, dass die BaFin noch am selben Tag wieder offline nahm, verlangte die BaFin noch, dass die Überweisung „unverzüglich nach Kontoeröffnung…“ erfolgen sollte. Diese Passus findet sich in dem am 10.06.2016 veröffentlichten Merkblatt nicht mehr.
Bis zum Eingang der Referenzüberweisung findet § 25j KWG Anwendung, d. h. über das eröffnete Konto können keine Gelder abverfügt (Lastschrift oder Überweisung) werden und eingegangene Gelder können nur an den Einzahler entsprechender Geldbeträge ausgezahlt werden.
Zudem hat das verpflichtete Kreditinstitut auf der Grundlage von zusätzlichen öffentlich zugänglichen Daten und Informationen (etwa im Internet oder in sozialen Netzwerken), wie dies § 9b 2 2 GwG bereits für andere Verpflichtete des GwG vorsieht, eine erneute Überprüfung der Identität und der von dem zu Identifizierenden gemachten Angaben vorzunehmen.
7. Aufbewahrungs- und Aufzeichnungspflichten
Der gesamte Identifizierungsprozess mittels Videotechnologie ist von dem Verpflichteten oder einem Dritten, auf den der Verpflichtete gemäß § 7 Abs. 2 GwG ausgelagert hat oder auf den er gemäß § 7 Abs. 1 GwG zurückgreift, für die interne und externe Revision sowie die BaFin nachprüfbar in allen Einzelschritten aufzuzeichnen und aufzubewahren. Aus den Aufzeichnungen muss neben der Einhaltung der an geldwäscherechtliche Identifizierungen allgemein gestellten Anforderungen insbesondere die Einhaltung der in diesem Rundschreiben genannten Mindestanforderungen für Videoidentifizierungen ersichtlich sein.
8. Datenschutz
Schließlich weist die BaFin ausdrücklich darauf hin, dass die aufsichtsrechtlichen Anforderungen an eine Identifizierung ungeachtet etwaiger daneben bestehender bzw. darüber hinausgehender Anforderungen gemäß §§ 7 und 8 GwG und unbeschadet von parallel zu beachtenden datenschutzrechtlichen Anforderungen gelten. In diesem verweist die BaFin insbesondere auf das Schreiben des Bundesministeriums der Finanzen vom 17.04. 2015 betreffend die datenschutzrechtlichen Leitlinien der Bundesbeauftragten für Datenschutz und der Informationsfreiheit.
C. Konsequenzen des BaFin Rundschreibens 04/2016 (GW) auf die Videoidentifizierung in Deutschland
1. Einschränkung der „Nutzungsberechtigten“ des Videoidentifizierungsverfahrens?
Eine wesentliche Konsequenz des Rundschreibens 04/2016 (GW) vom 10.06.2016 nach Ansicht der BaFin ist, dass das Videoidentifizierungsverfahren künftig nur noch durch Kreditinstitute i.S.v. § 1 Abs. 1 KWG genutzt werden kann.
Der Regelungsgehalt dieser Aussage ist mindestens unklar. Denn mit Ausnahme des Kriteriums der Referenzüberweisung könnten die weiteren Anforderungen nach Maßgabe des Rundschreibens 04/2016 (GW) von Dritten (z. B. durch webID solutions) erbracht und das Videoidentifizierungsverfahren somit auch von Dritten “genutzt” werden. Was die BaFin vermutlich meint ist, dass nur Kreditinstitute i. S. v. § 1 Abs. 1 KWG Drittanbieter einschalten dürfen. Aus Gründen der Rechtssicherheit wäre eine Klarstellung durch die BaFin wünschenswert.
Die oben geschilderte Konsequenz ist aus rechtlicher Sicht jedoch zu hinterfragen.
Das Rundschreiben 04/2016 (GW) vom 10.06.2016 richtet sich an Verpflichtete im Sinne des Geldwäschegesetzes. Verpflichtete in diesem Sinne sind gemäß § 2 Abs. 1 Nr. 1 u. a. “Kreditinstitut im Sinne des § 1 Abs. 1 des Kreditwesengesetzes (…) und im Inland gelegene Zweigstellen und Zweigniederlassungen von Kreditinstituten mit Sitz im Ausland“. Die Aussage, dass nur noch Kreditinstitute i. S. v. § 1 Abs. 1 KWG das Videoidentifizierungsverfahren nutzen dürften, würde im Inland gelegene Zweigstellen und Zweigniederlassungen von Kreditinstituten mit Sitz im Ausland von der Nutzung des Videoidentifizierungsverfahrens ausnehmen und diese diskriminieren, obwohl die Zweistellen und Niederlassungen Verpflichtete im Sinne des Geldwäschegesetzes sind. Eine solche Verwaltungspraxis könnte europarechtlich angreifbar sein. Es ist wohl davon auszugehen, dass es sich bei der von der BaFin geschilderten Konsequenz um einen Redaktionsfehler handelt. Aus Gründen der Rechtssicherheit wäre jedoch auch insofern eine Klarstellung wünschenswert.
Es wäre außerdem eine Klarstellung wünschenswert, ob Zahlungsinstitute und E-Geld-Institute von der Anwendung des Videoidentifizierungsverfahrens ausgeschlossen sein sollen, wie der Wortlaut des Rundschreibens nahe legt. Ein solcher Ausschluss könnte ein Verstoß gegen den Gleichbehandlungsgrundsatz darstellen. Eine rechtliche Begründung für diese gegenüber Kreditinstituten substantielle Benachteiligung enthält das Rundschreiben nicht. Die Leitlinien des Baseler Bankenausschusses bei der Kontoeröffnung wären für die BaFin jedenfalls nicht verbindlich, wenn das Rundschreiben gegen Europarecht und/oder das Grundgesetz verstoßen würde.
2. Ausschluss von “Erstkontoeröffnungen”
Durch die zusätzliche Anforderung einer Referenzüberweisung (siehe oben B. 6.) kann das Videoidentifizierungsverfahren nur von Kunden genutzt werden, die bereits ein Konto haben. Selbst wenn also Zahlungsinstitute und E-Geld-Institute das Videoidentifizierungsverfahren weiter nutzen könnten, was nach dem Wortlauf des Rundschreibens unklar ist, würde Anbieter von innovativen Zahlungslösungen, die häufig gerade auch junge Menschen ansprechen, die noch kein Konto unterhalten, in ihrer Geschäftstätigkeit beschränkt.
Es wäre wünschenswert, wenn die BaFin sich damit auseinandersetzt, ob das Ziel, die betrügerische Eröffnung von Konten zu erschweren, die oben beschriebene Beschränkung rechtfertigt und ob es nicht andere Lösungen gibt, mittels derer man das Ziel erreichen könnte.
3. Was heißt „bei Kontoeröffnung“?
Die BaFin verlangt, dass sich das verpflichtete Kreditinstituts einen Geldbetrag „bei Kontoeröffnung“ überweisen lassen muss. Wie soll diese Pflicht in der Praxis umgesetzt werden? Muss der Kunde in dem Kontoeröffnungsantrag einen entsprechenden Nachweis erbringen, dass er die verlangte Referenzüberweisung von einem auf seinen Namen lautenden EU-Konto bereits angewiesen hat? Wenn ja, wie soll dieser Nachweis geführt werden?
Oder genügt es, wenn der Kunde sich im Rahmen der Kontoeröffnung verpflichtet (ggf. innerhalb einer bestimmten Frist), den Geldbetrag auf das eröffnete Konto zu überweisen? Hierfür könnte die Streichung des Passus „unverzüglich nach Kontoeröffnung“ aus dem am 31.05.2016 kurzzeitig veröffentlichten Rundschreibens sprechen.
Auch insofern wäre eine Klarstellung durch die BaFin wünschenswert.
4. Gewollter Medienbruch?
Eine Konsequenz hat das Rundschreiben 04/2016 (GW) der BaFin in jedem Fall:
Einem Kunden, der kein Konto bei einem in der EU ansässigen Kreditinstitut unterhält, kann sich nicht länger über das Videoidentifizierungsverfahren identifizieren, sondern muss auf die „klassischen“ Identifizierungsverfahren zurückgreifen. Der darin liegende „Medienbruch“ dürfte negative Auswirkungen auf die „Conversion“ von deutschen Kreditinstituten bzw. ausländischen Kreditinstituten mit Zweigniederlassung in Deutschland haben. Diese Folgen scheinen der BaFin durchaus bewusst. In dem Rundschreiben 04/2016 (GW) vom 10.06.2016 betont die BaFin, dass das Verfahren der Videoidentifizierung zwar „nicht nur in Deutschland in Reaktion auf die Digitalisierung der Bank-Kunde-Beziehungen (einen) wichtigen Stellenwert besitzt“, dennoch aber „an die aktuellen Erfordernisse (Geldwäscheprävention) angepasst werden“ müsse.
D. Fazit
Das Rundschreiben 04/2016 (GW) der BaFin vom 10.06.2016 weist einige handwerkliche Schwächen auf, die aus Gründen der Rechtssicherheit behoben werden sollten.
Das mit dem Rundschreiben verfolgte Ziel der Verbesserung der Geldwäscheprävention aus sicherheitspolitischen Gründen, gerade in Zeiten zunehmender Terrorgefahr, ist richtig und nachvollziehbar. Auf der anderen Seite entwickelt sich die Geldwäscheprävention immer mehr zu einem „Hemmschuh“ für innovative Geschäftsmodelle, insbesondere im Bereich des e-Commerce, was die Beschneidung des aus der Not geborenen Behelfsmittels der Videoidentifizierung zeigt.
Vor diesem Hintergrund möchte ich die kürzlich in meinem Beitrag „KYC – Another Field of Application for Blockchain?“ angestoßene Diskussion beleben, um die Entwicklung einer gleichermaßen sicheren wie nutzerfreundlichen und zukunftsorientierten Lösung des „KYC-Problems“ zum Vorteil aller Beteiligten voranzubringen.
