ESAs | Geldwäscheprävention | money laundering prevention | PayTechLaw

Doppelter Standard: ESAs stellen hohe Anforderungen an innovative Lösungen zur Geldwäscheprävention

Die ESAs loben in ihrer Stellungnahme, wie durch neue technische Möglichkeiten Geldwäsche und Terrorismusfinanzierung verhindert werden können. Voll des Lobes sind sie aber nur, wenn es um das Sammeln und Sichten großer Datenmengen geht. Den Maßstab, den sie an innovative KYC Lösungen anlegen, ist ungleich höher als das, was für herkömmliche KYC Methoden gefordert wird. Aus der Stellungnahme spricht keine Offenheit für Innovationen, sondern eine erschreckende Technologiefeindlichkeit.

Der Gemeinsame Ausschuss der Europäischen Aufsichtsbehörden (das sind die Europäische Bankenaufsicht, die Europäische Behörde für Versicherungswesen und betriebliche Altersvorsorge und die Wertpapier- und Marktaufsichtsbehörde – zusammen „ESAs“) hat sich am 23. Januar 2018 in einer Stellungnahme zu Innovationen im Bereich der Prävention von Geldwäsche und Terrorismusfinanzierung geäußert. Die Stellungnahme ist eine Richtschnur für die nationalen Aufsichtsbehörden, wie sie neue, technische Lösungen im Bereich der Customer Due Diligence und Monitoring bewerten sollen und welche Anforderungen an solche Lösungen und an die Verpflichteten, die sie einsetzen, zu stellen sind.

Es ist anzunehmen, dass die nationalen Aufsichtsbehörden, diese Richtlinien umsetzen werden. Grund genug also, sich genauer anzusehen, was diese für Unternehmen, die Verpflichtete im Sinne des Geldwäschegesetzes sind, und für Anbieter innovativer Lösungen bedeuten.

ESAs und innovative KYC Lösungen. Um was geht es hier eigentlich?

Die Identifizierung des Kunden, also die klassische Customer Due Diligence, wird im Zeitalter der Digitalisierung immer häufiger online durchgeführt. Denn muss der Kunde erst zur Bankfiliale oder Post um sich zu identifizieren, ist dies für den Anbieter teuer und in den meisten Fällen verliert der Kunde an dieser Stelle das Interesse. Anbieter wie WebID oder IDNow, die eine Identifizierung per Videolivechat anbieten, füllen diese Lücke (im Folgenden „Videoidentanbieter“). Es tut sich aber noch mehr. Mit der eIDAS Verordnung gibt es auch die Möglichkeit, zentrale eID Systeme aufzusetzen, bei denen sich der Kunde einmal identifizieren muss und deren Daten dann von verschiedenen Unternehmen genutzt werden können (im Folgenden „Zentraler Datenverwalter“ genannt). Allianzen verschiedener Unternehmen haben dafür Unternehmen gegründet.

Was die ESAs in ihren Stellungnahmen den Videoidentanbietern oder anderen innovativen Lösungen mit auf den Weg geben, hat PayTechLaw kommentiert.

Sie möchten eine innovative ID-Lösung bauen? Dann gilt zu beachten:

Wer zur Identifizierung des Kunden weiterhin den Kunden in die Filiale kommen lässt oder zur Post zum PostIdent schickt, der darf so weiter machen wie bisher. Wenn ein Unternehmen aber eine innovative ID-Lösung bauen will, dann ist nach Ansicht der ESAs mehr zu beachten:

  • Vor der Einführung eines neuen Verfahrens muss das Unternehmen die neue Lösung einem sehr rigorosen Risikotest unterziehen. Sollten dabei nicht alle Zweifel ausgeräumt werden können, muss das bisher bestehende Verfahren (z.B. PostIdent oder ähnliches) weiter parallel betrieben werden. Zweifel an der Qualität herkömmlicher Verfahren haben bisher nicht dazu geführt, dass eine neue Lösung eingeführt und parallel betrieben werden musste.
  • Das Unternehmen muss das neue Verfahren sowohl technisch als auch rechtlich im Detail verstanden haben, um bei Problemen diese lokalisieren zu können und die Integration zu begleiten. Dieses Verständnis muss auch beim Senior Management vorhanden sein. Das ist grundsätzlich richtig und zu befürworten. Allerdings muss die Frage erlaubt sein, ob das Senior Management auch sonst das Verständnis für technische und rechtliche Details haben muss.
  • Das Unternehmen muss einen Notfallplan bereithalten, sollte das neue Verfahren ausfallen. Nach Empfehlung der ESAs sollten daher am besten immer mindestens zwei Verfahren implementiert sein. Grundsätzlich ist es immer Teil eines vernünftigen Risikomanagements einen Notfallplan zu haben. Aber die Forderung, permanent eine zweite Identifizierungslösung bereitzuhalten wird für herkömmliche Methoden nicht aufgestellt, obwohl auch diese ausfallen können (Streik, Wetter, Computerausfall etc.).
  • Das Unternehmen muss den Anbieter und die innovative Lösung regelmäßig prüfen. Sollte dabei ein schwerwiegender Fehler auffallen, muss das Unternehmen den Einsatz der innovativen Lösung auf den Prüfstand stellen und gegebenenfalls nicht mehr einsetzen. Hier zeigt sich viel Misstrauen. Denn sollte einer Filiale oder der Post bei der Identifizierung eines Kunden ein schwerwiegender Fehler unterlaufen, wurde bislang auch nicht die Schließung der Filiale oder der Verzicht auf PostIdent gefordert, sondern eben eine Behebung des Fehlers.
  • Die ESAs sind der Ansicht, dass die innovative Lösung in die existierenden Arbeitsprozesse und alten System integriert werden muss. Das Ziel sei, dass alle verfügbaren Informationen in einem System zusammenfließen, um eine umfassende Übersicht über einen Kunden zu gewährleisten. Diese Anforderung ist sicher sinnvoll, aber das ist sie nicht nur für innovative Systeme, obwohl sie nur für diese aufgestellt wird, so dass herkömmliche Systeme im Umkehrschluss nicht unbedingt in einem System zusammenfließen müssen.
  • Das Unternehmen muss prüfen, ob es ihm möglich ist, durch oder trotz der Integration einer innovativen Lösung ein umfassendes Bild über den Kunden zu gewinnen, das auch vorangegangene Transaktionen, verbundene Konten oder Kunden, Verhaltensmuster und Informationen aus Registern, Social Media u.a. Quellen einbezieht. Eine Pflicht, weitere Informationen über Kunden aus weiteren Quellen wie z.B. Social Media zu beziehen gibt es bei der Anwendung herkömmlicher Verfahren nicht. Wieso soll dies nur dann gelten, wenn z.B. per VideoChat die Identifizierung stattfand? Hier wird sehr deutlich ein weitaus strengerer Maßstab angelegt.
  • Die ESAs sind der Ansicht, dass durch den grenzüberschreitenden Dienstleistungsverkehr die Gefahr für Geldwäsche/Terrorismusfinanzierung steigt. Aus diesem Grund soll der Zahlungsdienstleister den Ort des Kunden durch Fingerabdruck oder GPS Daten eines Mobilfunkgerätes erfassen. Dazu soll der Zahlungsdienstleister auch noch herausfinden, warum Kunden aus anderen Mitgliedsstaaten ihren Service nutzen wollen. Eine solche Pflicht zur Nachforschung der Motive des Kunden gibt es bei herkömmlichen KYC Methoden nicht. Außerdem erscheint mir diese Frage mit der in der EU garantierten Dienstleistungsfreiheit nur schwer zu vereinbaren zu sein.

Nachrüsten? Nachrüsten!

Auch die Anbieter innovativer Lösungen müssen nachrüsten. Denn die ESAs halten so manche Überraschung bereit:

  • Die Mitarbeiter eines Videoanbieters sollen darauf trainiert werden, Personen zu erkennen, die zwar dem Bild auf dem vorgelegten Ausweisdokument ähnlich sind aber selbst nicht der Ausweisinhaber sind. Alternativ können auch technische Lösungen dafür gefunden werden, die tatsächliche Übereinstimmung von Ausweis und Inhaber zu prüfen. Diese Schulung oder der Einsatz technischer Mittel zur Personenerkennung macht nicht nur online Sinn, sondern gerade auch in der Bankfiliale oder am Postschalter. Dafür gelten die Hinweise der ESAs aber nicht.
  • Videoidentanbieter müssen Maßnahmen einführen, die sicherstellen, dass keine falschen oder gefälschten Dokumente vorgelegt werden. Solche Maßnahmen können zum Beispiel sein:
    • Eine eingebaute Funktionalität mit der anhand der Sicherheitsmerkmale von Ausweisdokumenten (Wasserzeichen, Foto, Laminierung, nur unter UV-Licht erkennbare Schrift etc.) bzw. deren Platzierung auf dem Dokument die Echtheit geprüft werden kann;
    • Ein automatischer Abgleich des vorgezeigten Ausweisdokuments mit einem Musterausweis aus der Datenbank des Anbieters;
    • Begrenzung der zur Identifikation zugelassenen Dokumente auf solche, die:
      • Hochsicherheitsmerkmale enthalten (z.B. Fingerabdrücke); oder
      • eine qualifizierte elektronische Signatur enthalten (besonders für juristische Personen relevant); oder
      • eine Verknüpfung mit einem staatlichen Register (wie z.B. Handelsregister) ermöglichen; oder
      • mit einem durch den Staat betriebenen Zentralen Datenverwalter oder einem elektronischen Identifizierungssystems nach der eIDAS Verordnung, dessen Sicherheitssystem als substanziell eingestuft wurde, verbunden sind.

Keine dieser Maßnahmen zum Erkennen von falschen oder gefälschten Dokumenten muss in der Bankfiliale oder am Postschalter angewendet werden. Nach meiner persönlichen Erfahrung wird dort oftmals in weitaus geringerem Maße die Echtheit des Ausweisdokumentes geprüft als bei einer Videoidentifikation. Der Verweis auf elektronische Signaturen oder elektronische Identifizierungssysteme bleibt eine theoretische Gedankenspielerei, weil sie nicht praktikabel ist. In der Bevölkerung ist weder das Wissen noch die Hardware (noch die Nerven) für den Einsatz von e-ID Möglichkeiten nach der eIDAS Verordnung vorhanden.

Worauf Anbieter innovativer Lösungen achten müssen…

  • Die Anbieter innovativer Lösungen müssen auch ausschließen, dass ein Kunde eingeschüchtert oder bedroht wird und nur aus diesem Grund die Identifizierung durchführt. Das soll nach Ansicht der ESA dadurch geschehen, dass ein Live Chat mit psychologisch geschultem Personal durchgeführt wird, das ein auffälliges Verhalten des Kunden erkennen kann. Dann bleibt nur zu hoffen, dass auch die Mitarbeiter von Banken und der Post psychologische Schulungen erhalten.
  • Die Anbieter innovativer Lösungen müssen verhindern, dass sich eine Person als jemand anderes ausgibt (Identitätsbetrug). Dies soll durch folgende Maßnahmen sichergestellt werden:
    • Verifikation der Identität des Kunden auf Basis eines elektronischen Identitätssystems nach der eIDAS Verordnung, dessen Sicherheitslevel als hoch eingestuft wurde; oder
    • eine Kombination der folgenden Maßnahmen:
      • Identifizierung des Kunden anhand eines hoheitlichen Dokuments zusammen mit Informationen, die im Live Chat mit einem Mitarbeiter gewonnen werden und Informationen aus anderen hoheitlichen oder sonst zuverlässigen Quellen;
      • Automatische Spracherkennung, die die Muttersprache des Kunden erkennen kann;
      • Die Auflage, dass die Dokumentation der KYC Prüfung eine elektronische Unterschrift nach der eIDAS Verordnung enthält;
      • Die Verifikation der Identität des Kunden durch herkömmliche Mittel, wie den Versand eines Briefes an seine verifizierte Wohnanschrift.

Was offen bleibt

In der Stellungnahme der ESAs bleibt offen, ob diese Maßnahmen stets durchgeführt werden müssen oder nur dann, wenn ein Verdacht für Identitätsbetrug besteht. Wenn dies als stets durchzuführende Maßnahmen gemeint ist, dann hätten die ESAs eigentlich auch schreiben können, dass sie keine innovativen Lösungen wollen. Denn wenn es darauf hinausläuft, dass der Kunde entweder doch per Brief oder nur mittels eines zusätzlichen eID-Verfahrens, das für die Masse der Bevölkerung nicht praktikabel ist, identifiziert werden kann, dann wird damit ausgesagt, dass man eigentlich lieber die Rückkehr zum Bankschalter will. Und dass das Internet so eine Mode ist, die auch vorbeigeht.

 

Titelbild / Cover picture: Copyright © fotolia

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.