Entwurf für Leitlinien zur Fernidentifizierung von Kunden – EBA soll gemeinsame EU-Standards festlegen

Entwurf für Leitlinien zur Fernidentifizierung von Kunden

Am 10. Dezember 2021 hat die Europäische Bankenaufsicht (EBA) eine öffentliche Konsultation zu ihrem Entwurf für Leitlinien zur Fernidentifizierung von Kunden (remote customer onboarding) eingeleitet.

Kontext und Umfang

Die Leitlinien wurden als Teil der von der Europäischen Kommission im Jahr 2020 vorgelegten Digital Finance Strategy entwickelt und fallen unter das Mandat der EBA zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (ML/TF).

Die Europäische Kommission hat festgestellt (und dies können Marktteilnehmer und nationale Aufsichtsbehörden sicherlich bestätigen), dass die derzeitigen Vorschriften über die Sorgfaltspflichten gegenüber Kunden, wie sie in der AMLD5 niedergelegt sind, keine ausreichende Klarheit und Konvergenz in Bezug darauf bieten, was in einem remote und digitalen Kontext zulässig ist und was nicht. Dies hat zu Unstimmigkeiten bei der Nutzung der remote Kundeneinführung durch die Marktteilnehmer sowie zu unterschiedlichen Auslegungen der AMLD5 durch die Mitgliedstaaten geführt.

Die jüngsten technologischen Entwicklungen und die Einführung von open banking, die durch den Rückgang der Nutzung von Bankfilialen und die pandemischen Beschränkungen beschleunigt wurden, haben zweifellos dazu geführt, dass Ferndienstleistungen sehr häufig in Anspruch genommen werden, insbesondere wenn es um Sorgfaltspflichten gegenüber Kunden geht.

Die Konsultation der EBA zielt daher darauf ab, einen einheitlichen Regulierungsansatz für das remote onboarding von Kunden festzulegen, der den EU-Rahmen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung sowie den Datenschutzrahmen einhält.

Nach ihrer Verabschiedung gelten die Leitlinien für alle Akteure des Finanzsektors, die in den Anwendungsbereich der Geldwäscherichtlinie (AMLD) fallen, wenn diese (erste) Sorgfaltspflichten gegenüber Kunden durchführen.

Struktur

Zunächst wurde die EBA von der Europäischen Kommission damit beauftragt, Leitlinien auszuarbeiten, welche:

• die Arten von hinreichenden innovativen Technologien für das remote onboarding von Kunden
• die Bedingungen, die beim Einsatz innovativer Technologien für das remote onboarding erfüllt werden müssen,
• die zulässigen Formen der verwendeten digitalen Dokumentation, und
• die Bedingungen für die Ausführung von Sorgfaltspflichten durch Dritte

festlegen.

Zusätzlich zu dem Ersuchen der Europäischen Kommission hat die EBA beschlossen, einen policies and procedures Abschnitt in die Leitlinien aufzunehmen, da Schwächen in der Unternehmensführung als eine erhebliche Risikoquelle bei der Ferneinbindung von Kunden identifiziert worden sind. Der entsprechende Abschnitt legt somit die Erwartungen hinsichtlich der Kontrollen fest, die bei der Verwendung einer Lösung für das remote customer onboarding eingeführt werden müssen, und definiert die Rolle des Geldwäsche und Compliance Beauftragten bei der Einführung der entsprechenden Richtlinien und Verfahren.

Der Entwurf der Leitlinien umfasst folgende Schlüsselbereiche, die auch Gegenstand der Fragen im Konsultationsprozess sind:

1. Interne Richtlinien und Verfahren
2. Informationserhebung
3. Authentizität und Integrität von Dokumenten
4. Authentizitätsprüfungen
5. Nutzung digitaler Identitäten
6. Einbindung von Dritten und Auslagerung
7. ICT-Risikomanagement.

eIDAS und die Nutzung von digitalen Identitäten

Obwohl die elektronischen Identifizierungsmittel im Rahmen der eIDAS-Verordnung (eIDs) von der AMLD5 als Lösung zur Identifizierung von Kunden und zur sicheren Begründung von Ferngeschäftsbeziehungen anerkannt werden, hat die EBA einen begrenzten Erfolg bei der Verwendung digitaler Identitäten in einem grenzüberschreitenden Umfeld sowie bei der grenzüberschreitenden Akzeptanz von eIDs festgestellt. Insbesondere da die Mitgliedstaaten gemäß der eIDAS-Verordnung nicht verpflichtet sind, eine nationale digitale Identität zu entwickeln und diese mit denjenigen anderer Mitgliedstaaten interoperabel zu machen, ist die Akzeptanz ausländischer eIDs noch sehr gering. Dies ist auch darauf zurückzuführen, dass die digitalen Identitäten im Rahmen der eIDAS-Verordnung nicht für den Privatsektor konzipiert wurden und daher hauptsächlich in staatlichen Diensten verwendet werden.

Darüber hinaus harmonisiert die eIDAS-Verordnung nicht den Ansatz für die Zertifizierung von vertrauenswürdigen Dienstleistern. Um das Problem der Identifizierung zuverlässiger digitaler Identitätsgeber zu lösen, hat die Europäische Kommission erst kürzlich eine sichere digitale Identität für alle Europäer vorgeschlagen.

In der Zwischenzeit sehen die Leitlinien vor, dass die Institute selbst entscheiden können, ob ein Anbieter digitaler Identitäten unabhängig und hinreichend zuverlässig ist, um kundenbezogene Sorgfaltspflichten bei Begründung der Geschäftsbeziehung durchzuführen. Wenn sie eine solche Entscheidung selbst treffen, müssen die Institute der Aufsichtsbehörde nachweisen, dass die verwendete digitale Identitätslösung angemessen und ausreichend ist, um die Einhaltung ihrer Verpflichtungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung zu gewährleisten.

Echtheitsprüfungen und der Grundsatz der Technologieneutralität

Einer der wichtigsten Aspekte der Leitlinien sind die Methoden zur Überprüfung der Identität des Kunden in einem Ferneinbindungs-Szenario.

In diesem Zusammenhang wird in den Leitlinien versichert, dass keine der von den Unternehmen verwendeten technologischen Lösungen (wie z. B. biometrische Daten) bevorzugt oder diskriminiert wird. Dies untermauert den Grundsatz der technologischen Neutralität.

Erwähnenswert ist ebenfalls, dass in Fällen, in denen das mit einer Geschäftsbeziehung verbundene ML/TF-Risiko erhöht ist (die EBA nennt als Beispiel Fälle mit hohem ML/TF-Risiko, in denen Institute nicht auf digitale Identitätsaussteller zurückgreifen und/oder in Situationen, die stark von der Technologie abhängen und in denen nur wenig oder gar kein direktes menschliches Eingreifen erfolgt), die Institute laut Leitlinien gehalten sind, Fernüberprüfungsprozesse zu verwenden, die eine sogenannte „liveness detection“ enthalten¹.

Ausblick

Man kann auf den kürzlich eingeleiteten Konsultationsprozess und die Reaktion der Marktteilnehmer auf diese recht detaillierten Anforderungen der Leitlinien sicherlich gespannt sein, auch weil der Einsatz einer vollautomatischen, stark von automatisierten Algorithmen abhängigen remote customer onboarding-Lösung ohne oder mit nur geringem menschlichen Eingriff² unter bestimmten Bedingungen denkbar zu sein scheint.

Jedenfalls sollten sich Verpflichtete unter der AMLD5 mit den Leitlinien vertraut machen, auch wenn sie sich noch im Entwurfsstadium befinden, da die Fernidentifizierung sich weiter durchsetzen wird.

Schließlich sei noch zu erwähnen, dass die Leitlinien nach ihrer Verabschiedung eine Reihe bestehender EBA-Leitlinien ergänzen werden. Darunter fallen u. a. die EBA-Leitlinien zu Auslagerungsvereinbarungen sowie die EBA-Leitlinien zum ICT- Risikomanagement, welche also zusammenhängend mit den Leitlinien zu lesen sind.³

Das Konsultationsverfahren dauert bis zum 10. März 2022, gefolgt von einer öffentlichen Anhörung am 24. Februar 2022.

1 Verfahren, mit denen geprüft wird, ob die Video-, Bild- oder sonstigen biometrischen Daten, die während des Onboarding-Prozesses aus der Ferne erfasst werden, zu einer lebenden Person gehören, die am Ort der Erfassung anwesend ist, oder Videokonferenzen in Echtzeit (siehe Punkt 40 des Leitlinienentwurfs).

2 siehe Punkt 23 des Leitlinienentwurfs

3 Siehe Punkt 7 des Leitlinienentwurfs

Themenverwandte Artikel

eIDAS und AMLD5: Ein perfektes Zusammenspiel?

Cover picture: Copyright © Adobe Stock / jirsak