Neues BaFin-Rundschreiben zur Videoidentifizierung - ausgesetzt

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 10.06.2016 das Rundschreiben zu den Anforderungen an das Videoidentifizierungsverfahren bei Eröffnung von Bankkonten durch Verpflichtete im Sinne des Geldwäschegesetzes (GwG) veröffentlicht (Rundschreiben 04/2016 (GW)). Die darin genannten Anforderungen sollten ursprünglich ohne Übergangsfrist ab dem 10.06.2016 gelten. Inhaltlich verschärft das neue Rundschreiben 04/2016 die bislang im Rundschreiben 1/2014 (GW) vom 05.03.2014 geregelten Anforderungen an Videoidentifizierungsverfahren, die vielfach u.a. für e-banking-Prozesse eingesetzt werden und bringt neue Prozessanforderungen für Kreditinstitute und von diesen als Auslagerungsunternehmen eingesetzte Dritte.

Anwendung vorläufig ausgesetzt bis 31.12.2016

Nachdem die Kreditwirtschaft hiergegen Sturm gelaufen war, hat die BaFin am 11.07.2016 verlautbaren lassen, dass die Anwendung des Rundschreibens 04/2016 vorläufig bis zum 31.12.2016 ausgesetzt ist und in der Zwischenzeit das Rundschreiben 01/2014 weiter gilt. Die Übergangsfrist soll den betroffenen Marktteilnehmern Zeit geben, sich auf die höheren Sicherheitsstandards einzustellen. Die BaFin beabsichtigt für das weitere Verfahren, eine generelle Entscheidung des Gesetzgebers im Zuge der Umsetzung der 4. EU-Geldwäscherichtlinie darüber aufzugreifen, welche Verfahren der Kundenidentifizierung genutzt werden können. Die Kreditwirtschaft rechnet damit, dass die Aussetzung aus diesem Grund noch deutlich über den 31.12.2016 hinaus Bestand haben wird.

Anwendungsbereich der Videoidentifikation

Das Rundschreiben 04/2016 soll das Rundschreiben 1/2014 ersetzen. Hierin hatte sich die BaFin die Auslegung des Tatbestandsmerkmals “nicht persönlich anwesend” in § 6 Abs. 2 Nr. 2 GwG durch das Bundesministerium der Finanzen (BMF) zu Eigen gemacht. In den in § 6 GwG aufgeführten Fällen bestehen nach Ansicht des Gesetzgebers erhöhte Geldwäscherisiken, die verstärkte Sorgfaltspflichten des Verpflichteten auslösen. § 6 Abs. 2 Nr. 2 GwG regelt für sog. “Non-face-to-face-Situationen”, dass Verpflichtete im Sinne von § 2 GwG verstärkte Sorgfaltspflichten im Rahmen der Identitätsfeststellung des Vertragspartners und der Überprüfung der Angaben treffen. “Non-face-to-face-Situationen” sind Situationen, in denen natürliche Personen als künftige Vertragspartner des Verpflichteten zur Feststellung ihrer Identität nicht persönlich anwesend sind. Die Identität des Vertragspartners in “Non-face-to-face-Situationen” ist grundsätzlich anhand eines gültigen amtlichen Ausweises bzw. einer beglaubigten Kopie dieses Dokumentes, einer qualifizierten elektronischen Signatur im Sinne des Signaturgesetzes oder eines elektronischen Identitätsnachweises im Sinne des Personalausweisgesetzes zu überprüfen. Zusätzlich ist vom Verpflichteten in den drei erstgenannten Fällen sicherzustellen, dass eine Zahlung des Vertragspartners auf das betreffende Konto von einem bei einem EWR-Kredit- oder Zahlungsinstitut oder einem in einem gleichwertigen Drittstaat ansässigen Kreditinstitut erfolgt. Das Rundschreiben 04/2016 sieht abweichend hiervon vor, dass bei Einhaltung der darin bestimmten Anforderungen an die Strukturierung und den praktischen Ablauf des Identifizierungsprozesses “kein erhöhtes Risiko im Sinne von § 6 GwG besteht, wenn die am Identifizierungsverfahren Beteiligten zwar nicht physisch, aber im Rahmen einer Videoübertragung visuell wahrnehmbar sind, gleichzeitig eine sprachliche Kontaktaufnahme möglich ist und in diesem Zusammenhang eine Überprüfung der Identität des Vertragspartners anhand eines Identifikationsdokuments vorgenommen werden kann.” Hierbei werde nämlich, so die BaFin “ungeachtet der räumlichen Trennung eine sinnliche Wahrnehmung der am Identifizierungsprozess beteiligten Personen ermöglicht, da sich die zu identifizierende Person und der Mitarbeiter im Rahmen der Videoübertragung „von Angesicht zu Angesicht“ gegenübersitzen und kommunizieren.”

In solchen Fällen richtet sich die Identifizierung des Vertragspartners nicht nach den strengen Anforderungen des § 6 Abs. 2 Nr. 2 GwG, sondern nach den allgemeinen - unter persönlich Anwesenden geltenden - Identifizierungspflichten gemäß § 3 Abs. 1 Nr. 1 i.V.m. § 4 Abs. 1, Abs. 3 Nr. 1 und Abs. 4 Nr. 1 GwG.

Verfahrensanforderungen an die Videoidentifikation

Hierzu sind die folgenden (im Wesentlichen bereits im Rundschreiben 1/2014 genannten) Voraussetzungen vom Verpflichteten bzw. seinem Auslagerungsunternehmen zu erfüllen:

1. Die Identifizierung hat durch mindestens einmal jährlich zu schulendes Personal zu erfolgen, das in separaten, zugangsgeschützten Räumlichkeiten arbeitet und das die geldwäscherechtlichen Anforderungen an das Videoidentifizierungsverfahren einschließlich der maßgeblichen Sicherheitsanforderungen und Fälschungsrisiken kennt.
2. Die Zuteilung der einzelnen Identifizierungsvorgänge zu dem hiermit befassten Personal muss manipulationsavers gestaltet werden.
3. Sofern der Vorgang technisch über Apps erfolgt, müssen zumindest übliche Jailbreak- bzw. Rooting Detection Programme eingesetzt werden.
4. Für das Videoidentifizierungsverfahren sind nur Ausweisdokumente zugelassen, die über optische Sicherheitsmerkmale (holographische Bilder, kinematische Strukturen oder sonst visuell überprüfbare Merkmale) und einen maschinenlesbaren Bereich verfügen.
5. Im Rahmen der Videoübertragung sind Fotos oder Screenshots des verwendeten Ausweises (Vorder- und Rückseite) anzufertigen, auf denen der Vertragspartner und die Ausweisdaten deutlich erkennbar sind. Sicherzustellen ist, dass der Vertragspartner zu Beginn des Verfahrens sein Einverständnis mit den Aufzeichnungen erklärt. Die mit BMF-Rundschreiben vom 17.04.2015 veröffentlichten datenschutzrechtlichen Leitlinien sollen im Übrigen weiterhin gelten.
6. Das Ausweisdokument ist mit den in einem betreffenden Muster-Ausweisdokument enthaltenen Sicherheitsmerkmalen und formalen Gestaltungsmerkmalen abzugleichen (einschließlich des Layouts und der Zeichenzahl, -größe, -abstand sowie der Typographie), wobei die abzugleichenden Merkmale vorab in einer Prozessbeschreibung zu definieren sind.
7. Ausländische Ausweise sollen “in der Regel” auf Basis von einschlägigen Vergleichsdokumenten einer Ausweisdatenbank geprüft werden, in der Muster von allen für den Prozess zugelassenen Legitimationsdokumenten und den in diesen enthaltenen Sicherheitsmerkmalen hinterlegt sind.
8. Visuell ist zu prüfen, ob das Ausweisdokument unversehrt laminiert ist und kein aufgeklebtes Bild enthält. Das Lichtbild und die Personenbeschreibung müssen zudem zu der zu identifizierenden Person passen. Der Ausweis muss auf Anweisung der die Identifizierung durchführenden Person vor der Kamera horizontal bzw. vertikal gekippt sowie anderweitig bewegt werden. Sofern die visuelle Überprüfung z.B. aufgrund von schlechten Lichtverhältnissen oder einer schlechten Bildqualität/-übertragung und/oder der sprachlichen Kommunikation nicht möglich ist, ist der Prozess abzubrechen. Gleiches soll bei “sonstigen Unstimmigkeiten oder Unsicherheiten” gelten.
9. Die in der maschinenlesbaren Zone des Ausweises enthaltenen Prüfziffern sind zu berechnen und es hat ein Kreuzvergleich der darin enthaltenen Angaben mit den Angaben im Sichtfeld des Ausweisdokuments zu erfolgen.
10. Im Rahmen des mit der zu identifizierenden Person geführten Gesprächs hat die zu identifizierende Person die vollständige Seriennummer des Ausweises mitzuteilen. Das Gespräch soll nicht einem schematischen Ablauf folgen, sondern “variationsreich” gestaltet sein.
11. Die die Identifizierung durchführende Person muss sich zudem davon überzeugen, dass sämtliche auf dem Ausweisdokument enthaltenen Angaben mit ggf. beim Verpflichteten bereits vorhandenen Daten zu dem Kunden übereinstimmen.
12. Die zu identifizierende Person muss während der Videoübertragung eine eigens für diesen Zweck gültige, zentral generierte und von dem Identifizierenden an ihn (per E-Mail oder SMS) übermittelte Ziffernfolge (TAN) unmittelbar online eingeben und an den Mitarbeiter elektronisch zurücksenden. Mit dem erfolgreichen Abgleich der TAN ist das Identifizierungsverfahren abgeschlossen. Hiermit wird - ohne ersichtlichen Grund - die in Ziffer 4 des BMF-Rundschreibens vom 17.04.2015 verlangte Zwei-Kanal-Übermittlung, die den Versand per Email obsolet machte, wieder aufgehoben.
13. Die Einhaltung der in Ziffern 1. bis 12. genannten Schritte soll “durch eine zweite Ebene im Unternehmen” laufend überprüft werden. Eine über die gegenwärtige Praxis der Überwachung durch den Geldwäschebeauftragten des Verpflichteten hinausgehende organisatorische Anforderung ist aus unserer Sicht hiermit nicht verbunden.

Neue Anforderungen nach Rundschreiben 04/2016: Referenzüberweisung und Internetrecherche

Neu sind die folgenden offenbar auf Initiative des Bundesministeriums des Innern im BaFin-Rundschreiben 04/2016 formulierten Anforderungen:

Referenzüberweisung: Das verpflichtete Kreditinstitut, hat sich “bei Kontoeröffnung einen – in der Höhe unbestimmten – Geldbetrag von einem auf den Namen des Kunden lautenden Konto bei einem Kreditinstitut in der europäischen Union überweisen zu lassen.” Bis zum Eingang der Referenzüberweisung soll § 25j KWG Anwendung finden, wonach die Überprüfung der Identität des Vertragspartners und des wirtschaftlich Berechtigten auch unverzüglich nach der Kontoeröffnung abgeschlossen werden darf. Dabei muss sichergestellt sein, dass der Kunde vor Abschluss der Überprüfung keine Gelder von dem Konto abverfügen kann und eine Rückzahlung eingegangener Gelder ausschließlich an den Einzahler erfolgt.

Diese Anforderungen werfen eine Vielzahl von durch das BaFin-Rundschreiben 04/2016 nicht beantworteten Fragen auf. So ist die Anforderung einer Referenzüberweisung des Kunden an die ähnliche Anforderung in § 6 Abs. 2 Nr. 2 Satz 2 GwG für “Non-face-to-face-Situationen” angelehnt. Die Anknüpfung macht aber systematisch wenig Sinn, da aufgrund der Durchführung der Videoidentifizierung ja gerade keine “Non-face-to-face-Situation” entsteht. Zum anderen ist unverständlich, warum im Gegensatz zu § 6 Abs. 2 Nr. 2 Satz 2 GwG nur Referenzüberweisungen von einem EU-Kreditinstitut zulässig sein sollen. Das verengt den Kreis der Referenzinstitute erheblich, wohingegen § 6 Abs. 2 Nr. 2 Satz 2 GwG auch EWR-Institute und Institute aus bestimmten Drittstaaten einbezieht.

Aus den vom Baseler Bankenausschuss im Februar 2016 veröffentlichten Leitlinien zur Kontoeröffnung und Kundenidentifizierung (dort Annex 4 C.13.), folgt dies jedenfalls ebenso wenig wie aus den Anforderungen der 4. EU-Geldwäscherichtlinie 2015/849 (dort Art. 18 Abs. 3 und Anhang III Ziffer 2 c). Auf beide Regelwerke beruft sich die BaFin aber im Rundschreiben 04/2016. Ob die bis zum 26.07.2017 zu erlassenen EBA-Leitlinien zu verstärkten Sorgfaltspflichten weitere Klarheit oder gar abweichende Anforderungen bringen, ist noch offen.

Darüber hinaus stellt sich für die Praxis die Frage, wie Referenzüberweisungen von Geschäftskonten bei Kontoeröffnung für eine juristische Person zu behandeln sind. Nach dem Wortlaut des BaFin-Rundschreibens 04/2016 dürfte in diesen Fällen keine Videoidentifizierung erfolgen, da die zu identifizierende Person (Geschäftsführer) typischerweise nicht zugleich Kontoinhaber ist. Entsprechendes gilt für Gemeinschaftskonten natürlicher Personen.

Internetrecherche: Zudem hat das Kreditinstitut eine “erneute Überprüfung der Identität und der vom Kunden gemachten Angaben” vorzunehmen “auf der Grundlage von zusätzlichen öffentlich zugänglichen Daten und Informationen (etwa im Internet oder in sozialen Netzwerken), wie dies § 9b Abs. 2 Nr. 2 GwG bereits für andere Verpflichtete des GwG vorsieht.”

Auch hier macht der Bezug auf § 9b Abs. 2 Nr. 2 GwG wenig Sinn, da die Vorschrift - wie § 6 Abs. 2 Nr. 2 GwG - “Non-face-to-face-Situationen” regelt und ansonsten lediglich eine einfache Kopie des Ausweisdokumentes zur Identifizierung vorsieht. Eine “Non-face-to-face-Situation” liegt bei Durchführung der Videoidentifizierung nicht vor. Zum anderen knüpft § 9b GwG nach Ansicht des Gesetzgebers an besondere geldwäscherechtliche Risiken des Online-Glücksspiels an und ist als geldwäscherechtliches Sonderrecht nicht mit Online-Kontoeröffnungsvorgängen im Massengeschäft zu vergleichen. Auch praktisch bleibt mit Spannung zu erwarten, wie sich die BaFin den Online-Abgleich der Kundendaten “im Internet oder (?) in sozialen Netzwerken” vorstellt. Diese Anforderung dürfte die Unternehmens-Policies zur Internet-Nutzung in der Kreditwirtschaft auf eine ganz neue Probe stellen. Welches Maß an zusätzlicher Sicherheit ein Abgleich von Informationen mit möglichen Schein-Identitäten auf Facebook, LinkedIn und anderen Netzwerken bringen soll, bleibt überdies schleierhaft.