Besser spät als gar nicht – die Videoidentifizierung ist in Deutschland nun auch für Unternehmen außerhalb des Finanzsektors zulässig
Die sogenannten Auslegungs- und Anwendungsrichtlinien – genannt AuA in Deutschland (Auslegungs- und Anwendungshinweise) – sind die einheitlichen Richtlinien zur Bekämpfung der Geldwäsche (AML(Die Behörde zu ihrer Sicht auf das deutsche Geldwäscherecht) GwG). Während die Risiken der Geldwäschebekämpfung auf dem deutschen Finanzmarkt der zentralen Aufsicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht unterliegen (BaFin) ist die Kompetenz im deutschen Nichtfinanzsektormarkt bei mehreren Geldwäschebekämpfungsbehörden auf kommunaler und bundesstaatlicher Ebene weit verbreitet.
Um eine einheitliche Auslegung des GwG zu gewährleisten, stellen alle Behörden, die Rohstoffhändler, Immobilienmakler und andere nichtfinanzielle Unternehmen sowie die Geldwäschebekämpfungsbehörden in ganz Deutschland beaufsichtigen, eine gemeinsame AuA aus – die der Ausgabe der BaFin sehr ähnlich ist. Allerdings erlaubt das OA für Unternehmen außerhalb des Finanzsektors Know Your Customer (Know Your Customer) noch nicht.Kenne deinen Kunden) – erreicht durch Videoidentifizierung – eine seit vielen Jahren gängige Praxis in der Finanzbranche. Stattdessen mussten die Verpflichteten ihre Geschäftspartner entweder persönlich treffen oder eine begrenzte Anzahl anderer Dienste in Anspruch nehmen, wie beispielsweise das PostIdent-Verfahren der deutschen Post.
Zuständige Geldwäschebekämpfungsbehörden auf Landes- und Kommunalebene haben nun eine veröffentlicht Rezensent AuA-Version für den Nichtfinanzsektor Mitte Juni 2023, die endlich die Videoerkennung ermöglicht und praktischere Probleme angeht.
Erstens die Zielgruppe der Modifikationen
Gemeinsame AuAs für Unternehmen außerhalb des Finanzsektors gelten für eine Vielzahl von Verpflichteten, die den deutschen AML-Anforderungen unterliegen. Hierzu zählen unter anderem:
- Warenhändler (jede Person, die Waren kommerziell verkauft) und Kunstmakler (einschließlich Auktions- und Galerieverkäufer),
- Einige Versicherungsmakler und
- Immobilienmakler bei der gewerbsmäßigen Vermittlung von Kauf-, Miet- oder Pachtverträgen.
zweitens. Was ist die Definition von Video?
Viele Menschen, die in den letzten Jahren ein Bankkonto eröffnet haben, sind auf die eine oder andere Weise mit der Videoidentifizierung in Berührung gekommen. Neue Banken und andere digitale Plattformen haben insbesondere während der COVID-Lockdowns in großem Umfang von der Möglichkeit Gebrauch gemacht, ihre Kunden aus der Ferne zu identifizieren.
Verpflichtete Unternehmen müssen Kunden-Due-Diligence-Verfahren durchführen, zu denen auch die Identifizierung des Kunden gehört. Die vom Kunden angegebenen Daten müssen anhand amtlicher Dokumente, wie z. B. Personalausweisen, überprüft werden. Vor Ort lässt sich das leicht bewerkstelligen, in der digitalen Welt ist es jedoch viel gefährlicher. Vor Ort kann der Identitätsprüfer die Sicherheitsmerkmale des amtlichen Dokuments überprüfen, das Foto mit der Person vergleichen und außerdem sicherstellen, dass die zu identifizierende Person anwesend ist. In der digitalen Welt sind die Dinge viel komplizierter, insbesondere angesichts des enormen Potenzials künstlicher Intelligenz für sogenannte Deepfakes.
Dritte. Welche Anforderungen müssen hinsichtlich der Videoauflösung erfüllt sein?
Um einen gleichwertigen Schutz bei der Video-Kundenidentifizierung zu gewährleisten, muss das Verfahren einige strenge Anforderungen erfüllen. Für den Finanzsektor legt die AuA diese Anforderungen nicht selbst fest, sondern verweist auf die Anforderungen, die die BaFin festgelegt hat Rundschreiben 3/2017. Es wurde angekündigt, dass dieses Rundschreiben nun auch für den nichtfinanziellen Sektor gelten soll.
Im Wesentlichen sind diese Anforderungen:
- ausgebildetes PersonalDie Videoidentifizierung darf nur durch entsprechend geschultes Personal des verpflichtenden Unternehmens oder eines Dritten durchgeführt werden, an den das verpflichtende Unternehmen das KYC-Verfahren ausgelagert hat. Zumindest sollten die zuständigen Mitarbeiter über die bei Videoidentifizierungsverfahren zulässigen Dokumentenmerkmale, die gängigen Betrugsmöglichkeiten sowie die einschlägigen Geldwäsche- und Datenschutzbestimmungen Bescheid wissen.
- Einführungen: Das Verfahren muss in einem von anderen Geschäftsräumen des Verpflichteten getrennten und nur dafür vorgesehenen Personen zugänglichen Raum stattfinden.
- ZustimmungHinweis: Der Kunde muss zunächst seine Einwilligung zur Datenverarbeitung erteilen.
- Technische und organisatorische Anforderungen: Bei der Zuordnung von Identifizierungsprozessen für Mitarbeiter müssen Mechanismen eingesetzt werden, um der erwarteten Zuordnung von Sachverhalten und der daraus resultierenden Manipulationsmöglichkeit entgegenzuwirken.
- derzeit: Die Videoerkennung muss in Echtzeit und ohne Unterbrechung erfolgen. Für die audiovisuelle Kommunikation zwischen dem Mitarbeiter und der zu identifizierenden Person sind ausschließlich Ende-zu-Ende-verschlüsselte Videochats zulässig.
- Validierung und PlausibilitätVerpflichtete Unternehmen müssen sicherstellen, dass die Daten, die sie im Rahmen des KYC-Verfahrens erhalten, korrekt und angemessen sind. Dazu gehört eine automatische Berechnung der Prüfziffern im maschinenlesbaren Bereich, ein Quervergleich der darin enthaltenen Informationen mit den Informationen im Sichtfeld des Ausweisdokuments sowie ein Vergleich mit anderen Merkmalen des Ausweisdokuments ausgeführt werden.
Nicht jeder Verpflichtete wird in der Lage sein, diese hohen Anforderungen intern zu erfüllen und muss stattdessen auf externe Dienstleister zurückgreifen, wenn er seine Kunden aus der Ferne orten möchte. Eine Vielzahl dieser Anbieter bedient bereits den Finanzsektor. Diese Anbieter werden ihre Dienste voraussichtlich auch Unternehmen außerhalb des Finanzsektors anbieten.
Durch die vollständige Übernahme des BaFin-Rundschreibens überträgt das OA einige seiner Defizite auf Unternehmen außerhalb des Finanzsektors. So verbietet das BaFin-Rundschreiben beispielsweise eine zusätzliche Delegation von Kundensorgfaltspflichten von Dienstleistern an Dritte. was es rechtlich unmöglich macht Zum Beispiel Einbindung externer Callcenter, erfordert jedoch vom Dienstleister die interne Implementierung der Videoidentifizierung. Dies führt in der Regel zu höheren Kosten für die Videoauflösung.
Der Verweis auf die Veröffentlichung der BaFin wirft auch die Frage auf, ob zukünftige Änderungen der Veröffentlichung 3/2017 automatisch für Unternehmen außerhalb des Finanzsektors gelten, die auf Videoidentifizierungsverfahren zurückgreifen möchten.
Viertens. Die Auswirkungen dieser Änderungen in der Praxis
Die Rechtmäßigkeit der kürzlich eingeführten Videoidentifizierungsverfahren stellt eine erhebliche Verbesserung für die nichtfinanziellen Unternehmen dar, die ihre Dienste online anbieten. Plattformen, die beispielsweise mit Kunst oder Immobilien handeln oder Versicherungsmaklertätigkeiten ausüben, können nun auf eine etablierte Managementpraxis zurückgreifen. Dieser Schritt wird den Verpflichteten, die bei ihrer Tätigkeit auf die Videoidentifizierung zurückgreifen möchten, Sicherheit geben. In den unterschiedlichsten Branchen können für Kunden mittlerweile ein Personalausweis und ein Smartphone ausreichen, um ihre Identität zu bestätigen. Ein persönlicher Gang zur örtlichen Postfiliale (für den sogenannten PostIdent) ist nicht mehr notwendig. Dies ist ein großer Komfort für die Kunden.
Allerdings erfolgt die AuA-Aktualisierung, die VideoIdent für bestimmte Unternehmen außerhalb des Finanzsektors ermöglicht, zu einem Zeitpunkt, an dem das Verfahren bereits einer intensiven Prüfung unterliegt. BaFin Warnung VideoIdent ist bereits seit einiger Zeit mit dem Missbrauch durch Kriminelle konfrontiert und bezeichnete die Technologie in einer aktuellen Rezension als „ Brückentechnologie, obwohl man sich seiner Mängel bewusst ist. Die Entwicklung künstlicher Intelligenz und gefälschter Videos wird die Legitimität von VideoIdent als KYC-Verfahren, als modernes Verfahren, weiter in Frage stellen ein Bericht Veröffentlicht von der Agentur der Europäischen Union für Cybersicherheit zeigte.
Andere Modifikationen
Änderungen an der AuA beschränken sich nicht nur auf die Einführung der Videoidentifizierung für Unternehmen außerhalb des Finanzsektors. Die Änderungen beinhalten auch zusätzliche Klarstellungen; Insbesondere sind folgende Punkte zu beachten:
AuA weist nun ausdrücklich darauf hin, dass Private-Equity-Fonds (PEs) gelten als Finanzinstitute und müssen daher als verpflichtete Unternehmen betrachtet werden, die den Anforderungen zur Bekämpfung der Geldwäsche unterliegen. PEs werden von Anti-Geldwäsche-Behörden auf lokaler und bundesstaatlicher Ebene überwacht. Andererseits unterliegen Finanzholdinggesellschaften der Geldwäscheaufsicht der BaFin.
Das AuA stellt zudem klar, dass das GwG neben dem Vertragspartner (bei dem es sich voraussichtlich um eine juristische Person handelt) auch die Identifizierung von Personen verlangt, die im Namen des Vertragspartners handeln – beispielsweise der Geschäftsführer einer GmbH, aber auch der einfache Messenger. AuA stellt nun klar, dass eine Person, die im Namen eines Vertragspartners handelt, nicht identifiziert werden muss, wenn sie bei Abschluss oder Durchführung des Vertrags keine „risikobezogene Funktion“ wahrnimmt. Diese Ausnahme erfordert eine Nebenfunktion im Rahmen des Geschäftsgebarens, beispielsweise die bloße Bearbeitung von Korrespondenz.