Online-Identifikationsverordnung der FMA

Am 2. Jänner 2017 wurde eine Verordnung der FMA über die videogestützte Online-Identifikation von Kunden veröffentlicht. § 6 Abs. 4 FM-GwG ermöglicht die Identifikation eines abwesenden Kunden mittels eines videogestützten elektronischen Verfahrens. Durch diese Verordnung  legt die FMA Maßnahmen zum Ausgleich des damit einhergehenden erhöhten Risikos fest.

Es wird zwischen organisatorischen und verfahrensbezogenen Sicherungsmaßnahmen unterschieden. Erstere umfassen den Einsatz von hinreichend geschulten und zuverlässigen Mitarbeitern. Diese müssen sich während der Online-Identifikation in einem abgetrennten Raum mit Zugangskontrollen befinden. Das Kreditinstitut (KI) muss außerdem sicherstellen, dass die Daten vor unbefugten Zugriffen geschützt sind und eine Beeinflussung nicht möglich ist.

Verfahrenstechnische Sicherungsmaßnahmen umfassen die akustische Aufzeichnung des Gesprächs und die Anfertigung von Bildschirmkopien, auf denen das Gesicht des Kunden sowie beide Seiten seines amtlichen Lichtbildausweises zweifelsfrei erkennbar sind. Auch hat sich der Mitarbeiter des KI über die Authentizität des Ausweises zu vergewissern. Während der Videoübertragung muss der potenzielle Kunde eine eigens dafür generierte TAN eingeben und an den Mitarbeiter übermitteln.

Ist eine visuelle Überprüfung des potenziellen Kunden oder seines Ausweises nicht möglich, ist die Online-Identifikation abzubrechen. Dasselbe gilt bei Vorliegen von „sonstigen Unstimmigkeiten oder Unsicherheiten“. Die visuelle Überprüfung darf jedoch nicht abgebrochen werden, wenn Zweifel an der Echtheit der erhaltenen Kundenidentifikationsdaten oder Verdachtsmomente bestehen, dass der Kunde beispielsweise an Transaktionen mitwirkt, die der Geldwäscherei oder Terrorismusfinanzierung dienen. Zudem ist die Erstattung einer Verdachtsmeldung an die Geldwäschemeldestelle zu erwägen.

Im Fall des Outsourcings muss das KI sicherstellen, dass der Dienstleister Sicherungsmaßnahmen ergreift, die den Anforderungen der Online-Identifikationsverordnung entsprechen. Die Letztverantwortung verbleibt jedenfalls beim KI.

Die Verordnung  trat am 3. Jänner 2017 in Kraft.

Link: Online-Identifikationsverordnung

print