EBA-Leitlinien für Remote Customer Onboarding-Lösungen

 

Am 22. November 2022 hat die EBA neue Leitlinien für Remote Customer Onboarding-Lösungen veröffentlicht, um angesichts der zunehmenden Verfügbarkeit solcher digitalen Verfahren, insbesondere nach der COVID-19-Pandemie, sichere, wirksame und vor allem einheitliche Praktiken für die Fernidentifizierung von Personen in der Finanzindustrie sicherzustellen.

Was die EBA-Leitlinien konkret vorsehen, und was sie für die Fernidentifizierung von Kunden in Österreich bedeutet, beantworten wir in diesem Blogbeitrag:

Ziele der neuen EBA-Leitlinien

Die 4. und 5. Geldwäscherichtlinie bieten für die Verpflichteten keine ausreichende Klarheit darüber, was im Rahmen der Kundenidentifizierung im Fernabsatz und im digitalen Kontext erlaubt ist und was nicht. Das hat zu sehr unterschiedlichen Erwartungen der zuständigen Aufsichtsbehörden in den verschiedenen Mitgliedstaaten geführt, was sowohl die Innovation als auch die Erbringung grenzüberschreitender Finanzdienstleistungen im Binnenmarkt erheblich behindert. Die auf Einladung der Europäischen Kommission erstellten EBA-Leitlinien zielen daher darauf ab, schließlich einheitliche Vorgaben für angemessene Online-Identifzierungslösungen bereitzustellen.

Weiters sollen die neuen Leitlinien für Remote Customer Onboarding-Lösungen dazu beitragen, die Risiken zu mindern, die sich aus der Nutzung technologischer Lösungen zur Kundenidentifizierung ohne persönlichen Kontakt ergeben können. Zu diesem Zweck legen die Leitlinien Schritte dar, die Verpflichtete bei der Auswahl und Anwendung von technischen Lösungen für die Fernidentifizierung von Kunden ergreifen sollen, um sicherzustellen, dass sie die gesetzlichen kundenbezogenen Sorgfaltspflichten erfüllen und das Risiko von Nachahmung und Identitätsbetrug weitestgehend mindern.

Was sehen die Leitlinien konkret vor?

Die Leitlinien fordern von Kredit- und Finanzinstituten, Strategien und Verfahren einzuführen und beizubehalten, um ihren Verpflichtungen gemäß Artikel 13 der 4. Geldwäscherichtlinie (AMLD4) nachzukommen, wenn ein Kunde im Fernweg identifiziert wird. Wichtig ist, dass die Kredit- und Finanzinstitute in der Lage sind, gegenüber ihrer zuständigen Behörde nachzuweisen, welche Bewertungen vor der Implementierung der Lösung für das Onboarding von Kunden durchgeführt wurden.

Weiters wird von den Kredit- und Finanzinstituten erwartet, dass sie laufende Überprüfungen durchführen und die dabei bzw. beim Einsatz der Kundenidentifizierungslösungen festgestellten Mängel beheben.

Technologieneutralität

Die Leitlinien sind technologieneutral ausgestaltet und legen Methoden fest, die den Kredit- und Finanzinstituten helfen sollen, die aus dem Einsatz technologischer Lösungen entstehenden Risiken zu mindern.

Die EBA stellt dazu klar, dass auch Lösungen, die nicht in den Anwendungsbereich der eIDAS-Verordnung fallen, gemäß Artikel 13 Absatz 1 lit a AMLD4 zulässig sind. Wenn die in den Leitlinien vorgesehenen Schutzmaßnahmen eingehalten werden, bleibt dem jeweiligen Institut die Wahl der technischen Lösung selbst überlassen.

Was sehen die Leitlinien konkret vor?

Die Leitlinien machen Vorgaben in den folgenden Bereichen:

  • Bewertung vor Implementierung ("Pre-Implementation-Assessment"): Es werden Schritte festgelegt, die Kredit- und Finanzinstitute unternehmen sollten, wenn sie Remote Customer Onboarding-Verfahren einführen / prüfen, um ihren Verpflichtungen gemäß Artikel 13 AMLD4 nachzukommen.
  • Dritte und Outsourcing: Die Leitlinien sehen außerdem Schritte vor, die Kredit- und Finanzinstitute unternehmen sollten, wenn sie sich bei der Durchführung von Identifizierungsmaßnahmen auf Dritte verlassen.
  • Sorgfaltspflichten im Rahmen der Fernidentifizierung: Die Leitlinien verlangen, dass Kredit- und Finanzinstitute Strategien, Kontrollen und Verfahren festlegen, um die Anforderungen an die kundenbezogenen Sorgfaltspflichten gemäß Artikel 8 Abs 3 und Abs 4 lit a AMLD4 auch im Rahmen von Fernidentifizierungsverfahren einzuhalten.

Gliederung der Leitlinien

Konkret sind die EBA-Leitlinien in folgende Bereiche gegliedert:

  • Interne Richtlinien und Verfahren;
  • Beschaffung von Informationen;
  • Authentizität und Integrität von Dokumenten;
  • Abgleich der Kundenidentität als Teil des Verifizierungsprozesses;
  • Rückgriff auf Dritte und Outsourcing;
  • IKT- und Sicherheitsrisikomanagement und
  • Nutzung von Vertrauensdiensten und nationalen Identifizierungsverfahren.

Auf diese Punkte gehen wir in weiterer Folge näher ein:

Interne Richtlinien und Verfahren

Kredit- und Finanzinstitute sollen

  • Strategien und Verfahren einführen und beibehalten, um die kundenbezogenen Sorgfaltspflichten auch in Situationen zu erfüllen, in denen der Kunde fernidentifiziert wird;
  • eine Bewertung der Lösung für das Onboarding von Kunden im Fernidentifizierungsverfahren vor der Implementierung durchführen und in der Lage sein, der zuständigen Behörde nachzuweisen, welche Bewertungen durchgeführt wurden, wie sie ausgefallen sind und ob sie angemessen waren; und
  • die eingesetzten Remote Customer Onboarding-Lösungen laufend zu überwachen.

Beschaffung von Informationen

Kredit- und Finanzinstitute sollen

  • in ihren Grundsätzen und Verfahren festlegen, welche Informationen zur Identifizierung des Kunden benötigt werden, welche Arten von Dokumenten, Daten oder Informationen das Institut zur Überprüfung der Identität des Kunden heranzieht und auf welche Weise diese Informationen überprüft werden;
  • in ihren Grundsätzen festlegen, welche Informationen sie einholen müssen, um natürliche Kunden im Fernidentifizierungsverfahren zu identifizieren;
  • in ihren Grundsätzen und Verfahren festlegen, welche Kategorie von juristischen Personen sie im Fernidentifizierungsverfahren aufnehmen werden, wobei sie das mit jeder Kategorie verbundene Geldwäsche-Risiko und den Umfang des für die Validierung der Identifizierungsinformationen erforderlichen menschlichen Eingriffs berücksichtigen sollten.

Weiters ist sicherzustellen, dass die im Rahmen von Remote Customer Onboarding-Lösungen eingeholten Informationen auf dem neuesten Stand sind, dass Bilder und Scans lesbar und von ausreichender Qualität sind und dass die automatisch erfassten Informationen zuverlässig sind.

Authentizität und Integrität von Dokumenten

Kredit- und Finanzinstitute sollen Maßnahmen ergreifen, um sicherzustellen, dass

  • Reproduktionen von Originaldokumenten zuverlässig sind;
  • Tools, die automatisch Informationen aus Dokumenten lesen, die Informationen auf genaue und konsistente Weise erfassen.

Abgleich der Kundenidentität als Teil des Verifizierungsprozesses

Remote Customer Onboarding-Lösungen sollen als Teil ihres Verifizierungsprozesses zumindest ermöglichen, dass

  • eine Übereinstimmung zwischen den sichtbaren Informationen der natürlichen Person und den vorgelegten Unterlagen besteht,
  • für den Fall, dass es sich beim Kunden um eine juristische Person handelt, diese gegebenenfalls öffentlich registriert ist, und
  • wenn es sich beim Kunden um eine juristische Person handelt, die natürliche Person, die sie vertritt, berechtigt ist, in seinem Namen zu handeln.

Die Leitlinien enthalten auch Anforderungen in Bezug auf folgende Themen:

  • die Verwendung biometrischer Daten zur Überprüfung der Identität des Kunden, wobei diese Daten hinreichend eindeutig sein müssen und die Verwendung starker und zuverlässiger Algorithmen zur Überprüfung der Übereinstimmung notwendig ist;
  • die Verwendung von betreuten und unbeaufsichtigten Lösungen für die Identifizierung im Fernweg. In einem unbeaufsichtigten Kontext müssen beispielsweise Fotos oder Videos bei angemessener Beleuchtung aufgenommen werden, das Foto oder Video muss zum Zeitpunkt der Verifizierung aufgenommen werden, es muss eine Aktivitätserkennung ("Liveness Check") durchgeführt und starke und zuverlässige Algorithmen verwendet werden, um zu überprüfen, ob ein Foto oder Video mit dem Bild auf offiziellen Dokumenten übereinstimmt;
  • Einbeziehung von Zufallsfaktoren in die Abfolge der Aktionen, um Risiken wie der Verwendung synthetischer Identitäten oder Nötigung vorzubeugen;
  • zusätzliche Kontrollen auf Risikobasis.

Rückgriff auf Dritte und Outsourcing

Zusätzlich zu den EBA-Leitlinien zu Risikofaktoren (Risk Factor Guidelines, EBA/GL/2021/02) und den EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02) müssen Kredit- und Finanzinstitute im Zusammenhang mit der Auslagerung von Remote Customer Onboarding-Lösungen

  • sicherstellen, dass der ausgelagerte Dienstleister die Richtlinien und Verfahren des Kredit- oder Finanzinstituts für das Remote Onboarding von Kunden wirksam umsetzt und einhält;
  • entsprechende Überprüfungen durchführen, um sicherzustellen, dass der ausgelagerte Dienstleister ausreichend ausgestattet und in der Lage ist, das Remote Onboarding-Verfahren durchzuführen;
  • sicherstellen, dass der ausgelagerte Dienstleister das Kredit- oder Finanzinstitut über alle vorgeschlagenen Änderungen des Prozesses zur Aufnahme von Fernkunden informiert.

IKT- und Sicherheitsrisikomanagement

Zusätzlich zu den EBA-Leitlinien zum IKT- und Sicherheitsrisikomanagement (EBA/GL/2019/04) sollen Kredit- und Finanzinstitute

  • sichere Kommunikationskanäle für die Interaktion mit dem Kunden während des Remote Onboarding-Prozesses nutzen;
  • sichere Protokolle und kryptografische Algorithmen gemäß den branchenüblichen Best Practices verwenden, um die Vertraulichkeit, Authentizität und Integrität der ausgetauschten Daten zu gewährleisten, und
  • einen sicheren Zugangspunkts für den Start des Remote Onboarding-Prozesses bereitstellen.

Nutzung von Vertrauensdiensten und nationalen Identifizierungsverfahren

Kredit- und Finanzinstitute können Vertrauensdienste und elektronische Identifizierungsverfahren nutzen, sollten jedoch prüfen, inwieweit diese Lösungen den Bestimmungen der Customer Remote-Onboarding-Leitlinien entsprechen, und Maßnahmen ergreifen, die erforderlich sind, um alle relevanten Risiken zu mindern, die sich aus der Nutzung dieser Lösungen ergeben.

Beachtung der Leitlinien im Kontext des nationalen Rechts

Nach Artikel 16 der EBA-Verordnung müssen Finanzinstitute alle erforderlichen Anstrengungen unternehmen, um den EBA-Leitlinien und Empfehlungen nachzukommen. Zusätzlich verleiht § 25 Abs 3 FM-GwG den EBA-Leitlinien im Bereich der Prävention von Geldwäsche und Terrorismusfinanzierung besonderes Gewicht. Danach ist die FMA bei der Vollziehung des FM-GwG explizit verpflichtet, Leitlinien der europäischen Aufsichtsbehörden entsprechend anzuwenden. Die FMA darf von diesen nur abweichen, sofern dafür berechtigte Gründe vorliegen, etwa ein Widerspruch zu bundesgesetzlichen Vorschriften.

In Österreich bestehen in § 6 Abs 4 FM-GwG bereits konkrete Vorgaben, welche Verfahren zur Identifizierung von Kunden ohne persönliche Anwesenheit erlaubt sind, etwa die Online-Identifikation, insbesondere das biometrische Verfahren, oder die Verwendung einer qualifizierten elektronischen Signatur.

So überrascht es nicht, dass die Leitlinien explizit klarstellen, dass Kredit- und Finanzinstitute einschlägige Vertrauensdienste und elektronische Identifizierungsverfahren nutzen können, die von den zuständigen nationalen Behörden in Umsetzung des Artikel 13 der Geldwäscherichtlinie reguliert, anerkannt, genehmigt oder akzeptiert werden. Trotzdem müssen Verpflichtete laut EBA bei der Verwendung solcher Lösungen prüfen, inwieweit diese mit den neuen Leitlinien übereinstimmen. Es müssen auch Maßnahmen zur Minderung etwaiger relevanter Risiken, die sich aus der Nutzung dieser Lösungen ergeben, ergriffen werden.

Wir gehen daher davon aus, dass die neuen Leitlinien jedenfalls einen Zusatzaufwand auslösen, nämlich zumindest eine Überprüfungspflicht, inwieweit die bislang eingesetzten Remote Customer Onboarding-Lösungen auch allen Anforderungen der neuen Leitlinien entsprechen. Gegebenenfalls sind auch Ergänzungen bzw. Anpassungen von Verfahren und Policies notwendig.

Ab wann sind die Leitlinien anzuwenden?

Die Leitlinien liegen bis dato nur in englischer Sprache vor. Sie werden nun in alle offiziellen EU-Sprachen übersetzt und dann von der EBA veröffentlicht. Die Leitlinien sind sechs Monate nach Veröffentlichung in allen EU-Sprachen anzuwenden. Wir gehen davon aus, dass die Remote Customer Onboarding-Leitlinien in den nächsten Monaten übersetzt und daher im Laufe des zweiten Halbjahres 2023 anzuwenden sein werden.

Die FMA muss zudem der EBA mitteilen, ob sie diese Leitlinien einhält bzw. einzuhalten beabsichtigt, oder andernfalls die Gründe für die Nichteinhaltung bekanntgeben. Diesbezüglich würden wir davon ausgehen, dass sich die FMA "fully compliant" erklären wird.

Wie können wir Ihnen helfen?

Mit unserem umfassenden Know-how im Bereich der Prävention von Geldwäsche und Terrorismusfinanzierung und unserer großen Erfahrung im Fintech-Bereich können wir Sie kompetent bei allen rechtlichen Fragen rund um Remote Onboarding-Prozessen unterstützen. Gerne unterstützen wir Sie bei der Evaluierung, inwieweit die Leitlinien Anpassungsbedarf in Ihrem Unternehmen auslösen könnten. Wir freuen uns auf Ihre Anfrage.

Ansprechpersonen: Dr. Bernd Fletzberger

Adresse

  • 1010 Wien,
    Nibelungengasse 11/4

Kontakt

  • +43 1 877 04 54
  • office(a)pfr.at

Follow us

Suche

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren
Weitere Informationen Impressum