Einführung eines biometrischen Identifikationsverfahrens
In Österreich wird ein automatisierter biometrischer KYC-Prozess erlaubt – ein "Booster" für die Branche?
Am 2. November 2021 hat die österreichische Finanzmarktaufsicht (FMA) eine bereits länger erwartete Novelle der Online-Identifikationsverordnung (Online-IDV) veröffentlicht. Hier die wichtigsten Infos dazu:
Was regelt die aktuelle Novelle zur Online-IDV?
Finanzdienstleister, die den KYC-Verpflichtungen des österreichischen Finanzmarkt-Geldwäschegesetzes (FM-GwG) unterliegen, erhalten damit die Möglichkeit, rein biometrische Verfahren zur Fernidentifikation von Neukunden einzusetzen. Als biometrische Identifikationsverfahren gelten alle Verfahren zur Online-Identifikation eines Kunden, bei denen die gesamte oder Teile der Online-Identifikation durch ein automatisiertes elektronisches Verfahren ohne Beteiligung von Mitarbeitern durchgeführt werden. Folglich ist dabei, anders als beim bereits bisher möglichen Video-Identifizierungsverfahren, ein persönlicher Kontakt im Fernidentifikationsprozess nicht mehr erforderlich.
Es wird erwartet, dass das biometrische Identifikationsverfahren den KYC-Prozess einfacher und schneller macht und die Kosten im Vergleich zum derzeitigen Video-Identifizierungsverfahren deutlich senkt. Andere Identifizierungsmethoden, insbesondere des Video-Identifizierungsverfahrens, bleiben freilich weiterhin zulässig.
Anforderungen an das biometrische Identifikationsverfahren
Die wesentlichen Anforderungen an das biometrische Identifikationsverfahren lassen sich wie folgt zusammenfassen:
- Die biometrischen Verfahren zur Fernidentifikation müssen auf dem aktuellen Stand der Technik sein und regelmäßig aktualisiert werden. Sie müssen zudem ein Sicherheitsniveau erreichen, das mit der Online-Identifikation unter Beteiligung von Mitarbeitern vergleichbar ist.
- Der Verpflichtete hat den gesamten biometrischen Identifikationsprozess ordnungsgemäß zu dokumentieren. Dazu zählt insbesondere die Protokollierung der Ergebnisse der durchgeführten Kontrollen, einschließlich der Aufzeichnung des so genannten „Liveness-Checks“ (dazu gleich). Anstatt Kopien der Vorder- und Rückseite eines Lichtbildausweises aufzubewahren, dürfen die Verpflichteten bei der Prüfung elektronisch signierter Lichtbildausweise auch nur die elektronisch signierten Ausweisdaten dokumentieren und aufzeichnen.
- Es darf nur eine reale Person aktiv am Online-Ausweisverfahren teilnimmt, also nur ein Video (oder ähnliche historische Aufnahmen) während des biometrischen Online-Ausweisverfahrens verwendet wird. Die FMA legt den Ablauf des Liveness-Checks und die erforderlichen Sicherheitsmerkmale nicht im Detail fest; die Verpflichteten müssen die für ihr ID-Verfahren geeigneten Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen. Die FMA regelt das Verfahren daher technologieneutral. Die FMA schlägt vor, dass der Liveness-Check z.B. darin bestehen kann, dass die zu identifizierende Person eine im Rahmen des Ausweisverfahrens festgelegte Zeichen- oder Wortfolge vorliest, einen zufällig ausgewählten Bereich am Bildschirm durch Kopfbewegungen wiederholt abfahren muss oder den Kopf nach Aufforderung in verschiedene Richtungen bewegt. Unabhängig davon ist eine Videoaufzeichnung (einschließlich Ton) des gesamten biometrischen Fernerkennungsvorgangs zu erstellen und zu speichern (§ 4 Abs. 6 Nr. 4 Online-IDV).
- Für das biometrische Identifikationsverfahren können nur Lichtbildausweise verwendet werden, die von der ausstellenden Behörde elektronisch signiert sind. Der Verpflichtete hat dabei die Echtheit der elektronischen Signatur bzw. des Zertifikats und die Unversehrtheit der Daten zu prüfen. Dazu muss der elektronische Sicherheitschip (NFC-Chip) ausgelesen werden, z.B. über das NFC-Lesegerät eines Mobiltelefons. Allerdings wurde in der Verordnung eine Übergangsfrist bis 31. Dezember 2022 vorgesehen, während der auch Ausweise ohne elektronische Signatur/Bescheinigung einer Behörde (und ohne Auslesen des NFC-Chips) zulassen; in diesem Fall muss der Ausweis visuell geprüft (und eine Kopie aufbewahrt) werden (§ 9 Abs. 2 Online-IDV).
- Der Kunde muss der biometrischen Identifizierung gemäß der DSGVO zustimmen.
Praktische Schwierigkeiten des biometrischen Identifikationsverfahrens
Eine der zentralen Fragen im Zusammenhang mit dem neuen biometrischen Identifikationsverfahren ist die Anforderung, die elektronische Signatur bzw. das Zertifikat eines Ausweisdokuments durch das Auslesen des NFC-Chips des Ausweises zu verifizieren. Das praktische Problem ist dabei, dass viele – vor allem ausländische – Ausweise noch nicht mit einem solchen NFC-Chip ausgestattet sind.
Außerdem sind nicht alle Smartphone-Modelle technisch in der Lage, NFC-Chips auszulesen. Kann das Smartphone den NFC-Chip technisch auslesen, muss zur Überprüfung in aller Regel eine separate App installiert werden. Dies macht den Onboarding-Prozess deutlich aufwendiger, zumal viele Onboarding-Strecken webbasiert aufgebaut sind. Der damit verbundene Medienbruch ist selbstredend Gift für die User-Experience.
Diese Gründe könnten dazu führen, dass das biometrische Identifikationsverfahren nicht in ausreichendem Ausmaß eingesetzt werden kann. Die FMA hat diesen Bedenken derzeit mit der vorgenannten Übergangsfrist Rechnung getragen, so dass aus heutiger Sicht bis 31. Dezember 2022 auf den Einsatz der NFC-Technologie verzichtet werden kann. Man wird sehen, wie sich die Situation in den nächsten Monaten weiterentwickelt. Wir gehen davon aus, dass nach Vorliegen erster Praxiserfahrungen dieses Thema auch von der FMA gegebenenfalls nochmals aufgegriffen werden könnte.
Bewertung des biometrischen Identifikationsverfahrens
Die Einführung des „biometrischen Identifikationsverfahrens“ ist für den österreichischen Wirtschaftsstandort als sehr positiv zu bewerten, denn der Einsatz automatisierter Fernidentifikationsverfahren gewinnt rasant an Bedeutung. Das gilt sowohl für traditionelle Institute wie auch FinTechs.
Es darf aber nicht vergessen werden, dass die Etablierung einfacher und gleichzeitig sicherer Online-KYC-Prozesse eine Herausforderung darstellt. Biometrische Identifikationsverfahren haben aufgrund der damit normalerweise verbundenen Verarbeitung sensibler persönlicher Daten nämlich eine besondere datenschutzrechtliche Komponente, die es zu beachten gilt. Diese wird nach der Verordnung so gelöst, dass der Kunde der Verarbeitung seiner biometrischen Daten im Einklang mit den datenschutzrechtlichen Anforderungen zustimmen muss.
Was können wir für Sie tun?
Mit unserem umfassenden Know-how im Bereich des Finanzmarktrechts können wir Sie kompetent bei der rechtlichen Ausgestaltung von Fernidentifikationsverfahren unterstützen. Wir freuen uns auf Ihre Anfrage.
Ansprechperson: Dr. Bernd Fletzberger