Identität: Die GwG-konforme KYC-Identifizierung

Nachdem Rudolf Linsenbarth in einem vorhergehenden Beitrag den Rechtsrahmen von Identifizierungen im Allgemeinen behandelt hat, erläutert er in diesem Teil der Identität-Serie-2020 die Regelungen für die Identifizierungen von Bankkunden im Speziellen. 

von Rudolf Linsenbarth

Grundlage aller Maßnahmen ist das „Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten“, auch Geldwäschegesetz genannt. Maßgeblich sind §8 sowie §11 bis § 13. Aufsichtsführende Behörde ist die BaFin. Diese hat alles noch einmal in eigenen Worten niedergeschrieben und um einige Präzisierungen ergänzt. Das daraus entstandene Konvolut nennt sich AuA =  Auslegungs- und Anwendungshinweise zum Geldwäschegesetz

Dort lernt man als erstes zwei Dinge. Die AuAs sind nur Hinweise, wie das GwG anzuwenden ist, und für deren Einhaltung ist aber allein die Bank als Verpflichtete zuständig.

In Kapitel 5 wird zum Beispiel auf die Sorgfaltspflichten bei der Identifizierung hingewiesen. Dazu gehört die regelmäßige Prüfung personenbezogener Angaben. Wie genau und in welchen Intervallen das zu erfolgen hat, Fehlanzeige. Auch die Art der Erfassung ist erst einmal freigestellt. Der oder die Verpflichtete kann eine Niederschrift anfertigen, die Daten in ein EDV-System eingeben oder eine Kopie der vorgelegten Dokumente erstellen. Wobei dann im nächsten Satz steht, dass „insbesondere stets“ eine Ausweiskopie zu erstellen ist. Das „insbesondere“ ist aber erst mit der aktuellen Fassung von Mai 2020 hinzugekommen.

Wichtig ist vor allem die Erfassung der folgenden Daten:

• 

  Name, Familienname und sämtliche Vornamen (soweit in den Dokumenten enthalten)

• Geburtsort
• Geburtsdatum
• Staatsangehörigkeit
• Wohnanschrift
• Art, Nummer und ausstellende Behörde eines vorgelegten Identifikationsdokuments

Für die Identifizierung zugelassene Verfahren sind:

1. Vor-Ort Prüfung eines qualifizierten Identifikationsdokuments
2. Elektronischer Identitätsnachweis
   (z.B. eID Personalausweis und notifizierte Verfahren)
3. Qualifizierte elektronische Signatur
4. Videoidentifizierungsverfahren
5. Sonstige durch Rechtsverordnung bestimmte geeignete Verfahren gemäß § 13 Abs. 1 Nr. 2, Abs. 2 Nr. 2 GwG.

Betrachtet man diese Liste, kommt einem einiges aus der EU eIDAS Verordnung 910/2014 Artikel 24 bekannt vor. Es gibt aber auch eine Reihe von Abweichungen, sonst müsste man ja keine eigenen Ausführungshinweise erlassen und könnte direkt mit einem zentral regulierten Identifikationsverfahren verlinken.

• Punkt 3: Die qualifizierte elektronische Signatur wird als solche nicht direkt anerkannt, sondern muss mit einer 1 Cent Überweisung an ein Referenzkonto angereichert werden.
• Punkt 4: Das Videoidentifizierungsverfahren wird ebenfalls genannt. Dazu gibt es dann ein Whitepaper, unter welchen Bedingungen das Verfahren überhaupt zulässig ist:
  – BaFin-Rundschreiben 3/2017 (GW) vom 10.04.2017
  Wie groß dabei die Abweichungen zu dem ähnlichen Schreiben aus dem Paralleluniversum der Bundesnetzagentur sind, kann jeder gerne selber prüfen:
  – Verfügung gemäß § 11 Absatz 1 VDG
• Punkt 5: Sonstige Verfahren. Keine Sorge, hier muss man auf nichts Neues gespannt sein. Der Passus ist nur der Platzhalter für irgendetwas was in Zukunft einmal kommen könnte und nicht bereits durch eine andere Regelung abgedeckt wird. Daher steht dort auch: „Bis zur Veröffentlichung dieser Auslegungs- und Anwendungshinweise ist keine entsprechende Rechtsverordnung ergangen.“

Wir finden also eine Vielzahl von Regelungen, die eine verpflichtete Bank einhalten muss. Zumal über verschiedene Gesetzgebungsverfahren nicht immer ganz konsistent. Dass hier die Banken dann Innovationen nur mit angezogener Handbremse einführen ist verständlich. Ich möchte hier mal einige Beispiele anführen:

1. One Fits all Identifizierung versus Regulierung mit Augenmaß
Vor etwas über 5 Jahren wollte ein großes Mobilfunkunternehmen Mobile Payment in Europa einführen. Dazu wurde eine Kreditkarte im Secure Element der SIM-Karte abgelegt. Herausgeber der Karte war eine englische Bank unter regulatorischer Aufsicht der Financial Services Authority (FSA). Geplant war eine Kundenlegitimation nach FSA-Regeln, das heißt Foto des Personalausweises und „Utility Bill“ (Foto einer Rechnung Strom, Gas, Telefon, …). Als das Produkt zum Rollout in Deutschland anstand, sollten auf einmal deutsche Regeln gelten. Begründung das Mobilfunkunternehmen mit Sitz in Deutschland würde als Agent im Auftrag der Bank betrachtet. Damit wandert die Zuständigkeit für die Aufsicht zur BaFin.
Man hätte das Thema auch mit etwas Augenmaß angehen können. Worum ging es? Ein Kunde lässt sich eine sogenannte Proxy-Kreditkarte ausstellen, bei der jede Transaktion gegen eine vollkommen KYC registrierte existierende Kreditkarte läuft. Zudem waren nur Kunden zugelassen, die bereits einen Laufzeitvertrag bei diesem Mobilfunkunternehmen besaßen. Welche schweren Straftaten damit unerkannt möglich gewesen wären, habe ich bis heute nicht verstanden.

2. EU-übergreifende Bankenaufsicht – Die Causa N26

Im Oktober 2018 gelang es Redakteuren der Wirtschaftswoche, die GwG-Identitätsprüfung von N26 in Portugal zu überlisten und mit einfach gefälschten Dokumenten ein Konto zu eröffnen. In Portugal verwendete N26 damals das in Deutschland nicht zugelassene Verfahren Foto-Ident. N26 wird seitdem von der BaFin an die Kandare genommen.

Wir wollten wissen, wie denn die BaFin den Fall bewertet. Nach dem Eingangsstatement, dass man sich zu konkreten Fällen nicht äußern könne, bedauerte man das geldwäscherechtliche Anforderungen in der EU nur minimalharmonisiert sind. Nicht ausdrücklich geregelt sei zum Beispiel die Frage, welches Recht bei Einschaltung eines im EU-Ausland ansässigen Dritten anzuwenden ist. Allerdings sei bei Auslagerung der Identifizierung auf Dritte, die selbst nicht inländischen oder ausländischen geldwäscherechtlichen Regeln unterliegen, immer nach deutschem Recht zu verfahren.

3. Aufzeichnungspflichten
Das Geldwäschegesetzt verlangt in § 8 Aufzeichnungs- und Aufbewahrungspflicht die Anfertigung einer Ausweiskopie. Der Paragraph selber ist eine echte Herausforderung. Hier der relevante Teil:

…   (2) Zur Erfüllung der Pflicht nach Absatz 1 Satz 1 Nummer 1 Buchstabe a sind in den Fällen des § 12 Absatz 1 Satz 1 Nummer 1 auch die Art, die Nummer und die Behörde, die das zur Überprüfung der Identität vorgelegte Dokument ausgestellt hat, aufzuzeichnen. Soweit zur Überprüfung der Identität einer natürlichen Person Dokumente nach § 12 Absatz 1 Satz 1 Nummer 1, 4 oder 5 oder zur Überprüfung der Identität einer juristischen Person Unterlagen nach § 12 Absatz 2 vorgelegt werden oder soweit Dokumente, die aufgrund einer Rechtsverordnung nach § 12 Absatz 3 bestimmt sind, vorgelegt oder herangezogen werden, haben die Verpflichteten das Recht und die Pflicht, Kopien dieser Dokumente oder Unterlagen anzufertigen oder sie optisch digitalisiert zu erfassen oder, bei einem Vor-Ort-Auslesen nach § 18a des Personalausweisgesetzes, nach § 78 Absatz 5 Satz 2 des Aufenthaltsgesetzes oder nach § 13 des eID-Karte-Gesetzes, das dienste- und kartenspezifische Kennzeichen sowie die Tatsache aufzuzeichnen, dass die Daten im Wege des Vor-Ort-Auslesens übernommen wurden. Diese gelten als Aufzeichnung im Sinne des Satzes 1.    …

Ich habe den Abschnitt jetzt mehrmals durchgelesen und bin der Meinung, dass hier konkret steht, dass im Fall der Identifikation per eID mit Vor-Ort-Auslesen auf die Anfertigung einer Ausweiskopie verzichtet werden kann. Die AuAs sind da allerdings weniger eindeutig, so dass sich die Meinung verfestigt hat, die Ausweiskopie wäre notwendig:

…  Gemäß § 8 Abs. 2 Satz 2 GwG hat insbesondere (*das insbesondere ist neu dazugekommen und noch nicht in den aktuellen AuAs enthalten) stets eine Kopie der zur Überprüfung der Identität vorgelegten Dokumente nach § 12 Abs. 1 Satz 1 Nummer 1 oder 4 GwG bzw. deren vollständige optische digitale Erfassung zu erfolgen
(siehe im Einzelnen dazu unten unter Kapitel 9).  …”

Ich hab natürlich auch das Kapitel 9 der AuAs durchforstet und keine nähere Spezifizierung für die Aufzeichnungspflichten im Fall des eID Vor-Ort Auslesen gefunden. Was dort aber steht:

… Im Fall des § 12 Abs. 1 Satz 1 Nummer 2 GwG ist anstelle der Art, der Nummer und der das Dokument ausstellenden Behörde das dienste- und kartenspezifische Kennzeichen und die Tatsache, dass die Prüfung anhand eines elektronischen Identitätsnachweises erfolgt ist, aufzuzeichnen.  …”

Die Tatsache, dass Vor-Ort-Auslesen wieder nicht erwähnt wird, schenke ich mir. Die Konsequenz dessen ist aber, dass Banken die Pflichtfeldbelegung der Aufzeichnung kanalabhängig gestalten müssen.

4. Mit der Signatur zur Identität
Die Signatur gilt in der EU als rechtskonforme Identifikationsmethode für Vertrauensdienste.
Trotzdem hat die BaFin entschieden, dass ihr das nicht in jedem Fall ausreicht. Wenn z.B. eine Signatur auf Basis eines PSD2-konformen Banking Login erstellt wird, muss zusätzlich eine Überweisung auf ein Referenzkonto getätigt werden. Mein „Lieblingsparagraph“ des GwG, also die Nummer 8, sagt dazu jedenfalls:

…Bei der Überprüfung der Identität anhand einer qualifizierten Signatur nach § 12 Absatz 1 Satz 1 Nummer 3 ist auch deren Validierung aufzuzeichnen. …”

Warum sich die BaFin hier bei der Validierung für das Mittel der Referenzüberweisung entschieden hat, finde ich ein wenig speziell. Welcher sicherheitstechnische zusätzliche Erkenntnisgewinn aus dieser Maßnahme gezogen wird, erschließt sich mir nicht.

Fazit

• Die vom Gesetzgeber gewünschten eIDAS-Identifizierungsverfahren haben keine Relevanz beim Verbraucher. Diese Situation hat dazu geführt, dass der Markt selbstständig nach Alternativen sucht. Dabei kommen auch Lösungen zustande, die von den Aufsichtsbehörden nicht nur positiv gesehen werden!
• Es macht keinen Sinn, dass mehre Aufsichtsbehörden parallel Standards für dasselbe Thema entwickeln.
• Banken sind wahrscheinlich bald nicht nur Konsumenten von Identifizierungsdienstleistungen, sondern auch Emittenten. Dazu wird dann eine neue Art der Aufzeichnung benötigt. Ich gehe zudem davon aus, dass in Zukunft Identifizierungen in definierten Abständen wiederholt werden müssen. Es macht also durchaus Sinn, für das Thema digitale Identität eine eigene Infrastruktur einzuplanen.

Rudolf Linsenbarth