Verfahrensbezogene Sicherungsmaßnahmen

§ 4.

(1)  Soweit personenbezogene Daten nach den Bestimmungen dieser Verordnung verarbeitet werden, geschieht dies aufgrund von § 6 Abs. 4 FM-GwG für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung (§ 21 Abs. 4 FM-GwG).

(2) Das Gespräch oder der Gesprächsteil, das oder der dem Zwecke der Online-Identifikation dient, ist jedenfalls akustisch in seiner Gesamtheit aufzuzeichnen; § 12 Abs. 4 Z 2 DSG ist anzuwenden. Darüber hinaus sind Bildschirmkopien anzufertigen, die bei geeigneten Belichtungsverhältnissen Folgendes aus der Online-Identifikation graphisch abbilden:

1. 1. Jedenfalls das Gesicht des potentiellen Kunden oder der vertretungsbefugten natürlichen Person des potentiellen Kunden,
2. 2. die Präsentation der Vorderseite des amtlichen Lichtbildausweises oder von dessen Datenseite und
3. 3. die Präsentation der Rückseite des amtlichen Lichtbildausweises oder von dessen Datenseite.

• Die Bildschirmkopien haben dabei jedenfalls von einer solchen Qualität zu sein, dass der potentielle Kunde oder die vertretungsbefugte natürliche Person des potentiellen Kunden und die auf dem amtlichen Lichtbildausweis enthaltenen Daten vollständig und zweifelsfrei erkennbar sind.

(3) Der potentielle Kunde oder dessen vertretungsbefugte natürliche Person hat während der Online-Identifikation nach Aufforderung

1. 1. seinen Kopf unter Präsentation des Gesichts zu bewegen und getrennt davon
2. 2. die Seriennummer seines amtlichen Lichtbildausweises oder eine vom Verpflichteten zufällig generierte, mindestens vier Zeichen umfassende Zeichen- oder Wortfolge mitzuteilen.

(4) Der Mitarbeiter, der die Online-Identifikation durchführt, hat sich von der Authentizität des amtlichen Lichtbildausweises wie folgt zu vergewissern:

1. 1. Visuelle Überprüfung des Vorhandenseins der optischen Sicherheitsmerkmale einschließlich bewegungsoptischer (holographischer) oder gleichwertiger Sicherheitsmerkmale, die nach Aufforderung zum horizontalen und vertikalen Kippen des amtlichen Lichtbildausweises deutlich erkennbar sein müssen,
2. 2. Überprüfung der korrekten alphanumerischen Ziffernorthographie der Seriennummer,
3. 3. Überprüfung der Unversehrtheit der Laminierung, die den amtlichen Lichtbildausweis umschließt, oder vergleichbarer Merkmale, die für die Unversehrtheit des Dokumentes sprechen,
4. 4. Überprüfung zum Zwecke des Ausschlusses, dass es sich nur um ein nachträglich mit dem amtlichen Lichtbildausweis verbundenes Lichtbild handelt,
5. 5. Überprüfung der logischen Konsistenz

1. a) der Merkmale des potentiellen Kunden oder der vertretungsbefugten natürlichen Person des potentiellen Kunden einerseits und der Personenbeschreibung sowie des Lichtbildes im amtlichen Lichtbildausweis andererseits, außerdem
2. b) des Lichtbildes, des Ausstellungsdatums und des Geburtsdatums im amtlichen Lichtbildausweis zueinander, außerdem
3. c) aller weiterer unter Umständen bereits vorhandener Kundendaten einerseits und der entsprechenden weiteren Angaben auf dem amtlichen Lichtbildausweis andererseits.

(5) Der potentielle Kunde oder dessen vertretungsbefugte natürliche Person hat während der laufenden Videoübertragung eine eigens für den Zweck der Online-Identifikation gültige, zentral generierte und an ihn per E-Mail oder SMS übermittelte Ziffernfolge unmittelbar einzugeben und an den Mitarbeiter elektronisch zurückzusenden.

(6) Die Online-Identifikation kann auch durch geeignete Biometrische Identifikationsverfahren erfolgen, soweit dies gemäß Art. 9 Abs. 2 Buchstabe a der Verordnung (EU) 2016/679 zulässig ist und der Verpflichtete geeignete technische und organisatorische Maßnahmen trifft, um ein dem Risiko angemessenes Schutzniveau im Sinne des Art. 32 der Verordnung (EU) 2016/679 zu erreichen. Dabei sind die Anforderungen dieser Verordnung nach Maßgabe der folgenden Bestimmungen einzuhalten:

1. 1. Das Biometrische Identifikationsverfahren muss jedenfalls dem aktuellen Stand der Technik entsprechen, anlassbezogen aktualisiert werden und ein Sicherheitsniveau erreichen, mit dem zumindest eine der Online-Identifikation durch Mitarbeiter gleichwertige Erfüllung sichergestellt werden kann. Der Verpflichtete muss geeignete Maßnahmen zur Sicherung der Integrität und Sicherheit der verwendeten Verfahren treffen, einschließlich laufender aktiver Überwachungsmaßnahmen, um etwaige Probleme unmittelbar zu erkennen und zu beseitigen.
2. 2. Das Biometrische Identifikationsverfahren ist vom Verpflichteten nachvollziehbar zu dokumentieren. Abs. 2 erster Satz ist mit der Maßgabe anzuwenden, dass Aufnahmen, die zum Zwecke der Online-Identifikation erstellt werden, vom Verpflichteten als elektronische Mittel im Sinne des § 21 Abs. 1 Z 1 FM-GwG aufzubewahren sind. Die Dokumentation umfasst jedenfalls auch die im Rahmen der Überprüfung herangezogenen Sicherheitsfaktoren und die Ergebnisse der einzelnen Prüfungsschritte.
3. 3. Abs. 2 Z 2 und 3 ist mit der Maßgabe anzuwenden, dass anstelle der Anfertigung von Bildschirmkopien bei der Überprüfung elektronisch signierter Lichtbildausweise (Z 5) die elektronisch signierten Daten zu speichern sind.
4. 4. Werden die Anforderungen gemäß Abs. 3 und 5 durch ein Biometrisches Identifikationsverfahren erfüllt, hat der Verpflichtete die tatsächliche Teilnahme des potentiellen Kunden oder seiner vertretungsbefugten natürlichen Person an der Online-Identifikation anhand geeigneter Sicherungsmaßnahmen zu überprüfen, die jedenfalls die Überprüfung anhand einer während der Online-Identifikation erstellten Videoaufnahme umfassen (Anwesenheitsprüfung). Die Anwesenheitsprüfung kann von Abs. 3 Z 1 und 2 und Abs. 5 abweichen und kann auch als passive Anwesenheitsprüfung durchgeführt werden.
5. 5. Für Biometrische Identifikationsverfahren dürfen nur Lichtbildausweise, deren Inhalt von der ausstellenden Behörde elektronisch signiert worden ist, verwendet werden. Der Verpflichtete hat dabei die Echtheit der elektronischen Signatur des Lichtbildausweises und die Integrität der elektronisch signierten Daten zu überprüfen und sicherzustellen, dass zur Signatur kein kompromittierter Schlüssel verwendet worden ist. Im Rahmen des Biometrischen Identifikationsverfahrens hat der Verpflichtete auch eine Überprüfung der logischen Konsistenz gemäß Abs. 4 Z 5 vorzunehmen. Abs. 4 Z 1 bis 4 ist auf die Überprüfung der Authentizität des Lichtbildausweises im Rahmen eines Biometrischen Identifikationsverfahrens nicht anwendbar.

Zuletzt aktualisiert am

03.11.2021

Gesetzesnummer

20009774

Dokumentnummer

NOR40238714