BGBl II 5/2017

5. Verordnung der Finanzmarktaufsichtsbehörde (FMA) über die videogestützte Online-Identifikation von Kunden (Online-Identifikationsverordnung - Online-IDV)

Auf Grund des § 6 Abs. 4 des Finanzmarkt-Geldwäschegesetzes - FM-GwG, BGBl. I Nr. 118/2016, wird mit Zustimmung des Bundesministers für Finanzen verordnet:

1. Teil

Allgemeine Bestimmungen

Gegenstand

§ 1. (1) Diese Verordnung regelt die erforderlichen Sicherungsmaßnahmen, um das erhöhte Risiko auszugleichen, das sich aus der Feststellung und Überprüfung der Identität einer Person ergibt, die oder deren vertretungsbefugte natürliche Person nicht physisch anwesend ist, wenn stattdessen ein videogestütztes elektronisches Verfahren (Online-Identifikation) verwendet wird.

(2) Die gemäß dieser Verordnung zu setzenden erforderlichen Sicherungsmaßnahmen gelten unbeschadet der weiteren Sorgfaltspflichten zur Prävention von Geldwäscherei oder Terrorismusfinanzierung gemäß dem FM-GwG.

(3) Die Verpflichteten können unbeschadet der nach dieser Verordnung zu setzenden erforderlichen Sicherungsmaßnahmen weitere Sicherungsmaßnahmen zur Anhebung des Sicherheitsniveaus setzen.

(4) Die Bestimmungen dieser Verordnung gelten unbeschadet der auf die Online-Identifikation anzuwendenden datenschutzrechtlichen Anforderungen.

Begriffsbestimmungen

§ 2. Im Sinne dieser Verordnung bezeichnet der Ausdruck

1. 1. Bildschirmkopie: eine mittels elektronischer Datenverarbeitung gefertigte und gespeicherte Graphik, die den Bildschirminhalt als visuelle Komponente der Online-Identifikation bezogen auf den Zeitpunkt ihrer Erstellung in einer Qualität wiedergibt, die den jeweiligen Überprüfungs- und Dokumentationszwecken entspricht;
2. 2. amtlicher Lichtbildausweis: ein amtlicher Lichtbildausweis im Sinne von § 6 Abs. 2 Z 1 FM-GwG, der über optische Sicherheitsmerkmale verfügt, welche im Vergleich zu bewegungsoptisch wirksamen (holographischen) Elementen zumindest gleichwertig sind.

2. Teil

Sicherungsmaßnahmen

Organisatorische Sicherungsmaßnahmen

§ 3. (1) Der Verpflichtete darf für die Online-Identifikation nur Mitarbeiter einsetzen, die für die Durchführung der Online-Identifikation hinreichend geschult und zuverlässig sind. Diese Schulung hat zumindest den rechtlichen Rahmen, die technischen Voraussetzungen sowie die praktische Sicherstellung der Überprüfung zu umfassen.

(2) Der Verpflichtete hat sicherzustellen, dass die im Rahmen der Online-Identifikation herangezogenen Anwendungen sowie die übertragenen Daten zu keinem Konflikt mit anderen Prozessen des Verpflichteten führen, eine Beeinflussung ausgeschlossen ist und die Anwendungen sowie die Daten vor einem unbefugten Zugriff geschützt sind.

(3) Mitarbeiter des Verpflichteten dürfen die Online-Identifikation nur in einem abgetrennten, mit einer Zugangskontrolle ausgestatteten Raum durchführen.

Verfahrensbezogene Sicherungsmaßnahmen

§ 4. (1) Soweit personenbezogene Daten nach den Bestimmungen dieser Verordnung verarbeitet werden, geschieht dies aufgrund von § 6 Abs. 4 FM-GwG für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung (§ 21 Abs. 4 FM-GwG).

(2) Das Gespräch oder der Gesprächsteil, das oder der dem Zwecke der Online-Identifikation dient, ist jedenfalls akustisch in seiner Gesamtheit aufzuzeichnen; § 50a Abs. 5 DSG 2000 ist anzuwenden. Darüber hinaus sind Bildschirmkopien anzufertigen, die bei geeigneten Belichtungsverhältnissen Folgendes aus der Online-Identifikation graphisch abbilden:

1. 1. Jedenfalls das Gesicht des potentiellen Kunden oder der vertretungsbefugten natürlichen Person des potentiellen Kunden,
2. 2. die Präsentation der Vorderseite des amtlichen Lichtbildausweises oder von dessen Datenseite und
3. 3. die Präsentation der Rückseite des amtlichen Lichtbildausweises oder von dessen Datenseite.

   Die Bildschirmkopien haben dabei jedenfalls von einer solchen Qualität zu sein, dass der potentielle Kunde oder die vertretungsbefugte natürliche Person des potentiellen Kunden und die auf dem amtlichen Lichtbildausweis enthaltenen Daten vollständig und zweifelsfrei erkennbar sind.

(3) Der potentielle Kunde oder dessen vertretungsbefugte natürliche Person hat während der Online-Identifikation nach Aufforderung

1. 1. seinen Kopf unter Präsentation des Gesichts zu bewegen und getrennt davon
2. 2. die Seriennummer seines amtlichen Lichtbildausweises mitzuteilen.

(4) Der Mitarbeiter, der die Online-Identifikation durchführt, hat sich von der Authentizität des amtlichen Lichtbildausweises wie folgt zu vergewissern:

1. 1. Visuelle Überprüfung des Vorhandenseins der optischen Sicherheitsmerkmale einschließlich bewegungsoptischer (holographischer) oder gleichwertiger Sicherheitsmerkmale, die nach Aufforderung zum horizontalen und vertikalen Kippen des amtlichen Lichtbildausweises deutlich erkennbar sein müssen,
2. 2. Überprüfung der korrekten alphanumerischen Ziffernorthographie der Seriennummer,
3. 3. Überprüfung der Unversehrtheit der Laminierung, die den amtlichen Lichtbildausweis umschließt, oder vergleichbarer Merkmale, die für die Unversehrtheit des Dokumentes sprechen,
4. 4. Überprüfung zum Zwecke des Ausschlusses, dass es sich nur um ein nachträglich mit dem amtlichen Lichtbildausweis verbundenes Lichtbild handelt,
5. 5. Überprüfung der logischen Konsistenz
   1. a. der Merkmale des potentiellen Kunden oder der vertretungsbefugten natürlichen Person des potentiellen Kunden einerseits und der Personenbeschreibung sowie des Lichtbildes im amtlichen Lichtbildausweis andererseits, außerdem
   2. b. des Lichtbildes, des Ausstellungsdatums und des Geburtsdatums im amtlichen Lichtbildausweis zueinander, außerdem
   3. c. aller weiterer unter Umständen bereits vorhandener Kundendaten einerseits und der entsprechenden weiteren Angaben auf dem amtlichen Lichtbildausweis andererseits.

(5) Der potentielle Kunde oder dessen vertretungsbefugte natürliche Person hat während der laufenden Videoübertragung eine eigens für den Zweck der Online-Identifikation gültige, zentral generierte und an ihn per E-Mail oder SMS übermittelte Ziffernfolge unmittelbar einzugeben und an den Mitarbeiter elektronisch zurückzusenden.

Zwingender Abbruch der Online-Identifikation

§ 5. (1) Der Vorgang der Online-Identifikation ist vorbehaltlich der Fälle gemäß Abs. 2 abzubrechen, wenn

1. 1. eine für die Anfertigung einer Bildschirmkopie geeignete visuelle Überprüfung des potentiellen Kunden oder des amtlichen Lichtbildausweises oder von beiden nicht möglich ist,
2. 2. bei Vorliegen sonstiger Unstimmigkeiten,
3. 3. bei Vorliegen sonstiger Unsicherheiten.

(2) Trifft den Verpflichteten die Sorgfaltspflicht gegenüber dem Kunden, dessen Identität und diejenige seiner vertretungsberechtigten natürlichen Person festzustellen und zu überprüfen, bei Vorliegen eines Falles gemäß § 5 Z 4 oder 5 FM-GwG, so ist die Online-Identifikation zu Ende zu führen und zu erwägen, eine Verdachtsmeldung gemäß § 16 FM-GwG an die Geldwäschemeldestelle zu erstatten.

Ausführung der Online-Identifikation durch Dienstleister

§ 6. (1) Bedient sich ein Verpflichteter für die Ausführung der Online-Identifikation gemäß dieser Verordnung eines Dienstleisters, hat er dafür Sorge zu tragen, dass der Dienstleister Sicherungsmaßnahmen ergreift, die sowohl hinsichtlich des Umfanges als auch der Qualität, den Anforderungen in dieser Verordnung entsprechen. Die endgültige Verantwortung für die Erfüllung dieser Anforderungen verbleibt jedoch beim Verpflichteten, der auf den Dienstleister zurückgreift. Bei Abschluss, Durchführung und Kündigung der Vereinbarung mit einem Dienstleister ist mit der gebotenen Professionalität und Sorgfalt zu verfahren und namentlich eine klare Aufteilung der Rechte und Pflichten schriftlich zu vereinbaren. § 11 DSG 2000 ist anzuwenden.

(2) Auslagerungs- und Vertretungsverhältnisse im Sinne von § 15 FM-GwG dürfen weder die Qualität der internen Kontrolle noch die Möglichkeit der FMA zur Prüfung der Einhaltung aller Anforderungen an die Online-Identifikation wesentlich beeinträchtigen.

3. Teil

Schlussbestimmungen

Verweise

§ 7. (1) Soweit auf Bestimmungen des FM-GwG verwiesen wird, ist das Finanzmarkt-Geldwäschegesetz - FM-GwG, BGBl. I Nr. 118/2016, in seiner Stammfassung anzuwenden.

(2) Soweit auf Bestimmungen des DSG 2000 verwiesen wird, ist das Datenschutzgesetz 2000 - DSG 2000, BGBl. I Nr. 165/1999, in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 und der Kundmachung BGBl. I Nr. 132/2015 anzuwenden.

Personenbezogene Bezeichnungen

§ 8. Soweit sich die in dieser Verordnung verwendeten Bezeichnungen auf natürliche Personen beziehen, gilt die gewählte Form für beide Geschlechter.