STRATEGIE24. Mai 2020

Identität: Die GwG-konforme KYC-Identifizierung

Rudolf Linsenbarth
Rudolf Linsenbarthprivat

Nachdem Rudolf Linsenbarth in einem vorhergehenden Beitrag den Rechtsrahmen von Identifizierungen im Allgemeinen behandelt hat, erläutert er in diesem Teil der Identität-Serie-2020 die Regelungen für die Identifizierungen von Bankkunden im Speziellen. 

von Rudolf Linsenbarth

Grundlage aller Maßnahmen ist das „Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten“, auch Geldwäschegesetz genannt. Maßgeblich sind §8 sowie §11 bis § 13. Aufsichtsführende Behörde ist die BaFin. Diese hat alles noch einmal in eigenen Worten niedergeschrieben und um einige Präzisierungen ergänzt. Das daraus entstandene Konvolut nennt sich AuAAuslegungs- und Anwendungshinweise zum Geldwäschegesetz

Dort lernt man als erstes zwei Dinge. Die AuAs sind nur Hinweise, wie das GwG anzuwenden ist, und für deren Einhaltung ist aber allein die Bank als Verpflichtete zuständig.

In Kapitel 5 wird zum Beispiel auf die Sorgfaltspflichten bei der Identifizierung hingewiesen. Dazu gehört die regelmäßige Prüfung personenbezogener Angaben. Wie genau und in welchen Intervallen das zu erfolgen hat, Fehlanzeige. Auch die Art der Erfassung ist erst einmal freigestellt. Der oder die Verpflichtete kann eine Niederschrift anfertigen, die Daten in ein EDV-System eingeben oder eine Kopie der vorgelegten Dokumente erstellen. Wobei dann im nächsten Satz steht, dass „insbesondere stets“ eine Ausweiskopie zu erstellen ist. Das „insbesondere“ ist aber erst mit der aktuellen Fassung von Mai 2020 hinzugekommen.

Wichtig ist vor allem die Erfassung der folgenden Daten:

  • Identität per nPA
    Identität per nPABMI

    Name, Familienname und sämtliche Vornamen (soweit in den Dokumenten enthalten)

  • Geburtsort
  • Geburtsdatum
  • Staatsangehörigkeit
  • Wohnanschrift
  • Art, Nummer und ausstellende Behörde eines vorgelegten Identifikationsdokuments

Für die Identifizierung zugelassene Verfahren sind:

  1. Vor-Ort Prüfung eines qualifizierten Identifikationsdokuments
  2. Elektronischer Identitätsnachweis
    (z.B. eID Personalausweis und notifizierte Verfahren)
  3. Qualifizierte elektronische Signatur
  4. Videoidentifizierungsverfahren
  5. Sonstige durch Rechtsverordnung bestimmte geeignete Verfahren gemäß § 13 Abs. 1 Nr. 2, Abs. 2 Nr. 2 GwG.
Identität per VideoIdent
IDnow

Betrachtet man diese Liste, kommt einem einiges aus der EU eIDAS Verordnung 910/2014 Artikel 24 bekannt vor. Es gibt aber auch eine Reihe von Abweichungen, sonst müsste man ja keine eigenen Ausführungshinweise erlassen und könnte direkt mit einem zentral regulierten Identifikationsverfahren verlinken.

  • Punkt 3: Die qualifizierte elektronische Signatur wird als solche nicht direkt anerkannt, sondern muss mit einer 1 Cent Überweisung an ein Referenzkonto angereichert werden.
  • Punkt 4: Das Videoidentifizierungsverfahren wird ebenfalls genannt. Dazu gibt es dann ein Whitepaper, unter welchen Bedingungen das Verfahren überhaupt zulässig ist:
    BaFin-Rundschreiben 3/2017 (GW) vom 10.04.2017
    Wie groß dabei die Abweichungen zu dem ähnlichen Schreiben aus dem Paralleluniversum der Bundesnetzagentur sind, kann jeder gerne selber prüfen:
    – Verfügung gemäß § 11 Absatz 1 VDG
  • Punkt 5: Sonstige Verfahren. Keine Sorge, hier muss man auf nichts Neues gespannt sein. Der Passus ist nur der Platzhalter für irgendetwas was in Zukunft einmal kommen könnte und nicht bereits durch eine andere Regelung abgedeckt wird. Daher steht dort auch: „Bis zur Veröffentlichung dieser Auslegungs- und Anwendungshinweise ist keine entsprechende Rechtsverordnung ergangen.“

Wir finden also eine Vielzahl von Regelungen, die eine verpflichtete Bank einhalten muss. Zumal über verschiedene Gesetzgebungsverfahren nicht immer ganz konsistent. Dass hier die Banken dann Innovationen nur mit angezogener Handbremse einführen ist verständlich. Ich möchte hier mal einige Beispiele anführen:

1. One Fits all Identifizierung versus Regulierung mit Augenmaß
Vor etwas über 5 Jahren wollte ein großes Mobilfunkunternehmen Mobile Payment in Europa einführen. Dazu wurde eine Kreditkarte im Secure Element der SIM-Karte abgelegt. Herausgeber der Karte war eine englische Bank unter regulatorischer Aufsicht der Financial Services Authority (FSA). Geplant war eine Kundenlegitimation nach FSA-Regeln, das heißt Foto des Personalausweises und „Utility Bill“ (Foto einer Rechnung Strom, Gas, Telefon, …). Als das Produkt zum Rollout in Deutschland anstand, sollten auf einmal deutsche Regeln gelten. Begründung das Mobilfunkunternehmen mit Sitz in Deutschland würde als Agent im Auftrag der Bank betrachtet. Damit wandert die Zuständigkeit für die Aufsicht zur BaFin.
Man hätte das Thema auch mit etwas Augenmaß angehen können. Worum ging es? Ein Kunde lässt sich eine sogenannte Proxy-Kreditkarte ausstellen, bei der jede Transaktion gegen eine vollkommen KYC registrierte existierende Kreditkarte läuft. Zudem waren nur Kunden zugelassen, die bereits einen Laufzeitvertrag bei diesem Mobilfunkunternehmen besaßen. Welche schweren Straftaten damit unerkannt möglich gewesen wären, habe ich bis heute nicht verstanden.

2. EU-übergreifende Bankenaufsicht – Die Causa N26

BaFinKai Hartmann Photography / BaFin

Im Oktober 2018 gelang es Redakteuren der Wirtschaftswoche, die GwG-Identitätsprüfung von N26 in Portugal zu überlisten und mit einfach gefälschten Dokumenten ein Konto zu eröffnen. In Portugal verwendete N26 damals das in Deutschland nicht zugelassene Verfahren Foto-Ident. N26 wird seitdem von der BaFin an die Kandare genommen.

Wir wollten wissen, wie denn die BaFin den Fall bewertet. Nach dem Eingangsstatement, dass man sich zu konkreten Fällen nicht äußern könne, bedauerte man das geldwäscherechtliche Anforderungen in der EU nur minimalharmonisiert sind. Nicht ausdrücklich geregelt sei zum Beispiel die Frage, welches Recht bei Einschaltung eines im EU-Ausland ansässigen Dritten anzuwenden ist. Allerdings sei bei Auslagerung der Identifizierung auf Dritte, die selbst nicht inländischen oder ausländischen geldwäscherechtlichen Regeln unterliegen, immer nach deutschem Recht zu verfahren.

3. Aufzeichnungspflichten
Das Geldwäschegesetzt verlangt in § 8 Aufzeichnungs- und Aufbewahrungspflicht die Anfertigung einer Ausweiskopie. Der Paragraph selber ist eine echte Herausforderung. Hier der relevante Teil:

…   (2) Zur Erfüllung der Pflicht nach Absatz 1 Satz 1 Nummer 1 Buchstabe a sind in den Fällen des § 12 Absatz 1 Satz 1 Nummer 1 auch die Art, die Nummer und die Behörde, die das zur Überprüfung der Identität vorgelegte Dokument ausgestellt hat, aufzuzeichnen. Soweit zur Überprüfung der Identität einer natürlichen Person Dokumente nach § 12 Absatz 1 Satz 1 Nummer 1, 4 oder 5 oder zur Überprüfung der Identität einer juristischen Person Unterlagen nach § 12 Absatz 2 vorgelegt werden oder soweit Dokumente, die aufgrund einer Rechtsverordnung nach § 12 Absatz 3 bestimmt sind, vorgelegt oder herangezogen werden, haben die Verpflichteten das Recht und die Pflicht, Kopien dieser Dokumente oder Unterlagen anzufertigen oder sie optisch digitalisiert zu erfassen oder, bei einem Vor-Ort-Auslesen nach § 18a des Personalausweisgesetzes, nach § 78 Absatz 5 Satz 2 des Aufenthaltsgesetzes oder nach § 13 des eID-Karte-Gesetzes, das dienste- und kartenspezifische Kennzeichen sowie die Tatsache aufzuzeichnen, dass die Daten im Wege des Vor-Ort-Auslesens übernommen wurden. Diese gelten als Aufzeichnung im Sinne des Satzes 1.    …

Ich habe den Abschnitt jetzt mehrmals durchgelesen und bin der Meinung, dass hier konkret steht, dass im Fall der Identifikation per eID mit Vor-Ort-Auslesen auf die Anfertigung einer Ausweiskopie verzichtet werden kann. Die AuAs sind da allerdings weniger eindeutig, so dass sich die Meinung verfestigt hat, die Ausweiskopie wäre notwendig:

…  Gemäß § 8 Abs. 2 Satz 2 GwG hat insbesondere (*das insbesondere ist neu dazugekommen und noch nicht in den aktuellen AuAs enthalten) stets eine Kopie der zur Überprüfung der Identität vorgelegten Dokumente nach § 12 Abs. 1 Satz 1 Nummer 1 oder 4 GwG bzw. deren vollständige optische digitale Erfassung zu erfolgen
(siehe im Einzelnen dazu unten unter Kapitel 9).  …”

Rudolf Linsenbarth
Experte für Digitale Identität und Identifizierung: Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Lin­sen­barth ist profilierter Fachautor und Praktiker im Finanzbereich und kommentiert bei Twitter (@holimuk) die aktuellen Entwicklungen. Alle Beiträge schreibt Linsenbarth im eigenen Namen.
Ich hab natürlich auch das Kapitel 9 der AuAs durchforstet und keine nähere Spezifizierung für die Aufzeichnungspflichten im Fall des eID Vor-Ort Auslesen gefunden. Was dort aber steht:

… Im Fall des § 12 Abs. 1 Satz 1 Nummer 2 GwG ist anstelle der Art, der Nummer und der das Dokument ausstellenden Behörde das dienste- und kartenspezifische Kennzeichen und die Tatsache, dass die Prüfung anhand eines elektronischen Identitätsnachweises erfolgt ist, aufzuzeichnen.  …”

Die Tatsache, dass Vor-Ort-Auslesen wieder nicht erwähnt wird, schenke ich mir. Die Konsequenz dessen ist aber, dass Banken die Pflichtfeldbelegung der Aufzeichnung kanalabhängig gestalten müssen.

4. Mit der Signatur zur Identität
Die Signatur gilt in der EU als rechtskonforme Identifikationsmethode für Vertrauensdienste.
Trotzdem hat die BaFin entschieden, dass ihr das nicht in jedem Fall ausreicht. Wenn z.B. eine Signatur auf Basis eines PSD2-konformen Banking Login erstellt wird, muss zusätzlich eine Überweisung auf ein Referenzkonto getätigt werden. Mein „Lieblingsparagraph“ des GwG, also die Nummer 8, sagt dazu jedenfalls:

…Bei der Überprüfung der Identität anhand einer qualifizierten Signatur nach § 12 Absatz 1 Satz 1 Nummer 3 ist auch deren Validierung aufzuzeichnen. …”

Warum sich die BaFin hier bei der Validierung für das Mittel der Referenzüberweisung entschieden hat, finde ich ein wenig speziell. Welcher sicherheitstechnische zusätzliche Erkenntnisgewinn aus dieser Maßnahme gezogen wird, erschließt sich mir nicht.

Fazit

  • Die vom Gesetzgeber gewünschten eIDAS-Identifizierungsverfahren haben keine Relevanz beim Verbraucher. Diese Situation hat dazu geführt, dass der Markt selbstständig nach Alternativen sucht. Dabei kommen auch Lösungen zustande, die von den Aufsichtsbehörden nicht nur positiv gesehen werden!
  • Es macht keinen Sinn, dass mehre Aufsichtsbehörden parallel Standards für dasselbe Thema entwickeln.
  • Banken sind wahrscheinlich bald nicht nur Konsumenten von Identifizierungsdienstleistungen, sondern auch Emittenten. Dazu wird dann eine neue Art der Aufzeichnung benötigt. Ich gehe zudem davon aus, dass in Zukunft Identifizierungen in definierten Abständen wiederholt werden müssen. Es macht also durchaus Sinn, für das Thema digitale Identität eine eigene Infrastruktur einzuplanen.
Rudolf Linsenbarth
Digitale Identität in Deutschland Status - die Übersicht
Lösungsanbieter

Identifizierungsdienstleister

Schwerpunkt in dieser Rubrik sind Unternehmen, die in der Lage sind eine Fernidentifizierung durchzuführen. Ein besonderes Augenmerk gilt hierbei der Identifikation im Finanzbereich gemäß (GwG) und der eID Identifikation für Vertrauensdienste. Bei letzteren haben wir für diejenigen, die auch eine Identifikation mit Personalausweis anbieten, das Vertrauensniveau high angegeben.

Eine weitere interessante Gruppe sind ID Provider die auf die Blockchain setzen und damit eine sogenannte Self Sovreign Identity (SSI), also die selbst erstellte und verwaltete Identität setzen.

NameEndk. GwG KYCSSIeIDVideo-IDAuto-IDBemerkungLink
AUTHADAxx (high)Website
Bankverlagxx (high)Website
Blockchain HelixxWebsite
BlockpassxWebsite
Bundesdruckereixx (high)Website
ClariLabgewerbliche KYC Prüfung durch fino und SchufaWebsite
Deutsche Postxx (high)xWebsite
eemaID StandardardisierungWebsite
Electronic Identificationx (substantial)xxWebsite
esatus xWebsite
europeantrustassociationID StandardardisierungWebsite
epayxxVor-Ort AuslesenWebsite
giropayAltersverifikationWebsite
ID-idealxSchaufensterprojekt aus dem Bereich "Sichere Digitale Identitäten“ des BMWiWebsite
ID4meID StandardardisierungWebsite
Identifyxx (substantial)xWebsite
identity Trust Managementxx (high)xWebsite
IDENTO.ONExWebsite
IDENTTxx (substantial)xxVideo- und Selfservice-IdentifizierungWebsite
IDnowxx (substantial)xxWebsite
IDUnionxID Union ist eine Blockchain Website
iSignthisID Check/FraudWebsite
JolocomxWebsite
Klarnax (substantial)Website
LissixLISSI ist eine WalletWebsite
majorel (ehem. Arvato)xx (substantial)xWebsite
MastercardID Check/FraudWebsite
mvneco GmbHxx (high)Website
myego2goxWebsite
Nectx (substantial)xVerifikation von AusweisenWebsite
netsxVerifikation von AusweisenWebsite
Onfido x (substantial)xWebsite
OPTIMOS 2.0ID PlattformWebsite
PXL Vision xVerifikation von AusweisenWebsite
RegulaxVerifikation von Ausweisen Website
SchufaID Check/FraudWebsite
Signicatx (high)ID PlattformWebsite
SkIDentity / ecsec GmbHxx (high)Website
Solarisbankxx (substantial)Website
Spherity xWebsite
Swisscomx (substantial)Website
ti&mxxWebsite
VERIFAIxWebsite
verifeyexVerifikation von Ausweisen und Video IdentWebsite
Verify-U xx (substantial)xWebsite
Veriffx (substantial)xWebsite
Verimixx (substantial)Website
WebIDxx (substantial)xWebsite
YESxx (substantial)Website

Authentifizierung

Im Bereich der Authentifizierung als Dienstleistung ist das Feld erheblich größer als bei der Identifikation. Entsprechend schwieriger ist es das Angebot thematisch zu klammern.
Ich habe dabei die folgenden Kohorten identifiziert.

Als erstes FIDO hier sehe ich zwar noch nicht so viele Anbieter am Markt, oder es ist gut versteckt.
Die eigene Gruppe ergibt sich aber aus der grundsätzlichen Bedeutung des Themas.

Als nächste Gruppe haben wir die Anbieter, die sich auf eine Strong Customer Authentikation (SCA) im Bank- und Finanzsektor spezialisiert haben.

Single Sign On (SSO) ist zur Aggregation von Authentifizierungen ein weiteres Dienstleistungsangebot.
Gemeint sind hier explizit nicht Anbieter einer Software die befinden sich unter der Rubrik „Technologie+Beratung“.

Die Abgrenzung zwischen den Anbietern von Inhärenz und SCA-App Anbietern (die ja auch biometrische Sensoren in den Smartphones verwenden) ergibt sich daraus,
dass die Inhärenz Authentifizierung, die Authentifizierung um weitere Messungen oder Speicherung von biometrischen Merkmalen außerhalb des Smartphone Ökosystems vornimmt.
Bei „Behaviosec“ scheint das auf jeden gegeben, für BioID und Orbiter wäre ich für Hinweise dankbar.

NameFIDOFin-SCASSOPW-Man.InhärenzSCA-HWSCA-AppLink
APIIDAxxxWebsite
Auth0xWebsite
Authentic VisionxWebsite
Bank-VerlagxWebsite
BehaveioSecxWebsite
BioIDxWebsite
cidaasxxWebsite
DaonxxxWebsite
DashlanexWebsite
easy LoginxWebsite
Electronic IdentificationxxxWebsite
EntersektxxxWebsite
Entrust DatacardxxxWebsite
Hanko.ioxxWebsite
heyloginxWebsite
HID GlobalxxWebsite
Hardware Security SDKxWebsite
HYPR xxxWebsite
IDEExxWebsite
IDnowxWebsite
inWeboxxWebsite
Key PassxWebsite
Kobilx + HWxxWebsite
Last PassxxWebsite
Mobile ConnectxxWebsite
netIDxWebsite
NEVISxxxxWebsite
NexusxxWebsite
nok nokxWebsite
oneloginxxWebsite
OneSpanxx + HWxxWebsite
Onfido xxxxWebsite
OrbiterxWebsite
PingIdentityxxxWebsite
privacyID3AxxWebsite
Reiner SCTHWxWebsite
Sealonex + HWxWebsite
spherityxWebsite
XignSysxxWebsite
YESxWebsite

Signatur Lösungen

In dieser Gruppe sind die Anbieter versammelt, die die technischen Grundlagen für die Qualifizierte Elektronische Signatur anbieten. Das sind in erster Linie die Vertrauensdiensteanbieter und Anbieter von eSignatur Lösungen. Trustcenter die bereits als Certification Authority (CA) arbeiten, werden hier ebenfalls erwähnt. Explizit keine Erwähnung finden hier Unternehmen ohne eigenständige Lösung, die hier nur als Reseller fungieren.

NameTSP-X.509
QES
eSignatur
Anbieter
TSP-X.509
nonQES
Link
AdobexWebsite
BankverlagxWebsite
Bundesagentur für ArbeitxWebsite
BundesnotarkammerxWebsite
Ca-CertxWebsite
DGNxWebsite
DocuSignxxWebsite
D-TrustxWebsite
EasySendxWebsite
Electronic IdentificationxxxWebsite
GlobalSignxxWebsite
IntarsysxWebsite
NamirialxxWebsite
OneSpanxWebsite
OpenLimitxWebsite
ScrivexWebsite
SignaturitxxWebsite
Swisscom Trust ServicesxWebsite
TelesecxWebsite
xitrustxWebsite
Yousign xxWebsite

Technologie+Beratung

In dieser Rubrik habe ich nach Identifizierung und Authenfizierung alle anderen Anbieter zusammengefasst.
Das sind neben Soft/Hardware und Infrastrukturanbietern auch Beratungs- und Zertifizierungsunternehmen, ohne sie das oben erwähnte Dienstleistungsangebot vielfach nicht möglich.

Ich habe hier auch die in Deutschland am Markt sichtbaren Vertrauensdiensteanbieter mit einer qualifizierten Signatur (QES) gelistet.
Eigentlich wollte ich hierfür eine eigene Rubrik erstellen, aber bei nur 4 Anbietern habe ich dann darauf verzichtet.

NameConsulting ZertifizierungSoftwareHardwareBemerkungLink
achelosxConsulting/ZertifizierungWebsite
adorsysxxXS2A (Open Banking)Website
amdocsxIAM / SSOWebsite
APIIDAxauch spez. Lösungen für PSD2 XS2AWebsite
ATOSxxxGlobale Identity LösungenWebsite
Authentic VisionxSichere Hardware FaktorenWebsite
BSIxConsulting/ZertifizierungWebsite
CertgatexMobiles Secure ElementWebsite
ComlinexxOCR LösungWebsite
DATEVxSignatur LösungenWebsite
DERMALOGxxBiometrische Identifikation
Ausweislegeräte
Website
G&DxxxGlobale Identity LösungenWebsite
GemaltoxxxGlobale Identity LösungenWebsite
GovernikusxeID ServerWebsite
jenID SolutionsxxSoft- und Hardware zur AusweisprüfungWebsite
KeycloakxIAM / SSOWebsite
mtG AGxeID ServerWebsite
MTRIX GmbHxMulti-Faktor-AuthentifizierungWebsite
OberthurxxxGlobale Identity LösungenWebsite
OpenLimitxeID Server / Signatur Softw.Website
procilonxSoftwareWebsite
Regula Document ReaderxxSoft- und Hardware zur AusweisprüfungWebsite
Risk.Ident FRIDAxVerhaltensbasierte Identifikation/BetrugserkennungWebsite
SAP Identity ManagementxIAM / SSOWebsite
SRC GmbHxConsulting/ZertifizierungWebsite
TÜVxConsulting/ZertifizierungWebsite
UBISECURExIAM / SSOWebsite
UtimacoxHSM HardawareWebsite
VERIDOSxGlobale Identity LösungenWebsite
zertificonxVerschlüsselungWebsite

Sonstige

Im Laufe der meiner mehrjährigen Recherche bin ich auch über eine einige Anbieter gestolpert, die zwar irgendetwas im Identity Umfeld machen. Leider war ich nicht in der Lage beim Blick auf deren Webseite eine genauere Einordnung  vorzunehmen. Trotzdem will ich meinen Lesern diese Unternehmen nicht vorenthalten.

NameLink
aidientWebsite
authenteqWebsite
IDENTOSWebsite
IS2 Intelligent Solution Services AGWebsite
KeypWebsite
muumeWebsite
nicosWebsite
PassbaseWebsite
PeopleIDWebsite
SK ID SolutionsWebsite
SkribbleWebsite
SMART IDWebsite
taqanuWebsite
vereignWebsite
yptokeyWebsite

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert