Neue Spielregeln zur Geldwäschebekämpfung
Fast überraschend war, dass die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Rahmen des Rundschreibens „1/2014 (GW) – Verdachtsmeldung nach §§ 11, 14 GwG und anderes“ das Video-Identverfahren für zulässig erklärte und die ersten Banken auf den Plan traten [1].
Nun, etwa zwei Jahre danach, rudert die BaFin zurück und versucht, im Sinne einer Konkretisierung und unter Verweis auf die Überarbeitung der Leitlinien zur Kontoeröffnung und Kundenidentifizierung des Baseler Bankenausschusses im Februar 2016 die Zügel wieder anzuziehen. Am 10. Juni 2016 veröffentlichte sie mit ihrem „Rundschreiben 04/2016 (GW) – Videoidentifizierungsverfahren“ die neuen Spielregeln ohne die ansonsten übliche umfassende Vorabstimmung mit den Finanzdienstleistern bzw. ihren Verbänden [2]. Vielleicht geschah dies auch in Anbetracht des Ziels der Umsetzung der 4. EU-Richtlinie zur Geldwäsche-Bekämpfung noch in 2016.
Durch die widerstreitenden Interessen digitaler werdender Kunden und die Aktualität von Geldwäsche und Datenschutz haben sich die Prioritäten verschoben. Laut Bafin-Präsident Felix Hufeld geht es darum, die Terrorfinanzierung zu bekämpfen. Eine Vorgabe, die von den Sicherheitsbehörden gekommen sei. „Dass diese Regel den ein oder anderen unangenehm trifft, ist vollkommen verstanden“, sagt Hufeld. „Doch es sei eine ,wichtige und legitime politische‘ Perspektive zwischen ,politischen Prioritäten‘ abzuwägen“ [3].
Unter den erweiterten Anforderungen bestimmen drei wesentliche Themenkreise die aktuelle Diskussion:
- die Beschränkung der Video-Identifikation auf Banken,
- die Einführung einer Referenzüberweisung sowie
- die Verifizierung der Identität des Antragstellers unter Nutzung öffentlich verfügbarer Informationen, z. B. durch die Recherche in sozialen Netzwerken [4].
Aufgrund der Vielzahl der Stellungnahmen (u. a. vom Bankenfachverband und Bundesverband deutscher Banken), die bei der BaFin eintrafen, sah sie sich zu einem außergewöhnlichen Schritt veranlasst: Sie setzte ihre Ausführungen kurzerhand bis zum 31.12.2016 aus und gewährt damit den Betroffenen eine Übergangsfrist.
Einige Marktteilnehmer gehen davon aus, dass damit lediglich dem Sturm im Wasserglas Rechnung getragen wird. Sind bis zum Jahresende alle Proteste verklungen, lebt das Rundschreiben 04/2016 erneut auf und erlangt unverändert Gültigkeit.
Die Optimisten hingegen suchen nach praktikablen Lösungen, um
- Marktteilnehmer nicht zu benachteiligen, insbesondere diejenigen, die ebenfalls einer Regulierung durch die BaFin unterliegen, wie Leasinggesellschaften oder auch Zahlungsdienstleister (1),
- den Anforderungen des zunehmend digitalen und technik-affinen Kunden nach einem medienbruchfreien Echtzeit-Abschluss gerecht zu werden (mit attraktiven Conversion Rates und geringen Kosten auf Seiten der Finanzdienstleister und FinTechs) und
- mögliche bzw. geeignete Quellen öffentlicher Daten zu konkretisieren und den notwendigen Analyse- und Prüfungsumfang hinreichend zu bestimmen.
In den Sternen steht, ob die BaFin im Rahmen des Videoident-Verfahrens Modifikationen zulässt. Hier ist diplomatisches Geschick gefragt, da sich technische Lösungen inzwischen weiterentwickelt haben, die gegebenenfalls der Aufsicht und dem Bundesfinanzministerium bisher nicht bekannt waren.
Wenn auch Anbieter von Video-Identifikations-Lösungen, wie z. B. WebID und IDnow mitteilen, dass sie die formulierten, erweiterten Auflagen erfüllen, sollten diese rechtlich unter Aspekten wie (IT-) Sicherheit, Betrugsprävention oder Geldwäsche auf den Prüfstand gestellt werden dürfen.
Video-Identverfahren und neuer Personalausweis – eine Zeitreise
Ein Sprung zurück in das Jahr 2014: Das klassische Verfahren, das PostIdent der Deutschen Post AG, war aufgrund der beginnenden Digitalisierung der Geschäftsmodelle nicht mehr zeitgemäß. Häufig brachen Kunden eingeleitete Kontoeröffnungen ab und verursachten dadurch Kosten auf Seiten der Banken.
Mit der Freigabe des Video-Identverfahrens eröffneten sich neue Möglichkeiten, die sich rasch auf Seiten der Finanzdienstleister und der Kunden herumsprachen.
Zugleich wurde der neue (deutsche) Personalausweis (nPA) eingeführt. Dieser verfügt über 23 Sicherheitsmerkmale, von denen 17 optisch über die Videoverbindung überprüfbar sind. Ein attraktiver Anwendungsfall, über den im Rahmen der Kontoeröffnung oder weiteren Identifikationsverfahren (z. B. im Rahmen des E-Commerce) dank der neuen Technik ein Komfortabilitäts- und Qualitätssprung nicht nur erhofft, sondern auch erreicht wurde [5].
Neue Regeln eröffnen neue Betrugsszenarien [7] und gelockerte Anforderungen bzw. vielfältigere anzuerkennende Dokumente rufen Trittbrettfahrer auf den Plan, die Unsicherheiten für ihre Zwecke (z. B. der Geldwäsche) in verstärktem Maße ausnutzen wollen.
Werden Online Banking und E-Commerce weiterhin florieren?
Soweit BaFin und Bundesfinanzministerium (BMF) dem Wunsch der Finanzdienstleistungsindustrie entsprechen und Spielräume eröffnen, die mit dem neuen Regelwerk verfolgten Intentionen angemessenen anzupassen bzw. ausgelegt umzusetzen, könnte das Online Banking- und E-Commerce Geschäft weiterhin florieren.
Beginnt man mit dem Themenkreis Referenzüberweisung, so soll damit insbesondere ein erhöhtes Sicherheitsniveau erreicht werden [8]. Sieht man der Einfachheit halber von klärenden Ausführungsbestimmungen für die Fälle von Gemeinschafts- oder Firmenkonten ab, so ließe sich das mit der Referenzüberweisung verfolgte Ziel durch innovative Verfahren der Kontoverifikation erreichen. Diese Verfahren ermöglichen eine Zugriffsmöglichkeit des potenziellen Kontoeröffners auf das Online Banking seiner bestehenden Bankverbindung ohne die Bewegung von Geldbeträgen (1-Cent-Überweisungen) [9].
Wenngleich auch damit Kundengruppen wie Jugendliche oder Antragsteller ohne ein Online Banking-fähiges (EU-) Konto nicht erreicht werden könnten, so würde das „normale“ Geschäft weitgehend unbeeinträchtigt fortführbar sein. Der impliziten Maßgabe, dass zumindest einmal ein Kontoinhaber eine Identifikation unter Anwesenden durchlaufen muss, ist damit Rechnung getragen. Die Diskriminierung derjenigen, die ein Online Banking ablehnen, wird sich sicherlich schnell reduzieren, gehören doch die Silver Surfer zu den eifrigen Internetnutzern [10].
Die Vorstellung, dass der Kontoeröffner „einen in seiner Höhe unbestimmten Betrag auf das neueröffnete Konto von einem bei einem Kreditinstitut innerhalb der EU eröffneten und auf den denselben Namen laufenden Konto“ [11] überweist, lässt vermuten, dass die Abbruchquoten in die Höhe schnellen. Die Prozesse beim Finanzdienstleister, wie das Parken des Vorgangs bis zum Eingang, die weitere Behandlung des überwiesenen Betrages etc., verursachen unverhältnismäßig hohe Kosten, insbesondere wenn der Antragsteller die Überweisung vergisst oder die Antragstellung verwirft.
Doch auch hierzu existieren zwischenzeitlich moderne Lösungen. Mit diesen wird während des Identifikationsprozesses dem Antragsteller der Zugriff auf sein Online Banking bereitgestellt und das Absenden einer entsprechenden Überweisung ermöglicht. Es muss nur noch der Eingang des Geldbetrages abgewartet werden.
Lassen sich die mit der Referenzüberweisung verbundenen Anforderungen innovativ lösen, könnten Aufsicht und BMF von einer Beschränkung des Verfahrens absehen und alle Finanzdienstleister und am Antragsprozess Beteiligten weiterhin zulassen.
So bliebe abschließend nur noch ein Themenkreis:
In der Forderung nach einer zusätzlichen Kontrolle mithilfe öffentlich zugänglicher Daten und Informationen sieht die Interessensvertretung Die Deutsche Kreditwirtschaft „eine Anforderung, die regelmäßig nicht zu höherer Sicherheit führen dürfte, andererseits aber die Kontoeröffnung (ebenfalls) verzögert oder gar verhindert“ [12]. Daher sollte diese ersatzlos entfallen, da das Internet und vor allem soziale Netzwerke regelmäßig nicht als glaubwürdige und unabhängige Quellen herangezogen werden können. Denn jeder Teilnehmer kann mit Hilfe von weiteren Phantasienamen oder falschen Accounts bewusst und rechtmäßig Falschangaben zu seiner Person machen, die nicht verifizierbar sind. Dies gilt nicht nur für Facebook, sondern selbst für die Berufsnetzwerke XING und LinkedIn.
Somit bleibt abzuwarten, wie kompromissbereit BaFin und BMF in Bezug auf allseits als notwendig erachtete Abstriche ihrer bereits mit dem Rundschreiben 04/2016 formulierten Anforderungen sind. Und wie sie dies in die Novellierung des Geldwäschegesetzes im Rahmen der Umsetzung der 4. EU-Geldwäsche-Richtlinie einbringen werden. Viel Zeit für Aussprachen und Konsultationen bleibt nicht, soll ein Erfolg noch in 2016 zu vermelden sein.
Zu hoffen bleibt, dass nicht der Kunde am Ende der Benachteiligte ist. Dies könnte der Fall sein, wenn er aufgrund fehlender Usability den Prozess nicht mehr versteht oder mit Kosten belastet wird, die ihn veranlassen oder zwingen, im Sinne von Opas Banking ein neues Konto in einer ihm erreichbaren Filialbank zu eröffnen.
Mit freundlichen Grüßen
Dr. Lars Rüsberg
(1) Nicht reguliert, aber mittlerweile wesentliche „Zulieferer“ der Finanzdienstleister sind die Kredit- und Vergleichsportale, die Leads generieren und bereits in der Antragsstrecke in hoher Qualität Daten des potenziellen Kunden erfassen. Auch sie sollten als wesentliche Player in der Wertschöpfungskette im Retailgeschäft bei der Betrachtung berücksichtigt werden. Ebenso setzen zahlreiche FinTechs mit ihren Innovationen und Geschäftsmodellen auf voll digitale Prozesse.
1 Die Welt (2014). Das Postident-Verfahren darf endlich sterben. URL: http://www.welt.de/finanzen/verbraucher/article127162325/Das-Postident-Verfahren-darf-endlich-sterben.html
2 BaFin (2016). Rundschreiben 04/2016 (GW) – Videoidentifizierungsverfahren. URL: http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2016/rs_1604_gw_videoident.html;jsessionid=F2A7BA233177543B8AFFF422F2589BA2.1_cid363?nn=7954124
3 Gründerszene (2016). Video-Ident Bafin und Politik werfen Fintechs Steine in den Weg. URL: http://www.gruenderszene.de/allgemein/bafin-video-ident-fintechs?ref=interstitial
4 IT Finanzmagazin (2016): BaFin-Rundschreiben: Neue Hürden bei der Videoidentifizierung, erhöhte Anforderungen. URL: http://www.it-finanzmagazin.de/bafin-rundschreiben-neue-huerden-bei-der-videoidentifizierung-erhoehte-anforderungen-32770/
5 Peer Schader (2015). Sicherheitsmängel bei Postident: Eintrittskarte für den organisierten Betrug.URL: https://krautreporter.de/711–sicherheitsmangel-bei-postident-eintrittskarte-fur-den-organisierten-betrug
6 Wikipedia (2016). Personalausweis (Deutschland). URL: https://de.wikipedia.org/wiki/Personalausweis_(Deutschland)
7 Check24 (2015). Girokonto: Handel mit gefälschten Girokonten blüht, München.URL: https://www.check24.de/girokonto/news/girokonto-faelschungen-handel-58938/
8 BaFin (2014). Rundschreiben 1/2014 (GW) – Verdachtsmeldung nach §§ 11, 14 GwG und anderes. URL: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/rs_1401_gw_verwaltungspraxis_vm.html
9 Die Welt Online (2015). Wie die digitale Welt Senioren helfen kann. URL: http://www.welt.de/wissenschaft/article148843506/Wie-die-digitale-Welt-Senioren-helfen-kann.html
10 PwC (2016). Neue Anforderungen an die Videolegitimation. URL: http://blogs.pwc.de/compliance-fs/aktuelles/neue-anforderungen-an-die-videolegitimation/469/
11 Die Deutsche Kreditwirtschaft (2016). Stellungnahme zum Rundschreiben 04/2016 (GW) der Bundesanstalt für Finanzdienstleistungsaufsicht. URL: https://die-dk.de/media/files/Stellungnahme_DK-zu_BaFin_RS_4-2016.pdf