Die Eröffnung eines Kontos, egal ob z. B. Tagesgeldkonto, Girokonto, Festgeldkonto, dürfte für die meisten Personen eine eher nervige Angelegenheit sein. Der Grund ist, dass die Identitätsprüfung zu den dringend erforderlichen Schritten bei einer Kontoeröffnung zählt. Dies setzte bisher häufig einen Besuch bei der jeweiligen Bank, was häufig mit langen Wartezeiten und festen Öffnungszeiten verbunden war, oder zumindest den Gang zur Postfiliale (Postident-Verfahren) voraus. Dies dürfte allerdings bereits für viele Verbraucher der Vergangenheit angehören, denn eine Neuauslegung des Geldwäschegesetzes (GwG) durch das Bundesfinanzministerium hat die Möglichkeit der Identitätsprüfung per Videochat eröffnet.
Kurzer Exkurs: Der Überwachung der Einhaltung der Anforderungen des GWG widmet sich der Geldwäschebeauftragte. Ein Geldwäschebeauftragter ist nicht nur bei Banken zu bestellen, sondern z. B. auch seit 2013 bei Handelsunternehmen in Hessen, sofern gewisse Kriterien erfüllt sind. Die primären Interessen des Geldwäschebeauftragten müssen nicht unbedingt mit denen des Datenschutzbeauftragten übereinstimmen. Es gilt daher beide Aufgabengebiete in geeignetem Maße zu berücksichtigen und beiderseitigen Anforderungen gerecht zu werden.
Geldwäschegesetz – Identitätsprüfung vor Eröffnung eines Kontos
Banken sind nach § 11 des GwG vor Begründung der Geschäftsbeziehung oder vor Durchführung der Transaktion zur Identitätsprüfung verpflichtet. Die Identifizierung erfolgte häufig durch persönliches Erscheinen in der jeweiligen Bank. Alternativ konnten sich (Neu)kunden in einer Postfiliale identifizieren lassen, allerdings war auch dies mit dem persönlichen Erscheinen und Vorzeigen eines Ausweisdokumentes verbunden.
Die Neuauslegung des GwG durch das Bundesfinanzministerium im Jahr 2014 dürfte sicherlich zahlreiche Kunden erfreut haben. Denn damit dürfte der Gang zur Bank oder Post der Vergangenheit angehören und das Eröffnen eines Kontos von der Couch aus nicht nur eine Wunschvorstellung sein.
Wie funktioniert das Videoident-Verfahren?
Um ein Konto zu eröffnen, genügt es i. d. R. seine Daten in einem Online-Kontaktformular einzugeben und das Verfahren zur Identifizierung auszuwählen. Entscheidet man sich für das Videoident-Verfahren, so sind – je nach Bank – weitere Angaben, zum Beispiel die Ausweisdaten, erforderlich. Danach kann man den Videochat starten, dabei greifen zahlreiche Banken auf externe Dienstleister zurück. Je nach Bank wird der Schritt der Identitätsprüfung vollständig ausgelagert, dabei wird nicht nur die Videochat-Lösung von dem Dienstleister gestellt, sondern auch die Prüfung der Identität durch das externe Call-Center durchgeführt. Je nach Bank können die Kunden sogar zwischen Videoprogrammen wählen, dabei fällt auf das neben vielen Lösungen von deutschen Anbietern auch Skype verwendet wird.
Hat man sich als Kunde – sofern die Auswahl besteht – für ein Programm entschieden, so kann der Videochat gestartet und die Identifizierung beginnen. Viele Banken versprechen, dass die Identifizierung drei bis fünf Minuten in Anspruch nimmt. Der Call-Center-Mitarbeiter dürfte die Daten nochmal mit dem Kunden durchgehen, den Kunden anhand des Ausweisdokumentes identifizieren, das Dokument auf seine Echtheit prüfen und das vorgezeigte Ausweisdokument fotografieren. Zum Abschluss erhält der Kunde in der Regel noch eine Transaktionsnummer (TAN) per SMS auf sein Handy zugeschickt, um durch Bestätigung der TAN den Vorgang abzuschließen.
Verursacht die Kontoeröffnung per Videochat Datenschutz-Risiken?
Eine pauschale Bewertung, dass die Kontoeröffnung per Videochat Risiken aus Datenschutzsicht hervorrufen könnte, lässt sich grundsätzlich nicht geben, da es letztens davon abhängt, wie die Identifizierung durchgeführt und welches Videoprogramm eingesetzt wird. Dennoch sollte sowohl den Banken als auch den externen Dienstleistern klar sein, dass Maßnahmen ergriffen werden sollten.
Einwilligungen der Betroffenen
Werden personenbezogenen Daten erhoben, verarbeitet oder genutzt, so sollte das Verbot mit Erlaubnisvorbehalt beachtet werden, denn nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist jegliche Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten verboten, außer eine Rechtsgrundlage oder informierte Einwilligungen der Betroffenen erlauben dies. Im Rahmen des Videoident-Verfahren werden eine Vielzahl personenbezogener Daten erhoben, wodurch das Einholen von informierten Einwilligungen dringend anzuraten ist.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in ihrem Rundschreiben 3/2017 vom 10.04.2017 Anforderungen, die bei der Durchführung der Videoidentifizierung eingehalten werden müssen, veröffentlicht. Auch das Einholen von Einwilligungen ist hier fester Bestandteil der geldwäscherechtlichen Anforderungen.
Einsatz externer Dienstleister
Banken sollten zudem beachten, dass – sofern sie einen externen Dienstleister einsetzen- eine Weitergabe personenbezogener Daten erfolgt. Wie bereits erläutert, bedarf diese einer Rechtsgrundlage oder der informierten Einwilligungen der Betroffenen.
Verarbeitet der Dienstleister personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers dürfte allerdings eine Auftragsdatenverarbeitung vorliegen. Bei einer Auftragsdatenverarbeitung greift die Fiktion der „Nicht-Übermittlung“, wodurch das Einholen von informierten Einwilligungen oder die Prüfung weiterer Rechtsgrundlagen nicht notwendig ist. Auftraggeber (hier Banken) sollten allerdings darauf achten, dass der eingesetzte Dienstleister angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreift. Zudem sollten sie, um die Weisungsbefugnis und notwendige Kontrollrechte sicherzustellen, einen Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister abschließen. Sie benötigen hierbei Unterstützung?
Achtung: Es sollte allerdings beachtet werden, dass die Fiktion der „Nicht-Übermittlung“ bei Auftragsdatenverarbeitungen greift, wenn der Dienstleister seinen Sitz innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraum (EWR) hat. Bei Datenübermittlungen in Drittländer, wie zum Beispiel in die USA, greift die Fiktion der „Nicht-Übermittlung“ nicht. Aus diesem Grund ist ein Dienstleister innerhalb der EU/des EWR anzuraten.
Technische und organisatorische Maßnahmen
Werden personenbezogene Daten erhoben, verarbeitet und/oder genutzt, sollte auf einen entsprechenden Schutz geachtet werden. Gemäß § 9 BDSG in Verbindung mit der Anlage zu § 9 Satz 1 BDSG sind alle Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen dazu verpflichtet, technische und organisatorische Maßnahmen (TOM) zu treffen, um die Anforderungen des BDSG zu erfüllen.
Im Rundschreiben 3/2017 weist die BaFin auf Ende-zu-Ende verschlüsselte Videochats hin, um die Integrität und Vertraulichkeit abzusichern und verweist hierbei auf die Empfehlungen der Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI TR-02102). Auch macht sie darauf aufmerksam, dass die Mitarbeiter sich während des Identifizierungsverfahrens in abgetrennten Räumlichkeiten aufhalten sollten.
Verpflichtung auf das Datengeheimnis und Datenschutz-Schulungen
Des Weiteren sollte beachtet werden, dass Mitarbeiter, die personenbezogene Daten erheben, verarbeiten und/oder nutzen auf das Datengeheimnis gemäß § 5 BDSG verpflichtet werden müssen.
Häufig wird leider außer Acht gelassen, dass ein großer Risikofaktor der Mitarbeiter selbst ist. Aus diesem Grund sollten diese im Umgang mit personenbezogenen Daten ausreichend geschult und sensibilisiert werden.
Ausreichend geschultes Personal wird im Übrigen auch als Anforderung von der BaFin aufgeführt!
Weitere Maßnahmen
Um die (gesetzlichen) Anforderungen, die sich unter anderem aus dem BDSG, dem GwG sowie dem Rundschreiben 3/2017 der BaFin ergeben, zu erfüllen, sollten zahlreiche weitere Maßnahmen, wie zum Beispiel das fristgerechte und ordnungsgemäße Löschen, erfüllt werden.
