15. Juni 2017

BaFin-Rundschreiben




Am 10. April hat die BaFin ihr neues Rundschreiben 3/2017 (GW) veröffentlicht, das ab heute in Kraft ist.

Es beruht auf den Ergebnissen, die wir in den letzten Monaten gemeinsam mit den zuständigen Gremien (z.B. BMF, BMI, BaFin, BSI etc.), Interessensverbänden (u.a. Bankenverband BdB), anderen Anbietern und unseren Rechtsberatern in verschiedenen Arbeitskreisen erarbeitet haben. Auf Basis der dabei erworbenen Erkenntnisse haben wir unsere Lösung bereits entsprechend der erwarteten und jetzt bestätigten Vorgaben angepasst.

Zu den wichtigsten Änderungen gehören unter anderem:

Ende-zu-Ende-Verschlüsselung: Das BaFin-Rundschreiben fordert eine ausreichende Absicherung des Video-Chats zwischen dem Mitarbeiter und der zu identifizierenden Person. Dabei sind die Empfehlungen der Technischen Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) TR-02102 einzuhalten. Die Richtlinie verlangt eine durchgehende Ende-zu-Ende-Verschlüsselung von mindestens 2048 Bit. Video-Verbindungen mit geringerer Verschlüsselung und Video-Chatprogramme externer Anbieter (z.B. Skype o.ä.), bei denen eine Entschlüsselung auf Anbieter-Seite möglich ist, dürfen künftig nicht mehr genutzt werden.

  • Die Anforderungen der BSI-Richtlinie zu kryptographischen Verfahren erfüllen wir mit IDnow über alle Kanäle vollumfänglich.


Überprüfung der Sicherheitsmerkmale: Künftig müssen durch den Mitarbeiter drei Sicherheitsmerkmale aus verschiedenen Kategorien überprüft und deren Vorhandensein nachgewiesen werden. Ausweisdokumente, die diese Anforderungen an die im Weißlicht visuell zu erkennenden optischen Sicherheitsmerkmale nicht erfüllen, sind nicht zur Legitimation zugelassen. Der Nachweis der Sicherheitsmerkmale muss über IT-Unterstützung oder einen entsprechenden Abgleich durch vom Mitarbeiter (möglichst aus Serienaufnahmen oder aufgezeichneten Videosequenzen) als Bestandteil des Identifizierungsprozesses zwingend durchgeführt werden. Um Manipulationen entgegenzuwirken sind ausschnittvergrößerte Standbilder zu erstellen und zu überprüfen.

  • Unser IDnow-System wurde an diese Vorgaben angepasst und liefert künftig zu allen geprüften Sicherheitsmerkmalen die entsprechenden Bilder.


Video-Aufzeichnung: Die BaFin hat uns schriftlich bestätigt, dass der gesamte Identifikationsprozess mittels Videotechnologie in allen Einzelschritten aufgezeichnet werden muss. Die Pflicht zur Aufzeichnung des Video-Streams (Audio und Video) besteht für den gesamten Identifizierungsprozess und ist somit nicht nur auf einen Teil des Prozesses anzuwenden. Einen Konflikt mit dem Datenschutz sieht die BaFin nicht. Nach ihr erlaubt § 8 GwG als spezielle Vorschrift die vollständige Kopie und dauerhafte Aufzeichnung des Prozesses auch ohne Schwärzung von Ausweisteilen. Die Aufzeichnung ist mindestens fünf Jahre aufzubewahren. Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahres, in dem die Geschäftsbeziehung endet.

  • Die Notwendigkeit der Speicherung von Audio, Video, Bildern und Ident-Informationen führt zu einer Erhöhung des Datenvolumens auf ca. 10 MB je Identifikation. In Kenntnis, dass viele Banken (kurzfristig) keine Video-Dateien speichern können, bieten wir unseren Kunden einen Archivierungsservice.


Für Fragen zum BaFin-Rundschreiben stehen wir Ihnen jederzeit gerne zur Verfügung.