LegalizeVerordnung der Finanzmarktaufsichtsbehörde (FMA) über die videogestützte Online-Identifikation von Kunden (Online-Identifikationsverordnung – Online-IDV)
Abkürzung
Online-IDV
Präambel/Promulgationsklausel
Auf Grund des § 6 Abs. 4 des Finanzmarkt-Geldwäschegesetzes – FM-GwG, BGBl. I Nr. 118/2016, wird mit Zustimmung des Bundesministers für Finanzen verordnet:
Teil
Allgemeine Bestimmungen
Gegenstand
§ 1. (1) Diese Verordnung regelt die erforderlichen Sicherungsmaßnahmen, um das erhöhte Risiko auszugleichen, das sich aus der Feststellung und Überprüfung der Identität einer Person ergibt, die oder deren vertretungsbefugte natürliche Person nicht physisch anwesend ist, wenn stattdessen ein videogestütztes elektronisches Verfahren (Online-Identifikation) verwendet wird.
(2) Die gemäß dieser Verordnung zu setzenden erforderlichen Sicherungsmaßnahmen gelten unbeschadet der weiteren Sorgfaltspflichten zur Prävention von Geldwäscherei oder Terrorismusfinanzierung gemäß dem FM-GwG.
(3) Die Verpflichteten können unbeschadet der nach dieser Verordnung zu setzenden erforderlichen Sicherungsmaßnahmen weitere Sicherungsmaßnahmen zur Anhebung des Sicherheitsniveaus setzen.
(4) Die Bestimmungen dieser Verordnung gelten unbeschadet der auf die Online-Identifikation anzuwendenden datenschutzrechtlichen Anforderungen.
Abkürzung
Online-IDV
Begriffsbestimmungen
§ 2. Im Sinne dieser Verordnung bezeichnet der Ausdruck
Bildschirmkopie: eine mittels elektronischer Datenverarbeitung gefertigte und gespeicherte Graphik, die den Bildschirminhalt als visuelle Komponente der Online-Identifikation bezogen auf den Zeitpunkt ihrer Erstellung in einer Qualität wiedergibt, die den jeweiligen Überprüfungs- und Dokumentationszwecken entspricht;
amtlicher Lichtbildausweis: ein amtlicher Lichtbildausweis im Sinne von § 6 Abs. 2 Z 1 FM-GwG, der über optische Sicherheitsmerkmale verfügt, welche im Vergleich zu bewegungsoptisch wirksamen (holographischen) Elementen zumindest gleichwertig sind.
Abkürzung
Online-IDV
Begriffsbestimmungen
§ 2. Im Sinne dieser Verordnung bezeichnet der Ausdruck
Bildschirmkopie: eine mittels elektronischer Datenverarbeitung gefertigte und gespeicherte Graphik, die den Bildschirminhalt als visuelle Komponente der Online-Identifikation bezogen auf den Zeitpunkt ihrer Erstellung in einer Qualität wiedergibt, die den jeweiligen Überprüfungs- und Dokumentationszwecken entspricht;
amtlicher Lichtbildausweis: ein amtlicher Lichtbildausweis im Sinne von § 6 Abs. 2 Z 1 FM-GwG, der über optische Sicherheitsmerkmale verfügt, welche im Vergleich zu bewegungsoptisch wirksamen (holographischen) Elementen zumindest gleichwertig sind;
Auftragsverarbeiter: ein Auftragsverarbeiter gemäß Art. 4 Nr. 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 S. 2, auf den die Bestimmungen bezüglich Dritten gemäß dem 4. Abschnitt des FM-GwG anwendbar sind.
Abkürzung
Online-IDV
Begriffsbestimmungen
§ 2. Im Sinne dieser Verordnung bezeichnet der Ausdruck
Bildschirmkopie: eine mittels elektronischer Datenverarbeitung gefertigte und gespeicherte Graphik, die den Bildschirminhalt als visuelle Komponente der Online-Identifikation bezogen auf den Zeitpunkt ihrer Erstellung in einer Qualität wiedergibt, die den jeweiligen Überprüfungs- und Dokumentationszwecken entspricht;
amtlicher Lichtbildausweis: ein amtlicher Lichtbildausweis im Sinne von § 6 Abs. 2 Z 1 FM-GwG, der über optische Sicherheitsmerkmale verfügt, welche im Vergleich zu bewegungsoptisch wirksamen (holographischen) Elementen zumindest gleichwertig sind;
Auftragsverarbeiter: ein Auftragsverarbeiter gemäß Art. 4 Nr. 8 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 74 vom 04.03.2021 S. 35, auf den die Bestimmungen bezüglich Dritten gemäß dem 4. Abschnitt des FM-GwG anwendbar sind;
Biometrische Identifikationsverfahren: Verfahren zur Online-Identifikation, bei denen die gesamte Online-Identifikation oder einzelne Schritte davon ohne Beteiligung eines Mitarbeiters im Rahmen eines automatisierten elektronischen Verfahrens durchgeführt werden.
Abkürzung
Online-IDV
Teil
Sicherungsmaßnahmen
Organisatorische Sicherungsmaßnahmen
§ 3. (1) Der Verpflichtete darf für die Online-Identifikation nur Mitarbeiter einsetzen, die für die Durchführung der Online-Identifikation hinreichend geschult und zuverlässig sind. Diese Schulung hat zumindest den rechtlichen Rahmen, die technischen Voraussetzungen sowie die praktische Sicherstellung der Überprüfung zu umfassen.
(2) Der Verpflichtete hat sicherzustellen, dass die im Rahmen der Online-Identifikation herangezogenen Anwendungen sowie die übertragenen Daten zu keinem Konflikt mit anderen Prozessen des Verpflichteten führen, eine Beeinflussung ausgeschlossen ist und die Anwendungen sowie die Daten vor einem unbefugten Zugriff geschützt sind.
(3) Mitarbeiter des Verpflichteten dürfen die Online-Identifikation nur in einem abgetrennten, mit einer Zugangskontrolle ausgestatteten Raum durchführen.
Abkürzung
Online-IDV
Teil
Sicherungsmaßnahmen
Organisatorische Sicherungsmaßnahmen
§ 3. (1) Der Verpflichtete darf für die Online-Identifikation nur Mitarbeiter einsetzen, die für die Durchführung der Online-Identifikation hinreichend geschult und zuverlässig sind. Diese Schulung hat zumindest den rechtlichen Rahmen, die technischen Voraussetzungen sowie die praktische Sicherstellung der Überprüfung zu umfassen.
(2) Der Verpflichtete hat sicherzustellen, dass die im Rahmen der Online-Identifikation herangezogenen Anwendungen sowie die übertragenen Daten zu keinem Konflikt mit anderen Prozessen des Verpflichteten führen, eine Beeinflussung ausgeschlossen ist und die Anwendungen sowie die Daten vor einem unbefugten Zugriff geschützt sind.
(3) Mitarbeiter des Verpflichteten dürfen die Online-Identifikation nur in einem abgetrennten, mit einer Zugangskontrolle ausgestatteten Raum durchführen.
(4) Abweichend von Abs. 3 dürfen Mitarbeiter des Verpflichteten die Online-Identifikation an ihrem Wohnsitz in einem abgetrennten, geschlossenen Raum durchführen (Online-Identifikation im Home-Office). Es ist sicherzustellen, dass sich der Mitarbeiter während der gesamten Dauer der Online-Identifikation alleine und ungestört in diesem Raum aufhält. Wenn die Online-Identifikation durch einen Mitarbeiter im Home-Office stattfindet, ist der potentielle Kunde vorab über diesen Umstand zu informieren und auf den Umstand hinzuweisen, dass alternative Identifikationsmöglichkeiten bestehen. Die übrigen Bestimmungen dieser Verordnung bleiben hievon unberührt.
Abkürzung
Online-IDV
Teil
Sicherungsmaßnahmen
Organisatorische Sicherungsmaßnahmen
§ 3. (1) Der Verpflichtete darf für die Online-Identifikation nur Mitarbeiter einsetzen, die für die Durchführung der Online-Identifikation hinreichend geschult und zuverlässig sind. Diese Schulung hat zumindest den rechtlichen Rahmen, die technischen Voraussetzungen sowie die praktische Sicherstellung der Überprüfung zu umfassen.
(2) Der Verpflichtete hat sicherzustellen, dass die im Rahmen der Online-Identifikation herangezogenen Anwendungen sowie die übertragenen Daten zu keinem Konflikt mit anderen Prozessen des Verpflichteten führen, eine Beeinflussung ausgeschlossen ist und die Anwendungen sowie die Daten vor einem unbefugten Zugriff geschützt sind.
(3) Mitarbeiter des Verpflichteten dürfen die Online-Identifikation nur in einem abgetrennten, mit einer Zugangskontrolle ausgestatteten Raum durchführen.
(Anm.: Abs. 4 mit Ablauf des 31.12.2023 außer Kraft getreten)
Abkürzung
Online-IDV
Verfahrensbezogene Sicherungsmaßnahmen
§ 4. (1) Soweit personenbezogene Daten nach den Bestimmungen dieser Verordnung verarbeitet werden, geschieht dies aufgrund von § 6 Abs. 4 FM-GwG für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung (§ 21 Abs. 4 FM-GwG).
(2) Das Gespräch oder der Gesprächsteil, das oder der dem Zwecke der Online-Identifikation dient, ist jedenfalls akustisch in seiner Gesamtheit aufzuzeichnen; § 50a Abs. 5 DSG 2000 ist anzuwenden. Darüber hinaus sind Bildschirmkopien anzufertigen, die bei geeigneten Belichtungsverhältnissen Folgendes aus der Online-Identifikation graphisch abbilden:
Jedenfalls das Gesicht des potentiellen Kunden oder der vertretungsbefugten natürlichen Person des potentiellen Kunden,
die Präsentation der Vorderseite des amtlichen Lichtbildausweises oder von dessen Datenseite und
die Präsentation der Rückseite des amtlichen Lichtbildausweises oder von dessen Datenseite.
Die Bildschirmkopien haben dabei jedenfalls von einer solchen Qualität zu sein, dass der potentielle Kunde oder die vertretungsbefugte natürliche Person des potentiellen Kunden und die auf dem amtlichen Lichtbildausweis enthaltenen Daten vollständig und zweifelsfrei erkennbar sind.
(3) Der potentielle Kunde oder dessen vertretungsbefugte natürliche Person hat während der Online-Identifikation nach Aufforderung
seinen Kopf unter Präsentation des Gesichts zu bewegen und getrennt davon
die Seriennummer seines amtlichen Lichtbildausweises mitzuteilen.
(4) Der Mitarbeiter, der die Online-Identifikation durchführt, hat sich von der Authentizität des amtlichen Lichtbildausweises wie folgt zu vergewissern:
Visuelle Überprüfung des Vorhandenseins der optischen Sicherheitsmerkmale einschließlich bewegungsoptischer (holographischer) oder gleichwertiger Sicherheitsmerkmale, die nach Aufforderung zum horizontalen und vertikalen Kippen des amtlichen Lichtbildausweises deutlich erkennbar sein müssen,
Überprüfung der korrekten alphanumerischen Ziffernorthographie der Seriennummer,
Überprüfung der Unversehrtheit der Laminierung, die den amtlichen Lichtbildausweis umschließt , oder vergleichbarer Merkmale, die für die Unversehrtheit des Dokumentes sprechen,
Überprüfung zum Zwecke des Ausschlusses, dass es sich nur um ein nachträglich mit dem amtlichen Lichtbildausweis verbundenes Lichtbild handelt,
Überprüfung der logischen Konsistenz
der Merkmale des potentiellen Kunden oder der vertretungsbefugten natürlichen Person des potentiellen Kunden einerseits und der Personenbeschreibung sowie des Lichtbildes im amtlichen Lichtbildausweis andererseits, außerdem
des Lichtbildes, des Ausstellungsdatums und des Geburtsdatums im amtlichen Lichtbildausweis zueinander, außerdem
aller weiterer unter Umständen bereits vorhandener Kundendaten einerseits und der entsprechenden weiteren Angaben auf dem amtlichen Lichtbildausweis andererseits.
(5) Der potentielle Kunde oder dessen vertretungsbefugte natürliche Person hat während der laufenden Videoübertragung eine eigens für den Zweck der Online-Identifikation gültige, zentral generierte und an ihn per E-Mail oder SMS übermittelte Ziffernfolge unmittelbar einzugeben und an den Mitarbeiter elektronisch zurückzusenden.
Abkürzung
Online-IDV
Verfahrensbezogene Sicherungsmaßnahmen
§ 4. (1) Soweit personenbezogene Daten nach den Bestimmungen dieser Verordnung verarbeitet werden, geschieht dies aufgrund von § 6 Abs. 4 FM-GwG für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung (§ 21 Abs. 4 FM-GwG).
(2) Das Gespräch oder der Gesprächsteil, das oder der dem Zwecke der Online-Identifikation dient, ist jedenfalls akustisch in seiner Gesamtheit aufzuzeichnen; § 12 Abs. 4 Z 2 DSG ist anzuwenden. Darüber hinaus sind Bildschirmkopien anzufertigen, die bei geeigneten Belichtungsverhältnissen Folgendes aus der Online-Identifikation graphisch abbilden:
Jedenfalls das Gesicht des potentiellen Kunden oder der vertretungsbefugten natürlichen Person des potentiellen Kunden,
die Präsentation der Vorderseite des amtlichen Lichtbildausweises oder von dessen Datenseite und
die Präsentation der Rückseite des amtlichen Lichtbildausweises oder von dessen Datenseite.
Die Bildschirmkopien haben dabei jedenfalls von einer solchen Qualität zu sein, dass der potentielle Kunde oder die vertretungsbefugte natürliche Person des potentiellen Kunden und die auf dem amtlichen Lichtbildausweis enthaltenen Daten vollständig und zweifelsfrei erkennbar sind.
(3) Der potentielle Kunde oder dessen vertretungsbefugte natürliche Person hat während der Online-Identifikation nach Aufforderung
seinen Kopf unter Präsentation des Gesichts zu bewegen und getrennt davon
die Seriennummer seines amtlichen Lichtbildausweises mitzuteilen.
(4) Der Mitarbeiter, der die Online-Identifikation durchführt, hat sich von der Authentizität des amtlichen Lichtbildausweises wie folgt zu vergewissern:
Visuelle Überprüfung des Vorhandenseins der optischen Sicherheitsmerkmale einschließlich bewegungsoptischer (holographischer) oder gleichwertiger Sicherheitsmerkmale, die nach Aufforderung zum horizontalen und vertikalen Kippen des amtlichen Lichtbildausweises deutlich erkennbar sein müssen,
Überprüfung der korrekten alphanumerischen Ziffernorthographie der Seriennummer,
Überprüfung der Unversehrtheit der Laminierung, die den amtlichen Lichtbildausweis umschließt , oder vergleichbarer Merkmale, die für die Unversehrtheit des Dokumentes sprechen,
Überprüfung zum Zwecke des Ausschlusses, dass es sich nur um ein nachträglich mit dem amtlichen Lichtbildausweis verbundenes Lichtbild handelt,
Überprüfung der logischen Konsistenz
der Merkmale des potentiellen Kunden oder der vertretungsbefugten natürlichen Person des potentiellen Kunden einerseits und der Personenbeschreibung sowie des Lichtbildes im amtlichen Lichtbildausweis andererseits, außerdem
des Lichtbildes, des Ausstellungsdatums und des Geburtsdatums im amtlichen Lichtbildausweis zueinander, außerdem
aller weiterer unter Umständen bereits vorhandener Kundendaten einerseits und der entsprechenden weiteren Angaben auf dem amtlichen Lichtbildausweis andererseits.
(5) Der potentielle Kunde oder dessen vertretungsbefugte natürliche Person hat während der laufenden Videoübertragung eine eigens für den Zweck der Online-Identifikation gültige, zentral generierte und an ihn per E-Mail oder SMS übermittelte Ziffernfolge unmittelbar einzugeben und an den Mitarbeiter elektronisch zurückzusenden.
Abkürzung
Online-IDV
Verfahrensbezogene Sicherungsmaßnahmen
§ 4. (1) Soweit personenbezogene Daten nach den Bestimmungen dieser Verordnung verarbeitet werden, geschieht dies aufgrund von § 6 Abs. 4 FM-GwG für die Zwecke der Verhinderung von Geldwäscherei und Terrorismusfinanzierung (§ 21 Abs. 4 FM-GwG).
(2) Das Gespräch oder der Gesprächsteil, das oder der dem Zwecke der Online-Identifikation dient, ist jedenfalls akustisch in seiner Gesamtheit aufzuzeichnen; § 12 Abs. 4 Z 2 DSG ist anzuwenden. Darüber hinaus sind Bildschirmkopien anzufertigen, die bei geeigneten Belichtungsverhältnissen Folgendes aus der Online-Identifikation graphisch abbilden:
Jedenfalls das Gesicht des potentiellen Kunden oder der vertretungsbefugten natürlichen Person des potentiellen Kunden,
⋯
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.