Personalausweis im Video-Chat vorzeigen – Ist das zulässig?

Fachbeitrag

Seit einigen Jahren bieten Banken die Möglichkeit eine Kontoeröffnung online per Video-Chat vorzunehmen. Der Kunde hält einfach seinen Personalausweis vor seine Webcam oder sein Smartphone. Wie steht es bei dieser Art der Identifizierung um den Datenschutz?

Warum will die Bank meinen Personalausweis sehen?

Als Verpflichtete im Sinne des Geldwäschegesetzes (GWG) müssen Kredit- und Finanzdienstleistungsinstitute ihre Vertragspartner bereits vor Begründung der Geschäftsbeziehung oder Durchführung der Transaktion identifizieren (§ 4 Abs. 1 Satz 1 GWG). Dahinter steckt keine Datensammelwut der Banken, sondern eine gesetzliche Verpflichtung. Die Identifizierung geschieht durch die Vorlage des Personalausweises oder Reisepasses. In der Vergangenheit erfolgte die Vorlage in einer Bankfiliale. Als dann Online-Angebote entstanden, hat die Deutsche Post angeboten, die Identifizierung in einer Postfiliale vorzunehmen. Mittlerweile gibt es eine Reihe von Dienstleistern, die die Identifizierung auch über Video-Chats anbieten.

Voraussetzungen für eine datenschutzkonforme Umsetzung

In dem aktuellen Datenschutz- und Informationsfreiheitsbericht der nordrhein-westfälischen Landesdatenschutzbeauftragten werden Kriterien für eine zulässige Umsetzung der Video-Chats beschrieben. Diese lauten:

  • Die Kundinnen und Kunden geben eine freiwillige und informierte Einwilligung ab. Dafür ist erforderlich, dass weiterhin alternative Möglichkeiten zur Identifizierung – wie die Identifizierung in einer Filiale der Deutschen Post AG – zur Verfügung stehen.
  • Der ID-Dienstleister schwärzt die nach § 4 Abs. 3 Nr. 1 und § 8 Abs. 1 Satz 2 GwG nicht für die Identifizierung erforderlichen Daten sofort bei der Aufnahme. Erforderlich ist die Erhebung von Vor- und Nachname, Geburtsort, Geburtsdatum, Staatsangehörigkeit, Anschrift sowie die Erfassung von Art, Nummer und ausstellender Behörde des zur Überprüfung der Identität vorgelegten Ausweisdokuments.
  • Das Gespräch zwischen ID-Dienstleister und Kundinnen bzw. Kunden darf nicht aufgezeichnet werden. Da bereits Fotos und Screenshots angefertigt werden, würde durch die zusätzliche Aufzeichnung eine Doppelerfassung personenbezogener Daten erfolgen.
  • Sollte der Identifizierungsprozess abgebrochen werden müssen, muss der ID-Dienstleister die bis dahin angefallenen Daten unverzüglich löschen.
  • Die TAN sollte bei den Kundinnen und Kunden über ein anderes Gerät (zum Beispiel Handy) empfangen werden als dasjenige, über welches die Identifizierung vorgenommen wird.
  • Erforderlich ist die Verwendung einer Ende-zu-Ende-Verschlüsselung, bei der Versender und Empfänger jeweils den Schlüssel zur Entschlüsselung besitzen.
  • Der Chat sollte nur über einen Kommunikationsanbieter durchgeführt werden, der nicht „mitliest“.

Seitenhieb an Skype

Die Nutzung von Skype wird in dem Bericht an anderer Stelle getadelt. Auch der letzte Punkt könnte in diesem Sinne verstanden werden. Skype steht seit Langem in der Kritik Chats auszuwerten. Teilweise werben Anbieter damit, dass neben einer Identifizierung über den Browser auch Skype genutzt werden kann. Die weite Verbreitung ist für User und Unternehmen attraktiv, wird aber indirekt von der Aufsichtsbehörde als bedenklich eingestuft.

Auch für andere Unternehmen interessant?

Die Verpflichtung nach dem GWG besteht nicht nur für Kredit- und Finanzdienstleistungsinstitute. Ein Großteil der in § 2 GWG genannten Adressaten der Verpflichtung wird zwar nicht auf diese Art Online-Identifizierung zurückgreifen müssen, grundsätzlich lassen sich die Voraussetzungen aber übertragen.

Sollte man die Video-Chat Möglichkeit nutzen?

Grundsätzlich geben sich die Dienstleister große Mühe einen datenschutzkonformen Ablauf zu gewährleisten und stellen Informationen zu Datenschutz und Datensicherheit bereit. Sollten Ihnen aber Zweifel an dem Verfahren aufkommen, wählen Sie die besser die Offline-Variante.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Das BaFin Rundschreiben 3/2017 (GW) – Videoidentifizierungsverfahren, Geschäftszeichen GZ: GW 1-GW 2002-2009/0002 vom Datum: 10.04.2017 trifft andere Aussagen:
    III. Einverständnis
    Die zu identifizierende Person hat zu Beginn einer Videoidentifizierung ihr ausdrückliches
    Einverständnis damit zu erklären, dass der gesamte Identifizierungsprozess sowie Fotos bzw.
    Screenshots ihrer Person und ihres Ausweisdokuments aufgezeichnet werden.
    Das Einverständnis ist explizit zu protokollieren/aufzuzeichnen.

    X. Aufbewahrung und Aufzeichnung
    Der gesamte Prozess einer Identifizierung mittels Videotechnologie ist von dem Verpflichteten oder
    einem Dritten, auf den der Verpflichtete die Identifizierung gemäß § 7 Abs. 2 GwG ausgelagert hat oder
    auf den er gemäß § 7 Abs. 1 GwG zurückgreift, für die interne und externe Revision sowie die BaFin
    nachprüfbar in allen Einzelschritten aufzuzeichnen und aufzubewahren. Die Dokumentationspflicht
    erfordert somit eine visuelle und akustische Aufzeichnung und Aufbewahrung des erfolgten
    Verfahrensablaufs, auf die sich die o.g. Einwilligung der zu identifizierenden Person beziehen muss.
    Aus den Aufzeichnungen muss neben der Einhaltung der an geldwäscherechtliche Identifizierungen
    allgemein gestellten Anforderungen insbesondere die Einhaltung der in diesem Rundschreiben
    genannten Mindestanforderungen für Videoidentifizierungen ersichtlich sein.
    Die Aufzeichnungen sind gemäß § 8 Abs. 3 GwG fünf Jahre aufzubewahren.

    XI. Datenschutz
    Ich weise ausdrücklich darauf hin, dass die vorstehenden aufsichtsrechtlichen Anforderungen
    ungeachtet etwaiger daneben zu beachtender An-forderungen gemäß §§ 7 und 8 GwG und
    unbeschadet von den parallel zu beachtenden datenschutzrechtlichen Anforderungen gelten.

    Wie ist dieser Hinweis auf Einhaltung der datenschutzrechtlichen Anforderungen zu bewerten? Aktuell wird es so gehandhabt, dass die Anforderung des BDSG auf Datensparsamkeit nicht beachtet wird, sondern eine audio-visuelle Aufzeichnung durchgeführt wird.

    • Die Aussagen der Bafin sind in der Tat schwer mit den Empfehlungen der Landesdatenschutzbeauftragten NRW zu vereinen. Der letzte Absatz in dem Rundschreiben der Bafin macht deutlich, dass die datenschutzrechtlichen Aufsichtsbehörden bei der Ausgestaltung des Prozesses mit „ins Boot“ geholt werden sollten. Eine gemeinsame Stellungnahme wäre hier wünschenswert.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.