BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2021

Ausgegeben am 2. November 2021

Teil II

455. Verordnung:

Änderung der Online-Identifikationsverordnung

455. Verordnung der Finanzmarktaufsichtsbehörde (FMA), mit der die Online-Identifikationsverordnung geändert wird

Auf Grund des § 6 Abs. 4 des Finanzmarkt-Geldwäschegesetzes – FM-GwG, BGBl. I Nr. 118/2016, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 98/2021, wird mit Zustimmung des Bundesministers für Finanzen verordnet:

Die Online-Identifikationsverordnung – Online-IDV, BGBl. II Nr. 5/2017, zuletzt geändert durch die Verordnung BGBl. II Nr. 265/2021, wird wie folgt geändert:

1. In § 2 Z 3 wird der Verweis „in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 S. 2“ durch den Verweis „in der Fassung der Berichtigung ABl. Nr. L 74 vom 04.03.2021 S. 35“ ersetzt.

2. Am Ende des § 2 Z 3 wird der Punkt durch einen Strichpunkt ersetzt und folgende Z 4 angefügt:

  1. „4.
    Biometrische Identifikationsverfahren: Verfahren zur Online-Identifikation, bei denen die gesamte Online-Identifikation oder einzelne Schritte davon ohne Beteiligung eines Mitarbeiters im Rahmen eines automatisierten elektronischen Verfahrens durchgeführt werden.“

3. § 4 Abs. 3 Z 2 lautet:

  1. „2.
    die Seriennummer seines amtlichen Lichtbildausweises oder eine vom Verpflichteten zufällig generierte, mindestens vier Zeichen umfassende Zeichen- oder Wortfolge mitzuteilen.“

4. Dem § 4 wird folgender Abs. 6 angefügt:

  1. „(6) Die Online-Identifikation kann auch durch geeignete Biometrische Identifikationsverfahren erfolgen, soweit dies gemäß Art. 9 Abs. 2 Buchstabe a der Verordnung (EU) 2016/679 zulässig ist und der Verpflichtete geeignete technische und organisatorische Maßnahmen trifft, um ein dem Risiko angemessenes Schutzniveau im Sinne des Art. 32 der Verordnung (EU) 2016/679 zu erreichen. Dabei sind die Anforderungen dieser Verordnung nach Maßgabe der folgenden Bestimmungen einzuhalten:
    1. 1.
      Das Biometrische Identifikationsverfahren muss jedenfalls dem aktuellen Stand der Technik entsprechen, anlassbezogen aktualisiert werden und ein Sicherheitsniveau erreichen, mit dem zumindest eine der Online-Identifikation durch Mitarbeiter gleichwertige Erfüllung sichergestellt werden kann. Der Verpflichtete muss geeignete Maßnahmen zur Sicherung der Integrität und Sicherheit der verwendeten Verfahren treffen, einschließlich laufender aktiver Überwachungsmaßnahmen, um etwaige Probleme unmittelbar zu erkennen und zu beseitigen.
    2. 2.
      Das Biometrische Identifikationsverfahren ist vom Verpflichteten nachvollziehbar zu dokumentieren. Abs. 2 erster Satz ist mit der Maßgabe anzuwenden, dass Aufnahmen, die zum Zwecke der Online-Identifikation erstellt werden, vom Verpflichteten als elektronische Mittel im Sinne des § 21 Abs. 1 Z 1 FM-GwG aufzubewahren sind. Die Dokumentation umfasst jedenfalls auch die im Rahmen der Überprüfung herangezogenen Sicherheitsfaktoren und die Ergebnisse der einzelnen Prüfungsschritte.
    3. 3.
      Abs. 2 Z 2 und 3 ist mit der Maßgabe anzuwenden, dass anstelle der Anfertigung von Bildschirmkopien bei der Überprüfung elektronisch signierter Lichtbildausweise (Z 5) die elektronisch signierten Daten zu speichern sind.
    4. 4.
      Werden die Anforderungen gemäß Abs. 3 und 5 durch ein Biometrisches Identifikationsverfahren erfüllt, hat der Verpflichtete die tatsächliche Teilnahme des potentiellen Kunden oder seiner vertretungsbefugten natürlichen Person an der Online-Identifikation anhand geeigneter Sicherungsmaßnahmen zu überprüfen, die jedenfalls die Überprüfung anhand einer während der Online-Identifikation erstellten Videoaufnahme umfassen (Anwesenheitsprüfung). Die Anwesenheitsprüfung kann von Abs. 3 Z 1 und 2 und Abs. 5 abweichen und kann auch als passive Anwesenheitsprüfung durchgeführt werden.
    5. 5.
      Für Biometrische Identifikationsverfahren dürfen nur Lichtbildausweise, deren Inhalt von der ausstellenden Behörde elektronisch signiert worden ist, verwendet werden. Der Verpflichtete hat dabei die Echtheit der elektronischen Signatur des Lichtbildausweises und die Integrität der elektronisch signierten Daten zu überprüfen und sicherzustellen, dass zur Signatur kein kompromittierter Schlüssel verwendet worden ist. Im Rahmen des Biometrischen Identifikationsverfahrens hat der Verpflichtete auch eine Überprüfung der logischen Konsistenz gemäß Abs. 4 Z 5 vorzunehmen. Abs. 4 Z 1 bis 4 ist auf die Überprüfung der Authentizität des Lichtbildausweises im Rahmen eines Biometrischen Identifikationsverfahrens nicht anwendbar.“

5. § 5 Abs. 1 Z 1 lautet:

  1. „1.
    eine geeignete Überprüfung des potentiellen Kunden oder des amtlichen Lichtbildausweises oder von beiden unter Berücksichtigung der verfahrensbezogenen Sicherungsmaßnahmen (§ 4) nicht möglich ist,“

6. Der bisherige § 9 erhält die Absatzbezeichnung „(1)“ und es wird folgender Abs. 2 angefügt:

  1. „(2) § 2 Z 3 und 4, § 4 Abs. 3 Z 2 und Abs. 6 sowie § 5 Abs. 1 Z 1 in der Fassung der Verordnung BGBl. II Nr. 455/2021 treten mit dem auf die Kundmachung folgenden Tag in Kraft. Bis zum 31. Dezember 2022 können Verpflichtete von § 4 Abs. 6 Z 5 in der Fassung der Verordnung BGBl. II Nr. 455/2021 abweichende Biometrische Identifikationsverfahren einsetzen, sofern das Verfahren § 4 Abs. 4 Z 1 bis 5 entspricht.“

Ettl    Müller