Die Entscheidung der Rumänischen Digitalisierungsbehörde (ADR) Nr. 564 zur Anerkennung der Normen über die Regulierung, Anerkennung, Genehmigung oder Akzeptanz des Verfahrens zur Identifizierung einer Person aus der Ferne mit Hilfe von Videomitteln wurde im Amtsblatt (Teil I) Nr. 1119 vom 24. November 2021 veröffentlicht.
Wir weisen darauf hin, dass die Bestimmungen einen Monat nach Veröffentlichung bzw. am 24. Dezember 2021 in Kraft treten.
Das Dokument legt die technischen und sicherheitstechnischen Mindestanforderungen für die Regulierung, Anerkennung, Genehmigung oder Akzeptanz des Fernidentifizierungsverfahrens mit Videomitteln durch Identifizierungsdiensteanbieter als eine Form der „elektronischen Identifizierung“ im Sinne der eIDAS-Verordnung fest.
Gemäß den Normen stellt die Identifizierung der Person aus der Ferne per Video den Prozess der Identifizierung und Überprüfung der Identität der natürlichen Person anhand der vorgelegten Dokumente, der aufgenommenen Bilder und / oder der von der natürlichen Person übermittelten Informationen mithilfe von Video dar.
Die Tätigkeit der Fernidentifizierung der Person per Video durch die in Rumänien registrierten Profildienstanbieter, kann nur nach Erhalt der Genehmigung der rumänischen Digitalisierungsbehörde erfolgen. ADR erstellt das Gutachten nach dem Muster in Anlage Nr. 4 des Beschlusses 564/2021, innerhalb von 30 Kalendertagen nach Einreichung der vollständigen Unterlagen.
Gemäß dem normativen Gesetz erfolgt die Identifizierung der Person aus der Ferne mittels Videomitteln mit Hilfe eines Systems. Um die Identität der Person aus der Ferne per Video zu überprüfen, werden beide Ausweisdokumente verwendet, deren Bild durch Video erfasst wird, sowie Daten oder Informationen, die aus glaubwürdigen und unabhängigen Quellen stammen, soweit vorhanden, auch aufgrund von Vereinbarungen / Partnerschaften zwischen öffentlichen Einrichtungen oder private und Identifikationsdienstleister zum Beispiel: Datenbanken öffentlicher Stellen, private Datenbanken mit Informationen von Behörden, Prüfberichten, Steuerunterlagen, Kontoauszügen usw.
Die Überprüfung von Datenquellen erfolgt unter Beachtung der geltenden Anforderungen zum Schutz personenbezogener Daten zur Information der betroffenen Person, bzw. der per Video fernidentifizierbaren Person, vorhergehend der Durchführung einer Datenverarbeitungstätigkeit.
Es ist untersagt, die von den Identifizierungsdienstleistern erhaltenen Daten / Informationen im Rahmen der Videoidentifizierung der Person aus der Ferne zu verwenden, aus verschiedenen Quellen zu anderen Zwecken, ohne die Person darüber zu informieren/einwilligen oder sonstige gesetzliche Bestimmungen diesbezüglich.
Das normative Gesetz sieht unter anderem vor, dass Zahlungsdienstleister, Kreditinstitute und Nichtbanken-Finanzinstitute, die Videomittel zur Identifizierung entfernter Kunden verwenden möchten, unter Einhaltung der geltenden gesetzlichen Vorgaben zur Verhinderung und Bekämpfung von Geldwäsche und Terrorismusfinanzierung, verpflichtet sind, ADR 30 Tage vor der Verwendung von Videomitteln zur Identifizierung entfernter Kunden zu benachrichtigen.
Der Benachrichtigung werden folgende Dokumente beigefügt:
- Beschreibung der technischen Lösung und der Ausrüstung, die bei der Identifizierung der Person aus der Ferne mit Hilfe von Videomitteln verwendet wird (kann in die Genehmigungsdokumentation des Finanzinstruments für die Zahlung mit Fernzugriff aufgenommen werden);
- Auditbericht, der die Einhaltung der in diesen Regeln festgelegten Anforderungen angibt, erstellt von einem Prüfer aus der auf der Website der Behörde veröffentlichten Liste der IT-Prüfer (Hinweise auf die Identifizierung mittels Videomedien können in den Prüfbericht aufgenommen werden, der für die Genehmigung des Finanzinstruments für die Fernzahlung erstellt wird);
- eine Haftpflichtversicherung, im Wert von 100.000 Euro, zur Deckung von Schäden durch falsche Identifizierung des Kunden (die Versicherungspolice muss so lange gültig/erneuert sein, wie der Zahlungsdienstleister die Methode der Personenfernidentifizierung per Video verwendet);
- die Erklärung des gesetzlichen Vertreters, dass der Zahlungsdienstleister über Richtlinien und Verfahren zur Identifizierung und Reduzierung des mit der Identifizierungsmethode verbundenen Risikos verfügt,einschließlich Fachpersonal gemäß den Bestimmungen des Gesetzes Nr. 129/2019 zur Verhinderung und Bekämpfung von Geldwäsche und Terrorismusfinanzierung, sowie die zur Änderung und Ergänzung einiger normativer Akte samt nachfolgenden Änderungen und Ergänzungen;
- die Liste der von ETSI und der Europäischen Kommission empfohlenen Standards, wenn diese auf EU-Ebene definiert wurden, auf deren Grundlage die Videoidentifikation durchgeführt wird;
- eine eigenverantwortliche Erklärung des gesetzlichen Vertreters des Zahlungsdienstleisters; aus der hervorgehen soll, dass der Anbieter das Verfahren zum Schutz personenbezogener Daten bei der Identifizierung der Person aus der Ferne mithilfe von Videomitteln in Übereinstimmung mit den einschlägigen Rechtsvorschriften eingeführt und umgesetzt hat.
Es ist wichtig zu beachten, dass wenn der Zahlungsdienstleister, das Kreditinstitut oder Nichtbank-Finanzinstitut zur Identifizierung der Person aus der Ferne mittels Videomitteln oder einen qualifizierten Dienstleister verwendet, anstelle der zuvor genannten Unterlagen eine Kopie des mit dem Dritten / zuverlässigen Dienstleister geschlossenen Vertrages, sowie die Erklärung des gesetzlichen Vertreters, dass er über interne Richtlinien und Verfahren zu deren Verwendung verfügt, vorlegen wird
Sofern die technische Lösung des Zahlungsdienstleisters, des Kreditinstituts oder des Nichtbank-Finanzinstituts zur Fernidentifizierung der Person mittels Video von einem vertrauenswürdigen Dienstanbieter zum Zweck der Bereitstellung qualifizierter zuverlässiger Dienste verwendet wird, ist es verpflichtend dass der Zahlungsdienstleister, das Kreditinstitut oder das Nichtbanken-Finanzinstitut, der Behörde den von einer Konformitätsbewertungsstelle gegenüber einen erstellten Konformitätsbewertungsbericht betreffs der Lösung gemäß den Bestimmungen der eIDAS-Verordnung einreicht.
Bei der Überprüfung der Identität der Person aus der Ferne mit Hilfe von Videomitteln können die Dienste Dritter aufgrund eines Vertrages in Anspruch genommen werden.
Der Dritte, der die Person aus der Ferne mit Hilfe von Videomitteln im Auftrag einer anderen Einrichtung identifiziert, ist verpflichtet, die Bestimmungen dieser Regeln einzuhalten.
Die Liste der Dritten, die die Person mithilfe von Videomitteln aus der Ferne identifizieren können, wird von der Behörde verwaltet und auf ihrer Website veröffentlicht.
Der Vertrag über die Erbringung von Fernidentifizierungsdiensten mit Videomitteln, die von einem Dritten mit öffentlichen oder privaten Einrichtungen geschlossen werden, enthält Klauseln über die Modalitäten der Entschädigung der Geschädigten im Falle eines möglichen Schadens.
Das Verfahren zur Eintragung / Löschung von Dritten in / aus der Liste der Fremdnachweise sowie die Eintragungsvoraussetzungen sind in Anlage Nr. 3 der Entscheidung ADR 564/2021 beschrieben.
Die Entscheidung ADR 564/2021 sieht vor, dass die Fernidentifikation mittels Videomedien kann durch automatisierte Überprüfung ohne menschlichen Bediener oder durch Verifizierung mit menschlichem Bediener erfolgen.
Die Fernidentifikation mit Videogeräten, die mit einem menschlichen Bediener erstellt wurden, kann nur von geschultem Personal durchgeführt werden. Die Personen, die bei der Identifizierung der Person aus der Ferne mit Hilfe von Videomitteln Zuweisungen und Verantwortlichkeiten haben, profitieren oder sind verpflichtet, an externen oder internen professionellen Schulungen oder jährlichen Schulungsprogrammen teilzunehmen. Die Ausbildung des zur Fernidentifizierung der Person mittels Videomittel bestimmten Personals obliegt dem gesetzlichen Vertreter des Identifizierungsdiensteanbieters oder einer insoweit vom gesetzlichen Vertreter benannten Person.
Die Zuordnungen und Zuständigkeiten des Personals, das die Personenidentifikation aus der Ferne mittels Videomitteln vornimmt, werden durch einen Verwaltungsakt des berufsberechtigten Personen festgelegt und in der Stellenbeschreibung angegeben. Fernidentifizierung mit Videomitteln durch automatisierte Verifizierungsmittel, ohne einen menschlichen Bediener, verwenden digitale Mittel gemäß den geltenden Standards, wobei die Bestimmungen dieser Regeln bezüglich des geschulten Personals oder des menschlichen Bedieners in diesem Fall nicht gelten.
Bei der Identifizierung der Person aus der Ferne mit Hilfe von Videomitteln sind nur eindeutig identifizierbare und innerhalb der Gültigkeitsdauer von einer zuständigen Behörde ausgestellte Ausweise zulässig.
Wir weisen darauf hin, dass diese Dokumente in den Methodologischen Normen spezifiziert sind.
Bei der Prüfung der Ausweisdokumente werden folgende Aspekte berücksichtigt, aber nicht darauf beschränkt:
- den Zustand des Ausweises, um sicherzustellen, dass er nicht beschädigt ist oder keine erkennbaren Fälschungselemente aufweist;
- das Vorhandensein von optischen / visuellen Sicherheitselementen, ggf.) den Zustand des Ausweisdokuments, der dafür sorgt, dass es nicht beschädigt ist oder keine erkennbaren Fälschungselemente aufweist;
- die Person, die das Verfahren zur Personenfernidentifizierung mit Videomitteln durchläuft, aufzufordern, das Dokument horizontal und/oder vertikal vor dem Videoidentifizierungsgerät zu neigen;
- Überprüfung von mindestens drei Sicherheitselementen unterschiedlicher Kategorien;
- Überprüfung anderer Elemente, falls erforderlich, wie: Dokumentenformat, Schriftgröße und -abstand und typografische Schriftart, je nach Art des analysierten Dokuments;
- Überprüfung des Inhalts der einzelnen im Dokument gefundenen Merkmale, nämlich Vergleich der primären und sekundären Fotografie – das mit Laserdruck aufgenommene Foto mit dem Geisterbild (monochrom).
Bei der Überprüfung der Identität der Person werden die folgenden Aspekte berücksichtigt, aber nicht darauf beschränkt:
- sicherzustellen, dass das Lichtbild und die auf dem Ausweis vermerkten Elemente mit der Person übereinstimmen, die das Verfahren zur Identifizierung der Person aus der Ferne mit Hilfe von Videomitteln durchführt;
- sicherzustellen, dass die im Identifizierungsdokument enthaltenen Informationen in Bezug auf die Person, die das Verfahren zur Fernidentifizierung der Person mithilfe von Videomitteln durchführt, richtig und gültig sind;
- sicherzustellen, dass die von der Person, die das Verfahren zur Fernidentifizierung der Person mithilfe von Videomitteln durchläuft, bereitgestellten Informationen korrekt sind;
- Art und Reihenfolge der Fragen, die bei der Identifizierung gestellt werden, können in den aufeinanderfolgenden Identifizierungssitzungen ggf. ohne die in Buchstabe a), b), c) oder f) genannten Angaben nicht identisch sein;
- Erfolgt die Fernidentifizierung der Person durch Videoverfahren automatisch, müssen die Anfragen oder Videosequenzen ein zufälliges Element enthalten, um die Gefahr einer Voraufzeichnung des Fernidentifizierungsverfahrens durch Videoverfahren zu verhindern;
- die Angaben der Person, die das Verfahren zur Identifizierung der Person aus der Ferne mit Hilfe von Videomitteln durchführt, und die Informationen, die sich aus der automatischen Berechnung des Lesens der MRZ-Zeichen ergeben, nach Möglichkeit abzugleichen;
- bei Bedarf weitere Dokumente und/oder Informationen anzufordern, anhand derer die Identität überprüft werden kann.
Bei der Identifizierung der Person aus der Ferne per Video ist es zwingend erforderlich, einen zusätzlichen Authentifizierungsfaktor zu verwenden, durch Übertragung eines Wegwerfcodes an die Person, die das Verfahren zur Identifizierung der Person aus der Ferne mit Hilfe von Videomitteln durchführt (One Time Password – OTP) oder durch Einsendung eines eigens dafür erstellten, befristeten Links, der individuell generiert wird (per E-mail oder SMS).
Das Verfahren zur Identifizierung der entfernten Person kann nur abgeschlossen werden, wenn die OTP-Übertragung und -Validierung abgeschlossen ist oder nur wenn die Linkübertragung und der Zugriff abgeschlossen sind.
Der gesamte Prozess der Personenidentifikation aus der Ferne mit Hilfe von Videomitteln muss in all seinen Phasen aufgezeichnet und gespeichert werden. Alle Audio-Video-Aufzeichnungen, Daten und Informationen im Zusammenhang mit dem jeweiligen Identifizierungsverfahren werden in einer für ein Gerichtsverfahren zulässigen Form aufbewahrt.
Übergangsmaßnahmen:
Die Lieferanten von Fernidentifizierungsdiensten per Video sind verpflichtet, ihren Verpflichtungen aus diesen Vorschriften innerhalb von 240 Tagen ab dem Datum ihrer Veröffentlichung im Amtsblatt Rumäniens, Teil I, nachzukommen.
Rechtsgrundlage: Beschluss ADR 564/2021 zur Genehmigung der Normen zur Regelung, Anerkennung, Genehmigung oder Annahme des Verfahrens zur Personenidentifizierung aus der Entfernung mittels Videomitteln.