EBA veröffentlicht Leitlinien zu Remote Customer Onboarding

Die neuen EBA-Leitlinien – Key Facts

In den neuen Leitlinien zur Nutzung von Remote Customer Onboarding Solutions legt die EBA dar, welche Schritte Kredit- und Finanzinstitute für die Erfüllung ihrer Sorgfaltspflichten in Bezug auf den Fern-Kundenannahmeprozess („Remote Customer Onboarding“) gemäß der EU-Geldwäscherichtlinie (EU-Richtlinie 2015/849) ergreifen sollten. Bis 30. Mai 2023 mussten die zuständigen nationalen Behörden der EBA mitteilen, ob sie den Leitlinien nachkommen bzw. beabsichtigen, diesen nachzukommen oder begründen, warum sie diesen nicht nachkommen werden. Die österreichische Finanzmarktaufsicht (FMA) hat bekanntgegeben, den Leitlinien nachzukommen. Die Leitlinien gelten ab dem 2. Oktober 2023.

Die neuen EBA-Leitlinien – Wen sie betreffen

Adressaten der Leitlinien sind Kredit- und Finanzinstitute im Sinne der EU-Geldwäscherichtlinie (EU-Richtlinie 2015/849).

Zusätzlich richten sich die Leitlinien an die zuständigen nationalen Behörden. Diese haben die Leitlinien zu berücksichtigen, wenn sie bewerten, ob die von Kredit- und Finanzinstituten gesetzten Maßnahmen angemessen und wirksam sind, um den Sorgfaltspflichten im Rahmen des Fern-Kundenannahmeprozesses nachzukommen.

Die neuen EBA-Leitlinien – Was sie regeln

Die Leitlinien definieren Schritte, die Kredit- und Finanzinstitute setzen sollen, um ihren Sorgfaltspflichten iZm Remote Customer Onboarding nachzukommen. Im Folgenden werden diese mit einer beispielhaften Aufzählung der zu setzenden Maßnahmen dargestellt:

1. Interne Strategien und Verfahren (Punkt 4.1)

• Kredit- und Finanzinstitute sollen iZm dem Remote Customer Onboarding risikoorientierte Verfahren und Strategien einführen und aufrechterhalten.
• Beispielweise sollten die folgenden Punkte Gegenstand & Inhalt der internen Strategien und Verfahren sein:
  • Eine allgemeine Beschreibung der eingesetzten Remote Customer Onboarding Verfahren inkl. deren Merkmale und Funktionsweisen.
  • Beschreibung, für welche Kategorien von Kunden, Produkten & Dienstleistungen der Einsatz der Remote Customer Onboarding Verfahren in Frage kommt. Dabei sind insbesondere auch die Ergebnisse der unternehmensweiten Risikoanalyse mitzuberücksichtigen.
  • Schulungen der Mitarbeiter:innen iZm den eingesetzten Verfahren sowie den damit verbundenen Risiken.
• Das Leitungsorgan hat die internen Strategien und Verfahren zu genehmigen und deren ordnungsgemäße Umsetzung zu überwachen.
• Vor der Einführung neuer Verfahren zum Remote Customer Onboarding hat eine interne Bewertung seitens der Kredit- und Finanzinstitute stattzufinden. Umfang und Gegenstand dieser Bewertung sind ebenso in den internen Strategien und Verfahren festzuhalten. U.a. sollten Tests zur Beurteilung von Betrugsrisiken Gegenstand der internen Bewertung sein.
• Laufende Überwachung der Anwendungen sowie Festlegung angemessener Kontrollen (laufend, ad-hoc, reaktive Maßnahmen) im Rahmen der internen Strategien und Verfahren.

2. Informationsbeschaffung (Punkt 4.2.)

• Es sollte sichergestellt werden, dass die Informationen, die im Zuge des Onboarding-Prozesses eingeholt wurden, aktuell und im Sinne der Sorgfaltspflichten angemessen sind.
• Eingeholte Dokumente müssen lesbar/von ausreichender Qualität sein.
• Fragen betreffend Zweck und Art der Geschäftsbeziehung sollten vor Abschluss eines Fern-Kundenannahmeprozesses berücksichtigt werden.
• Bei natürlichen Personen: Definition im Rahmen der Strategien, u.a., welche Informationen manuell vom Kunden eingegeben, welche automatisch durch vom Kunden bereitgestellte Dokumente erfasst und welche durch andere Quellen erhoben werden.
• Bei juristischen Personen: Es muss sichergestellt sein, dass alle relevanten Daten/Unterlagen erfasst werden können, um den Sorgfaltspflichten nachzukommen. Insbesondere hinsichtlich der Feststellung und Überprüfung der Vertretungsbefugnis, der wirtschaftlichen Eigentümer sowie der Identität der juristischen Person selbst.

3. Echtheit und Integrität der Dokumente (Punkt 4.3)

Die internen Strategien und Verfahren haben zudem Maßnahmen zur Überprüfung von Dokumenten vorzusehen, z.B., wenn Kopien eines Originaldokuments akzeptiert werden.

4. Abgleich der Kundenidentität im Überprüfungsverfahren (Punkt 4.4)

• Die implementierten Anwendungen haben bestimmte Mindestkontrollen zur Überprüfung der Kundenidentität vorzusehen. Die konkreten Maßnahmen hängen insbesondere von der Art des eingesetzten Verfahrens ab (z.B., ob eine Interaktion mit einem:r Mitarbeiter:in erfolgt).
• Bei natürlichen Personen, z.B. die Prüfung, ob die sichtbaren Informationen mit den vorgelegten Unterlagen übereinstimmen.
• Bei juristischen Personen, z.B. die Prüfung, ob diese in einem öffentlichen Register eingetragen sind.

5. Inanspruchnahme Dritter und Auslagerung

• Im Rahmen der internen Strategien und Verfahren ist zudem auszuführen, welche Funktionen und Tätigkeiten von Dritten oder einem externen Dienstleister ausgeführt werden.
• Die Prozesse des Drittanbieters bzw. Dritten müssen ebenfalls den jeweiligen Sorgfaltspflichten entsprechen.
• Bei Auslagerungen hat eine laufende Überwachung, Stichprobenprüfung und Durchführung von Bewertungen des externen Dienstleisters zu erfolgen.

6. Management von IKT- und Sicherheitsrisiken

• IKT- und Sicherheitsrisiken sind zu ermitteln und zu steuern, auch wenn auf Dritte zurückgegriffen oder die Dienstleistung ausgelagert wird. Dies betrifft auch Auslagerungen innerhalb einer Gruppe.
• Betont wird das Nutzen sicherer Kommunikationskanäle sowie die Einhaltung der Anforderungen der EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04).