„BaFin … wir haben immer noch (k)ein Problem!“

 

Auswirkungen rechtlicher Vorgaben auf die Datenqualität von Kundendaten – 2. Teil

Klaus Jakobi, IT-Auditor, Prüfung / Betreuung Banken, Datenanalyse, AWADO – Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Vorwort

Der 1. Teil eines Artikels zu Detailfragen in der Datenqualität von Kundendaten wurde in der BankPraktiker-Ausgabe BP 12-01/2018 veröffentlich. Die nachfolgenden Ausführungen knüpfen nahtlos daran an.

Im ersten Teil lag der Schwerpunkt der Ausführungen bei den „allgemeinen“ Stammdaten von Kunden, wie beispielsweise Namen, Staatsangehörigkeit und Rechtsform. In diesem Teil wird nunmehr beschrieben, worauf bei der Erfassung von Legitimations- bzw. Registerdaten (kurz auch LegiRegi-Daten) zu achten ist und wie man diese Daten verplausibilisieren kann, da es auch hier einige Fallstricke gibt, die bei entsprechender Qualitätssicherung vermieden werden können. Schwerpunkt bei den nachfolgenden Betrachtungen sind insbesondere inländische Identitätsnachweise, da bei ausländischen Dokumenten eine Vielzahl von Konstellationen möglich sind, die hier nicht abschließend dargestellt werden können. In solchen Fällen empfiehlt sich ein Blick in das „öffentliche Online-Register echter Identitäts- und Reisedokumente“ des Rates der Europäischen Union.[1]

Für die Analyse dieser Daten können bereits vorhandene Datenkontrollsysteme oder aber auch Standard- (Excel, Access) oder Spezialprogramme (IDEA) genutzt werden.

II. Die Rechtslage

Die GwG-Vorschriften verlangen bei Kunden neben der Erfassung verschiedener Stammdaten auch die fehlerfreie und vollständige Erhebung (= Aufzeichnung) folgender Angaben zur Legitimation des Kunden:

  • Bei natürlichen Personen:
    • Art, Nummer und ausstellende Behörde des zur Überprüfung der Identität vorgelegten Dokuments[2]
  • Bei juristischen Personen oder Personengesellschaften:
    • Registernummer (falls vorhanden)[3]

III. Legitimationsdaten von natürlichen Personen

Die vorstehend genannten Legitimationsdaten werden grundsätzlich edv-technisch erfasst und gespeichert. Folgende Felder stehen in den genutzten Bankverfahren[4] zur Verfügung:

  • Art des Ausweises
  • Freitextfeld zur erweiterten Beschreibung der Ausweisart
  • Ausweisnummer
  • Ausstellende Behörde
  • Ausstellungsdatum des Legitimationspapieres[5]
  • Ablaufdatum des Legitimationspapieres

Dabei verfügen die Systeme teilweise über unterstützende Systemkontrollen (z. B. Mussfelder oder Vorauswahllisten), die den Erfassungsprozess proaktiv unterstützen sollen. Dennoch sind diese Kontrollen nicht allumfassend und Fehler schleichen sich in die Daten ein. Nachstehend werden häufig vorgefundene Datenfehler beschrieben.

1. Die Ausweisart

Die häufigsten Ausweisarten sind der Personalausweis (international auch ID-Card genannt) sowie der (Reise-)Pass. Weiterhin finden auch Geburtsurkunden (bei Minderjährigen bis zum 16. Lebensjahr) oder als Ausweisersatz ausgestellte Aufenthaltstitel Verwendung. Für ausländische Kunden kommen auch Passersatzpapiere wie Reise-Ausweise für Ausländer, Flüchtlinge oder Staatenlose oder Papiere, die im Rahmen eines laufenden oder abgeschlossenen Asylverfahrens ausgestellt werden (Ankunftsnachweis, Aufenthaltsgestattung, Duldung als Ausweisersatz) als Identitätsnachweis in Betracht.

Folgende Fallstricke bestehen:

  • Personalausweise bzw. ID-Cards dürfen nur bei Inländern sowie Unionsbürgern als Identitätsnachweis verwendet werden.[6] Für andere Staatsangehörigkeiten ist standardmäßig nur der (Reise-)Pass als Identitätspapier zulässig.
  • Einige EU-Länder geben keine Personalausweise aus. Dazu gehören Großbritannien, Irland und Dänemark. Folglich kann bei diesen Kunden mit entsprechender Staatsangehörigkeit die Ausweisart auch nicht „Personalausweis“ sein.
  • Kunden, bei denen die Ausweisart ein Pass- oder Ausweisersatzdokument bzw. ein Dokument aus einem Asylverfahren ist, können nicht die Staatsangehörigkeit „Inländer / Deutsch“ haben.
  • Werden Ausweisarten mit unbestimmten Begriffen wie „Sonstiges“ oder „Ausländisches Dokument“ verwendet, ist zwingend im Freitextfeld eine weitergehende Erläuterung des Identitätspapieres erforderlich.
  • Sollten die Verfahren auch die Erfassung nicht gesetzlich zulässiger Ausweisdokumente (z. B. „Lebensbescheinigung“) ermöglichen, muss durch eine laufende Datenkontrolle die Verwendung dieser Ausweisart überwacht und ggf. unterbunden werden.

2. Die Ausweisnummer

Die Ausweisnummer – insbesondere von inländischen Personalausweisen und Reisepässen – bietet vielfältige Möglichkeiten für Plausibilisierungskontrollen, die durchaus auch geeignet sind, „gefakte“ Daten zu erkennen. Dies können erfundene Ausweisnummern oder aber auch Ausweisnummern sein, die aus gefälschten Identitätsdokumenten übernommen wurden. Dafür sind folgende Grundlagenkenntnisse zu Ausweisnummern erforderlich, um entsprechende Fehler in den Ausweisnummern aufzuspüren:

  • Inländische Ausweisnummern können in unterschiedlicher Ausprägung erfasst sein, 9-, 10- oder 11-stellig. Alle Ausprägungen sind erlaubt. Die 10. Stelle ist eine Prüfziffer, die 11. Stelle das „D“ für Deutschland.
  • Bei inländischen vorläufigen Pässen und Personalausweisen setzt sich die Ausweisnummer aus einem Buchstaben und 7 Ziffern zusammen.[7]
  • Die Prüfziffer an der 10. Stelle ist in Identitätsdokumenten immer nummerisch. Sie kann aus den anderen Zeichen der Ausweisnummer errechnet werden.[8] Diese Regel gilt auch für viele Ausweisnummern in ausländischen Identitätsdokumenten.
  • Eine Ausweisnummer ist in Kombination mit der Staatsangehörigkeit eines Kunden immer eindeutig und darf daher in den Kundendaten auch nur bei einem Kunden vorkommen.
  • Bei inländischen Identitätsdokumenten wurden seit November 2007 bei (Reise-)Pässen und bei Personalausweisen ab November 2010 alphanummerische Ausweisnummern verwendet. Vorher waren diese Ausweisnummern rein nummerisch. Ausweisnummern beginnen seit diesem Zeitpunkt bei Reisepässen mit einem „C“ und bei Personalausweisen mit einem „L“.
  • Die ersten 4 Zeichen in der Ausweisnummer enthalten eine Behördenkennziffer, die einen festen Bezug zur ausstellenden Behörde hat.
  • Einige Buchstaben dürfen nicht in inländischen Ausweisnummern enthalten sein. Dies sind alle Vokale sowie Buchstaben, die leicht mit Ziffern verwechselt werden können (z. B. „B“, „S“ oder „Q“).[9]
  • Leer- oder Sonderzeichen sind ebenfalls in deutschen Ausweisnummern nicht erlaubt.

Leider gibt es zu Behördenkennziffern keine offiziellen Aufstellungen oder Listen, die man zu einem Abgleich der Behördenkennziffer mit der ausstellenden Behörde heranziehen kann. Die im Internet frei zugänglichen Aufstellungen sind fehlerhaft und unvollständig. Will man entsprechende Datenkontrollen durchführen, muss man eine entsprechende Referenzliste aus dem eigenen Datenbestand erstellen.

3. Die ausstellende Behörde

Auf den ausgegebenen Identitätsdokumenten wird auch immer eine „ausstellende Behörde“ (engl. „Authority“) angegeben, die als ausgebende Behörde für die Ausstellung des Identitätsdokuments verantwortlich war. Diese Angabe muss zwingend aus dem vorgelegten Identitätspapier übernommen und ebenfalls aufgezeichnet werden. Für deutsche Staatsbürger sind die inländischen Einwohnerbehörden in Städten und Gemeinden sowie Botschaften und Konsulate im Ausland die ausgebenden Stellen.

Auch hier werden bei der Dateneingabe mitunter Fehler gemacht. Zum einen werden vielfach Abkürzungen verwendet, die zwar regional gebräuchlich sind (z. B. Stadt HH), aber nicht immer auch allgemeingültig verstanden werden. Weiterhin sind die Angaben auch in einigen Fällen unvollständig (z. B nur Angabe „Ordnungsamt“ ohne Ortsangabe oder „Botschaft Berlin“). Mit entsprechenden unvollständigen Angaben lässt sich natürlich nicht zweifelsfrei die ausstellende Behörde ermitteln, die für die Ausgabe des betreffenden Dokuments verantwortlich war.

4. Das Ausstellungs- und das Ablaufdatum

Diese Informationen sind zwar nicht gesetzlich zur Aufzeichnung vorgeschrieben, werden jedoch in den genutzten Verfahren abgefragt. Auch diese Informationen können genutzt werden, um die Daten der erfassten Kunden auf Richtigkeit zu überprüfen.

Aus beiden Daten kann eine Gültigkeitsdauer des Identitätsdokuments errechnet werden, die dann mit den gesetzlichen Rahmenbedingungen abgeglichen werden kann. Bei inländischen Identitätsdokumenten gelten folgende Laufzeiten:

  • Bei Personalausweisen und (Reise-)Pässen beträgt die Regellaufzeit 10 Jahre.[10] Dies ist auch international die Standard-Laufzeit von Identitätsdokumenten.
  • Kurze Laufzeiten von 6 Jahren kommen bei inländischen Personen vor, die noch nicht 24 Jahre alt sind.[11]
  • Vorläufige Personalausweise haben eine Gültigkeit von höchstens 3 Monaten und vorläufige (Reise-)Pässe von höchstens einem Jahr.[12]

Beispiel der Gültigkeitsdauer eines inländischen Identitätsdokuments (Personalausweis oder Pass) mit 10jähriger Gültigkeit:

  • Ausstellungsdatum ist der 29.03.2017
  • Ablaufdatum (gültig bis) ist der 28.03.2027

Bei einigen, ausländischen Dokumenten wäre im vorstehenden Beispiel auch der 29.03.2027 (= 10 Jahre + 1 Tag) ein gültiges Ablaufdatum.

IV. Registerdaten von juristischen Personen

Für juristische Personen stehen in den genutzten Bankverfahren folgende Felder zur Verfügung:

  • Registergericht
  • Registerart
  • Registernummer

Auch wenn die beiden erst genannten Informationen nicht ausdrücklich gesetzlich zur Aufzeichnung vorgeschrieben sind, sind sie dennoch für eine eindeutige Identifizierung der juristischen Person erforderlich. Seit einiger Zeit stehen für inländische Kunden die erforderlichen Registerinformationen online zur Verfügung.[13] Auch im Ausland gibt es mittlerweile einige Internetportale, über die Registerinformationen abgerufen werden können.

Ähnlich wie bei der Ausweisnummer muss auch die Registernummer in Kombination mit Registergericht und Registerart eindeutig sein und darf im Datenbestand nur einmal vorkommen.

Weiterhin ist auch die korrekte Zuordnung zu einer Registerart anhand der Rechtsform der juristischen Person prüfbar. Folgende Zuordnungen gelten[14]:

Handelsregister Abteilung A (HRA):

Eingetragener Kaufmann/-frau (e.K.), Offene Handelsgesellschaft (OHG), Kommanditgesellschaft (KG), Europäische wirtschaftliche Interessenvereinigung (EWIV)

Handelsregister Abteilung B (HRB):

Aktiengesellschaft (AG), Kommanditgesellschaft auf Aktien (KGaA), Gesellschaft mit beschränkter Haftung (GmbH, auch UG und Ltd.), Versicherungsverein auf Gegenseitigkeit (VVaG)

Für die Rechtsformen eingetragene Genossenschaft, eingetragener Verein sowie Partnerschaften gibt es jeweils eine eigene Registerart.

V. Fazit

Durch eine Verprobung und Verplausibilisierung von Kundendaten anhand der in Teil 1 und 2 dieses Artikels dargestellten Möglichkeiten lässt sich ein Zugewinn an Sicherheit in den genutzten Daten realisieren. Dies führt zu positiven Effekten wie

  • Einhaltung des IT-Sicherheitszieles „Integrität“
  • Einhaltung geldwäscherechtlicher Anforderungen
  • Weniger Angriffsfläche bei entsprechenden, bankaufsichtlichen Prüfungen

PRAXISTIPPS

  • Untersuchen Sie in Ihrem Kundenbestand Ausweisart in Kombination mit der Staatsangehörigkeit eines Kunden auf:
  • Vorkommen von Personalausweisen und ID-Cards von Nicht-EU-Bürgern
  • Vorkommen von Personalausweisen und ID-Cards von Kunden aus EU-Staaten, die keine entsprechenden Dokumente ausgeben
  • Vorkommen von Pass- und Ausweis-Ersatzdokumenten (z. B. Aufenthaltstitel) oder Dokumenten aus einem Asylverfahren bei inländischen Kunden
  • Werden unbestimmbare Ausweisarten weitergehend erläutert?
  • Rechnen Sie die Prüfziffer der erfassten Ausweisnummer nach (teilweise wird dies bereits vom eingesetzt Bankverfahren automatisch bei der Datenerfassung vorgenommen).
  • Untersuchen Sie, ob eine Ausweisnummer in Kombination mit der Staatsangehörigkeit eines Kunden im Datenbestand einmalig ist, also nur einmal vorkommt.
  • Prüfen Sie inländische Ausweisnummern auf unzulässige Zeichen (z. B. Vokale oder Sonderzeichen).
  • Prüfen Sie die Länge bzw. die Anzahl der Zeichen in einer Ausweisnummer.
  • Suchen Sie in den Ausweisnummern nach Füllzeichenfolgen wie beispielsweise „123456“ oder „888888“.
  • Untersuchen Sie die Feldinhalte in der „ausstellenden Behörde“ nach Abkürzungen.
  • Suchen Sie nach fehlenden Ortsbezeichnungen in der „ausstellenden Behörde“.[15]
  • Gleichen Sie bei inländischen Kunden die Behördenkennziffer in der Ausweisnummer mit der ausstellenden Behörde ab.
  • Errechnen Sie anhand von Ausstellungs- und Ablaufdatum eine Gültigkeitsdauer und gleichen sie diese mit den gesetzlichen Vorgaben (siehe vorstehend) ab.
  • Prüfen Sie in Ihrem Kundendatenbestand, ob es registerpflichtige Unternehmen gibt, bei denen Registerdaten fehlen oder registerfreie Rechtsformen vorhanden sind, die Einträge in den Registerfeldern aufweisen.
  • Prüfen Sie anhand der Registerdaten, ob die Registernummer in Verbindung mit dem Registergericht sowie der Registerart einmalig ist.
  • Prüfen Sie anhand der Rechtsform einer juristischen Person, ob die Registerart zutreffend ist.
  1. Siehe http://www.consilium.europa.eu/prado/de/prado-start-page.html
  2. § 8 Abs. 2 i.V.m. § 12 Abs. 1 S. 1 Nr. 1 GwG
  3. Anmerkung des Verfassers: Eine Registernummer allein ist nicht eindeutig. Ergänzend müssen dazu auch das Registergericht und die Registerart (Handelsregister, Vereinsregister, etc.) für einen eindeutigen Nachweis benannt werden.
  4. Hier speziell agree21 und bank21. In anderen Verfahren wird von ähnlichen Strukturen ausgegangen.
  5. Die Erfassung eines Ausstellungsdatums und eines Ablaufdatums sind nicht gesetzlich vorgeschrieben.
  6. § 2 Abs. 5 Freizügigkeitsgesetz
  7. Siehe § 2 Abs. 8 Personalausweisgesetz bzw. § 4 Abs. 2 Nr. 5 Paßgesetz
  8. Der Algorithmus ist im Internet veröffentlicht, z. B. bei Wikipedia.
  9. Weitergehende Informationen findet man auf der Homepage des Bundesinnenministers über die Suche nach „alphanummerische Seriennummer in deutschen Pässen und Ausweisen“.
  10. Siehe § 6 Abs. 1 PAuswG bzw. § 5 Abs. 1 PaßG
  11. Siehe § 6 Abs. 3 PAuswG bzw. § 5 Abs. 1 PaßG
  12. Siehe § 6 Abs. 4 PAuswG bzw. § 5 Abs. 3 PaßG
  13. Siehe www.handelsregister.de
  14. Siehe § 3 Handelsregisterverordnung
  15. Einige ausländische Authorities verwenden keine geografischen Angaben.

Beitragsnummer: 39037



0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.