vorheriges Dokument
nächstes Dokument

BGBl II 7/2019

BUNDESGESETZBLATT

FÜR DIE REPUBLIK ÖSTERREICH

7. Verordnung: Identifikationsverordnung - IVO

7. Verordnung des Bundesministers für Verkehr, Innovation und Technologie über Verfahren zur Identifikation von Teilnehmern (Identifikationsverordnung - IVO)

Auf Grund des § 97 Abs. 1a des Bundesgesetzes, mit dem ein Telekommunikationsgesetz erlassen wird (Telekommunikationsgesetz 2003-TKG 2003), BGBl. I Nr. 70/2003, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 78/2018, wird im Einvernehmen mit dem Bundesminister für Inneres verordnet:

Geltungs- und Anwendungsbereich

§ 1. Mit dieser Verordnung werden die zur Erhebung der Identität des aktuellen oder zukünftigen Teilnehmers geeigneten Identifizierungsverfahren festgelegt. Sie ist anzuwenden vor Durchführung des Vertrages sowie vor der erstmaligen Wiederaufladung nach dem 1. September 2019.

Erhebung der Identität des Teilnehmers gemäß § 97 Abs. 1a TKG 2003

§ 2. Zur Erhebung der Identität des Teilnehmers gemäß § 97 Abs. 1a TKG 2003 geeignet und ausreichend ist die Anwendung eines der in §§ 3 bis 5 genannten Verfahren. Andere Verfahren können angewendet werden, soferne sie im Hinblick auf die Erfassungsgenauigkeit den in §§ 3 bis 5 genannten Verfahren zumindest gleichwertig sind. Für diese anderen Verfahren gebührt kein Kostenersatz.

Vorlage eines amtlichen Lichtbildausweises

§ 3. Ist der Teilnehmer eine natürliche Person hat die Erhebung der Identität durch die persönliche Vorlage eines amtlichen Lichtbildausweises, der den in § 6 Abs. 2 Finanzmarkt-Geldwäschegesetz - FM-GwG, BGBl. I Nr. 118/2016 in der Fassung BGBl. I Nr. 37/2018, niedergelegten Kriterien entspricht, zu erfolgen.

Bestätigung durch ein Kredit- oder Finanzinstitut

§ 4. Die persönliche Vorlage des amtlichen Lichtbildausweises kann bei Geschäftsbeziehungen oder Transaktionen ohne persönliche Kontakte ersetzt werden durch die elektronische Bestätigung der Identität des Teilnehmers durch ein Kredit- oder Finanzinstitut, das die Identität des Teilnehmers gemäß § 6 FM-GwG festgestellt hat.

Photoident-Verfahren

§ 5. (1) Die persönliche Vorlage des amtlichen Lichtbildausweises kann bei Geschäftsbeziehungen oder Transaktionen ohne persönliche Kontakte ersetzt werden durch die Ausführung eines Photoident-Verfahrens. Bei Ausführung eines Photoident-Verfahrens sind sämtliche in den Absätzen 3 bis 10 beschriebenen Verfahrensschritte erfolgreich auszuführen. Die beschriebenen Schritte sind automationsunterstützt auszuführen.

(2) Photoident-Verfahren sind unter Verwendung eines Smartphones, Tablets oder eines anderen internetfähigen Endgerätes, das über eine Webcam verfügt, auszuführen.

(3) Der Teilnehmer hat die Daten der vertragsgegenständlichen SIM-Karte (Telefonnummer oder IMSI-Nummer) einzugeben.

(4) Der Teilnehmer hat Fotografien oder eine Videoaufnahme seines Gesichts zu erstellen. Um sicherzustellen, dass die Aufnahmen von einer lebenden Person erstellt werden, ist der Teilnehmer aufzufordern, bestimmte Kopf- oder Mimikbewegungen auszuführen.

(5) Der Teilnehmer hat eine Aufnahme der für die Identifizierung relevanten Seiten seines amtlichen Lichtbildausweises, der den in § 6 Abs. 2 FM-GwG niedergelegten Kriterien entspricht, zu erstellen. Die Aufnahmen haben dabei jedenfalls von einer solchen Qualität zu sein, dass der Teilnehmer und die auf dem amtlichen Lichtbildausweis enthaltenen Daten vollständig und zweifelsfrei erkennbar und automationsgestützt lesbar sind. Der Teilnehmer ist aufzufordern, den Ausweis unter dem erforderlichen Blickwinkel aufzunehmen.

(6) Unmittelbar nach den in Abs. 4 und 5 beschriebenen Schritten werden die Aufnahmen automatisiert, ohne dass dazu eine weitere Aktion des Teilnehmers möglich wäre, online an den Anbieter zum Zwecke der Prüfung (Abs. 8 und 9) übermittelt. Es muss ausgeschlossen sein, dass die angefertigten Aufnahmen verändert werden können.

(7) Der Anbieter hat die biometrischen Daten des Ausweisfotos sowie mittels OCR die schriftlich enthaltenen Daten auszulesen.

(8) Der Anbieter hat die Echtheit des Ausweises zu verifizieren

  1. 1. anhand der darin integrierten optischen, bewegungsoptischen (holographischen) oder gleichwertigen Sicherheitsmerkmale und
  2. 2. durch die Überprüfung der korrekten alphanumerischen Ziffernorthographie der Seriennummer und
  3. 3. durch Überprüfung der logischen Konsistenz des Ausweisfotos, des Ausstellungsdatums und des Geburtsdatums im Lichtbildausweis.

    Sofern der Lichtbildausweis einen maschinenlesbaren Bereich enthält, ist dessen Inhalt mit den entsprechenden Angaben in den sonstigen Teilen des Lichtbildausweises abzugleichen. Allenfalls bereits vorhandene Kundendaten sind mit den entsprechenden Angaben auf dem Lichtbildausweis abzugleichen.

(9) Der Anbieter hat einen Abgleich der Aufnahmen des Gesichts mit dem Ausweisfoto mittels biometrischer Verfahren vorzunehmen.

(10) Der Anbieter hat dem Teilnehmer ein Formular mit dessen Stammdaten vorzuhalten, welches von diesem korrigiert und ergänzt werden kann.

(11) Das Photoident-Verfahren ist abzubrechen, wenn

1. die in Abs. 4 und 5 genannten Aufnahmen zur weiteren automatisierten Verarbeitung nicht geeignet oder nicht ausreichend sind,

2. die Verifizierung der Echtheit des amtlichen Lichtbildausweises ein negatives Ergebnis erbringt (Abs. 8),

3. ein Abgleich der Aufnahme des Gesichts mit dem Ausweisfoto mittels biometrischer Verfahren (Abs. 9) ein negatives Ergebnis erbringt,

4. bei Vorliegen sonstiger Unstimmigkeiten,

5. bei Vorliegen sonstiger Unsicherheiten.

(12) Bei Abbruch des Verfahrens hat der Anbieter den Grund dafür zu protokollieren und für Zwecke eines Schlichtungsverfahrens drei Monate aufzubewahren.

(13) Der Anbieter hat sicherzustellen, dass die im Rahmen des Photoident-Verfahrens herangezogenen Anwendungen zu keinen anderen Zwecken als zur Identifizierung des Teilnehmers herangezogen werden und die Anwendungen sowie die Daten vor einem unbefugten Zugriff geschützt sind. Er hat die biometrischen Daten unmittelbar nach Abschluss des Verfahrens zu löschen.

Juristische Personen als Teilnehmer

§ 6. Ist der Teilnehmer eine juristische Person hat die Erhebung der Identität durch Registerauszüge, die jedenfalls den aufrechten Bestand, den Namen, die Rechtsform und die Vertretungsbefugnis darlegen, zu erfolgen. Weiters hat die Erhebung der Identität der sich gegenüber dem Anbieter als vertretungsbefugt ausgebenden Person gemäß §§ 3, 4 oder 5 zu erfolgen.

Ausführung des Verfahrens durch Auftragsverarbeiter

§ 7. Bedient sich der Anbieter eines Auftragverarbeiters, hat er dafür Sorge zu tragen, dass der Auftragsverarbeiter Sicherungsmaßnahmen ergreift, die sowohl hinsichtlich des Umfanges als auch der Qualität den Anforderungen dieser Verordnung entsprechen. Die endgültige Verantwortung für die Erfüllung dieser Anforderungen verbleibt jedoch beim Anbieter, der auf den Auftragsverarbeiter zurückgreift. Bei Abschluss, Durchführung und Kündigung der Vereinbarung mit einem Auftragsverarbeiter ist mit der gebotenen Professionalität und Sorgfalt zu verfahren und eine klare Aufteilung der Rechte und Pflichten schriftlich zu vereinbaren.

Datenschutzrechtliche Anforderungen

§ 8. Die Bestimmungen dieser Verordnung gelten unbeschadet der anzuwendenden datenschutzrechtlichen Anforderungen.

Hofer

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)