Schärfere Regeln für Video­Ident: WebID und IDnow nehmen Stellung zum BaFin-Rundschreiben 3/2017

Am 10.04.2017 wurde das neue Rundschreiben der BaFin ver­öf­fent­licht, das die Verwendung des Video-Ident-Verfahrens detailliert regelt. Genauer: Das BaFin-Rundschreiben 3/2017 (GW) wird am 15.06.2017 in Kraft treten und löst damit das bisher gültige Rundschreiben 1/2014 (GW) ab – das damit endgültig aufgehoben ist. Zwei der wichtigsten Anbieter (WebID und IDnow) haben dazu sofort Stellung bezogen – und unterschiedliche Schwerpunkte bei der Interpretation gesetzt.

Im neuen Verfahren werden genaue Anforderungen an das Verfahren festgehalten. Zusammengefasst muss die Video-Identifikation in Echtzeit stattfinden – ein aufgezeichnetes Video für die GWG-konforme Identifikation ist damit nicht für die Video-Identifikation legitim. Zugleich müssen die Verifizierungsvorgänge in abgetrennten Räumlichkeiten mit Zugangskontrolle stattfinden. Eine Überprüfung von anderen Datenquellen, wie zum Beispiel sozialen Netzwerken, ist nicht nötig. Zusätzlich wird eine Sub-Auslagerung des Video-Ident-Prozesses an ein externes Callcenter im In- oder Ausland untersagt. Dritte müssen die Ident-Leistung direkt erbringen. Die Mitarbeiter, welche die Identifikationen vornehmen, müssen speziell kriminalpsychologisch geschult werden.

Das Rundschreiben ist ein Paukenschlag für die Banken- und Finanzwelt und wird die Spreu vom Weizen trennen. Wir als WebID sind sehr erfreut über den genauen Kriterienkatalog, der im Rundschreiben festgelegt wird. Sämtliche beschriebenen Anforderungen werden dabei von uns zur Gänze erfüllt. Als führender Anbieter mit Hochsicherheits-Ident-Center in Deutschland, können wir als WebID den höchsten Sicherheitsstand für End- und Geschäftskunden in einer adäquaten Art und Weise sicherstellen.“

Frank S. Jorga, Gründer und Geschäftsführer der WebID Solutions

Die im früheren Rundschreiben 4/2016 (GW) genannten Zusatzanforderungen wie die Prüfung von Social-Media-Profilen, die Durchführung von Referenzüberweisungen sowie die Limitierung des Verfahrens auf Kreditinstitute i.S.d. §1 Abs. 1 KWG wurden nicht im neuen Rundschreiben erwähnt.

Für WebID ist einer der wichtigen Punkte im BaFin-Rundschreiben 3/2017 (GW) der Hinweis auf den Standort des Callcenters – vor allem wenn die Nutzung des QES- oder des Video-Ident-Verfahrens verwendet werden soll. Hier empfiehlt WebID, die Anbieter ‘genauestens unter die Lupe’ zu nehmen. “Unternehmen sollten genauestens prüfen, ob die Call-Center-Agents ihres Video-Ident-Anbieters auch tatsächlich in Deutschland tätig sind oder ob auch Sub-Unternehmen im Ausland eingesetzt werden”, merkt Franz Thomas Fürst an.

IDnow betont die umsetzungstechnischen Details

Wir freuen uns sehr, dass das neue Rundschreiben die Sicherheit der Video-Identifikation weiter erhöht, ohne dabei die Nutzerfreundlichkeit einzuschränken. BaFin, BSI, weitere beteiligte Ministerien und Behörden sowie Finanzinstitute und Ident-Anbieter haben konstruktiv zusammengearbeitet, um eine zukunftsweisende Online-Identifizierungsmethode weiter zu verbessern. Diese wird den Finanzstandort Deutschland stärken und zudem ein Vorbild für ganz Europa sein.“

Michael Sittek, Managing Director bei IDnow

Keine Referenzüberweisung und Social-Media-Abfrage mehr

Bislang galt das Rundschreiben 1/2014 (GW), in dem erstmals die Fernidentifizierung via Video-Chat geregelt wurde. Letztes Jahr wurde das Rundschreiben 4/2016 veröffentlicht und kurz danach wieder ausgesetzt. Es enthielt einige kritische Punkte wie die Referenzüberweisung, die Abfrage von Social-Media-Kanälen sowie die Einschränkung auf Kreditinstitute i.S.d. §1 Abs. 1 KWG, die für großen Aufruhr bei den Finanzinstituten und Ident-Anbietern gesorgt hatten. Erfreulicherweise wurden diese Einschränkungen nicht in das neue Rundschreiben übernommen. Es können weiterhin alle dem Geldwäschegesetz (GwG) verpflichteten Unternehmen die Video-Identifikation nutzen, um ihre Kunden zu legitimieren.

Die vier wesentlichen Neuerungen des BaFin‑Rundschreibens 3/2017 (GW) –
Videoidentifizierungsverfahren:

1. Prüfung von Sicherheitsmerkmalen aus drei verschiedenen Kategorien: Identifikationsdokumente verfügen üblicherweise über verschiedene Arten von Sicherheitsmerkmalen. Damit eine Sichtprüfung unter Weißlicht auch adäquat erfolgen kann, sind die Sichtprüfungen in dem aktuellen BaFin-Rundschreiben festgelegt. Aus den vier Bereichen:
1) beugungsoptisch wirksame Merkmale (Hologramme),
2) Personalisierungstechnik,
3) Material und
4) Sicherheitsdruck
muss die Überprüfung von Sicherheitsmerkmalen aus drei dieser vier Kategorien erfüllt sein. Ausweise mit wenigen Sicherheitsmerkmalen sind damit von dem Verfahren ausgeschlossen. Der absolute Großteil der genutzten Ausweise erfüllt jedoch diese Bedingungen ohne Probleme.

2. Als Maßnahme gegen Phishing und Social Engineering müssen sich die Ident-Spezialisten zukünftig den Anlass der Identifikation bestätigen lassen. Damit soll unter anderem Fällen entgegengewirkt werden, in denen sich Personen von Betrügern als App-Tester anwerben lassen und dann in eigenem Namen die Identifikations-App „testen”. Die Ident-Spezialisten sollen sich mittels psychologischer Fragestellungen und Beobachtungen während der Durchführung des Identifizierungsvorgangs von der Plausibilität der Angaben im Ausweisdokument, den Angaben der zu identifizierenden Person im Gespräch sowie der vorgegebenen Absicht der zu identifizierenden Person überzeugen.

3. Neu hinzugekommen ist die verpflichtende Ende-zu-Ende-Verschlüsselung für die sichere Kommunikation zwischen Nutzer und Ident-Spezialist. Dadurch ist die Nutzung von Skype oder ähnlichen Diensten zukünftig nicht mehr zulässig.

4. Es gibt einen weiteren Prüfschritt, der eine computergestützte Manipulation des Ausweisdokuments verhindern soll. Dabei muss die zu identifizierende Person den Ausweis bewegen oder mit dem Finger teilweise verdecken. Anhand von Standbildern soll dann die Echtheit des Vorgangs überprüft werden. Darüber hinaus wurden konkrete Schulungsmaßnahmen und -zyklen für die Ident-Spezialisten sowie
weitere technische und prozessuale Maßnahmen vorgegeben, die jedoch keine wesentlichen
Änderungen zum ersten BaFin-Rundschreiben 1/2014 bedeuten.

Mit harten Bandagen – welche Callcenter zählen als “in Deutschland”?

Besondere Aufmerksamkeit richten WebID und IDnow auf folgenden Passus des Rundschreibens: „Eine Video-Identifizierung darf nur von entsprechend geschulten und hierfür ausgebildeten Mitarbeitern des Verpflichteten oder eines Dritten, auf den der Verpflichtete die Identifizierungspflicht gemäß § 7 Abs. 2 GwG ausgelagert hat oder auf den er gemäß § 7 Abs. 1 GwG zurückgreift, durchgeführt werden. Eine weitere (Sub-)Auslagerung bzw. ein Zurückgreifen eines Dritten i.S.v. § 7 Abs. 1 GwG auf einen weiteren Dritten ist nicht zulässig.”

So beteuert IDnow, das man sowohl mit eigenen sowie mit Banken-internen Call-Centern als auch mit auf Banken spezialisierten externen Call-Centern in Deutschland zusammenarbeite, also den Anforderungen des neuen Rundschreibens entspräche. Bei den externen Call-Centern seien die Vertragsbeziehung so gestaltet, dass es sich nicht um eine (Sub)-Auslagerung im Sinne des Rundschreibens handelt.

Das neue Rundschreiben tritt am 15. Juni 2017 in Kraft. aj