Videoidentifikation und Liveness-Checks im Finanzsektor
Geschrieben von
Zur Begründung einer Geschäftsbeziehung bedarf es auch im digitalen Zeitalter einer sicheren Identifizierung des Kunden. Dies gilt in der regulierten Finanzbranche ebenso wie in anderen Branchen, die ein besonderes Interesse an der Identität ihrer Kunden haben. Digitale Applikationen müssen gerade dann besondere Standards einhalten, wenn sie von geldwäscherechtlich Verpflichteten angewendet werden, so etwa im Finanzsektor. Videoidentifikation (Video-ID) und Liveness-Checks bieten technisch die nötige Sicherheit um grundsätzlich eine geldwäscherechtlich konforme Identifikation zu ermöglichen. Es ist schließlich im eigenen Interesse der Anwender die Risiken im Zusammenhang mit Geldwäsche, Terrorismusfinanzierung, Datensicherheit und Identitätsbetrug zu verhindern und potentielle Verstöße zu identifizieren sowie zu korrigieren.
Was ist Video-ID und welche technischen Möglichkeiten gibt es?
Video-ID-Anbieter sind die Schnittstelle zwischen Neukunden und Gewerbetreibenden und ersetzen die Identifikation im Shop oder in der Filiale durch eine bequeme Onlinevariante. Dabei sind mehrere Optionen technisch denkbar. Mitarbeiter des Dienstleisters könnten die Identität synchron (im Live-Video-Chat) oder asynchron (zeitlich versetzt durch eine Videoaufnahme) prüfen. Auch eine Anwendung künstlicher Intelligenz ist denkbar, die Ausweisdokumente scannt und mit biometrischen Merkmalen des zu Identifizierenden vergleicht. Ein sogenannter Liveness-Check würde zusätzliche biometrische Faktoren voraussetzen, um echte menschliche Züge von Kopien (z.B. eines Fotos oder auch eines Videos) zu unterscheiden. Basierend auf Gesichtserkennungstechnologie wird zusätzlich nach Bewegungen gesucht und die zu identifizierende Person aktiv dazu aufgefordert (z.B. Blinzeln).
Allgemeine Sorgfaltspflicht: Identitätsfeststellung
Wird das Video-ID-Verfahren von Banken, Finanzdienstleistern und sonstigen geldwäscherechtlich Verpflichten der Finanzbranche genutzt, ist das Geldwäschegesetz (GwG) für dessen Regulierung und Zulässigkeit maßgeblich. Die allgemeinen Sorgfaltspflichten des GwG erfordern, dass die Verpflichteten im Sinne des GwG ihren Vertragspartner vor der Aufnahme von Geschäftsbeziehungen oder der Durchführung von bestimmten Transaktionen identifizieren, etwa durch einen gültigen amtlichen Ausweis. Die Identität ist „vor Ort“, oder mittels eines an dasselbe Schutzniveau heranreichenden „sonstigen Verfahrens“ zu überprüfen. Als ein solches sonstiges Verfahren, das an das Schutzniveau heranreicht, gilt nach der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unter bestimmten Voraussetzungen auch die Video-ID.
Anforderungen an das Verfahren
Insbesondere durch Rundschreiben 3/2017 speziell zu Videoidentifizierungsverfahren konkretisiert die BaFin ihre gelebte Verwaltungspraxis zur Zulässigkeit des Einsatzes von Video-ID bei durch sie überwachten Verpflichteten. Darin stellt die BaFin klar, dass sie nur Video-ID-Verfahren in Echtzeit ohne Unterbrechung (synchron) als zulässig ansieht, sodass die zeitlich versetzten Optionen (asynchron) oder die Anwendung von KI in der regulatorischen Praxis (noch) nicht zulässig sind.
Unter Einhaltung der folgenden Vorgaben der BaFin kann das Verfahren von allen nach dem GWG-Verpflichteten, die unter BaFin-Aufsicht stehen, genutzt werden.
Personelle Anforderungen
Die Video-ID ist nur von entsprechend geschultem Personal des geldwäscherechtlich Verpflichteten durchzuführen. Alternativ kann der Verpflichtete diese Prüfung an einen Dritten, z.B. einen Video-ID-Dienstleister wie IDnow oder WebID auslagern, deren Mitarbeiter ebenfalls entsprechend geschult sein müssen. Die Mitarbeiter müssen mit dem Verfahren, dessen fehleranfälligen Stellen sowie mit gängigen Fälschungsmethoden vertraut sein. Eine regelmäßige (mindestens jährlich) oder bedarfsorientierte (gesetzliche Änderung oder bekanntwerden neuer Betrugsmöglichkeiten) Aktualisierung der Schulung ist erforderlich. Weiterhin ist die Identifizierung in dafür vorgesehenen abgetrennten und mit Zugangskontrolle versehenen Räumlichkeiten durchzuführen. Vor der Identifikation muss das Einverständnis des zu Identifizierenden protokolliert werden.
Technische Anforderungen
Im Wege einer Echtzeit-Videoübertragung unter Ende-zu-Ende-Verschlüsselung und bei vorher zu prüfender ausreichender Bild- und Tonqualität muss das Ausweisdokument anhand sicherheitsrelevanter Merkmale vom Mitarbeiter auf Echtheit überprüft werden. Als Ausweisdokument in Frage kommen grundsätzlich alle Dokumente, die eine Verifizierung von darauf vorhanden Sicherheitsmerkmalen (etwa Hologramme, Laserkippbilder, Sicherheitsfaden, Mikroschrift) erlaubt. In der Regel wird dies zumindest der Personalausweis erfüllen können. Der Mitarbeiter muss den Ausweis unter anderem visuell überprüfen (durch horizontales und vertikales Kippen oder andere Bewegungen des Dokuments durch den Kunden), das Lichtbild mit dem Kunden vergleichen, oder sich durch gezielte Fragestellungen und Beobachtungen von der Plausibilität der Angaben überzeugen. Sollten diese Anforderungen zu einem Zeitpunkt der Identifikation nicht vorliegen, ist diese abzubrechen und ggf. zu wiederholen.
Weitere sicherheitsrelevante Anforderungen
Neben den technischen Anforderungen an die Ausweisdokumente und Videoqualität ist die zu identifizierende Person durch eine eigens für diesen Zweck generierte TAN zu identifizieren. Der gesamte Prozess ist visuell und akustisch für eine mögliche interne oder externe Überprüfung sowie für eine mögliche Prüfung durch die BaFin aufzubewahren. Neben dem Einverständnis der zu Identifizierenden Person ist auch die Einhaltung der personellen und technischen Anforderungen entsprechend zu dokumentieren und zu konservieren. Dabei ist natürlich auch auf datenschutzrechtliche Vorgaben durch die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz zu achten.
Wie geht es weiter?
Die BaFin wird das Rundschreiben Rundschreiben 3/2017 spätestens 2020 aktualisieren und dann ggf. auch neue Methoden zulassen. Mit der Evaluierung soll untersucht werden, ob die an die Video-ID gestellten geldwäscherechtlichen Anforderungen im Lichte des Fortschritts der Technik und der Erfahrungen mit diesem Verfahren noch als ausreichend anzusehen sind oder ob weitere Anpassungen oder zusätzliche Anforderungen erforderlich sind.
Zudem könnte die erwartete Umsetzung der fünften EU-Geldwäscherichtlinie (ALMD5) im GwG Einfluss auf die Anforderungen an das Video-ID-Verfahren Einfluss haben.
Gibt es andere Verfahren?
Eine Identitätsfeststellung per Videoaufzeichnung oder mittels KI und Liveness-Check scheitert derzeit für die BaFin zwar an der Echtzeitauswertung durch geschulte Mitarbeiter. Durch die weitere Entwicklung der Technik in Bezug auf Genauigkeit und Sicherheit könnte die BaFin allerdings bei ihrer periodischen Überprüfung ihres Rundschreibens bereits 2020 zu einer anderen Einschätzung gelangen. Die elektronische Identitätsfeststellung gemäß der eIDAS-Verordnung ist dagegen bereits Realität. Hier werden Ausweisdokumente mit einem gesonderten Gerät zu Hause oder im Büro gescannt und über Vertrauensdienste übermittelt. Die Anwendung ist natürlich im Hinblick auf Anschaffungskosten und Bedienung für Verbraucher derzeit noch viel aufwändiger als die Identifikation über die Kamera des Smartphones oder Laptops. Die elektronische Identitätsfeststellung wird daher das Video-ID-Verfahren kaum verdrängen sondern eher neben diesem existieren.
Fazit
Video-ID eröffnet neue Möglichkeiten, Geschäfte über das Internet abzuwickeln. Für die Verpflichteten hat das Verfahren klare wirtschaftliche Vorteile. Insbesondere vermeidet der Verpflichtete einen Medienbruch bei der Begründung der Geschäftsbeziehung für die Kunden. Der möglicherweise lästige Gang in die Filiale entfällt. Dies mindert das Risiko für den Verpflichteten, den Kunden im Prozess der Begründung der Geschäftsbeziehung zu verlieren, weil er mit seinem Ausweis die nächste Filiale aufsuchen muss. Um die Vorteile von Video-ID rechtssicher zu nutzen, müssen die internen Prozesse jedoch den doch sehr strengen Anforderungen der BaFin genügen. Insbesondere die Verwendung von KI oder immerhin asynchrone Videoidentifizierung ist technisch bereits denkbar und bald ggf. auch regulatorisch möglich. Seit 2014 beraten wir zu verschiedenen Projekten Rund um das Thema Video-ID.
Video-ID-Anbieter sind die Schnittstelle zwischen Neukunden und Gewerbetreibenden und ersetzen die Identifikation im Shop oder in der Filiale durch eine bequeme Onlinevariante. Dabei sind mehrere Optionen technisch denkbar. Mitarbeiter des Dienstleisters könnten die Identität synchron (im Live-Video-Chat) oder asynchron (zeitlich versetzt durch eine Videoaufnahme) prüfen. Auch eine Anwendung künstlicher Intelligenz ist denkbar, die Ausweisdokumente scannt und mit biometrischen Merkmalen des zu Identifizierenden vergleicht. Ein sogenannter Liveness-Check würde zusätzliche biometrische Faktoren voraussetzen, um echte menschliche Züge von Kopien (z.B. eines Fotos oder auch eines Videos) zu unterscheiden. Basierend auf Gesichtserkennungstechnologie wird zusätzlich nach Bewegungen gesucht und die zu identifizierende Person aktiv dazu aufgefordert (z.B. Blinzeln).
Allgemeine Sorgfaltspflicht: Identitätsfeststellung
Wird das Video-ID-Verfahren von Banken, Finanzdienstleistern und sonstigen geldwäscherechtlich Verpflichten der Finanzbranche genutzt, ist das Geldwäschegesetz (GwG) für dessen Regulierung und Zulässigkeit maßgeblich. Die allgemeinen Sorgfaltspflichten des GwG erfordern, dass die Verpflichteten im Sinne des GwG ihren Vertragspartner vor der Aufnahme von Geschäftsbeziehungen oder der Durchführung von bestimmten Transaktionen identifizieren, etwa durch einen gültigen amtlichen Ausweis. Die Identität ist „vor Ort“, oder mittels eines an dasselbe Schutzniveau heranreichenden „sonstigen Verfahrens“ zu überprüfen. Als ein solches sonstiges Verfahren, das an das Schutzniveau heranreicht, gilt nach der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unter bestimmten Voraussetzungen auch die Video-ID.
Anforderungen an das Verfahren
Insbesondere durch Rundschreiben 3/2017 speziell zu Videoidentifizierungsverfahren konkretisiert die BaFin ihre gelebte Verwaltungspraxis zur Zulässigkeit des Einsatzes von Video-ID bei durch sie überwachten Verpflichteten. Darin stellt die BaFin klar, dass sie nur Video-ID-Verfahren in Echtzeit ohne Unterbrechung (synchron) als zulässig ansieht, sodass die zeitlich versetzten Optionen (asynchron) oder die Anwendung von KI in der regulatorischen Praxis (noch) nicht zulässig sind.
Unter Einhaltung der folgenden Vorgaben der BaFin kann das Verfahren von allen nach dem GWG-Verpflichteten, die unter BaFin-Aufsicht stehen, genutzt werden.
Personelle Anforderungen
Die Video-ID ist nur von entsprechend geschultem Personal des geldwäscherechtlich Verpflichteten durchzuführen. Alternativ kann der Verpflichtete diese Prüfung an einen Dritten, z.B. einen Video-ID-Dienstleister wie IDnow oder WebID auslagern, deren Mitarbeiter ebenfalls entsprechend geschult sein müssen. Die Mitarbeiter müssen mit dem Verfahren, dessen fehleranfälligen Stellen sowie mit gängigen Fälschungsmethoden vertraut sein. Eine regelmäßige (mindestens jährlich) oder bedarfsorientierte (gesetzliche Änderung oder bekanntwerden neuer Betrugsmöglichkeiten) Aktualisierung der Schulung ist erforderlich. Weiterhin ist die Identifizierung in dafür vorgesehenen abgetrennten und mit Zugangskontrolle versehenen Räumlichkeiten durchzuführen. Vor der Identifikation muss das Einverständnis des zu Identifizierenden protokolliert werden.
Technische Anforderungen
Im Wege einer Echtzeit-Videoübertragung unter Ende-zu-Ende-Verschlüsselung und bei vorher zu prüfender ausreichender Bild- und Tonqualität muss das Ausweisdokument anhand sicherheitsrelevanter Merkmale vom Mitarbeiter auf Echtheit überprüft werden. Als Ausweisdokument in Frage kommen grundsätzlich alle Dokumente, die eine Verifizierung von darauf vorhanden Sicherheitsmerkmalen (etwa Hologramme, Laserkippbilder, Sicherheitsfaden, Mikroschrift) erlaubt. In der Regel wird dies zumindest der Personalausweis erfüllen können. Der Mitarbeiter muss den Ausweis unter anderem visuell überprüfen (durch horizontales und vertikales Kippen oder andere Bewegungen des Dokuments durch den Kunden), das Lichtbild mit dem Kunden vergleichen, oder sich durch gezielte Fragestellungen und Beobachtungen von der Plausibilität der Angaben überzeugen. Sollten diese Anforderungen zu einem Zeitpunkt der Identifikation nicht vorliegen, ist diese abzubrechen und ggf. zu wiederholen.
Weitere sicherheitsrelevante Anforderungen
Neben den technischen Anforderungen an die Ausweisdokumente und Videoqualität ist die zu identifizierende Person durch eine eigens für diesen Zweck generierte TAN zu identifizieren. Der gesamte Prozess ist visuell und akustisch für eine mögliche interne oder externe Überprüfung sowie für eine mögliche Prüfung durch die BaFin aufzubewahren. Neben dem Einverständnis der zu Identifizierenden Person ist auch die Einhaltung der personellen und technischen Anforderungen entsprechend zu dokumentieren und zu konservieren. Dabei ist natürlich auch auf datenschutzrechtliche Vorgaben durch die Datenschutzgrundverordnung und das Bundesdatenschutzgesetz zu achten.
Wie geht es weiter?
Die BaFin wird das Rundschreiben Rundschreiben 3/2017 spätestens 2020 aktualisieren und dann ggf. auch neue Methoden zulassen. Mit der Evaluierung soll untersucht werden, ob die an die Video-ID gestellten geldwäscherechtlichen Anforderungen im Lichte des Fortschritts der Technik und der Erfahrungen mit diesem Verfahren noch als ausreichend anzusehen sind oder ob weitere Anpassungen oder zusätzliche Anforderungen erforderlich sind.
Zudem könnte die erwartete Umsetzung der fünften EU-Geldwäscherichtlinie (ALMD5) im GwG Einfluss auf die Anforderungen an das Video-ID-Verfahren Einfluss haben.
Gibt es andere Verfahren?
Eine Identitätsfeststellung per Videoaufzeichnung oder mittels KI und Liveness-Check scheitert derzeit für die BaFin zwar an der Echtzeitauswertung durch geschulte Mitarbeiter. Durch die weitere Entwicklung der Technik in Bezug auf Genauigkeit und Sicherheit könnte die BaFin allerdings bei ihrer periodischen Überprüfung ihres Rundschreibens bereits 2020 zu einer anderen Einschätzung gelangen. Die elektronische Identitätsfeststellung gemäß der eIDAS-Verordnung ist dagegen bereits Realität. Hier werden Ausweisdokumente mit einem gesonderten Gerät zu Hause oder im Büro gescannt und über Vertrauensdienste übermittelt. Die Anwendung ist natürlich im Hinblick auf Anschaffungskosten und Bedienung für Verbraucher derzeit noch viel aufwändiger als die Identifikation über die Kamera des Smartphones oder Laptops. Die elektronische Identitätsfeststellung wird daher das Video-ID-Verfahren kaum verdrängen sondern eher neben diesem existieren.
Fazit
Video-ID eröffnet neue Möglichkeiten, Geschäfte über das Internet abzuwickeln. Für die Verpflichteten hat das Verfahren klare wirtschaftliche Vorteile. Insbesondere vermeidet der Verpflichtete einen Medienbruch bei der Begründung der Geschäftsbeziehung für die Kunden. Der möglicherweise lästige Gang in die Filiale entfällt. Dies mindert das Risiko für den Verpflichteten, den Kunden im Prozess der Begründung der Geschäftsbeziehung zu verlieren, weil er mit seinem Ausweis die nächste Filiale aufsuchen muss. Um die Vorteile von Video-ID rechtssicher zu nutzen, müssen die internen Prozesse jedoch den doch sehr strengen Anforderungen der BaFin genügen. Insbesondere die Verwendung von KI oder immerhin asynchrone Videoidentifizierung ist technisch bereits denkbar und bald ggf. auch regulatorisch möglich. Seit 2014 beraten wir zu verschiedenen Projekten Rund um das Thema Video-ID.
Insights
Mehr
Nachhaltige und umweltfreundliche öffentliche Beschaffung: Rechtspflicht und Gebot der Stunde
Apr 09 2024
FTTH/FTTB: Wie steht es um die Finanzierung des Glasfaserausbaus in Deutschland?
Apr 02 2024
Reform der Produkthaftung - Neue Haftungs- und Prozessrisiken für Unternehmen!
Mrz 27 2024