Der Referentenentwurf des Bundesfinanzministeriums zur VideoIdent-Verordnung hat die hiesige Finanzbranche in Aufregung versetzt. Die Branche steht vor einem möglichen signifikanten Paradigmenwechsel – Identitätsexperten geben Einblick in die wichtigsten Informationen.
Im April 2024 veröffentlichte das Bundesfinanzministerium einen Referentenentwurf zur Geldwäschevideoidentifizierungsverordnung (GwVideoIdentV), auch „VideoIdent-Verordnung“ genannt. Die neue Verordnung soll einen bedeutenden Schritt im Kampf gegen Geldwäsche markieren und die digitalen Identifizierungsverfahren im deutschen GwG-Sektor stärken und modernisieren.
Verordnung statt Rundschreiben für größere Rechtssicherheit
Eine der größten Veränderungen in der Verordnung: Das VideoIdent-Verfahren soll künftig per Verordnung geregelt werden, anstatt wie bisher über das Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) aus dem Jahr 2017. Zudem sollen die Anforderungen aus der Verordnung auch auf den Nicht-Finanzsektor ausgeweitet werden können, sofern die Dienstleistungen unter das Geldwäschegesetz fallen.
Deutsche Finanzdienstleister und ihre Kunden haben sich über die letzten zehn Jahre an die digitale Videoidentifizierung gewöhnt. VideoIdent ist eines der am meisten genutzten Verfahren, das hatte bereits der Digital Identity Index 2023 von IDnow gezeigt: 38 Prozent der Deutschen hatten das VideoIdent-Verfahren in einem Videochat mit einer Person demnach schon mindestens einmal durchlaufen, während nur 8 Prozent die Online-Ausweisfunkton (kurz: eID) schon mal im Einsatz hatte.
Boom für die deutsche Online-Ausweisfunktion?
Drei Neuerungen des Entwurfs sorgten im Banking zudem für Aufsehen:
- Banken und Finanzdienstleister, die Videoidentifizierungsverfahren im Einsatz haben, sollen künftig dazu verpflichtet werden, auch die eID anzubieten. Dabei muss die eID gleichwertig zu anderen Verfahren angeboten werden. Jeder Nutzer soll so auf den ersten Blick die freie Entscheidung haben, welches Verfahren er oder sie verwenden möchte.
- Zudem sollen teilautomatisierte Verfahren für GwG-Verpflichtete zugelassen werden: Einige Teile der Videoidentifizierung könnten dann außerhalb des Live-Video-Calls stattfinden. Eine direkte (nicht nachgelagerte) Überprüfung durch einen Menschen wäre aber weiterhin Teil des Prozesses.
- Auch vollautomatisierte, KI-basierte Verfahren, wie sie in anderen Ländern bereits verwendet werden, könnten unter gewissen Voraussetzungen zum Einsatz kommen. Zu den Voraussetzungen würde unter anderem eine eingehende Evaluation durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gehören. Was genau hier erfüllt werden müsste, ist allerdings noch nicht klar, da der Entwurf dahingehend noch nicht konkret war.
Die neue Verordnung soll künftig also Wahlmöglichkeiten für die Endnutzer schaffen, welches Verfahren sie zur Identifizierung im GwG-Bereich nutzen wollen. Um einen Boom der eID auf Verbraucherseite zu generieren, wird die Verordnung jedoch aller Voraussicht nach trotzdem nicht ausreichen. Anwendungsfälle wie eine Kontoeröffnung kommen dafür zu selten im Alltag vor.
„In Anbetracht der zusätzlichen Verfahren, die erlaubt werden sollen, ist es für den Finanzsektor trotzdem umso wichtiger auf Plattformanbieter wie IDnow zu setzen, die hohe Sicherheitsniveaus einhalten und alle Verfahren aus einer Hand anbieten können,“ erklärt Armin Bauer, Chief Technology & Security Officer und Mitgründer von IDnow.
Kombination aus Mensch und Maschine gegen Social Engineering und Deepfakes
Die im Entwurf enthaltenen Verfahren sollen das Onboarding modernisieren und wären für die Bankenbranche weniger kostenintensiv als die klassische Videoidentifizierung. Laut Experten bieten sie aber nicht den gleichen Schutz gegen Deepfake- und Social-Engineering-Attacken wie die Videoidentifizierung mit menschlicher Unterstützung.
„Seit der Gründung von IDnow haben wir uns zum Ziel gesetzt, den Fortschritt in der Branche voranzutreiben und unseren Kunden sowie den Nutzern von Identitätsprüfungsverfahren stets ein Höchstmaß an Sicherheit zu bieten“, so Bauer weiter. Über das gesamte Lösungsportfolio hinweg – das neben VideoIdent, auch voll- und teilautomatisierte Lösungen sowie die deutsche eID umfasst – arbeitet der Münchner Anbieter kontinuierlich an Betrugspräventionsmechanismen: „Dabei hat sich gezeigt, dass die Kombination aus Mensch und Maschine besonders gegen Social Engineering und Deepfakes die besten Resultate liefert.“
Der Entwurf legt auch detaillierte Anforderungen an das Videoident-Verfahren und die zugehörigen Sicherheitsmaßnahmen fest. Dazu gehören unter anderem die zugelassenen Ausweisdokumente mit spezifischen Sicherheitsmerkmalen. Expertenverbände wie der Bitkom plädieren aber für die Übernahme aus dem BaFin-Rundschreiben 2017. Diese Anforderungen haben sich bewährt und stellen sicher, dass weiterhin eine Vielzahl von Ausweisdokumenten zum Einsatz kommen kann. Das ist wichtig, damit dieses Verfahren weiterhin allen in Deutschland lebenden Personen zur Verfügung steht und die Gruppe derer, die sich nicht mit ihrem Ausweis online identifizieren können, so gering wie möglich gehalten wird – ein wichtiger Aspekt für die Wettbewerbsfähigkeit des deutschen Bankenmarkts in Europa.
