Das Internet macht alles möglich. Wir dürfen online Videos streamen, wir dürfen grenzenlos einkaufen und wir dürfen ein Bankkonto eröffnen. Letzteres war bisher jedoch nur möglich, wenn eine Postangestellte uns und unseren Personalausweis persönlich in der Filiale überprüft hat. Das Geldwäschegesetz verlangt es, dass sich jeder Kontoinhaber bei der Eröffnung eines Bankkontos ausweist und seine Identität prüfen lässt. Wer ein Konto online eröffnen wollte, musste auch zum meist ungeliebten und umständlichen PostIdent-Verfahren persönlich erscheinen. Inzwischen kann der Weg in überfüllte Postfilialen Geschichte sein, denn das Verfahren der Videolegitimation und Videoidentifikation erhält langsam aber sicher Einzug in die Servicedienste der Banken. Steht uns hier eine für Kunden sehr komfortable aber auch rechtssichere Lösung bevor?
Ein Beitrag aus der CCV Whitepaper-Reihe von Sören Schaaf, IT-Security & Datenschutzbeauftragter
Online Identitätscheck vor der Webcam
Beim Onlineantrag eines neuen Bankkontos bleibt vorerst alles wie gewohnt, abgesehen davon, dass keine Unterlagen für die persönliche Identifizierung via PostIdent zur Verfügung gestellt werden. Stattdessen folgt am Ende des Antrages die Weiterleitung zur Videolegitimation. Die technischen Komponenten für die eigentliche Videoidentifizierung mit dem Identitätsprüfer stellen meist zertifizierte Software- oder Kommunikationsdienstleister zur Verfügung. Technische Grundvoraussetzung auf Kundenseite ist neben dem internetfähigen PC, an dem bereits der Antrag für das Bankkonto ausgefüllt wurde, lediglich eine Webcam. Achten sollten Kunden vor allem darauf, dass kein separates Programm heruntergeladen und installiert werden muss. Aus datenschutzrechtlicher Sicht müssen in diesem Fall die Datenschutzbestimmungen dieser Zusatzsoftware kundenseitig separat geprüft werden.
» Erfahren Sie mehr über die Serviceleistung Videoidentifikation und Videolegitimation
Ist der Videochat aufgebaut, versenden vertrauenswürdige Anbieter einen Sicherheitscode per SMS, der den Missbrauch von Kundendaten im Rahmen der Videoidentifikation und Videolegitimation vorsorglich ausschließen soll. Der Kunde gibt dazu seine Telefonnummer an, an die der Verifizierungscode gesendet werden soll. Diesen gibt er dann wiederum auf der Website ein. Wurde der eingegebene Code dem Bankberater auf der anderen Seite der Kamera mitgeteilt und systemseitig kontrolliert, beginnt die eigentliche Identitätsprüfung. Nachdem zunächst die Ausweisnummer aufgenommen und personelle Angaben verglichen werden, hält der Kunde seinen Personalausweis jeweils mit Vorderund Rückseite direkt vor die eigene Webcam und kippt diesen ganz leicht horizontal und vertikal. Der Identitätsprüfer der Bank kann damit die Hologramme des Dokuments erkennen und die Echtheit kontrollieren. Nach circa drei Minuten ist das ganze Verfahren bereits beendet.
GWG-konform nach den Vorgaben der BaFin
Dass das Verfahren der Videolegitimation und Videoidentifikation nicht auf den ersten Blick zu einhundert Prozent rechtssicher wirkt, ist durchaus verständlich. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat dazu bereits im März 2014 ein Rundschreiben zur Auslegung des § 6 Abs. 2 Nr. 2 GWG („nicht persönlich anwesend“) veröffentlicht, das sich an alle Kreditinstitute und Finanzdienstleistungsinstitute richtet, die der Aufsicht der BaFin unterliegen. Gemäß § 6 Abs. 2 Nr. 2 GWG hat der Verpflichtete, in diesem Fall die Bank, die Identität des Vertragspartners zu überprüfen, insofern der Vertragspartner eine natürliche Person und zur Feststellung der Identität nicht persönlich anwesend ist. Das heißt, kann der Kunde nicht die Bankfiliale besuchen, bleibt nur das PostIdent-Verfahren, um den Vertrag rechtsgültig zu schließen. Das Rundschreiben 1/2014 der BaFin bestätigt nun die Auslegung des Bundesministeriums der Finanzen, „[…] dass unter bestimmten Voraussetzungen auch dann von einer ‚persönlichen Anwesenheit’ auszugehen ist und ein Fall des § 6 Abs. 2 Nr. 2 GwG nicht vorliegt, wenn die am Identifizierungsverfahren Beteiligten zwar nicht physisch, aber im Rahmen einer Videoübertragung visuell wahrnehmbar sind sowie gleichzeitig eine sprachliche Kontaktaufnahme möglich ist und in diesem Zusammenhang eine Überprüfung der Identität des Vertragspartners anhand eines Identifikationsdokuments vorgenommen werden kann.“¹ Trotz der räumlichen Trennung findet durch die Videotelefonie eine sinnliche Wahrnehmung beider Parteien statt, damit ist die Rechtskonformität der Online-Identifikationsprüfung eindeutig nach den Vorgaben des Geldwäschegesetzes gegeben. Des Weiteren ist festgelegt, dass das Gespräch zwischen Prüfer und Kunde akustisch aufzuzeichnen ist. Mit dieser Aufzeichnung muss sich der Kunde selbstverständlich ausdrücklich einverstanden erklären, ansonsten ist die Online-Identitätsprüfung nicht zulässig.
Sicherheit hinter der Kamera
Ganz eindeutig regelt das Rundschreiben der BaFin auch, wer die Video-Legitimation und Video-Identifikation hinter der Kamera durchführen darf. „Entsprechend geschulte und hierfür ausgebildete Mitarbeiter des Verpflichteten oder eines Dritten“¹ dürfen die Identität des Vertragspartners prüfen und bestätigen. Damit ist es aus rechtlicher Sicht zulässig, auch dieses Verfahren als Servicedienstleistung auszulagern. Vertrauenswürdige Kommunikationsdienstleister, die die Outsourcing-Dienstleistung der Video-Legitimierung und Video-Identifizierung (z.B. CheckIdent) anbieten, verfügen im besten Falle über eine internationale Zertifizierung für Daten- und Informationssicherheit (ISO 27001) und sollten gleichzeitig als BaFin-akzeptierte Dienstleister gelten, da sie bereits ausgelagerte Serviceleistungen für Kreditinstitute übernehmen. Bei diesen Anbietern werden alle Kundenkontakte für Banken und Finanzdienstleistungsunternehmen in abgetrennten und mit einer Zugangskontrolle versehenen Räumlichkeiten abgewickelt. Denn auch diese Voraussetzung schreibt die Richtlinie der BaFin vor und exakt in dieser Form sind sicherheitsrelevante Prozesse beispielsweise auch in der Zertifizierung nach ISO 27001 für Informationssicherheit geregelt. Der Kundenberater, der die Identitätsprüfung im Auftrag der Bank übernimmt, muss gemeinsam mit dem Vertragspartner ein mehrstufiges Kontrollverfahren durchführen. Dazu zählen die Erfassung der Ausweisnummer, der mündliche Datenabgleich personeller Angaben auf dem Dokument, die Prüfung der Ausweistypografie, bei der festgestellt wird, ob das Schriftmuster des Ausweises korrekt ist, sowie die Prüfung der Bildübereinstimmung. Hierbei muss nicht nur die Person auf dem Ausweisfoto mit dem Videobild des Gegenübers identisch sein, sondern auch bestätigt werden, dass kein Foto außen auf das Dokument geklebt wurde. Zusätzlich hat der Mitarbeiter zu prüfen, dass die Ausweishologramme sichtbar sind und dass die Laminierung des Personalausweises absolut intakt ist.
An diesem Punkt wird eindeutig klar, dass dies keine Aufgabe für Praktikanten ist und Kommunikationsdienstleister konkret auf diesen Servicebereich spezialisiert sein müssen.
Hype oder Notwendigkeit?
Betrachtet man erste beispielhafte Banken, die diesen ersten Schritt in die Videolegitimation bereits gemacht haben, sowie die Bemühungen der Aufsichtsbehörden, stellt sich die Frage nach der Notwendigkeit eigentlich kaum. Nicht nur heute, sondern vor allem auch morgen, bewegen sich Kunden im Internet. Es ist normal, Käufe zu tätigen und Aufgaben zu erledigen, ohne persönlich anwesend sein. Die Marktverhältnisse und die Ansprüche an Kundenservice und Kommunikation verlangen einen Wandel auch in Bezug auf verifizierte Käufe und Vertragsabschlüsse. Wo das PostIdent-Verfahren aufwandbegründet sicher bisher Kunden von Vertragsabschlüssen abgehalten hat, kann die Videoidentifizierung den Absatz auf einer Internetseite erhöhen und die Kundenzufriedenheit steigern. Am Ende entscheidet immer der Kunde, welche Kommunikationswege optimal und vor allem auch vertrauenswürdig für ihn sind. Für eine vielseitige Kundenkommunikation ohne Medienbruch wird die Online-Ausweisprüfung auf jeden Fall ein äußerst ernst zu nehmendes Thema. Das gilt nicht nur für Banken, sondern für alle Unternehmen, die für den Absatz ihrer Produkte beispielsweise auf Altersprüfungen, Personenidentifikationen oder Vollmachten angewiesen sind. Wer sich als Unternehmen dazu entscheidet, diesen zusätzlichen Servicekanal anzubieten, sollte es konsequent tun. Ein Online-Medium, das nur eingeschränkt zur Verfügung steht, erinnert am Ende doch wieder an die Warteschlangen und die unbequemen Öffnungszeiten der Postfiliale. Auch das spricht für das Outsourcing dieses Services. Professionelle Kommunikationsdienstleister können diesen Service rund um die Uhr zuverlässig abdecken, vorausgesetzt natürlich, sie erfüllen alle oben beschriebenen Anforderungen. Nur so können Kunden dem Unternehmen vertrauen und nur so kann sich die Online-Identitätsprüfung als neues Verfahren fest in unserem Kommunikationsverhalten etablieren.
» Erfahren Sie mehr über die Serviceleistung Videolegitimation und Videoidentifikation
¹ (Quelle: BaFin Rundschreiben 1/2014 (GW) – Verdachtsmeldung nach §§ 11, 14 GwG, Geschäftszeichen GW 1-GW 2001-2008/0003, Bonn/Frankfurt a. M., 5. März 2014)
Zum Autor: Sören Schaaf ist IT-Security & Datenschutzbeauftragter der TAS AG und gehört zu den 25 besten CIO’s im deutschsprachigen Raum. Er ist Mitglied im CCV Arbeitskreis Recht & Regulierung.
