BaFin rudert bei den Anforderungen für das VideoIdent zurück
Die Aufsichtsbehörde BaFin veröffentlichte gerade für alle von ihr beaufsichtigten Institute ein neues Rundschreiben (3/2017) zum VideoIdent-Verfahren. VideoIdent ist eine Alternative zur Legitimation am Postschalter, auf die sich Dienstleister wie WebID oder IDnow spezialisiert haben. Die BaFin legt in dem Rundschreiben dar, wie genau eine solche Identifizierung ablaufen muss. Von einigen Anforderungen, die sie zwischenzeitlich einführen wollte, ist sie komplett abgerückt. Mit Blick auf die Sicherheit wollte die BaFin nämlich schon im vergangenen Juni neu regeln, was die Anbieter erfüllen müssen - um Geldwäsche, Terrorismusfinanzierung und andere Straftaten effektiver zu bekämpfen. Das damalige Rundschreiben sollte ohne Übergangsfrist gelten und hätte das Verfahren viel komplizierter gemacht, die BaFin setzte es nach einem Aufschrei der Finanzwelt zwei Wochen nach der Veröffentlichung erst einmal aus. Mit den damaligen Regeln hätten die Unternehmen in sonstigen Datenquellen, etwa den sozialen Netzwerken, über die potenziellen Kunden recherchieren müssen. Außerdem wäre erforderlich gewesen, dass die angehenden Kunden als zusätzlichen Schritt von einem ihrer anderen Konten einen kleinen Geldbetrag auf ihr neues Konto überweisen - eine sogenannte Referenzüberweisung. Zu den Kritikpunkten zählte auch, dass das Verfahren nur noch Kreditinstituten zu Verfügung stehen sollte, Zahlungsinstituten oder E-Geld-Instituten zum Beispiel nicht mehr. Diese Punkte wurden allesamt verworfen, sie kommen in dem aktuellen Rundschreiben gar nicht mehr vor.
Ab 15.6.17 gelten die überarbeiteten Vorgaben, die in vielen Punkten sehr konkret sind. So müssen die Anfragen zufällig auf die Mitarbeiter verteilt werden, um Manipulationen vorzubeugen. Und es sind zahlreiche Sichtprüfungen des Ausweisdokuments in einer Liste benannt, von denen mindestens drei aus verschiedenen Kategorien für die Identifizierung zufällig ausgewählt und erfüllt werden müssen. Außerdem sollen die Mitarbeiter psychologische Fragen stellen und beobachten, um sich von der Plausibilität der Angaben sowie der vorgegebenen Absicht der zu identifizierenden Person zu überzeugen. Es könne beispielsweise im Gespräch nach dem Alter gefragt werden, im Hinblick auf eine Validierung der Geburtsangaben im Ausweisdokument. Von den Mitarbeitern wird erwartet, so auch zu erkennen, ob nach eigenem Willen oder durch Druck einer zweiten Person das Konto beantragt wird. Es gibt einen weiteren Prüfschritt, der eine computergestützte Manipulation der Bildübertragung verhindern soll. Dabei soll die zu identifizierende Person den Ausweis an einer systemseitig zufällig bestimmten Stelle mit dem Finger teilweise verdecken oder etwa eine Hand vor ihrem Gesicht bewegen. Anhand von Standbildern ist dann die Echtheit zu überprüfen. Neu hinzugekommen ist die verpflichtende Ende-zu-Ende-Verschlüsselung für die sichere Kommunikation, die fragwürdige Nutzung von Skype oder ähnlichen Diensten ist nicht mehr zulässig.