Der im April 2024 veröffentlichte Referentenentwurf zur Geldwäschevideoidentifizierungsverordnung (GwVideoIdentV), auch bekannt als „VideoIdent Verordnung“, des Bundesministeriums der Finanzen markiert einen bedeutenden Schritt im Kampf gegen Geldwäsche und stärkt die digitalen Identifizierungsverfahren in Deutschland.
Durch die Verordnung soll das bereits etablierte Videoidentifizierungsverfahren gesetzlich geregelt werden. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hatte zuletzt mit dem Rundschreiben (RS 3/2017) vom 10. April 2017 die Anforderungen an den Einsatz des Videoidentifizierungsverfahrens formuliert. Diese Anforderungen sollen nun in die neue Verordnung integriert werden.
Im Zentrum der neuen Verordnung steht die Verpflichtung zur Durchführung des eID-Verfahrens sowie die Zulassung der automatisierten Ident-Verfahren für den Finanz- und Bankensektor.
Trotz dieser positiven Bestrebungen bleiben viele Fragen zur praktischen Umsetzung des künftigen VideoIdent-Verfahrens offen. Die möglichen Auswirkungen dieses Referentenentwurfs auf das VideoIdent-Verfahren sind komplex und würden bei Verabschiedung der Verordnung eine regelrechte Zeitenwende im deutschen GwG-Sektor einläuten. Momentan handelt es sich bei der Verordnung um einen Entwurfsstatus, so bleiben viele Vorschläge und Definitionen im Papier bislang recht vage und bedürfen näherer Erklärung. Dazu zählen beispielsweise die Erläuterung des teilautomatisierten und vollautomatisierten Verfahrens, denn die Abschnitte §§ 16 und 17 wurden in der Branche sehr unterschiedlich aufgefasst und interpretiert.
Unser Artikel soll einen Überblick zum aktuellen Stand der neuen VideoIdent-Verordnung geben und dabei die zurzeit offenen Diskussionspunkte rund um die Umsetzung beleuchten.
Modernisierung und gesetzliche Verankerung des VideoIdent-Verfahrens im Rahmen der Digitalisierungsstrategie Deutschlands.
Im Rahmen der Digitalisierungsstrategie der Bundesrepublik Deutschland unternimmt der Gesetzgeber erhebliche Anstrengungen, um Deutschland digitaler und zukunftsfähiger zu gestalten. Die Ergebnisse unseres Digital Identity Index 2023 zeigen, dass die fortschreitende Digitalisierung das Bedürfnis nach Fernidentifizierungsverfahren verstärkt. Das VideoIdent-Verfahren hat sich unter Nutzern in Deutschland längst als eine wichtige Alternative bzw. Ergänzung zu analogen Methoden etabliert (z. B. die Ausweisvorlage in Bank- oder Postfilialen).
Die Zielsetzungen der neuen VideoIdent-Verordnung.
Das Bundesfinanzministerium (BMF) zielt mit dem Referentenentwurf insgesamt darauf ab, den rechtlichen Rahmen für VideoIdent-Verfahren zu modernisieren und zu stärken, um den Anforderungen einer zunehmend digitalisierten Gesellschaft gerecht zu werden. Etwas differenzierter betrachtet, lassen sich folgende Ziele der VideoIdent-Verordnung des BMF ermitteln.
Rechtssicherheit und Klarheit schaffen: Ein wesentliches Ziel des BMF ist es, durch die Verordnung eine klare und verbindliche Rechtsgrundlage für VideoIdent-Verfahren im Finanzsektor zu schaffen. Bisher basierten diese Verfahren auf einem Rundschreiben der BaFin aus dem Jahr 2017.
Verpflichtende Einbindung der Online-Ausweisfunktion: Das BMF möchte die Nutzung moderner digitaler Identifizierungsmethoden wie der Online-Ausweisfunktion (eID) fördern. Durch die Verpflichtung, die eID als gleichwertige Identifizierungsmethode anzubieten, soll die Verbreitung dieser Technologie erhöht und ihre Akzeptanz in der Bevölkerung gesteigert werden.
Anpassung an technologische Entwicklungen: Das BMF strebt an, die gesetzlichen Regelungen an die aktuellen technologischen Entwicklungen anzupassen. Dies umfasst die Zulassung und Regulierung von teilautomatisierten und vollautomatisierten Identifizierungsverfahren, die verstärkt auf moderne Technologien wie Künstliche Intelligenz und maschinelles Lernen setzen.
Effizienz und Nutzerfreundlichkeit: Durch die Regulierung und Standardisierung der Verfahren soll der Identifizierungsprozess effizienter und benutzerfreundlicher gestaltet werden, was sowohl den Unternehmen als auch den Endkunden zugutekommt.
Erweiterter Anwendungsbereich, Datenschutz und automatisierte Verfahren – die Unterschiede zu bisherigen Regelungen.
Der neue Referentenentwurf zur Geldwäschevideoidentifizierungsverordnung bringt im Vergleich zu bisherigen Entwürfen und Regelungen folgende Unterschiede und Erweiterungen mit sich:
- Vollautomatisierte Verfahren: Der neue Entwurf soll automatisierte Verfahren zur Identitätsüberprüfung ermöglichen. Vollautomatisierte Lösungen könnten unter BSI-Aufsicht (Bundesamt für Sicherheit in der Informationstechnik) für zwei Jahre getestet werden. Dafür müsste das BSI das Verfahren erst für den Testzeitraum zulassen, also eine Einschätzung abgeben, ob es als ausreichend sicher gilt. Im Anschluss an die praktische Testphase könnte das Verfahren unter Umständen dauerhaft zugelassen werden.
- Teilautomatisierte Verfahren: Teile des VideoIdent-Prozesses können automatisiert werden, jedoch bestehen weiterhin Schritte, die nicht automatisiert werden dürfen und innnerhalb eines Video-Calls stattfinden müssen. Zusätzlich muss eine Überprüfung durch einen Menschen Teil des Verifizierungsprozesses sein muss.
- Stärkung der Online-Ausweisfunktion (eID): Unternehmen deren Services und Produkte unter das GwG fallen, und die das VideoIdent-Verfahren einsetzen, müssen zusätzlich zu anderen Lösungen verpflichtend eine Identifizierung mittels der eID-Funkton anbieten. Diese muss gleichwertig zu anderen Verfahren stehen.
- Klare Regelungen zur Dokumentation und Prüfung: Es werden klare Anforderungen an die Dokumentation und Prüfung der Identität von Vertragspartnern festgelegt, um Fälschungen und Manipulationen zu erkennen.
- Ausweisdokumente: In §10 und §11 des Entwurfs sind einige neue Anforderungen in Bezug auf die zugelassenen Ausweisdokumente enthalten. Diese müssen im weiteren Verfahren noch genau diskutiert und angepasst werden, damit ein hohes Volumen an Ausweisdokumenten weiterhin in den Verfahren eingesetzt werden kann. Eine Beibehaltung der Anforderungen aus dem BaFin-Rundschreiben 03/2017 wäre aus Sicht von IDnow und aus Sicht des Bitkom-Verbands, der Branchenverband der deutschen Informations- und Telekommunikationsbranche, begrüßenswert.
Diese Unterschiede und Erweiterungen im neuen Referentenentwurf zielen darauf ab, die Sicherheit und Effizienz des Videoidentifizierungsverfahrens im Rahmen der Geldwäschebekämpfung zu verbessern.
Viele offene Fragen zur praktischen Umsetzung der VideoIdent-Verordnung.
Der Entwurf legt detaillierte Anforderungen an das Videoident-Verfahren und die zugehörigen Sicherheitsmaßnahmen fest. Dazu gehören die zugelassenen Ausweisdokumente mit spezifischen Sicherheitsmerkmalen, die notwendige Bildauflösung sowie die Reaktionsgeschwindigkeit der Nutzer. Zudem gibt es Vorgaben für Schulungen und die Ausstattung der Räumlichkeiten. Viele dieser Anforderungen wurden jedoch in den Stellungnahmen der Verbände und der Privatwirtschaft kritisiert, weshalb an diesen Punkten noch erhebliche Änderungen zu erwarten sind.
Kritik an Detailanforderungen an das Videoident-Verfahren.
Der Prüfung von Sicherheitsmerkmalen (§10 und §11) wird gemäß dem vorliegenden Entwurf, richtigerweise, eine hohe Bedeutung beigemessen. Hierbei werden die zu prüfenden Kategorien reduziert und die Merkmale konkretisiert. In ihrer derzeitigen Fassung würden die Änderungen der zu prüfenden Sicherheitsmerkmale eine große Hürde für das Videoident-Verfahren darstellen. Das gilt insbesondere auch für Ausweisdokumente aus anderen EU-Mitgliedstaaten, so dass die Vorgaben dazu führen würden, dass natürliche Personen aus EU-Mitgliedstaaten nicht mehr unter Nutzung des Videoidentifizierungsverfahrens identifiziert werden könnten. Es bestehen erhebliche Zweifel, ob dieser indirekte Ausschluss mit dem europäischen Recht vereinbar ist.
Technische Standards und Sicherheitsmaßnahmen.
In §9 (4) und §13 werden Anforderungen an die Bildauflösung und die Reaktionsgeschwindigkeit der Nutzer gestellt, die zwar wünschenswert, aber häufig unrealistisch sind. Zudem setzt die Regelung voraus, dass keine netzwerktechnischen Einschränkungen bestehen, was Bürger mit älteren Geräten oder geringem Datenvolumen von der Nutzung des Videoidentifikationsservices ausschließen könnte. Solch detaillierte technische Anforderungen schränken die Nutzung von Fernidentifikationsverfahren ein und sollten laut Bitkom daher gestrichen oder lediglich als Empfehlungen formuliert werden.
Anforderungen an Schulungen und Räumlichkeiten.
Die in §12 Abs. 3 genannten Schulungen der Mitarbeiter sollten a) regelmäßig stattfinden, b) von jedem beteiligten Mitarbeiter dokumentiert werden und c) im Fehlerfall sofort erfolgen. Bitkom empfiehlt eine Zertifizierung des gesamten Schulungskonzepts nach ETSI TS 119 461 sowie regelmäßige Audits durch eine Konformitätsbewertungsstelle. Der Begriff der „Zugangskontrolle“ in §7 muss klar definiert werden. Zur weiteren Spezifizierung der Anforderungen an die Räumlichkeiten sollte zudem auf den Standard ETSI EN 319 401 verwiesen werden.
Vorteile und Herausforderungen: Die möglichen Auswirkungen der neuen VideoIdent-Verordnung.
Verpflichtung zur eID.
Die eID wird laut Entwurf zum verpflichtenden Verfahren für alle Dienstleister, die unter das GwG fallen und Fernidentifizierungsmethoden anbieten. Das wird dem Verfahren sicherlich zu mehr Popularität verhelfen. Ein “Boom” wird dadurch voraussichtlich nicht ausgelöst. Dafür finden GwG-konforme Anwendungsfälle im Alltag der deutschen Bürgerinnen und Bürger nicht oft genug statt. Trotzdem ist dies ein begrüßenswerter Schritt, auch auf dem Weg zur EUDI-Wallet. IDnow hat bereits für 2022 einen Anstieg der Transaktionen mit der deutschen Online-Ausweisfunktion (eID) um mehr als den Faktor vier verzeichnet. Damit wächst die eID-Nutzung bei IDnow deutlich schneller als die bundesweiten eID-Transaktionszahlen, die laut OZGDB von 2021 bis 2022 um rund 19 Prozent anstiegen.
Verbesserte Sicherheit und Effizienzsteigerung für den Finanz- und Nichtfinanzsektor.
Die neue VideoIdent-Verordnung bzw. der Referentenentwurf des Bundesfinanzministeriums zur Geldwäschevideoidentifizierungsverordnung (GwVideoIdentV) könnte vielfältige Auswirkungen auf den Finanz- und Nichtfinanzsektor haben:
Erhöhte Effizienz und Kostenreduktion:
Die Einführung der eID sowie der teil- und vollautomatisierten Verfahren zur Identitätsüberprüfung könnte die Kosten für Finanzinstitute senken und die Effizienz steigern, da weniger manuelle Prozesse erforderlich wären.
Verbessertes Nutzererlebnis:
Ein großer Vorteil der Zulassung mehrerer Verfahren ist die Möglichkeit, den Endnutzern die Entscheidung zu überlassen, welches Verfahren sie zur Identifizierung nutzen wollen – ganz nach ihren persönlichen Wünschen und Fähigkeiten.
Rechtliche Klarheit:
Die gesetzliche Verankerung der VideoIdent-Verfahren schafft klare rechtliche Rahmenbedingungen und erhöht die Rechtssicherheit für alle beteiligten Akteure.
Neue VideoIdent-Verordnung: Paradigmenwechsel in der Gesetzgebung und IDnows Beitrag zu einer digitalen und sicheren Zukunft.
Mit der neuen VideoIdent-Verordnung stehen wir vor einem möglichen signifikanten Paradigmenwechsel in der Gesetzgebung, den IDnow in den letzten Jahren aktiv mitgestaltet hat und für den richtigen Schritt in eine digitale und sichere Zukunft hält.
Bereits 2020 hat IDnow dem Gesetzgeber die Idee einer teil- und volllautomatisierten Videoidentifikation vorgestellt. Insofern begrüßen wir, dass die Verordnung nun den technischen Möglichkeiten folgen soll und weitere Identifizierungsverfahren zugelassen werden sollen.
Banken und Dienstleister sollten sich an Identitätsanbieter wenden, die über hohe regulatorische Expertise und ein breites, marktreifes Lösungsportfolio verfügen.
IDnow selbst bietet eine sichere und leistungsstarke Plattform zur Identitätsprüfung und Betrugsprävention, die unter anderem die eID-Funktion, klassisches VideoIdent sowie voll- und teilautomatisierte Lösungen umfasst. Mithilfe solch einer Plattformlösung kann die neue Verordnung aus einer Hand und ohne großen Konfigurationsaufwand erfüllt werden.
Die wichtigsten Fragen im Zusammenhang mit der neuen Videoident-Verordnung:
Was besagt das Geldwäschegesetz (GwG) hinsichtlich der VideoIdent-Verordnung?
Das Geldwäschegesetz (GwG) in Deutschland regelt die Pflichten zur Verhinderung von Geldwäsche und Terrorismusfinanzierung und enthält auch Bestimmungen zur Identifizierung von Kunden.
Hinsichtlich der VideoIdent-Verfahren besagt das GwG, dass verpflichtete Unternehmen sicherstellen müssen, dass die Identifizierung von Kunden zuverlässig und sicher erfolgt, auch wenn diese nicht physisch anwesend sind. Im Zusammenhang mit der neuen VideoIdent-Verordnung, die im April 2024 als Referentenentwurf veröffentlicht wurde, sollen folgende Punkte klargestellt werden:
Rechtsgrundlage: Die VideoIdent-Verfahren, die bisher auf einem Rundschreiben der BaFin aus dem Jahr 2017 basierten, werden nun durch eine Verordnung auf eine gesetzliche Grundlage gestellt. Dies schafft rechtliche Klarheit und Verbindlichkeit für die Nutzung dieser Verfahren.
Verpflichtung zur eID-Integration: Unternehmen, die das VideoIdent-Verfahren verwenden und dem GwG unterliegen, müssen zusätzlich die Identifizierung mittels der deutschen Online-Ausweisfunktion (eID) anbieten. Diese eID-Option muss gleichwertig zu anderen Identifizierungsverfahren sein und darf nicht benachteiligt werden.
Teil- und vollautomatisierte Verfahren: Durch die Verordnung soll künftig auch die Verwendung teilautomatisierter Verfahren erlaubt sein, bei denen Teile der Identifizierung automatisiert erfolgen, während andere Teile manuell überprüft werden müssen. Vollautomatisierte Verfahren können laut Entwurf ebenfalls zugelassen werden, unterliegen jedoch strengen Anforderungen und einer Testphase unter Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Sicherheitsanforderungen: Alle Identifizierungsverfahren, einschließlich VideoIdent, müssen hohe Sicherheitsstandards erfüllen, um die Integrität des Identifikationsprozesses zu gewährleisten und Missbrauch zu verhindern.
Diese Regelungen zielen darauf ab, die Sicherheit und Zuverlässigkeit von VideoIdent-Verfahren zu erhöhen und gleichzeitig die Nutzung moderner elektronischer Identifizierungsmethoden wie der eID zu fördern.
Welche Rolle spielt das Bundesfinanzministerium (BMF) beim sogenannten Referentenentwurf für eine neue Verordnung zur Videoidentifikation?
Das Bundesfinanzministerium (BMF) spielt eine zentrale Rolle beim Referentenentwurf für eine neue Verordnung zur Videoidentifikation.
Im Wesentlichen umfasst die Rolle des BMF folgende Aspekte:
Initiierung und Ausarbeitung: Das BMF ist verantwortlich für die Initiierung und Ausarbeitung des Referentenentwurfs. Das bedeutet, dass das Ministerium den Entwurf erstellt und die notwendigen rechtlichen und regulatorischen Rahmenbedingungen definiert.
Konsultationsprozess: Das BMF leitet den Konsultationsprozess, in dem verschiedene Interessengruppen, darunter Wirtschaftsverbände, Finanzinstitute, Aufsichtsbehörden und Datenschutzexperten, den Entwurf kommentieren und Feedback geben können. Dieser Prozess ist wichtig, um sicherzustellen, dass die Verordnung praxisnah und umsetzbar ist.
Koordination mit anderen Behörden: Das BMF arbeitet eng mit anderen relevanten Ministerien und Behörden wie der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), dem Bundesministerium des Innern und für Heimat (BMI) und dem BSI (Bundesamt für Sicherheit in der Informationstechnik) zusammen, um sicherzustellen, dass die Verordnung alle relevanten Aspekte der Geldwäschebekämpfung und IT-Sicherheit berücksichtigt.
Finalisierung und Vorlage: Nach dem Konsultationsprozess und der Einarbeitung von Feedback finalisiert das BMF den Verordnungsentwurf und legt ihn dem Bundeskabinett zur Genehmigung vor. Diese Vorlage ist der letzte Schritt vor der offiziellen Verabschiedung der Verordnung.
Überwachung und Anpassung: Nach Inkrafttreten der Verordnung überwacht das BMF deren Umsetzung und Wirkung. Es ist auch verantwortlich für die Anpassung und Weiterentwicklung der Verordnung, um auf neue Entwicklungen und Herausforderungen im Bereich der Geldwäscheprävention und digitalen Identifikationstechnologien zu reagieren.
Durch diese Aufgaben stellt das BMF sicher, dass die neue Verordnung zur Videoidentifikation den aktuellen Anforderungen entspricht und effektiv zur Prävention von Geldwäsche und Terrorismusfinanzierung beiträgt.
Was sind gängige Videoident-Verfahren?
Definition des Referentenentwurfs: “Videoidentifizierungsverfahren im Sinne dieser Rechtsverordnung sind Verfahren zur Identifizierung von natürlichen Personen, bei denen ungeachtet der räumlichen Trennung eine sinnliche Wahrnehmung der am Identifizierungsprozess beteiligten Personen und deren Ausweisdokumente mittels des Einsatzes von bildgebenden Kommunikationstechnologien möglich ist.”
Gängige Videoident-Verfahren umfassen verschiedene Methoden, die zur digitalen Identifizierung von Personen genutzt werden. Hier sind einige der bekanntesten Verfahren:
VideoIdent-Verfahren: Ein Mitarbeiter eines Identifizierungsdienstleisters führt per Videoanruf eine Identitätsprüfung durch. Dabei wird der Ausweis des Nutzers in die Kamera gehalten und überprüft. Zusätzlich wird in der Regel ein Abgleich von Sicherheitsmerkmalen und ein Foto des Nutzers gemacht.
Online-Ausweisfunktion (eID): Dieses Verfahren nutzt die elektronische Ausweisfunktion des deutschen Personalausweises. Der Nutzer identifiziert sich mit seinem Ausweis und einem NFC-fähigen Smartphone oder einem Kartenlesegerät. Eine spezielle Software (z. B. AusweisApp2) wird zur Verifizierung verwendet.
Teilautomatisierte Verfahren: Hierbei werden Teile der Identifizierung automatisiert, wie z. B. die optische Ausweiserkennung und der Abgleich von Daten. Ein menschlicher Prüfer überprüft anschließend die automatisiert erfassten Informationen in Echtzeit. Ein Beispiel dafür ist „VideoIdent Flex“ von IDnow.
Vollautomatisierte Verfahren: Diese Systeme arbeiten vollständig ohne menschliche Interaktion. Die gesamte Identitätsprüfung erfolgt durch maschinelles Lernen und KI-Algorithmen. Nutzer machen ein Selfie und fotografieren ihren Ausweis. Die Bilder werden dann mit biometrischen Methoden verglichen, um die Identität zu bestätigen. Dieses Verfahren wird oft in Kombination mit anderen Sicherheitsmechanismen verwendet.
Was bedeutet der Entwurf für bestehende Videoident-Verfahren?
Zunächst gibt es keine Änderungen. Die Verordnung befindet sich in einem Entwurfsstatus und muss bis zur Gesetzeswerdung eine Reihe von Stationen durchlaufen. Wird die Verordnung vom Gesetzgeber verabschiedet, gibt es zudem noch einen Übergangszeitraum.
Trotzdem sollten sich Banken und Dienstleister jetzt an Identitätsanbieter wenden, die über hohe regulatorische Expertise und ein breites, marktreifes Lösungsportfolio verfügen, um beispielsweise die Einbindung der eID in ihr Onboarding zu besprechen, um hier dem Gesetzgeber ggf. zuvorzukommen.
Welche neuen Anforderungen kommen durch das VideoIdent-Verfahren auf die Unternehmen zu?
Im ersten Entwurf zeichnen sich drei größere Veränderungen ab:
Die deutsche Online-Ausweisfunktion (eID) soll verpflichtend von Banken und Finanzdienstleistern angeboten werden, sofern sie auch Videoidentifizierungsverfahren im Einsatz haben.
Teilautomatisierte Verfahren sollen zudem zugelassen werden: Einige Teile der Videoidentifizierung könnten dann außerhalb des Live-Video-Calls stattfinden.
Auch vollautomatisierte Lösungen, wie sie in anderen Ländern in der Finanzwelt bereits verwendet werden, könnten unter gewissen Voraussetzungen – und nach eingehender Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) – zum Einsatz kommen.
Welche Schritte sind notwendig, um den Referentenentwurf in ein Gesetz zu überführen?
Nach dem Entwurfsprozess folgt der Konsultationsprozess, in dem verschiedene Interessengruppen, darunter Wirtschaftsverbände, Finanzinstitute, Aufsichtsbehörden und Datenschutzexperten, den Entwurf kommentieren und Feedback geben können.
Danach folgt die Koordination mit anderen Behörden wie der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), dem Bundesministerium des Innern und für Heimat (BMI) und dem BSI (Bundesamt für Sicherheit in der Informationstechnik).
Nach dem Konsultationsprozess und der Einarbeitung von Stellungnahmen finalisiert das BMF den Verordnungsentwurf und legt ihn dem Bundeskabinett zur Genehmigung vor. Diese Vorlage ist der letzte Schritt vor der offiziellen Verabschiedung der Verordnung.
Von
Armin Bauer
Chief Technology and Security Officer bei IDnow
Jetzt mit Armin auf LinkedIn vernetzen
