Ratgeber VideoIdent-Verfahren

VideoIdent als Alternative zum Postident-Verfahren

Was beim VideoIdent genau gemacht wird, wieso es besser ist als das PostIdent-Verfahren und wie es um die Datensicherheit beim Marktführer für VideoIdent in Deutschland bestellt ist, darüber informiert dieser Ratgeber.

Seit einiger Zeit ist es möglich bei der Eröffnung von Konten oder Wertpapierdepots und dem Abschluss von Versicherungen zwischen zwei verschiedenen Möglichkeiten der Identifikation zu wählen.

  • Zum einen ist dies das hinlänglich bekannte PostIdent-Verfahren,
  • zum anderen das seit einigen Monaten durchführbare VideoIdent-Verfahren.

VideoIdent statt PostIdent

Wer ein Konto bei einer Direktbank eröffnen, eine Police bei einer Direktversicherung abschließen oder sich für einen Online-Videothek authentifizier will und dies über das PostIdent-Verfahren tätigt, geht mit den per Post erhaltenen oder aus dem Internet ausgedruckten Formulare zur nächsten Postfiliale. Die Unterlagen werden am Schalter mit gültigem Ausweisdokument vorgelegt und somit durch den Postmitarbeiter legitimiert.

Auch wenn dieses Verfahren bereits optimiert ist und Eröffnungsunterlagen nicht auf mehrfachen Postwegen versendet werden müssen, ist es im Vergleich zum VideoIdent-Verfahren bzgl. der Durchführung aufwändiger. Durch das neue, inzwischen auch vom Bundesministerium für Finanzen genehmigte VideoIdent-Verfahren, wird es dem Antragsteller noch einfacher gemacht: Er spart Zeit und Weg.

So funktioniert das VideoIdent-Verfahren

Beim neuen Video-Ident kann der Kunde sich direkt per Videoübertragung von zu Hause oder unterwegs legitimieren. Alles was der Kunde dazu benötigt, ist ein Rechner, Tablet oder Smartphone mit Webcam, eine stabile Internetverbindung und einen gültigen Personalausweis bzw. Reisepass.

VideoIdent - So funktioniert das Verfahren

Die Online-Identifikation erfolgt über einen Video Call mit einem geschulten Mitarbeiter und dauert nur drei bis fünf Minuten. Dabei wird der Kunde aufgefordert, den gültigen Ausweis mit Vorder- und Rückseite vor die Webcam zu halten, sodass das Hologramm und weitere Sicherheitsmerkmale geprüft werden können.

Zur Dokumentation werden sogenannte Screenshots angefertigt und das Gespräch aufgezeichnet. Dazu bedarf es allerdings der Zustimmung des Kunden.

Zum Abschluss muss eine TransAktionsNummer, kurz TAN, online in das entsprechende Formular eingegeben werden. Die TAN wird dem Kunden per SMS oder E-Mail zugestellt. Ganz einfach, schnell und sicher!

Um Missbrauch vorzubeugen, kommt ausnahmslos speziell geschultes Personal bei der Durchführung der Identifikation zum Einsatz. Das müssen nicht zwangsläufig Bankangestellte sein. Einige Banken nutzen den Service externer Dienstleister. Die Legitimation soll sogar rund um die Uhr möglich sein.

Sicherheitsaspekte beim VideoIdent-Verfahren

Viele Verbraucher stellen jedoch, verständlicherweise, die Sicherheit eines solchen VideoIdent-Verfahrens in Frage. Ist dies wirklich so sicher? Wie wird mit dem Thema Datenschutz des einzelnen Bürgers beim VideoIdent umgegangen? Wie sieht es mit den rechtlichen Anforderungen für die Sicherheit eines solchen VideoIdent aus? Fragen über Fragen zur Datensicherheit beim VideoIdent. Einen Großteil werden wir Ihnen nachfolgend beantworten.

Anforderungen des Bundesministeriums für Finanzen

Im April hat das Bundesministerium für Finanzen, das BMF, ein Anschreiben verschickt (siehe hier:  2015/0339066), in dem die Kreditwirtschaft informiert wurde über die ausreichende Absicherung der datenschutzrechtlichen Anforderungen bei der Videoidentifizierung nach dem Geldwäschegesetz. Dieses Anschreiben stellt eine Erklärung der datenschutzrechtlichen Leitlinien der Bundesbeauftragten für Datenschutz und der Informationsfreiheit (BfDI) dar.

Skepsis gegenüber „Skype“

Dabei wird u. a. auf die Verwendung des Programms „Skype“ eingegangen. Gemäß dem genannten Schreiben weist die BfDI „darauf hin, dass gegenüber einer Einbindung des Kommunikationsprogrammes Skype in den Identifizierungsprozess erhebliche Skepsis besteht. Diese resultiere aus der umfassenden, auch inhaltlichen Kontrolle der Gesprächsinhalte durch diesen Anbieter, der sich in seinen AGB das Einverständnis erteilen lasse, die vollständigen Kommunikationsinhalte des Nutzers mitlesen und auswerten zu dürfen. Dabei konnte aufgedeckt werden, dass dies auch tatsächlich umgesetzt werde.“ Das Bundesministerium für Finanzen weiter:  Aus diesem Grunde sollten nach Ansicht der BfDI Kommunikationsprogramme genutzt werden, die solche Regelungen in ihren AGBs nicht vorsehen und auch nicht de facto praktizieren.“

IDnow der führende Anbieter bei Videoidentifizierung

Der führende Anbieter in Deutschland in Sachen VideoIdent ist IDnow. Für Verbraucher wie Banken und Versicherungen gleichermaßen wichtig ist dabei v. a. wie erfüllt der Marktführer die Anforderungen, welche das Bundesministerium für Finanzen und der BfDI an das neue Authentifizierungsverfahren per Video hierzulande stellen.

Wie erfüllt IDnow die Anforderungen des BMF?

Das Münchner Unternehmen ist die Nummer eins in Deutschland, wenn es um das VideoIdent-Verfahren geht. Inzwischen hat IDnow klar Stellung bezogen zu den Anforderungen, die gestellt werden und wie die Identifizierung von Bürgern durch VideoIdent beim Unternehmen durchgeführt wird.

Screenshots des Ausweisdokuments

Bei der Diskussion um die Datensicherheit beim VideoIdent-Verfahren ging es besorgten Bürgern v. a. um mitgeschnittene Inhalte während einer Authentifizierung im Zuge eines Antragsverfahrens. Da die Identifikation per Video durchgeführt wird, stellte sich natürlich die Frage, inwieweit Videoaufnahmen während des Videochats gemacht und gespeichert werden.

Wie das Unternehmen in München erklärte, wird bei der Videoaufnahme ein Screenshot des Ausweisdokuments gespeichert. Aber, und hier zeigt das IDnow-System wie gut es ist: Die erhobenen Daten werden auf ein Minimum reduziert. Zudem wird eine automatische Schwärzung von den Ausweisdaten vorgenommen, welche nicht für die Authentifizierung benötigt werden. Die Daten werden entsprechend auch nur mit der Schwärzung im System bzw. durch die IDnow-Software gespeichert.

Zudem fertigt IDnow bei der Videoübertragung eine akustische Aufzeichnung des Gesprächs mittels eines Tonmitschnitts an. Dieser kann je nach Verwender gespeichert oder nicht gespeichert werden. Dies lässt das IDnow Auftraggeber frei. Der Tonmitschnitt des Gesprächs ist damit verwendbar oder nicht, je nachdem, ob das entsprechende Unternehmen für das VideoIdent-Verfahren eine solche Tondatei für erforderlich hält.

Einwilligung geht vor Identifizierung!

Wichtig bei der Videoidentifizierung ist die Einwilligung des Teilnehmers. Im IDnow-System ist dies einfach und vor allem datenschutzgerecht gelöst. Bevor es zur eigentlichen Identifizierung des Kunden kommt, muss dieser mit dem Setzen eines entsprechenden Häkchens seine Einwilligung zum VideoIdent-Verfahren geben.

Zudem klärt der Mitarbeiter, der die Legitimierung des Antragstellers während des VideoIdent vornimmt, zu Beginn des Antragsprozesses einige Einwilligungserklärungen mit dem Kunden zu folgenden Punkten ab:

  • der Speicherung persönlicher Daten  wie Ausweisdaten und

der Aufnahme einer Fotokopie von Antragsteller sowie seinem Ausweisdokument.

Was passiert bei einem Abbruch des Identifizierungsprozesses?

Gibt der Kunde seine Einwilligung nicht, wird das VideoIdent-Verfahren abgebrochen und die Daten, die sich bereits im „flüchtigen Arbeitsspeicher“ des Systems befinden, so IDnow, „umgehend gelöscht“. Das IDnow-System nimmt keine Speicherung der Kundendaten vor, wenn die Identifizierung (aus welchen Gründen auch immer) abgebrochen wurde.

Eingabe von Transaktionsnummern während der Identifizierung

Bei der Zustellung der TAN, die während des Identifizierungsprozesses für das VideoIdent-Verfahren benötigt wird, achtet IDnow darauf, dass die Transaktionsnummer nicht über den gleichen Datenkanal wie den der Identifizierung selbst, zugestellt wird. D. h. wird ein PC genutzt und die Videoidentifizierung über den Browser durchgeführt, wird die TAN über eine Telefonleitung als SMS seitens des Systems zugestellt. Bei der Nutzung des Smartphones für das VideoIdent-Verfahren wird eine native App seitens des Anbieters einsetzt, damit der Kunde die TAN nicht auf dem gleichen Übertragungsweg wie dem des Videochats erhält.

Die Zustellung der Transaktionsnummer auf einem anderen Weg als dem der Identifikation selbst ist wichtig um entsprechende Sicherheitsvorkehrungen zu gewährleisten. Das IDnow-System zeigt hier, wie relevant für den Marktführer IDnow der Schutz nicht nur der Nutzerdaten, sondern der der Nutzersysteme selbst ist.

Ganz wichtig: IDnow-System arbeitet nicht mit Skype!

Einer der wichtigsten Punkte ist die Verwendung von Skype bzw. deren Nichtverwendung durch die Software von IDnow. Das System wurde vom Marktführer des VideoIdent-Verfahrens selbst entwickelt und setzt nicht auf Videoübertragung durch Skype.

Dabei setzt das IDnow-System auf Sicherheit und Datenschutz. Die Kommunikation läuft nicht über den externen Telefonanbieter wie es bei anderen VideoIdent-Systemen zum Teil der Fall ist.
Die Nutzung von Fremdsoftware beim VideoIdent-Verfahren ist eine sehr fragliche Sache, weshalb sich, wie bereits weiter oben angeführt, das Bundesministerium für Finanzen sowie die Bundesbeauftragte für Datenschutz und der Informationsfreiheit, Andrea Voßhoff, gegen eine Nutzung von Skype beim Identifizierungsprozess per Videochat ausgesprochen haben.

Fazit zur Sicherheit des VideoIdent-Verfahren:

Arbeitet eine Bank, eine Versicherung oder ein anderes Unternehmen mit dem VideoIdent-Verfahren, ist dies als fortschrittlich und kundenorientiert zu betrachtet. Aber nicht jeder Anbieter für das VideoIdent-Verfahen hat die gleiche Software. Die Systeme können ganz unterschiedlich arbeiten.

Deshalb ist es wichtig vor der Identifizierung per VideoIdent darauf zu achten, welcher Anbieter seitens der Bank oder des Unternehmens genutzt wird. Arbeitet dieser mit Skype, ist dies datenschutzrechtlich mehr als bedenklich. Die klare Absage von IDnow an das Nutzen von Skype und zwei unterschiedliche Übertragungswege von Videoaufnahme und Transaktionsnummer sprechen in Deutschland deshalb deutlich für den Marktführer in diesem Bereich.

Neue Vorgaben durch BaFin - Was sich ab dem 1. Januar 2017 ändert

In einem Rundschreiben der BaFin vom 10.06.2016 hat die Behörde bekanntgegeben, dass sich die Vorgaben für das VideoIdent-Verfahren ändern werden. Zunächst sollten die neuen Regeln ohne Übergangsfrist gelten, im Juli teilte die BaFin jedoch mit, die Vorgaben bis Ende 2016 auszusetzen. Grund dafür ist eine neue Europäische Geldwäscherichtlinie, die Anfang 2017 in Kraft treten wird.

Folgende Vorgaben werden neu eingeführt:

VideoIdent-Verfahren nur noch bei Kreditinstituten

Das VideoIdent-Verfahren darf ab Januar nur noch durch Kreditinstitute durchgeführt werden. Das trifft vor allem FinTechs, also Start-ups und Wachstumsunternehmen wie N26, die das Verfahren dann nicht mehr zur Identifizierung nutzen dürfen. Gerade solche Unternehmen profitieren bisher von dem Komfort, den ein VideoIdent-Verfahren mit sich bringt.

Transaktion von anderem Konto

Außerdem wird ab Anfang nächsten Jahres zum Abschluss der Identifikation eine Überweisung des Kunden von einem bestehenden Konto auf das neue Konto verlangt. Die Höhe des Geldbetrages ist nicht festgelegt. Das bestehende Konto muss auf den Namen des Kunden lauten und bei einem Kreditinstitut der EU geführt werden. Das bedeutet auch, dass junge Menschen, die noch kein Konto besitzen, das VideoIdent-Verfahren künftig nicht mehr werden nutzen können.

Erneute Überprüfung durch das Kreditinstitut

Die dritte Änderung besagt, dass Kreditinstitute nach dem VideoIdent-Verfahren die Identität des Kunden erneut überprüfen müssen, indem sie öffentlich zugängliche Quellen durchsuchen – etwa soziale Netzwerke oder andere Internetseiten. Wie das in der Praxis umgesetzt werden soll, ist noch unklar.

 

Quelle: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2016/rs_1604_gw_videoident.html