Videoidentifizierung in Deutschland — Regulatorik und Anbieter
Kai Lorberg, FinTech Lead Analyst
1 Grundlagen der Videoidentifizierung
Die digitale Konto- und Depoteröffnung im Banking ist schon lange zum Hygienefaktor für potentielle Neukunden geworden. Unternehmen wie N26 setzen neue Standards beim Geschäftsabschluss mit revolutionären Geschäftsmodellen –wie etwa eines für das Smartphone optimierten und volldigitalen Girokontos. Die Verifizierung der Identität des Kunden ist hierbei für verschiedene Prozesse wie etwa der Eröffnung eines Girokontos gesetzlich vorgeschrieben. Neue und digitale Geschäftsmodelle haben jedoch den Nachteil, dass die Identität des Kunden nicht oder nur schlecht verifiziert werden kann (etwa aus Ermangelung eines flächendeckenden Filialnetzes), so dass hier in der Vergangenheit häufig das POSTIDENT-Verfahren genutzt werden musste, welches die Identitätsfeststellung in einer der zahlreichen Postfiliale ermöglicht.
Im Zuge der neuen technologischen Möglichkeiten und den daraus entstehenden Geschäftsmodellen, haben sich auch die Bedürfnisse der Kunden gewandelt. Moderne Kunden erwarten etwa, dass Bankdienstleistungen rund um die Uhr genutzt werden können sowie dass diese unabhängig von restriktiven Öffnungszeiten sind. Dies trifft generell auch auf damit verbundene Vorgänge, wie etwa der Identitätsfeststellung, zu.
Im Rahmen solcher digitaler Kontoeröffnungen steigt der Bedarf an Lösungen zur rechtskonformen Identitätsfeststellung, welche auch den modernen Kundenbedürfnissen und Geschäftsmodellen entsprechend Rechnung tragen. Die digitale Kontoeröffnung und Identitätsfeststellung bieten dabei grundsätzlich zahlreiche Vorteile wie etwa geringere Kosten durch Automatisierung, Standardisierung und Digitalisierung, eine gesteigerte Kundenzufriedenheit, Zeitersparnisse für Kunden und Mitarbeiter sowie eine hohe Prozesskonformität mit den relevanten Gesetzen (insbesondere dem GWG) durch outsourcing an spezialisierte Dienstleiter.
Das Unternehmen WebID Solutions hat diesbezüglich ein Verfahren entwickelt, welches eine Identifizierung von Kunden über Video erlaubt und durch die Behörden im Februar 2014 anerkannt wurde. Dieses Verfahren etabliert sich derzeit, was sich etwa im Marktwachstum oder den wachsenden Anbieterzahlen ausdrückt. Die meisten der damit verbundenen Vorteile treten jedoch natürlich nur bei entsprechend hoher Qualität der Dienstleistung auf.
Bei aktuellen Angeboten zur Identitätsfeststellung via Video kritisieren Kunden jedoch teilweise hohe Wartezeiten sowie technische Probleme, welche etwa dazu führen, dass der Identifizierungsprozess mehrfach abgebrochen werden muss, bevor die Identität letztlich festgestellt werden kann. Die Wahl des richtigen Partners ist damit essentiell, da sonst die Servicequalität sowie der Serviceumfang möglicherweise ungenügend sind und so die Kundenzufriedenheit und Prozessabläufe negativ beeinflussen können.
Alternativ könnte eine Videoidentifikation natürlich auch durch interne Mitarbeiter erfolgen, dies würde jedoch entsprechende Kapazitäten erfordern und letztlich nur für wenige Institute ökonomisch sinnvoll sein.
Die vorliegende Studie soll einen kurzen Überblick über die grundsätzlichen regulatorischen Anforderungen geben sowie die verschiedenen Dienstleister und deren Angebot vergleichend gegenüberstellen. Diese Gegenüberstellung erlaubt eine Bewertung der verschiedenen Anbieter anhand zentraler Faktoren.
2 Regulatorische Anforderungen
Zunächst ist festzuhalten, dass das Bundesministerium für Finanzen (BMF) die Videoidentifizierung als legitimes Identifizierungsverfahren ansieht, welches den grundsätzlichen Bestimmungen des Geldwäschegesetzes (GwG) genügt (insbesondere dem Aspekt der „persönlichen Anwesenheit“). Grundsätzlich gelten die allgemeinen Identifizierungspflichten, welche im GwG kodifiziert sind.[1]Eine Videoidentifizierung juristischer Personen ist hingegen grundsätzlich nicht möglich.[2]
Die BaFin hatte mit Bezug auf die Anforderungen an eine konforme Videoidentifizierung in 2016 bereits zwei Rundschreiben veröffentlicht, welche aber nach Kritik aus der Branche zurückgezogen wurden. In der letzten Fassung des Rundschreibens (3/2017) bestimmt die BaFin jedoch die grundsätzlichen Anforderungen an eine konforme Videoidentifizierung, welche kumulativ und vollumfänglich einzuhalten und am 15.06.2017 in Kraft getreten sind. Grundsätzlich müssen Banken und VideoIdent-Anbieter damit dem Rahmenwerk der BaFin folgen. Davon abweichende Vorgänge im Rahmen der Videoidentifizierung sind unzulässig.
Die verpflichtenden Anforderungen an eine konforme Videoidentifizierung sind vollständig Im Anhang A aufgeführt. Auf der nachfolgenden Seite sind die Anforderungen zwecks einer besseren Übersichtlichkeit jedoch grafisch dargestellt.
3 Anbietervergleich
Der Markt für Videoidentifizierung wird in Deutschland von den zwei spezialisierten Anbietern IDnow und WebID Solutions sowie der Deutschen Post dominiert. Überdies existieren mit CheckIdent, LiveIDENT und Arvato noch weiter Anbieter, welche sich aber bisher kaum etablieren konnten und auf Grund der mangelhaften Verfügbarkeit öffentlicher Informationen und Referenzen nicht in den nachfolgenden Vergleich der Anbieter einfließen sollen. Zu erwähnen sei, dass die Anbieter aus Deutschland –und hier insbesondere WebID Solutions –als Pioniere der Technik gesehen werden können, welche im Bereich der Videoidentifizierung sowie verwandter Dienstleistungen wie etwa der elektronischen Signatur weltweit führend sind. Bereits zum August 2017 konnte die Identität von über 1,75 Millionen Nutzern durch WebID Solutions verifiziert werden, wobei die starke Wettbewerbsposition etwa auch durch verschiedene Expansionsbestrebungen unterstrichen wird. WebID Solutions bietet seinen Service bereits in Indien an und hat Patenterteilungsverfahren für die USA, China und Hongkong eingereicht.
Die Faktoren anhand derer die Videoidentifizierungs-Dienstleistungen (und ihre Anbieter) differenziert sowie in Qualität und Leistungsumfang bewertet werden können, lassen sich durch die fachliche sowie die technische Dimension abbilden. Hinsichtlich der Regulatorik (als mögliche dritte Dimension) wird davon ausgegangen, dass alle drei großen Anbieter die regulatorischen Anforderungen grundsätzlich erfüllen. Diese Annahme resultiert aus der Großzahl ausgewiesener relevanter Referenzen bedeutender Institute, welche den Erfüllungsgrad der regulatorischen Anforderungen im Rahmen der Geschäftsanbahnung sicher ausreichend geprüft haben.
Die Bewertung der Dimensionen wird um die Bewertungen von Kunden beziehungsweise Nutzern ergänzt. Dazu werden die Bewertungen der Plattformen Google Play (Android) und App Store (iOS) herangezogen. Die Bewertung der Apps durch die Nutzer ist letztlich auch (und zum Großteil) eine Bewertung des Verfahrens der Identitätsfeststellung, so dass die aggregierte Meinung tausender Nutzer durchaus einen Hinweis auf die Nutzererfahrung und die Servicequalität geben kann.
Die nachfolgende Tabelle fasst damit zentrale Informationen über die drei großen Anbieter übersichtlich zusammen. Details zu den Bewertungskriterien befinden sich in Anhang B.
Wie man sieht bestehen zwischen den drei großen Anbietern teilweise eklatante Unterschiede im Leistungsspektrum. Auffällig ist, dass alle Anbieter Einschränkungen hinsichtlich der unterstützen Browser haben, wobei insbesondere das Fehlen des Internet Explorers bedingt durch die Vielzahl an Nutzern kritisch gesehen werden muss.
WebID Solutions bietet mit über 2.500 Ausweisdokumenten aus 175 Ländern die größte Bandbreite an potenziell zu identifizierbaren Nutzern, wird jedoch durch Kunden am schlechtesten bewertet. IDnow zeichnet sich etwa durch die Integrierbarkeit der App, relativ guten Kundenbewertungen sowie einer insgesamt sehr guten Informationspolitik aus. Die Deutsche Post hingegen ist zwar ein großer, vertrauenswürdiger und etablierter Anbieter, zeichnet sich jedoch in keiner Weise besonders aus. Lediglich die Bewertung der iOS-App durch über 16.000 Kunden mit durchschnittliche 4.8 von 5 Punkten ist bemerkenswert.
4 Fazit
Es ist sehr wahrscheinlich, dass die Videoidentifizierung sich zumindest mittelfristig zur dominanten Art der Identitätfeststellung entwickelt und das tradierte offline Postident-Verfahren oder die Feststellung in einer Filiale in den meisten Fällen ersetzt. Das Verfahren wurde maßgeblich durch die Anbieter WebID Solutions und IDnow vorangetrieben, welche zumindest europaweit auch führend auf dem Markt sind.
Die Behörden akzeptieren die Videoidentifizierung als grundsätzlich regelkonform und in Einklang mit der Gesetzgebung, wobei auch nicht von einem erhöhten Risiko durch den Prozess ausgegangen wird. Die BaFin hat jedoch (nach mehreren Anläufen) die konkreten regulatorischen Anforderungen in ihrem Rundschreiben aus 2017 festgehalten. Der regelkonforme Prozess einer Videoidentifizierung wurde dabei in Abbildung 1 festgehalten.
Der deutsche Markt wird von drei Anbietern dominiert, wobei weitere kleinere Anbietern existieren, welche jedoch als nur wenig relevant gesehen werden können. Dies manifestiert sich etwa durch kaum vorhandene Informationen zum Leistungsspektrum und zu Referenzen. Generell ist jedoch auch die Informationspolitik der Großen –abgesehen von IDnow –eher schlecht, so dass viele Informationen öffentlich nicht zugänglich sind (dies bezieht sich insbesondere auf Preisangaben, Angaben zur technischen Implementierung oder zu sonstigen technischen Aspekten).
Durch den Vergleich der relevanten Anbieter anhand verschiedener Faktoren kann gezeigt werden, in welchen Aspekten sich die Leistungsspektren grundlegend unterscheiden. Für die Implementierung besonders kritische Faktoren sind dabei: die Anzahl und Art der unterstützen Browser, die Zahl der identifizierbaren Ausweisdokumente, die Anzahl verfügbarer Sprachen neben Deutsch (insbesondere Englisch), die Möglichkeit des Customizings und der Integration in das bestehende Angebot sowie die Bewertung des Angebots durch die Kunden.
Ein abschließendes Urteil der Vorteilhaftigkeit zwischen den Anbietern kann nur abhängig von den Anforderungen erfolgen. Überdies ist der (nicht ausgewiesene) Preis natürlich ein entscheidendes Kriterium, welches jedoch in den Vergleich nicht einbezogen wurde. Insgesamt soll damit ein abschließendes Fazit im Sinne einer Empfehlung oder einer Wahl des besten Anbieters ausbleiben. Grundsätzlich zeichnet sich IDnow jedoch durch die gute Informationspolitik und die vergleichsweise guten Kundenrezensionen aus, wobei WebID Solutions die mit Abstand größte Zahl an identifizierbaren Ausweisdokumenten und Referenzen aufweist.
Kai Lorberg is a FinTech Lead Analyst at micobo GmbH. He can be contacted via e-mail (kl@micobo.com).
Quellen
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1703_gw_videoident.html
https://www.webid-solutions.de
https://www.deutschepost.de/de.html
https://www.gesetze-im-internet.de/gwg_2017/
Anhang
A) Zusammenfassung der regulatorischen Anforderungen seitens der BaFin an die Identitätsfeststellung mittels Videoidentifizierung
Identifizierung durch geschulte Mitarbeiter
1. Identifizierung nur durch geschultes Personal (erforderliche Kenntnisse über: prüfbare Merkmale und anzuwendenden Prüfverfahren, gängige Fälschungsmöglichkeiten, datenschutzrechtliche Vorschriften und Anforderungen des BaFin-Rundschreibens 3/2017);
2. Es muss eine geeignete Dokumentation hinsichtlich der prüfbaren Merkmale und der entsprechenden Schulungsmaßnahmen vorliegen;
3. Die Mitarbeiter sind vor Aufnahme der Tätigkeit entsprechend zu schulen und Inhalte auch nachfolgend in regelmäßigen Abständen oder bei Bedarf (etwa Änderung der datenschutzrechtlichen Anforderungen oder Bekanntwerden neuer Betrugsmöglichkeiten);
4. Eine weitere Auslagerung der mit der Videoidentifikation beauftragten Unternehmen an externe Callcenter/Subunternehmen ist nichtzulässig.
Räumlichkeiten
5. Mitarbeiter müssen sich während der Identifizierung in abgetrennten Räumen mit Zugangskontrolle befinden.
Einverständnis
6. Die zu identifizierende Person muss sich mit Prozess und Aufzeichnung sowie Dokumentation vor Beginn des Identifizierungsprozesses einverstanden erklären.
Technische und organisatorische Anforderungen
7. Die Zuteilung der Identifizierungsvorgänge muss in der Art gestaltet sein, dass die Mitarbeiter den zu identifizierenden Personen zufällig zugewiesen werden;
8. Die Videoidentifizierung muss in Echtzeit, ohne Unterbrechung und in ausreichender Qualität möglich sein, so dass eine zweifelsfreie Identifizierung der Sicherheitsmerkmale möglich ist (zur Bewertung der Bildqualität sind etwa aussagekräftige Bildelemente wie etwa Mikroschriften zu definieren);
9. Um Vertraulichkeit und Integrität zu gewährleisten, ist der Videochat Ende-zu-Ende zu verschlüsseln (Es sind hierbei die Empfehlungen der technischen Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) TR-02102 einzuhalten);
10. Während der Videoübertragung sind Fotos/Screenshots anzufertigen, auf denen die zu identifizierende Person, Vorder- und Rückseite des Ausweisdokuments sowie die enthaltenen Angaben deutlich zu erkennen ist.
Zulässige Ausweisdokumente
11. Es dürfen nur solche Ausweisdokumente zur Identifikationsfeststellung verwendet werden, welche über ausreichend fälschungssichere Sicherheitsmerkmale[1]verfügen und zudem unbeschädigt und nicht manipuliert ist sowie kein Bild aufgeklebt hat.
Überprüfung des Ausweisdokumentes
12. Bei Prüfung ist von einer Übereinstimmung auszugehen, sofern drei zufällig ausgewählte Sicherheitsmerkmale verschiedener Kategorien validiert werden können;
13. Es ist durch IT-Unterstützung oder alternativ dazu durch einen Mitarbeiter zu prüfen, ob im Weißlicht zu erkennende optische Sicherheitsmerkmale in Form und Inhalt zu den auf den Ausweis enthaltenden individuellen Merkmalen passen bzw. mit Referenzen aus einer Ausweisdatenbank übereinstimmen;
14. Das Interview mit der zu identifizierenden Person sollte hinsichtlich des Ablaufs variationsreich sich (Reichenfolge/Art der Fragen);
15. Im Rahmen des Identifizierungsverfahrens sind entsprechend Gültigkeits- und Plausibilitätsprüfungen vorzunehmen (zwingend sind hier eine automatisierte Berechnung der Prüfziffer sowie ein Kreuzvergleich der Angaben mit den Angaben im Sichtfeld des Ausweisdokuments);
16. Die Korrektheit von Ziffernorthographie, Behördenziffer und verwendeter Schriftarten ist zu prüfen;
17. Einer Substitution/Manipulation ist durch geeignete Maßnahmen[2]entgegenzuwirken;
18. Zu identifizierende Personen haben im Prozess die vollständige Seriennummer des Ausweisdokumentes mitzuteilen.
Überprüfung der zu identifizierenden Person
19. Es ist zu überprüfen ob Lichtbild und Personenbeschreibung zu der zu identifizierenden Person passen sowie ob Lichtbild und Daten zueinander kohärent sind;
20. Durch Fragestellungen und Beobachtungen hat sich der Mitarbeiter von der Plausibilität der Angaben zuüberzeugen (etwa Fragen zum Alter);
21. Der Anlass für die Identifizierung ist durch de zu identifizierende Person zu nennen. Ferner soll festgestellt werden, ob diese das Produkt nach eigenem Willen erwirbt;
22. Es ist überdies zu prüfen, ob die gemachten Angaben mit bereits bestehenden Daten übereinstimmen.
Abbruch des Videoidentifizierungsvorgangs
23. Die Videoidentifizierung ist bei mangelnder Übertragungsqualität (Ton, Bild, Verzögerung) oder bei sonstigen Unstimmigkeiten oder Unsicherheiten abzubrechen.
Übermittlung einer TAN
24. Das Identifizierungsverfahren ist abzuschließen, indem während der Übertragung eine zentral generierte und vom Mitarbeiter per E-Mail oder SMS übermittelte Ziffernfolge (TAN) vom zu Identifizierenden eingeben und vom System abgeglichen wird.
Aufbewahrung und Aufzeichnung
25. Der gesamte Prozess der Videoidentifizierung ist für die interne und externe Revision sowie die BaFin nachprüfbar in allen Einzelschritten aufzuzeichnen (optisch und akustisch) und aufzubewahren;
26. Aufzeichnungen sind gemäߧ8 Abs. 3 GwG fünf Jahre aufzubewahren.
Datenschutz
27. Neben diesen Anforderungen sind daneben zu beachtende Anforderungen des GwG sowie parallel zu beachtender datenschutzrechtlichen Anforderungen zu berücksichtigen.
B) Bewertungskriterien
Zwei Dimensionen, da Regulatorik bei großen Anbietern mit wichtigen Bankreferenzen sicher eingehalten sowie Prüfung durch Bafög und KWG/GWG Audits.
1. Die fachliche Dimension
a) Legitimierung nach GWG (i.S.v. ja/nein)
a) Möglichkeit einer rechtsgültigen elektronischen Signatur (i.S.v. ja/nein)
b) Auslagerung Call Center an Subunternehmer (i.S.v. ja/nein)
c) Ort des Call Centers (Land)
d) Wichtigste Referenzen
e) Anzahl Länder für Legitimierung (Anzahl an Ländern deren Pässe legitimiert werden können)
f) Anzahl Ausweisdokumente für Legitimierung (Anzahl der verschiedenen akzeptierten Ausweisdokumente über alle Länder)
g) Verfügbarkeit außerhalb Deutschlands (Länder)
h) Schulung der Call Center Mitarbeiter (wie werden die Mitarbeiter geschult?)
i) Servicezeiten des Call Centers (i.S.v. erreichbar von-bis)
j) Sprachen Call Center (in welchen Sprachen kann der Identifikationsprozess durchgeführt werden?)
2. Die technische Dimension
a) Schnittstellen (welche Schnittstellen werden genutzt — z.B. Rest, SOAP?)
b) Ausreichende Schnittstellendokumentation verfügbar (i.S.v. ja/nein)
c) App zur Legitimierung
d) Integrierbarkeit der App (i.S.v. welche Systeme/nein)
e) Customizing möglich (i.S.v. ja/nein)
f) Unterstütze Browser (über welche Browser kann Identifikationsprozess erfolgen?)
3. Rezensionen
a) Google Play (Note/Bestnote, Anzahl Bewertungen)
b) App Store (Note/Bestnote, Anzahl Bewertungen)
[1]Solche Sicherheitsmerkmale lassen sich etwa kategorisieren in: beugungsoptisch wirksame Merkmale (Hologramme), Personalisierungstechnik (Laserkippbilder), Material (Optisch variable Farbe) oder Sicherheitsdruck (Mikroschrift).
[2]Die BaFin gibt hierzu Beispiele wie das verdecken sicherheitsrelevanter Merkmale mittels eines Fingers mit anschließender Ausschnitts-Vergrößerung und Prüfung auf das Vorhandensein von Artefakten durch den zu Identifizierenden.
[1]https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/rs_1401_gw_verwaltungspraxis_vm.html.
[2]https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1703_gw_videoident.html.
