In ihrem Rundschreiben 3/2017 vom 10.04.2017 präzisiert die BaFin die Anforderungen an die Nutzung von sogenannten Videoidentifizierungsverfahren. Dabei geht es um die Möglichkeit, Bankgeschäfte online per „Video-Chat“ abzuwickeln.
© Kai Hartmann Photography / BaFin
Prüfung der Identität des Bankkunden
Erteilt ein Kunde seiner Bank einen Auftrag, muss die Bank sicherstellen, dass der Auftraggeber auch der tatsächlich Berechtigte ist. Das gilt nicht nur, aber insbesondere bei Zahlungsdienstleistungen wie der Überweisung. Ein Zahlungsvorgang ist gegenüber dem Kunden nur wirksam, wenn er diesem zugestimmt, ihn also autorisiert hat (§ 675j Abs. 1 BGB). Gängigste Autorisierungsmethode ist die Freischaltung von Aufträgen durch TAN (Transaktionsnummern), die etwa per SMS auf das Handy des Kunden übertragen werden (mTAN).
Auch bankaufsichtsrechtliche Vorschriften verpflichten die Kreditinstitute, in bestimmten Fällen die Identität des Vertragspartners zu prüfen. Hierzu zählen auch Regelungen des GwG. § 6 Abs. 2 Nr. 2 GwG enthält Vorgaben, wie die Identität von Personen überprüft werden muss, die nicht persönlich anwesend sind.
BaFin zum Videoidentifizierungsverfahren
Eine noch recht junge Form der Autorisierung ist der „Video-Chat“, bei dem der Kunde Bankgeschäfte im Video-Dialog mit einem Kundenberater der Bank abwickeln kann. Im Rundschreiben 3/2017 vom 10.04.2017 präzisiert die BaFin, welche Anforderungen sie an solche Videoidentifizierungsverfahren stellt. Sie hält die Identifizierung per Videoübertragung für möglich, weil sich der Bankmitarbeiter und der Nutzer „von Angesicht zu Angesicht“ gegenübersitzen und kommunizieren. Allerdings müssen die Kreditinstitute eine Reihe von Sicherungsmaßnahmen treffen, die insbesondere verhindern sollen, dass Unbefugte Aufträge manipulieren können:
Die Banken müssen geschulte Mitarbeiter einsetzen, können aber die Identifizierung auch durch Dritte erbringen lassen (§ 7 GwG). Die Kommunikation zwischen Benutzer und Bankmitarbeiter muss verschlüsselt abgewickelt werden.
Besondere Sorgfalt ist bei der „Video-Prüfung“ von Ausweisen aufzuwenden, die der Bank nicht physisch vorgelegt werden können. Die Überprüfung des Ausweisdokuments muss dann über die Bildverbindung erfolgen. Geprüft wird zunächst, ob es sich um ein echtes Dokument handelt; dies erfolgt anhand der Sicherheitsmerkmale wie Hologramme oder Laserkippbilder, die verwendeten Schriftarten und Schriftgrößen, die Farbe des Dokuments und die sogenannte Guillochenstruktur. Der maschinenlesbare Teil des Dokuments wird automatisiert ausgewertet.
Der Benutzer muss nach Anweisung durch den Bankmitarbeiter den Ausweis vor der Kamera bewegen. Weiter muss geprüft werden, ob das Ausweisdokument zu dem Benutzer passt und die Anfrage plausibel ist. Das Rundschreiben fordert hier „psychologische Fragestellungen und Beobachtungen“. Wenn die visuelle Prüfung nicht möglich ist, etwa weil die Übertragungsqualität zu schlecht ist, muss der Identifizierungsvorgang abgebrochen werden.