„Die Endnutzer sollten entscheiden können, wie sie sich identifizieren wollen“
IM INTERVIEW: ARMIN BAUER
„Zu wenig Schutz vor Deep Fakes“
Nur auf KI basierende Identifizierungsprozesse sind aus Sicht von IDNow keine Lösung
Die Fragen stellte Björn Godenrath.Das Bundesfinanzministerium hat einen Vorschlag für volldigitale KYC-Verfahren vorgelegt. Armin Bauer, Chief Technology Officer (CTO) von IDNow, begrüßt den Ansatz, verschiedene Verfahren zuzulassen. Die Entscheidung solle beim Endnutzer liegen, sagt er.
Herr Bauer, wie beurteilen Sie den Referentenentwurf und die damit geschaffenen Marktbedingungen?
Wir sehen den Referentenentwurf als positives Signal aus Berlin. Die Videoidentifizierungsverfahren sollen nun endlich per Verordnung geregelt werden, anstatt wie bisher durch das BaFin-Rundschreiben von 2017. Zusätzliche Verfahren, wie teil- und vollautomatisierte Verfahren, die wir seit 2020 in Berlin als Alternativen zum klassischen VideoIdent platzieren, sowie die eID-Funktion sollen künftig auch im Bereich des Geldwäschegesetzes möglich sein. Das würde die Modernisierung in diesem Sektor in Deutschland deutlich voranbringen und mit anderen EU-Ländern, in denen diese Verfahren auch im Finanzbereich gang und gäbe sind, gleichsetzen, und somit positiv zum innereuropäischen Wettbewerb beitragen.
Welche Pros und Cons kristallisieren sich heraus?
Ein großer Vorteil der Zulassung mehrerer Verfahren wäre die Möglichkeit, den Endnutzern die Entscheidung zu überlassen, welches Verfahren sie zur Identifizierung nutzen wollen – ganz nach ihren persönlichen Wünschen und Fähigkeiten. Neben der persönlichen Identifizierung in der Filiale sind die Video-Identifikation genau wie Verfahren, in denen die eID zum Einsatz kommt, nicht mehr wegzudenken. Es wird für Banken und Finanzdienstleister daher umso wichtiger, auf Anbieter zu setzen, die hohe Sicherheitsniveaus einhalten und alle Verfahren aus einer Hand anbieten können.
Und was sind die Mängel?
Der Entwurf hat tatsächlich einige Schwachstellen: Die Detailanforderungen, die in Artikel 10 und 11 des Referentenentwurfs stehen, müssen aus unserer Sicht im Anhörungsverfahren noch angepasst werden. Wir plädieren hier für die Übernahme aus dem BaFin-Rundschreiben 2017. Diese Anforderungen haben sich über viele Jahre bewährt und stellen sicher, dass weiterhin eine große Anzahl an Ausweisdokumenten für die Identifizierungsverfahren zugelassen ist. Das ist wichtig, um dieses Verfahren weiterhin für alle in Deutschland lebenden Personen zu ermöglichen und die Gruppe der Personen, die sich online nicht mit ihrem ausländischen Ausweisdokument ausweisen kann, möglichst klein zu halten und so Diskriminierung zu verhindern.
Wäre es ratsam, die KYC-Prozesse tatsächlich vollautomatisiert und allein KI-gesteuert ablaufen zu lassen, ohne „human hand“?
Die neu vorgeschlagenen Verfahren sollen das Onboarding modernisieren und wären für Banken und Dienstleister kostengünstiger als das klassische VideoIdent, bieten aber nicht so viel Schutz vor Deepfakes und Social Engineering-Angriffen. Sozialer Betrug, etwa Social Engineering und Finanzagenten, stellt weiterhin eines der größten Betrugsrisiken dar. Diese Form von Angriff lässt sich aus unserer Erfahrung nur in einem Video-Chat erkennen. Bei vollautomatisierten Verfahren gibt es keine Ansatzpunkte, um solche Angriffe zu identifizieren. Unsere Identifizierungsexperten stellen in einem leicht verständlichen Videoanruf sicher, dass der Benutzer wirklich derjenige ist, für den er sich ausgibt, und nicht unter Druck oder auf Anleitung einer dritten Person handelt.
Würde der verstärkte Einsatz teilautomatisierte Verfahren IDNow Umsatz kosten?
Wir sind mit unserem Portfolio, das neben dem klassischen VideoIdent alle Lösungen von automatisiert über teilautomatisiert bis hin zur eID umfasst, und unserer langjährigen Erfahrung im Markt sehr gut aufgestellt. Unsere teil- oder vollautomatisierten Lösungen sind seit Jahren erfolgreich im europäischen Ausland sowie im Inland in nicht GwG-relevanten Anwendungsfällen im Einsatz. Die Möglichkeit, mehr (teil-)automatisierte Verfahren hier in Deutschland einsetzen zu können, wäre somit eine positive Entwicklung für unser Geschäft.
Was werden denn weitere Einflussgrößen für den Markt sein? Die eID ist bislang ja doch eher ein Rohrkrepierer.
Die eID ist ein sicheres, zuverlässiges und schnelles Identifizierungsverfahren. Sie wird als Grundlage für die deutsche Umsetzung der EUDI-Wallet (gemäß der eIDAS 2-Verordnung) dienen und sollte daher breite Akzeptanz in der Bevölkerung genießen. Aus unserer Sicht wird die Verpflichtung zur eID, wie sie im aktuellen Verordnungsentwurf steht, für die Nutzerakzeptanz der Lösung jedoch nicht ausreichen. Dafür findet der Anwendungsfall Bankkontoeröffnung im Alltag der Bürgerinnen und Bürger zu selten statt. Mit einem eID-Boom ist daher nicht zu rechnen.
Es gibt aber noch begleitende Regulierung, oder?
Die zweite große Einflussgröße auf den Markt wird in den nächsten Jahren die eIDAS 2-Verordnung sein. Mit den geplanten EU Digital Identity Wallets wird eine Revolution im Markt stattfinden, weg von Einweg-KYC-Prozessen hin zu wiederverwendbaren Identitäten. Anstatt Endkunden immer wieder aufs Neue identifizieren zu müssen, können diese mit der digitalen Identity Wallet ihre verifizierten Identitäten abspeichern und beim nächsten Mal einfach wiederverwenden. Das wird bestehende Onboarding-Prozesse deutlich verschlanken und beschleunigen.
Hat der Referentenentwurf denn Chancen, dass er so als Verordnung kommt? Oder ist da eher mit kleineren oder größeren Änderungen zu rechnen?
Der Entwurf befindet sich aktuell in der Kommentierungsphase. Eine Reihe von Verbänden und Unternehmen haben Stellungnahmen eingereicht, die kleinere und größere Änderungen fordern oder um Klärung von Begrifflichkeiten ersuchen. Bis die Verordnung verabschiedet wird, ist also noch mit Änderungen zu rechnen. Zudem arbeitet die Europäische Union aktuell an einer europaweiten GwG-Verordnung. Der Entwurf beinhaltet entsprechend auch eine Klausel zum Außerkrafttreten der Verordnung. Dort heißt es: „Diese Verordnung tritt ab dem Zeitpunkt außer Kraft, ab dem unmittelbar anwendbare europäische Regelungen zur Durchführung von geldwäscherechtlichen Sorgfaltspflichten und zu Einzelheiten der dafür erforderlichen Identifizierungsverfahren, einschließlich des Bereichs der Fernidentifizierungsverfahren, anwendbar sind.“
Was für Übergangsphasen sind im Referentenentwurf geplant und sind die ausreichend?
Laut Entwurf träte die Verordnung „am ersten Tag des auf die Verkündung folgenden Quartals in Kraft und ist auf Videoidentifizierungsverfahren ab dem ersten Tag des auf das Inkrafttreten folgenden Quartals anzuwenden“. Die Übergangsfrist betrüge demnach nur zwei Quartale. Wir setzen uns für eine längere Übergangsfrist ein, um alle technischen Anforderungen umsetzen zu können.
Das Interview führte Björn Godenrath.