Das Video-Ident-Verfahren ist seit Jahren ein etablierter und von der BaFin in der Praxis akzeptierter Standard für die geldwäscherechtliche Identifizierung im deutschen Finanzmarkt.

Während das Verfahren bislang überwiegend durch aufsichtsrechtliche Rundschreiben und Anwendungshinweise geprägt war, konkretisierte der Entwurf der Geldwäschevideoidentifizierungsverordnung (GwVideoIdentV) diese Praxis erstmals für alle Verpflichteten nach dem GwG.

Ab 2027 wird bekanntermaßen dann die Verordnung (EU) 2024/1624 („AML-VO“) den unionsweit harmonisierten Rechtsrahmen auch hierfür setzen. Der aktuelle Verordnungstext wirft allerdings die Frage auf, wie sich die spezifischen Anforderungen des deutschen Referentenentwurfs zu den technologieneutralen, unionsweit harmonisierten Vorgaben der AML-VO verhalten und wie Unternehmen die bestehenden Unterschiede und Übergänge rechtssicher gestalten können.

Die aufsichtsrechtliche Grundlage bildet gegenwärtig insbesondere das BaFin-Rundschreiben 3/2017 (GW), das detaillierte organisatorische, technische und personelle Mindestanforderungen für das Video-Ident-Verfahren normiert.

Typische Anwendungsfelder des Video-Ident-Verfahrens sind derzeit Kontoeröffnungen, Kreditvergaben im Privatkundengeschäft sowie das Onboarding im Finanzdienstleistungs- und Zahlungsdienstesektor.

Eine Identifizierung per Video ist nach dem BaFin-Rundschreiben 3/2017 (GW) u.a. nur dann zulässig, sofern sie durch speziell geschulte Mitarbeiter erfolgt. Die Authentizität des vorgezeigten Ausweisdokuments muss im Rahmen der Videokonferenz in Echtzeit geprüft werden. Daneben sind zusätzliche Schutzmaßnahmen zur Betrugsprävention – insbesondere sog. Liveness-Checks zur Vergewisserung der physischen Anwesenheit – verpflichtend; sämtliche Prozessschritte sind umfassend zu protokollieren und revisionsfest zu dokumentieren.

Mit dem vom Bundesministerium der Finanzen im April 2024 vorgelegten Referentenentwurf einer Geldwäschevideoidentifizierungsverordnung („GwVideoIdentV“) wurde erstmals der Versuch unternommen, die Praxis des Video-Ident-Verfahrens für alle nach dem GwG Verpflichteten einheitlich zu regeln. Die GwVideoIdentV befindet sich nach wie vor im Entwurfs-Stadium. Wesentliche Elemente des Referentenentwurfs sind dabei:

• Die Ausweitung des Anwendungsbereichs auf alle GwG-Verpflichteten, einschließlich Immobilienmaklern, Rechtsanwälten, Notaren und Glücksspielanbietern.
• Die verpflichtende Bereitstellung eines Verfahrens zur Überprüfung des elektronischen Identitätsnachweises (Online-Ausweis, sog. eID) als gleichwertige Alternative, ohne visuelle oder funktionale Benachteiligung.
• Die Zulassung teilautomatisierter Verfahren mit menschlicher Kontrolle sowie – in eng begrenztem Rahmen – vollautomatisierter und KI-gestützter Verfahren, sofern zusätzliche Prüfmechanismen, Sicherheitskontrollen und Betrugsprävention implementiert sind sowie nach vorheriger Zulassung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Sie dürfen zudem nur bei geringem Geldwäscherisiko eingesetzt werden.
• Erhöhte technische und organisatorische Anforderungen, u. a. zu Datenverschlüsselung, Identitätsüberprüfung in Echtzeit, Zugriffsschutz und kontinuierlicher Überwachung.
• Umfassende Dokumentations- und Prüfpflichten, die eine unmittelbare Nachvollziehbarkeit durch die Aufsicht gewährleisten.

Die AML-VO, deren Inkrafttreten und unmittelbare Geltung für alle Mitgliedstaaten bereits verbindlich feststeht (ab Juli 2027), verfolgt mit Blick auf die Durchführung der Fernidentifizierung einen technologieneutralen Ansatz. Damit bleibt grundsätzlich Raum für verschiedene Fernidentifizierungsverfahren, sofern sie die geforderten Sicherheitsstandards erfüllen.

Die Verordnung enthält dabei keine ausdrückliche Aufzählung oder Privilegierung bestimmter Identifizierungsverfahren – insbesondere wird das Video-Ident-Verfahren nicht genannt – sondern knüpft die Zulässigkeit der Fernidentifizierung an die Einhaltung von Mindeststandards. Dabei verweist die AML-VO insbesondere auf elektronische Identifizierungsmittel nach der Verordnung (EU) 2024/1183 („eIDAS 2.0“) mit „substanziellem“ oder „hohem“ Sicherheitsniveau, sowie auf qualifizierte Vertrauensdienste.

Nach Art. 28 AML-VO soll das Verfahren zur Umsetzung der Sorgfaltspflichten gegenüber Kunden zudem durch eine Delegiertenverordnung (Regulatory Technical Standards – „RTS“) weiter konkretisiert werden („RTS CDD“).

Die RTS CDD liegen bereits im Konsultationsentwurf vor („RTS CDD-E“). Dieser setzt insbesondere auf eine weitgehende Harmonisierung der Prüfmethodik zur Risikoermittlung und auf die verpflichtende Nutzung objektiver, automatisierter Indikatoren für die Compliance-Bewertung der beaufsichtigten Unternehmen. Dabei wird explizit geregelt, welche Datenpunkte und Indikatoren zur Identifizierung und Verifikation natürlicher und juristischer Personen heranzuziehen sind.

Artikel 6 Abs. 1 RTS-CDD-E stellt dabei nochmals klar, dass die Fernidentifikation von Kunden grundsätzlich mittels elektronischer Identifikationsmittel nach eIDAS-Standard mindestens mit dem Schutzniveau "substanziell" erfolgen soll.

Regulatorischer Fokus EUDI Wallet - Ein wesentlicher strategischer Akzent im AML-Paket ist die EU Digital Identity Wallet (EUDI Wallet), die bis 2030 für einen Großteil der EU-Bürger verfügbar sein und unionsweit einheitlich nutzbar sein soll. Sie erfüllt das höchste eIDAS 2.0-Vertrauensniveau und wird von der EU somit regulatorisch als bevorzugte Lösung für digitale Identitätsnachweise positioniert.

Artikel 6 Abs. 2 RTS-CDD-E sieht vor, dass alternativ – sofern keine solche „eIDAS-konforme“ Lösung verfügbar oder zumutbar bereitstellbar ist (Wortlaut: „[…] In cases where the solution described in paragraph 1 is not available, or cannot reasonably be expected to be provided, […]”) – auch andere Remote-Lösungen verwendet werden können, welche allerdings die Voraussetzungen von Art. 6 Abs. 3 bis 6 RTS-CDD-E erfüllen müssen. Im Mittelpunkt steht dabei das Erfordernis, dass das gewählte Verfahren in seiner konkreten Ausgestaltung ein mit der persönlichen Identifizierung vor Ort gleichwertiges Sicherheitsniveau gewährleistet.

Zur Erfüllung dieses Gleichwertigkeitsgebots sind entsprechende betriebliche und organisatorische Maßnahmen zu implementieren. Hierzu zählen neben der Einholung der ausdrücklichen Zustimmung der zu identifizierenden Person, umfassenden Mechanismen der Betrugsprävention insbesondere Kontrollmechanismen zur Überprüfung der Ausweisdokumente, Maßnahmen zur Sicherung der Authentizität und Identität der zu identifizierenden Person sowie eine vollständige und nachvollziehbare Dokumentation sämtlicher Vorgänge.

Das Verfahren muss risikoorientiert ausgestaltet werden, sodass bei erhöhtem Geldwäscherisiko zusätzliche Sicherheits- und Prüfmaßnahmen zu ergreifen sind.

Für den Übergangszeitraum bis 2027 schafft die GwVideoIdentV - sobald diese in Kraft tritt - zunächst eine belastbare, innovationsfreundliche Grundlage für den Einsatz des Video-Ident-Verfahrens. Danach gilt der einheitliche europäische Maßstab der AML-Verordnung.

Das Video-Ident-Verfahren dürfte somit weiterhin unionsrechtlich zulässig bleiben, sofern und soweit seine konkrete Ausgestaltung und Verwendung im Einzelfall die vorgegebenen Sicherheits-, Dokumentations- und Datenschutzanforderungen der RTS-CDD erfüllt und ein gleichwertiges Sicherheitsniveau zur physischen Identifikation gewährleistet und hierüber ein auditierbarer Nachweis vorliegt. Dazu sind klare Prozessbeschreibungen, nachvollziehbare Risikobewertungen, regelmäßige Wirksamkeitsprüfungen und eine fortlaufende Aktualisierung der Verfahren unverzichtbar.