Häufig gestellte Fragen

Wird Ihr Verfahren von der BaFin anerkannt?

BMF und BaFin sind überein gekommen, dass gegenüber den Produktanbietern direkt keine Auskunft im Hinblick auf deren Verfahren erteilt wird.

Das Verfahren genügt den Mindestanforderungen, die an Identifizierungsverfahren gestellt werden, damit diese nicht dem Sorgfaltspflichtenmaßstab des § 6 Abs. 2 Nr. 2 GwG, sondern dem des § 4 GwG unterfallen, und den technischen Anforderungen, die zur Erfüllung dieses Sorgfaltsmaßstabes erforderlich sind. Diese sind dem Rundschreiben der BaFin 1/2014 (GW) unter der dortigen Ziffer III zu entnehmen.

Bei Fragen, die über die allgemeinen Ausführungen des BaFin Rundschreibens hinausgehen und die damit konkrete Fragen betreffend spezifischer Aspekte einer davon abweichenden Prozessbeschreibung darstellen, ist die BaFin als Verfasserin des o.g. Rundschreibens die richtige Ansprechpartnerin. Da die liveIDENT GmbH selbst nicht der Aufsicht der BaFin unterfällt, müssen solche konkreten Einzelfallbeurteilungen durch ein der Aufsicht der BaFin unterfallendes Institut eingeholt werden. Soweit sich ein solches Institut, das an einem bestimmten Produkt und am Vertragsschluss mit einem Dritten nach § 7 Abs. 2 GwG Interesse hat, mit seiner Prozessbeschreibung an die BaFin wendet, wird dieses Institut seitens BaFin die für die weitere Entscheidung des Instituts relevante Bewertung der Aufsichtsbehörde bekommen.

Hingewiesen sei noch auf die Tatsache, dass auch mit denjenigen Schreiben, die in der Vergangenheit seitens BMF an einzelne Marktteilnehmer adressiert wurden, zu keinem Zeitpunkt eine “Genehmigung” eines Verfahrens erteilt worden ist. Ein solches Genehmigungs- oder Zertifizierungsverfahren ist im Gesetz nicht vorgesehen. Beurteilt wurde auch mit diesen Schreiben lediglich die tatbestandliche Einordnung der Verfahren zur Klärung der Frage, welcher der o.g. Sorgfaltsmaßstäbe einschlägig ist und ob die Prozessbeschreibungen grundsätzlich geeignet sind, die entsprechenden Sorgfaltspflichten zu erfüllen.

Ist Ihr Verfahren eine Alternative zum Postident und ID8?

Ja, Sie können mit unserem Verfahren GWG konform natürliche Personen identifizieren: Ohne Medienbruch, ohne Anstehen, ohne Zeitverzögerung. Sie verlieren weniger Kunden auf dem Weg zur Identifikation.

Spricht mein Kunde direkt mit einem Agenten?

Ja, zur Identifizierung wird eine Videoverbindung zwischen Kunden und einem unserer Mitarbeiter aufgebaut. Dieser hilft Ihrem Kunden, den Ausweis richtig in die Kamera zu halten. Nehmen Sie mit uns Kontakt auf und probieren Sie es einfach selbst mal aus. Das ist ganz einfach.

Welche Systemvoraussetzungen müssen die Computer meiner Kunden erfüllen?

Die wichtigste Voraussetzung ist ein Computer mit funktionierender Webcam, ein Mikrofon und Lautsprecher oder besser noch ein Kopfhörer. Einige alte Browser unterstützen das Verfahren noch nicht. Das betrifft nach unseren Schätzungen ca. 2% der deutschen Internetnutzer. Wir empfehlen dann ein Update oder die Nutzung von Firefox oder Chrome.

Kann mein Kunde sich auch mit der Kamera des Smartphones oder Tablets identifizieren?

Ja, sollte Ihr Kunde z.B. keine Webcam am Computer haben, so kann er auch sein Smartphone oder Tablet benutzen, wenn es kein sehr altes Modell ist. Die Datenverbindung sollte dann mindestens 65 kbit/s betragen.

Kann ich auch Kunden außerhalb von Deutschland identifizieren?

Ja, Ihr Kunde kann sich unabhängig von seinem Wohnort identifizieren. Auch die Identifikation von Personen mit Wohnsitz im Ausland ist so grundsätzlich möglich.

Identifizieren Sie auch juristische Personen?

Nein, unser Dienst identifiziert natürliche Personen. Allerdings benötigen Sie bei der Identifizierung von juristischen Personen oder Personengesellschaften neben Auszug aus dem Handels- oder Genossenschaftsregister oder einem vergleichbaren amtlichen Register auch regelmäßig die Identität der handelnden natürlichen Personen wie z.B. die Geschäftsführer. Hier können wir wieder helfen.

Wie lange dauert die Identifikation?

Derzeit dauert eine Identifikation ca. 6 Minuten. Bei schlechteren Lichtverhältnissen kann es sogar noch etwas mehr werden. Wir entwickeln derzeit aufwändige Unterstüzende Verfahren, die die Dauer mittelfristig stark verkürzen und uns von der Ausleuchtung unabhängiger machen. Unser Ziel ist, bis Ende des Jahres 2014 bei durchschnittlich 2 Minuten zu liegen. Bei der Reduktion der Dauer hilft es, wenn der Kunde im Prozess vorher darauf hingewiesen wurde, seinen Ausweis bereit zu halten.

Die Post holt bisher für mich die Kundenunterschrift ein. Wie bekomme

ich eine verifizierte Kundenunterschrift in Ihrem Verfahren?

Die Verifizierung der Unterschrift auf Vertragsdokumenten erfolgt regelmäßig auch beim PostIdent durch einen Ihrer Mitarbeiter. Ihr Mitarbeiter kann die Kundenunterschrift anhand der Bilddatei, die wir Ihnen zur Verfügung stellen, prüfen.

Wie erhöhen Sie die Sicherheit vor Fälschung und Betrug?

Die Übereinstimmung biometrischer Merkmale und verschiedener Plausibilitäten werden durch eine Kombination aus automatisierten Verfahren und menschlichen Überprüfungen geprüft. Wir unterstützen damit den vorgeschriebenen Sorgfallftspflichten. Besonderen Wert legen wir auf die Feststellung von Sicherheitsmerkmalen. Auffälligkeiten werden erkannt. Unsere Mitarbeiter werden regelmäßig geschult und zertifiziert. Über aktuelle Betrugsverfahren tauschen wir uns ad hoc mit der Polizei und anderen relevanten Behörden, sowie mit anderen betroffenen Instituten aus. Die Hintergrundverfahren werden auf die aktuelle Bedrohungslage angepasst.

Bitte haben Sie Verständnis dafür, dass wir die genauen Verfahren und Hintergrundprüfungen an dieser Stelle nicht offenlegen möchten, um professionellen Betrügern kein Feedback zu geben.

Wir sind keine Bank und werden auch nicht von der BaFin reguliert.

Können wir dennoch Ihren Dienst nutzen, um unseren Verpflichtungen der Kundenidentifikation nachzukommen?

Ja, neben Banken sind auch Versicherungen, und Rechts- und, Steuerberater verpflichtet, ihre Kunden vor Aufnahme der Geschäftsbeziehung zu identifizieren. Telekommunikationsanbieter können die Vorlage eines Ausweises verlangen (Vgl. §95 Abs 4 TKG). Auch hier können wir helfen. Die individuellen gesetzlichen Grundlagen sind hier natürlich zu beachten.

Warum bekommt mein Kunde eine PIN per SMS oder E-Mail zugeschickt?

Diese Maßnahme sichert den Prozess zusätzlich ab und ist ein von der BaFin vorausgesetzter Bestandteile des Verfahrens.

Welche technischen Verfahren wenden Sie an, um die Sicherheitsmerkmale und biometrischen Merkmale aus dem Videostream zu extrahieren und zu bewerten?

Sie sind sehr neugierig ;). Diese Verfahren und die Weiterentwicklung gehören zu unserem geistigen Eigentum, dass wir nicht mit Ihnen öffentlich teilen möchten. Teilweise lizensieren wir auch exklusiv Verfahren, die wir nicht selbst entwickelt haben. Soviel können wir aber verraten: Wir arbeiten bei der Weiterentwicklung mit der MFB Musterfabrik Berlin GmbH zusammen, die mit Hilfe komplexer Algorithmen der Bildverarbeitung und Mustererkennung gescannte Dokumente automatisiert interpretiert und analysiert. Die MFB Musterfabrik Berlin arbeitet z.B. an der Rekonstruktion des Köllner Stadtarchivs.

Der Sitz unseres Unternehmens ist nicht in Deutschland, die BaFin nicht unsere Regulierungsbehörde. Können wir Ihren Service dennoch nutzen?

Das sollten wir gemeinsam mit Ihrer Regulierungsbehörde abstimmen. Bitte nehmen Sie hierzu Kontakt zu uns auf. Wenn Sie z.B. Ihren Sitz in Luxembourg haben, begleiten wir Sie gerne zu einem Termin bei der CSSF, um deren Freigabe zu erwirken.

Kann Ihr Verfahren auch mittelbar falsch beurkundete Ausweise erkennen?

Nein, bei der mittelbaren Falschbeurkundung wurde z.B. von einem Standesbeamten ein Personalausweis im Original ausgestellt. Dieser wurde also nicht gefälscht. Auch wir haben keine Chance, diesen Betrug zu erkennen.

Können alle gängigen Ausweise geprüft werden?

Ja, alle Ausweisdokumente, die über optische Sicherheitsmerkmale verfügen, welche holographischen Bildern gleichwertig sind, dürfen im Rahmen dieses Verfahrens als Identifikationsnachweis dienen. Die Anzahl der verschiedenen Ausweise, die wir prüfen, steigt kontinuierlich mit unserer Marktdurchdringung.

Warum nutzen Sie nicht Skype für die Videoidentifikation?

Der wichtigste Grund dafür ist, dass viele Ihrer Nutzer auf dem relevanten Gerät kein Skype installiert haben. Die Installation wäre aufwändig und könnte zu einer relevanten Zahl von Abbrüchen führen. Im übrigen können nicht für die Sicherheit der Daten garantieren, wenn sie von Skype bzw. Microsoft in den USA gehalten werden (vgl. Zeit Artikel).

Für eine Diskussion mit unserer IT Information Security brauchen wir Hintergrundinformationen zum Thema Video Chat und der eingesetzten Technologie.

Z.B.: Wird die Kommunikation point to point aufgebaut? Werden die Daten verschlüsselt?

liveIDENT basiert auf standardisierten WebRTC-Komponenten und Protokollen. Auf dem Weg sind die Mediadaten verschlüsselt. Hierzu nutzen wir SRTP Protokolle. Für den Schlüsselaustausch verwenden wir die DTLS-SRTP Protokoll. Beide Protokolle sind IETF-Standards. Im einzelnen kommen AES mit 128-bit Schlüssel zur symmetrischen Verschlüsselung zum Einsatz, TLS 1.2 für den Schlüsseltausch und HMAC-SHA1 zur Sicherstellung der Datenintegrität (siehe IETF RFCs 3711, 5764 und 2104). Die Videoverbindung erfolgt üblicherweise direkt peer to peer. Bei durch Firewalls o.ä. verursachten Verbindungsproblemen, erfolgt das Routing der verschlüsselten Daten über einen Server.

Um wie viel wird die Abbruchquote sinken?

Im Vergleich zu Verfahren an der Haustür wie z.B. ID8 rechnen wir mit der Reduktion der Abbrüche um ⅓ bis zu einer Halbierung. Im Vergleich zum PostIdent gehen wir von noch höheren Reduktionen aus. Unser Ziel ist es dort regelmäßig die Abbrüche zu halbieren.