Die europäischen Vorgaben zur Geldwäscheprävention erleben mit dem neuen AML‑Paket einen deutlichen Modernisierungsschub. Insbesondere die von der EBA entwickelten technischen Regulierungsstandards (RTS) zur Sorgfaltspflicht gegenüber Kunden setzen neue Maßstäbe für die digitale Identifizierung. Im Zentrum steht die Frage, unter welchen Voraussetzungen Verpflichtete künftig Fernidentifikationsverfahren einsetzen dürfen und welche Rolle eIDAS‑konforme elektronische Identifizierungsmittel dabei spielen. Der scheinbar unscheinbare Passus in Art. 7 Abs. 2 der RTS, wonach alternative Verfahren – darunter insbesondere das Videoidentverfahren – nur dann zulässig sind, wenn eIDAS‑Mittel „nicht verfügbar“ sind oder „nicht bereitgestellt werden können“, entwickelt bei näherer Betrachtung eine weitreichende Bedeutung.
Videoident nur bei objektivem Unvermögen zum Einsatz eIDAS-konformer Systeme
Die Auslegung dieser Formulierung entscheidet darüber, ob Videoident künftig eine zulässige Standardlösung bleibt oder nur noch in eng begrenzten Ausnahmefällen herangezogen werden darf. Eine systematische Analyse zeigt, dass der regulatorische Rahmen eindeutig auf ein objektives Unvermögen abstellt. Damit verschärft sich der Maßstab erheblich und führt praktisch dazu, dass Videoident für große Teile des Marktes künftig nicht mehr als zulässiges Identifizierungsverfahren in Betracht kommt.
eIDAS-konforme Identifizierungsmittel sind grundsätzlich zu bevorzugen
Um den Bedeutungsgehalt der Wendung „nicht verfügbar“ oder „kann nicht bereitgestellt werden“ zu verstehen, ist zunächst die Rangordnung der Identifizierungsmethoden zu berücksichtigen, wie sie in Art. 7 Abs. 1 und 2 der RTS angelegt ist. Der Gesetzgeber und die EBA ordnen klar an, dass eIDAS‑konforme elektronische Identifizierungsmittel der Sicherheitsstufen „substantial“ (erheblich) oder „high“ (hoch) grundsätzlich zu bevorzugen sind. Die Regelung ist nicht neutral formuliert, sondern folgt einem abgestuften System: eIDAS‑Verfahren stehen an erster Stelle und gelten als der „Goldstandard“ für die digitale Identitätsfeststellung. Erst wenn diese nicht verfügbar sind oder nicht bereitgestellt werden können, dürfen Verpflichtete auf alternative Fernlösungen zurückgreifen. Im systematischen Zusammenhang zeigt sich damit unmissverständlich, dass Art. 7 Abs. 2 ein enges Auffangnetz bildet, nicht etwa ein gleichwertiges Parallelregime.
Kein Dispositionsrecht für den Verpflichteten
Die entscheidende juristische Frage lautet daher, ob der Verpflichtete diesen Vorrang durch eine subjektive Entscheidung aushebeln darf – etwa weil er sich gegen die Integration eIDAS‑konformer Lösungen entscheidet, diese als zu teuer empfindet oder technische Implementierungshürden sieht. Hier ergibt die teleologische Betrachtung ein klares Bild: Die AMLR und die RTS verfolgen das Ziel, die Identifizierungsverfahren unionsweit zu harmonisieren und auf ein technologisch besonders sicheres Fundament zu stellen. eIDAS stellt dabei das zentrale Regelwerk für elektronische Identifizierungsmittel dar, das hohe Sicherheitsstandards, klare Haftungsregime und staatliche oder privatwirtschaftliche Zertifizierungssysteme miteinander kombiniert. Wenn der Gesetzgeber eIDAS an die Spitze stellt, kann die Abweichungsmöglichkeit nur objektiv zu verstehen sein. Die Norm wäre inhaltlich überflüssig, würde sie dem Verpflichteten erlauben, durch eigenes Unterlassen oder subjektive Präferenz den Rückgriff auf niedrigere Sicherheitsniveaus zu legitimieren. Art. 7 Abs. 2 wäre dann nur ein formales Feigenblatt zur Wahrung der Technologieneutralität, ohne faktischen Regelungsgehalt. Das widerspräche dem Schutzzweck des AML‑Regimes.
Objektives Unvermögen bedeutet, dass eIDAS‑Mittel entweder auf dem Markt tatsächlich nicht existieren, für den betreffenden Kundenkreis nicht verfügbar sind oder aufgrund übergeordneter rechtlicher oder technischer Umstände nicht eingesetzt werden können. Beispiele wären Kundengruppen ohne staatlich anerkannte digitale Identität, fehlende eIDAS‑Infrastrukturen in Drittländern oder Situationen, in denen regulatorische Vorgaben eine eIDAS‑Einbindung technisch verhindern. Rein betriebswirtschaftliche Überlegungen oder interne Ressourcenprobleme genügen demgegenüber nicht. Schon die BaFin hat im Bereich der bisherigen Fernidentifikation regelmäßig betont, dass gesetzliche Standards nicht durch interne Organisationsentscheidungen relativiert werden dürfen. Diese Auslegung wird in Zukunft umso strenger sein, weil eIDAS ausdrücklich als übergeordnete Referenznorm implementiert ist.
Welche Anforderungen bringt die eIDAS-Verordnung mit sich?
Es stellt sich sodann die Frage, was die Anforderungen der eIDAS‑Verordnung konkret mit sich bringen und weshalb die EBA diese als Primärstandard bevorzugt. eIDAS schafft eine unionsweit einheitliche Grundlage für elektronische Identifizierung und Vertrauensdienste. Für die Identitätsprüfung besonders relevant ist die Einstufung der Vertrauensniveaus in „low“, „substantial“ und „high“. Die RTS verlangen mindestens die Stufe „substantial“, wodurch ein erhebliches Sicherheitsniveau garantiert wird. Identifizierungsmittel dieser Stufe müssen nachweislich gegen Identitätsmissbrauch, Manipulation und technische Angriffe geschützt sein. Sie müssen von der jeweils zuständigen Behörde notifiziert und in die europäische eIDAS‑Liste aufgenommen werden. Ihre technische Architektur muss sicherstellen, dass die Identitätsdaten durch zuverlässige Authentisierungsmechanismen untrennbar mit dem tatsächlichen Nutzer verbunden sind. Anders als beim Videoidentverfahren, das in der Vergangenheit wiederholt durch Betrugsfälle, Deepfakes und Social‑Engineering‑Angriffe unter Druck geraten ist, bieten eIDAS‑Mittel eine signifikant höhere Integrität und Fälschungssicherheit.
Beispiel eines eIDAS-konformen Identifizierungssystems
Die eIDAS‑Verordnung ermöglicht die grenzüberschreitende Nutzung nationaler eID‑Systeme. Dazu gehören als derzeit bereits bestehende konforme System u. a.:
- Online‑Ausweisfunktion des deutschen Personalausweises
(notifiziert und anerkannt auf „substanziell“ bzw. „hoch“) - eID‑Karte für EU/EWR‑Bürger
- Elektronischer Aufenthaltstitel (eAT)
Videoidentverfahren nur noch als Ausnahme
Dieser qualitative Unterschied erklärt, warum die EBA den Vorrang eIDAS‑konformer Verfahren als Regelfall ausgestaltet. Das Videoidentverfahren wird in Art. 7 Abs. 3 ff. lediglich noch als zulässige Fernlösung für Ausnahmefälle beschrieben und mit umfangreichen technischen sowie organisatorischen Anforderungen versehen. Die Normenkaskade zeigt damit deutlich, dass die EBA das Videoidentverfahren nur als Rückfalloption akzeptiert, die lediglich dann zur Anwendung gelangen darf, wenn eIDAS‑Methoden objektiv ausscheiden. Für Verpflichtete bedeutet dies, dass sie künftig nachweislich dokumentieren müssen, warum eIDAS‑Verfahren nicht möglich sind und warum deshalb Videoident oder andere Fernmethoden zum Einsatz kommen. Diese Dokumentationslast dürfte in der Praxis erheblich sein und setzt eine ständige Marktbeobachtung sowie eine rechtssichere Risikoanalyse voraus.
Vor diesem Hintergrund ist die Schlussfolgerung unausweichlich, dass das Videoidentverfahren für die Mehrheit der Verpflichteten faktisch keine Rolle mehr spielen wird. Sobald eIDAS‑Mittel im jeweiligen Geschäftsmodell technisch und organisatorisch umsetzbar sind – und dies wird in einer digitalisierten Regulierung zunehmend der Fall sein –, entfällt die Möglichkeit zur Ausweichlösung. Das subjektive Nicht‑Wollen oder Nicht‑Bereitstellen wird regulatorisch nicht akzeptiert werden. Die künftige AML‑Aufsicht, insbesondere durch die neu geschaffene AMLA, wird diesen Punkt sehr genau prüfen. Damit tritt eine deutliche Verschiebung der Identifizierungslandschaft ein: weg von visuell‑basierten Verfahren mit hohen Manipulationsrisiken, hin zu kryptografisch gesicherten, unionsweit notifizierten eIDAS‑Systemen.
Die Reform setzt also ein klares Zeichen. Die Zukunft der digitalen Identifizierung in der Finanzaufsicht liegt nicht mehr im Videoidentverfahren, sondern in hochsicheren, interoperablen und standardisierten eIDAS‑Lösungen. Wer heute noch stark auf Videoident setzt, sollte die strategische Neuausrichtung kurzfristig einleiten. Die rechtlichen Spielräume werden enger, die praktische Zulässigkeit schrumpft, und der regulatorische Erwartungshorizont hat sich eindeutig verschoben.
