Sichere Identitätsnachweise in digitalen Prozessen
Sichere Identitätsnachweise in digitalen Prozessen

Rechtliche und technische Anforderungen an Video-Ident-Verfahren

Um Laufzeiten bei der Erstauthentifizierung für die Zugänge zu den Online-Geschäftsstellen oder Apps und beim Zurücksetzen des Passworts zu verkürzen, setzen bereits einige SV-Träger auf Authentifizierung mittels sog. Video-Ident-Verfahren. Hierbei sind besondere Anforderungen zu berücksichtigen.

Die Richtlinie „Kontakt mit den Versicherten“ des GKV-SV nach § 217f Abs. 4b SGB V vom 23. August 2021 stellt an entsprechende Authentifizierungsverfahren die abstrakte Anforderung, dem „aktuellen Stand der Technik“ zu entsprechen (siehe Umsetzungsleitfaden zur Richtlinie, Abschnitt A 7.2.4) und führt in diesem Zusammenhang beispielhaft das BaFin-Rundschreiben 3/2017 (GW) zum Thema Videoidentifizierungsverfahren an.  

Nach dem BaFin-Rundschreiben ist die zeitlich synchrone Durchführung der Identifizierung einer natürlichen Person in einer Face-to-Face-Sitzung eine Eingangsvoraussetzung für eine rechtssichere Identitätsprüfung via Video-Ident-Verfahren. Soweit mit Ausnahme der Forderung einer Face-to-Face-Sitzung alle weiteren technischen Anforderungen des BaFin-Rundschreibens erfüllt sind, stellt sich die Frage, ob die fehlende „sinnliche Wahrnehmung“ so durch neue technische Verfahren substituiert werden kann, dass gleichwohl der Stand der Technik angenommen werden kann. Dies könnte z. B. der Fall sein, wenn durch technische Verfahren die Authentizität der Aufzeichnung bewiesen werden kann, sämtliche Sicherheitsmerkmale des Personalausweises durch Aufzeichnungssequenzen verlässlich prüfbar sind und eine Einzelfallprüfung in Zweifelsfällen („Face-to-Face“) vorgesehen ist.

Aus datenschutzrechtlicher Sicht war in den diskutierten Fällen festzustellen, dass keine Sozialdaten im Auftrag verarbeitet wurden. Rechtliche Grundlage war insoweit die Einwilligung der Nutzer. Im Einzelfall zu beurteilen ist die Frage, ob der Identifizierungsdienstleister unter die Regelung des § 2 Abs. 3a Personalausweisgesetz (PAuswG) fällt und die im Rahmen der Authentifizierung an den Versicherungsträger zurückgegebenen Daten Ausweisdaten im Sinne der §§ 18, 19 PAuswG sind. In diesen Fällen sind die besonderen Voraussetzungen des § 20 PAuswG (insbesondere eine Einwilligung) zu berücksichtigen. Soweit aber lediglich eine „optische Erhebung“ des Personalausweises erfolgt und nicht auf die im Personalausweis gespeicherten Daten zugegriffen wird, finden diese Sondervorschriften keine Anwendung. Bezüglich konkreter Anmerkungen unseres Prüfdienstes verweisen wir auch auf den Leitfaden Elektronische Kommunikation und Digitalisierung in der Sozialversicherung.

Im Ergebnis hat das BAS die bislang im Digitalausschuss diskutierten konkreten Gesamtlösungen nicht beanstandet. Die jeweiligen Gesamtkonzeptionen und der Einsatz der Video-Ident-Lösungen entsprachen nach unserer Einschätzung den aktuellen Anforderungen und waren für die beabsichtigten Einsatzzwecke ausreichend sicher. Wir gingen dabei von der Annahme aus, dass eine Video-Identifizierung mittels Face-to-Face-Sitzung dem „Stand der Technik“ entspricht (vgl. erneut GKV-SV-Richtlinie) und damit eine ausreichend sichere technologische Weiterentwicklung gemäß dem Handbuch der Rechtsförmlichkeit des Bundesministeriums des Inneren eigentlich dem höheren Anforderungsniveau „Stand von Wissenschaft und Technik“ zugeordnet werden kann.

(Stand: 23.08.2021)