Eine reale Sommerfrische im Häuschen von Stefan Zweig weckte das Interesse des fiktiven Leonard Rosen. Als Ausweis akzeptierte das Dorotheum einen KI-generierten Führerschein.

So vielseitig Leonard Rosens Interessen auch sind, als Sammler will er sich nicht bezeichnet wissen. Dann und wann durchforstet er die Onlineangebote von Auktionshäusern dennoch: Sportmemorabilien und Designklassiker haben es dem 33-Jährigen angetan, ebenso Film- und Kinohistorika und namens seines besten Freundes auch altes Blechspielzeug. Nach allfälligen Schnäppchen Ausschau zu halten gehört für den Vater von Zwillingen, den es zum Studium aus Berlin nach Darmstadt verschlug, ebenfalls dazu. Als er vergangene Woche auf der Website des Dorotheums stöbert, entdeckt er das Angebot einer Sommerfrische in Thumersbach bei Zell am See: ein verlängertes Wochenende in Stefan Zweigs Häuschen am See, für sechs Personen maximal, das zugunsten des Vereins Hemayat (Betreuungszentrum für Folter- und Kriegsüberlebende) versteigert wird.

Der Rufpreis beläuft sich auf 100 Euro. Rosen beschließt, sich spontan als Kunde zu registrieren, und übermittelt nach der automatisierten Freischaltung einen Kaufauftrag von vorerst 200 Euro. Aus den Angaben zum Kundenkonto geht eine etwaige Maximalhöhe weiterer Gebote nicht hervor, auch nicht, ob und gegebenenfalls welche Bedingungen Rosen zu erfüllen hätte, um an allen anderen Auktionen unabhängig von potenziell zu bietenden Beträgen teilzunehmen.

Kopie statt Original

Wie alle Gewerbetreibenden unterliegt das Dorotheum den gesetzlichen Bestimmungen der Geldwäscherichtlinien, die in den vergangenen Jahren sukzessive verschärft wurden. Zu den vom Gesetzgeber auferlegten Sorgfaltspflichten gehört etwa die Überprüfung der Identität von Kunden, und zwar bereits bei der Anbahnung einer Geschäftsbeziehung, also im Zuge der Registrierung.

Laut Gewerbeordnung wäre dafür die Vorlage eines amtlichen Lichtbildausweises Voraussetzung oder auch ein anderes "sicheres Verfahren zur Identifizierung aus der Ferne oder auf elektronischem Weg", wie es dort heißt. Mit Letzterem sind beispielsweise E-Ausweise oder ein Video-Identifikationsverfahren gemeint. Beim Dorotheum sind die Vorgaben deutlich niederschwelliger, konkret gibt man sich im Online-Registrierungsverfahren mit dem Upload einer elektronischen Ausweiskopie zufrieden, im Falle von Leonard Rosen handelte es sich um ein Foto seines Führerscheins. Ob und welche weiteren Prüfungen das Dorotheum allenfalls digital oder auch analog durchführt, war dort nicht in Erfahrung zu bringen.

Intransparentes Registrierungsverfahren

Selbst eine STANDARD-Anfrage mit der Bitte um Vermittlung eines Ansprechpartners, der das Verfahren erläutert, wird abschlägig behandelt. Nur so viel: Man halte sich "genau an die gesetzlichen Bestimmungen", aber "aus Sicherheitsüberlegungen" werde "Medien gegenüber" das Prozedere "diverser Prüfverfahren" nicht öffentlich gemacht.

Recherchen legen jedoch nahe, dass sich das Auktionshaus eher an den gesetzlichen Vorgaben orientiert, als diese auch zu erfüllen: Eine Schwachstelle bei der Vermeidung von Geldwäsche und Terrorismusfinanzierung, aber vor allem auch im Hinblick auf mögliche Manipulationen, wie damit befasste Fachleute bestätigen.

Um beim Beispiel von Leonard Rosen zu bleiben: "Die Übermittlung einer unbeglaubigten elektronischen Ausweiskopie entspricht nicht den gesetzlichen Vorgaben zur Identitätsprüfung, die eine Vorlage des originalen Dokuments vorsehen", verweist der deutsche Informationssicherheitsexperte André Zilch auf die Gewerbeordnung (§365p GewO). Sieht man davon ab, dass ein "deutscher Führerschein nach höchstrichterlicher Rechtssprechung nicht als Identitätsnachweis anerkannt wird", müssen bei "Fremden", also beispielsweise EU-Bürgern anderer Nationen als Österreich, "Reisedokumente wie Personalausweise oder Reisepässe zur Anwendung kommen", betont Zilch.

Dorotheum droht mit Strafanzeige

Warum dies alles von Relevanz ist? Leonard Rosen existiert nicht, er ist eine fiktiver "deutscher Staatsbürger", der sich beim Dorotheum als Kunde registrierte und die Identitätsprüfung mit einem KI-generierten Führerschein überwand, dessen Echtheit gar nicht überprüft wurde. Mit diesem Sachverhalt und den damit verbundenen Kritikpunkten konfrontiert, reagiert das Auktionshaus verhalten: Man "werde prüfen und Strafanzeige erstatten" – aufgrund welchen Straftatbestands, bleibt unklar.

Hinter den Kulissen ist man aber emsig bemüht, wirft offenbar nochmals einen Blick in die Gewerbeordnung und versucht den Deutschen unter all den jüngst neu angemeldeten Kunden zu identifizieren. Kurz vor Redaktionsschluss bekommt Leonard Rosen eine Mail, in der der Leiter des Kundendiensts die "Freischaltung für Auktionsankäufe" zwar bestätigt, um die "Freigabe abschließen zu können", jedoch zusätzlich um "eine Kopie Ihres Reisepasses" ersucht.

Eine Kopie? Die gesetzlichen Anforderungen an die Identitätsprüfung bleiben im Dorotheum vorerst wohl ein Buch mit sieben Siegeln.

Kurios mutet jedoch der Hinweis an Leonard Rosen an, wonach sein "bereits abgegebener Auftrag bis zum Einlangen des Dokuments nicht berücksichtigt werden" könne. Nicht nur, weil ihm der Kaufauftrag vor einer Woche sogar von einem stellvertretenden Abteilungsleiter des Dorotheums bestätigt worden war, sondern weil die Auktion bereits Ende vergangener Woche stattfand: Das Wochenende in Zweigs Sommerhäuschen war einer realen Person 5000 Euro wert gewesen. (Olga Kronsteiner, 22.6.2024)