Welche Lösungen gibt es – und wie funktionieren sie?
Bankgeschäfte, der Hotel-Check-in oder eine Mietwagenbuchung – immer mehr Menschen wollen ihre Angelegenheiten online erledigen. Dafür müssen die Endnutzer aber erst in den Systemen der Anbieter registriert und verifiziert werden. Automatisierte Lösungen auf Basis von Künstlicher Intelligenz sowie videobasierte Verfahren mit Ident-Spezialisten bieten ein sicheres und nutzerfreundliches Identifizierungsverfahren, das nur wenig Zeit in Anspruch nimmt.
Viele Menschen, vor allem jüngere, legen Wert auf digitale Onboarding-Prozesse, die Nutzerfreundlichkeit und Sicherheit vereinen. Das gilt vor allem auch für Finanzangelegenheiten. Banking soll bequem sein und möglichst wenig Zeit kosten. Einer Studie im Auftrag von IDnow zufolge ärgert sich beispielsweise fast die Hälfte der Briten (47 Prozent) über den Zeitaufwand bei der Erledigung von Bankgeschäften. Aber nicht nur in Großbritannien gilt ein zweiwöchiger Onboarding-Prozess, der das Drucken eines Antrags, die Briefaufgabe bei der Post und die persönliche Identitätsprüfung umfasst, für immer mehr Kunden als nicht mehr zeitgemäß.
Vor allem Fintechs nehmen hier eine Vorreiterrolle ein. Während die traditionellen Banken ihre Strategien überdenken und Prozesse digitalisieren müssen, um die Generation Y und Z als Kunden zu erreichen, sind viele Geschäftsmodelle und Finanzprodukte der Start-ups bereits komplett digital und smartphonebasiert. Videotelefonie, neue Möglichkeiten zur Nutzung von Schnittstellen sowie regulatorische Entwicklungen helfen ihnen, innovative Produkte zu konzipieren, die den jungen Zielgruppen entgegenkommen.
Shop- und Video-Identifikation
Bei Anwendungsfällen wie der Online-Eröffnung eines Bankkontos oder dem Kauf einer SIM-Karte muss sich der Kunde laut Gesetz persönlich identifizieren. Mit dem KYC-Verfahren (Know Your Customer) hat die EU einen gesetzlichen Rahmen für die sichere Überprüfung der Identität eines (neuen) Kunden vorgegeben. Mittlerweile gibt es verschiedene Verfahren für die (digitale) Legitimationsprüfung gemäß den KYC-Vorschriften in Deutschland. Am häufigsten genutzt werden derzeit die Shop- und die Video-Identifikation.
Bei dem Shop-Ident-Verfahren weist sich der (Neu-)Kunde in einer entsprechend zertifizierten Filiale vor Ort mit seinem Ausweisdokument aus. Hierzu erhält der (Neu-)Kunde einen QR-Code auf sein Smartphone und zeigt diesen im Shop vor. Bei der Videolegitimation findet das Verfahren online statt und nativ in die Frontendsysteme integriert: Der Nutzer hält im Video-Chat mit einem Ident-Spezialisten seinen Ausweis hoch und liest Namen und ID-Nummer vor. Der Mitarbeiter prüft die Echtheit der Person und gleicht Ausweis und sein Gegenüber miteinander ab. Der Prozess wird von Künstlicher Intelligenz (KI) gestützt. Sie analysiert mehrere Schichten biometrischer Daten sowie Sicherheitsmerkmale des Ausweisdokuments und liefert ein stark authentifiziertes Ergebnis.
Das Verfahren ist in Deutschland mittlerweile in der Finanzbranche etabliert und wird vor allem von Direkt- und Neo-Banken angeboten. Das liegt zum einen an den geringen technischen Hürden und der Rechtssicherheit des Prozesses. Zum anderen ist das durch einen Ident-Spezialisten geführte Verfahren sehr nutzerfreundlich. Der Nachteil: Die Identifikation per Video bindet personelle Ressourcen und ist dadurch nicht ganz einfach skalierbar. Zudem ist die Konversation mit dem Ident-Spezialisten auf ausgewählte Sprachen beschränkt.
Automatische Identitätsprüfung auf Basis von KI
Eine schnellere Abwicklung sowie geringe Fehlerquoten bieten vollautomatisierte Lösungen auf KI-Basis. Auch diese Lösung kann nativ in die App des Anbieters integriert werden. Die KI prüft dabei, ob es sich um originale oder manipulierte Ausweisdokumente handelt und stellt durch eine biometrische Verifikation sicher, dass die Person die ist, die sie vorgibt zu sein. Damit lässt sich die Identitätsprüfung innerhalb weniger Minuten für eine Vielzahl von Anwendungen durchführen – sowohl für schwächer als auch stärker regulierte Anwendungsfälle, etwa beim Unterzeichnen von (Bank-)Verträgen (Ersatz für das Schriftformerfordernis) oder dem Onboarding auf einer Gaming-Plattform.
Um die für viele Bankgeschäfte geltenden KYC-Vorschriften in Deutschland gemäß GwG (Geldwäschegesetz) zu erfüllen, ist ein weiteres Identifikationsverfahren erforderlich – etwa die qualifizierte elektronische Unterschrift (Qualified Electronic Signature, QES), die rechtlich mit einer Face-to-Face-Identitätsprüfung gleichzusetzen ist. Zudem erfordert eine vollautomatisierte Lösung in einigen Anwendungsbereichen zum Datenabgleich eine symbolische Ein-Cent-Überweisung durch den Neukunden.
Eine weitere, aber bisher wenig genutzte Identifizierungsmöglichkeit bietet der deutsche elektronische Personalausweis oder Aufenthaltstitel, der neben den Ausweisdaten, einem Passbild und der persönlichen Identifikationsnummer sowie einer persönlichen PIN über eine NFC-Funktion (Near Field Communication) für die Nutzung von Online-Dienstleistungen verfügt. Damit erhält der User eine elektronische Identität (eID), die er zur GwG-konformen Identifikation im Netz verwenden kann. Allerdings ist das Verfahren in der Bevölkerung nicht sehr bekannt – auch weil entsprechende Anwendungsfälle fehlen. Bei der breiten Masse konnte sich der elektronische Personalausweis daher auch nach über zehn Jahren nicht richtig durchsetzen. Auch dieses Verfahren kann dem (Neu-)Kunden nativ integriert in der Anwender-Applikation bereitgestellt werden.
Vereinheitlichung auf EU-Ebene
Es zeigt sich also ein komplexes Bild in der Identifizierungsbranche in Deutschland, das durch Unterschiede auf EU-Ebene noch an zusätzlicher Komplexität gewinnt. Denn bisher herrscht innerhalb der EU ein Wirrwarr aus unterschiedlichen Vorschriften und Regelungen. Die EU-weite Nutzung von Identitätsservices ist nicht eindeutig geklärt. Dem will das European Telecommunications Standards Institute (ETSI) nun mit einem neuen Standard, dem ETSI TS 119 461, entgegenwirken. Der neue Standard setzt ein hohes Maß an Sicherheit und Qualität voraus und gibt eine in der EU einheitliche Mindeststufe für Identitätsnachweise (Level of Identity Proofing, LoIP) vor.
ETSI TS 119 461 bildet zusammen mit der eIDAS-Verordnung (electronic Identification, Authentification and trust Services) die Grundlage für die Definition von digitalen Identitätsüberprüfungen in der EU. Mit eIDAS soll sichergestellt werden, dass Bürger und Bürgerinnen sowie Unternehmen ihre nationalen elektronischen Identifizierungssysteme für den Zugang zu bestimmten Dienstleistungen nutzen können. Dadurch soll der Handel über Grenzen innerhalb der EU erleichtert werden.
Fazit und Ausblick
Ob Fintech, Mobility-Startup oder Hospitality-Unternehmen – an digitalem Onboarding kommen die Anbieter heute nicht mehr vorbei, wenn sie ihre oft jungen Zielgruppen erreichen wollen. Wichtig ist dabei, dass die Identifizierungslösungen skalierbar und leicht zu implementieren sind. Um eine hohe Nutzerakzeptanz zu erzielen, sollten sie zudem einen nutzerfreundlichen, sicheren und datenschutzkonformen Identifizierungsprozess bieten. Dabei spielt gerade in Deutschland oft auch der Standort der verarbeitenden Rechenzentren, der Ident-Center und der Ident-Spezialisten eine Rolle. Um ein hohes Datenschutzniveau zu gewährleisten, sollten diese vollständig in der Europäischen Union angesiedelt sein.
Als nächster großer Entwicklungsschritt steht in der EU die eIDAS 2.0-Verordnung an. Diese soll es allen EU-Bürgern ermöglichen, ihre digitalen Identitäten in einer sogenannten digitalen Identity Wallet zu speichern und wiederzuverwenden sowie elektronische Dokumente wie Führerschein oder QES auszutauschen. Ziel ist es, mit einer einzigen digitalen Identität auf öffentliche und private Online-Dienste zugreifen zu können. Wenn die Umsetzung wie geplant gelingt, müssen sich Endnutzer künftig nur noch einmal registrieren und verifizieren und können ihre digitale Identität dann für sämtliche Anwendungsfälle, egal ob im Bankwesen, beim Reisen oder beim Autoverleih, wiederverwenden.
Autor
Uwe Stelzig ist Geschäftsführer und Gründungsaktionär der identity Trust Management GmbH, seit 2021 Managing Director DACH bei der IDnow GmbH. Er ist in Führungspositionen und als Aktionär in Unternehmen für Identifikationslösungen seit 2001 aktiv.
Aussagen des Autors und des Interviewpartners geben nicht unbedingt die Meinung der Redaktion und des Verlags wieder
