Alterskontrolle, Verifizierung und Datenschutz: Digitale Identitätsprüfungen gewinnen an Bedeutung

Foto: GoldenDayz

In Zusammenarbeit mit einem externen Partner

In Deutschland und der Europäischen Union nimmt die Regulierung digitaler Angebote seit einigen Jahren spürbar zu. Was für Nutzerinnen und Nutzer vieles einfacher machen soll, wirkt zugleich auf manche befremdlich oder kontrollierend. Besonders groß sind die Datenschutzbedenken, wenn Ausweisdokumente online hochgeladen, biometrische Merkmale erfasst oder der Personalausweis per Smartphone ausgelesen werden soll.

KYC und Jugendschutz in sensiblen Bereichen

In manchen Bereichen ist eine Alters- und Identitätskontrolle kaum zu vermeiden. Wer ein Bankkonto eröffnet, mit Aktien handelt, Kryptowährungen kauft oder an Glücksspielen teilnimmt, bewegt echtes Geld. Anbieter müssen deshalb wissen, wer ihre Dienste nutzt. Das soll Betrug erschweren, Geldwäsche verhindern und Minderjährige ausschließen.

Unter dem Begriff KYC, kurz für „Know Your Customer“, werden solche Prüfungen seit Jahren eingesetzt. Nutzer laden etwa ein Ausweisdokument hoch, bestätigen ihre Identität per Videoverfahren oder nutzen die Online-Funktion des Personalausweises. Das mag im ersten Moment umständlich wirken, erfüllt aber einen nachvollziehbaren Zweck.

Es soll verhindern, dass Konten unter falschem Namen eröffnet, Gelder verschleiert oder fremde Identitäten missbraucht werden. Vor allem im Finanzbereich ist Vertrauen ein entscheidender Punkt. Banken, Broker und Krypto-Börsen tragen Verantwortung dafür, dass ihre Plattformen nicht für illegale Zwecke genutzt werden.

Ohne Identitätsprüfung wäre es deutlich einfacher, anonyme Konten zu erstellen, betrügerische Transaktionen abzuwickeln oder sich der Kontrolle durch Behörden zu entziehen. Für seriöse Anbieter sind Verifizierungen deshalb nicht nur eine gesetzliche Pflicht, sondern auch ein Teil der eigenen Sicherheitsarchitektur.

Auch beim Jugendschutz ist der Nutzen offensichtlich. Angebote mit finanziellen Risiken dürfen nicht ohne Kontrolle zugänglich sein. Minderjährige sollen weder Verträge abschließen noch Geld einsetzen können, wenn sie die Tragweite solcher Entscheidungen noch nicht vollständig einschätzen können.

Das betrifft Finanzplattformen und Krypto-Börsen ebenso wie rein digitale Glücksspiel-Angebote wie Online Slots. Ohne Altersprüfung wäre kaum sicherzustellen, dass entsprechende Angebote tatsächlich nur volljährigen Nutzern offenstehen.

Die Sorge um den Datenschutz: So lange werden persönliche Daten gespeichert

Viele Nutzer fragen sich bei digitalen Identitätsprüfungen zuerst, was mit ihren Daten passiert. Die Sorge ist nachvollziehbar: Wer ein Ausweisdokument hochlädt oder seine Identität per App bestätigt, gibt sehr persönliche Informationen weiter. Dazu gehören Name, Geburtsdatum, Anschrift, Ausweisnummer und je nach Verfahren auch ein Foto oder ein kurzer Videoabgleich.

Schon bei der Eingabe sollen diese Daten geschützt werden. Seriöse Anbieter übertragen solche Informationen verschlüsselt, in der Regel über TLS. Das ist derselbe Sicherheitsstandard, der auch beim Online-Banking oder bei Kartenzahlungen im Internet verwendet wird.

Die Daten werden also nicht offen durch das Netz geschickt, sondern während der Übertragung technisch abgesichert. Nach der Prüfung werden die Daten auf Servern des jeweiligen Anbieters oder eines spezialisierten Verifizierungsdienstleisters gespeichert. Dort gelten ebenfalls Schutzmaßnahmen, beispielsweise Zugriffsbeschränkungen, Verschlüsselung, Protokollierung und interne Löschkonzepte.

Entscheidend ist, dass nicht jeder Mitarbeiter einfach auf Ausweisdaten zugreifen darf. Zugriff sollte nur möglich sein, wenn er für Prüfung, Support, Betrugsprävention oder gesetzliche Nachweispflichten notwendig ist. Ganz frei entscheiden können Anbieter über die Speicherdauer aber nicht immer.

In Bereichen wie Banken, Finanzdienstleistungen, Krypto-Handel oder Glücksspiel greifen gesetzliche Aufbewahrungspflichten. Nach § 8 Geldwäschegesetz müssen bestimmte Identifizierungs- und Prüfunterlagen grundsätzlich fünf Jahre aufbewahrt werden.

Spätestens nach zehn Jahren sind diese Unterlagen in der Regel zu vernichten, sofern keine anderen gesetzlichen Vorgaben entgegenstehen. Gleichzeitig schreibt aber die sogenannte Datenschutz-Grundverordnung DSGVO vor, dass personenbezogene Daten nicht unbegrenzt gespeichert werden dürfen.

Sie müssen zweckgebunden, auf das notwendige Maß beschränkt und nur so lange aufbewahrt werden, wie es für den jeweiligen Zweck erforderlich ist. Fällt der Zweck also weg und besteht keine gesetzliche Pflicht zur Aufbewahrung mehr, müssen die Daten gelöscht oder anonymisiert werden.

Wird der digitale Personalausweis Pflicht?

Die Online-Ausweisfunktion des deutschen Personalausweises gibt es schon länger, als viele denken. Eingeführt wurde sie mit dem neuen Personalausweis Ende 2010. Wirklich genutzt wird sie im Alltag aber erst seit einigen Jahren häufiger. Seit Juli 2017 ist die Funktion bei neu ausgestellten Ausweisen standardmäßig aktiviert.

Um den digitalen Ausweis zu verwenden, braucht man die sogenannte AusweisApp des Bundes. Außerdem notwendig: ein NFC-fähiges Smartphone oder alternativ ein Kartenlesegerät. NFC steht für „Near Field Communication“. Dahinter steckt eine Funktechnik, mit der Daten über sehr kurze Distanz übertragen werden können.

Hält man den Personalausweis an die Rückseite des Smartphones, kann der Chip im Ausweis ausgelesen werden. Die Freigabe erfolgt zusätzlich über eine persönliche PIN. Die Technik soll viele Vorgänge vereinfachen, die früher nur persönlich oder per Post möglich waren.

Kontoeröffnungen, Anträge bei Behörden, Rentenauskünfte, Führungszeugnisse oder die Anmeldung bei staatlichen Onlineportalen lassen sich inzwischen teilweise komplett digital erledigen. Der klassische Behördengang entfällt damit in vielen Fällen.

Trotzdem bleibt die Nutzung in Deutschland bislang eher verhalten. Viele Menschen kennen die Funktion nicht, haben ihre PIN vergessen oder empfinden den Prozess als kompliziert. Eine Pflicht zur Nutzung gibt es bisher nicht. Der Personalausweis kann weiterhin ganz klassisch verwendet werden.

Auch Behördengänge, Anträge oder Vertragsabschlüsse sind nicht automatisch nur noch digital möglich. In der Praxis dürfte die Online-Ausweisfunktion aber an Bedeutung gewinnen, weil immer mehr Stellen digitale Nachweise akzeptieren oder sogar bevorzugen.

Die EUid steht in den Startlöchern

Dabei geht es nicht nur um Deutschland. Auf EU-Ebene wird mit der sogenannten EU Digital Identity Wallet an einer digitalen Brieftasche gearbeitet. Darüber sollen Bürger künftig Identitätsdaten und Nachweise auf dem Smartphone nutzen können, zum Beispiel den Ausweis, den Führerschein oder andere Dokumente.

Ziel ist, sich online einfacher ausweisen zu können, ohne jedes Mal Ausweiskopien hochladen zu müssen. Die EU hat dafür bereits die rechtliche Grundlage geschaffen. Die Mitgliedstaaten sollen die Wallets in den kommenden Jahren bereitstellen und erste Anwendungen werden bereits in diesem Jahr erwartet.

In einigen Ländern ist die digitale Identität schon deutlich stärker im Alltag angekommen als in Deutschland, insbesondere in Estland, Dänemark oder den Niederlanden. Ob der digitale Ausweis irgendwann der Regelfall wird, hängt vor allem davon ab, wie gut die Technik im Alltag funktioniert.

Je einfacher die Nutzung wird, desto eher werden Behörden, Banken und Unternehmen solche Verfahren einsetzen. Möglich ist, dass digitale Nachweise zuerst dort üblich werden, wo ohnehin hohe Sicherheitsanforderungen gelten, also bei Finanzgeschäften, Verträgen, Behördendiensten oder Alterskontrollen.

Eine vollständige Pflicht ist damit aber nicht automatisch verbunden. Ganz ausschließen lässt sie sich langfristig wohl trotzdem nicht. Solange einige Menschen jedoch immer noch kein Smartphone besitzen oder mit digitalen Anwendungen Schwierigkeiten haben, dürfen sie bei wichtigen Dienstleistungen und Behördengängen nicht benachteiligt werden.