Die Online-Ausweisfunktion des Personalausweises, auch als eID-Funktion bezeichnet, wird seit Jahren kontrovers diskutiert. Bislang gibt es nur wenige Anwendungen in der Praxis. Timo Hoffmann, Business Development Manager der AUTHADA GmbH, erläutert als Referent auf dem 5. afb Market and Innovation Event, warum wir in der Zukunft doch noch einige eID-Anwendungen sehen werden. Die eID-Lösung des Anbieters AUTHADA GmbH wird noch im Frühjahr 2018 live am Markt zu sehen sein. Sie kann die geldwäschegesetzkonforme Identitätsfeststellung per Postident- und Video-Ident-Verfahren ablösen und erlaubt in einer zweiten Ausbaustufe auch die Fernsignatur nach der eIDAS-Verordnung [1].
Sie gestalten auf dem 5. afb Market and Innovation Event am 17. Mai 2018 eine Session beim Speed Innovation Market. Verstehe ich die Ankündigung zu Ihrer Session und die Darstellung Ihrer dabei vorgestellten Lösung richtig, dass ich künftig am Sonntagabend von zu Hause aus einen Kreditvertrag komplett abschließen kann, so dass die Bank am Montag um 9 Uhr morgens das Geld auszahlen kann?
Ganz genau. Unsere Lösung erlaubt die Gestaltung einer voll-digitalen Antragsstrecke zum Beispiel für einen Kredit, die unter Beachtung höchster Sicherheitsstandards innerhalb kürzester Zeit und vollautomatisiert durchlaufen werden kann.
Wir, AUTHADA, können über die eID, also über einen neuen Personalausweis, ausgelesen über ein NFC-fähiges Smartphone nach Eingabe der eID-PIN, Personen identifizieren, analog zu Postident- und Video-Ident-Verfahren, also unter Beachtung des gleichen geldwäschegesetzlichen rechtlichen Rahmens. Unsere Lösung ist schneller und sicherer, da diese bereits vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurde. Den elektronischen Identifizierungsnachweis, eID, mit der qualifizierten elektronischen Signatur für den Abschluss eines Kreditvertrages zusammenzubringen, liegt auf der Hand.
Hier möchte ich nachhaken. Welche Voraussetzungen müssen dafür genau erfüllt sein? Welches Smartphone und welchen Ausweis brauche ich als Kunde?
Der Endanwender, also der Bürger, braucht aktuell ein NFC-fähiges Android-Smartphone. Die NFC-Fähigkeit ist seit rund drei Jahren technischer Standard bei Android-Smartphones [2]. Für iOS hat Apple die NFC-Schnittstelle noch nicht freigegeben, hier gibt es allerdings Bewegung. Der Bürger muss außerdem einen aktivierten, neuen Personalausweis besitzen. Erfreulicherweise ist im letzten Jahr eine Gesetzesänderung zur Förderung der eID in Kraft getreten. Seitdem werden nur noch aktivierte eIDs ausgegeben. Pro Jahr kommen also acht Millionen aktivierte eID auf den Markt. In einem Jahr haben wir dann circa 50 Prozent Abdeckung aktivierter eIDs über alle Bundesbürger.
Das eID-Verfahren zusammengefasst: Der User hält seinen aktivierten Personalausweis vor sein NFC-fähiges Smartphone und löst den Vorgang der Identifizierung durch die Eingabe seiner eID-PIN. Dabei gibt er seine Daten zur Prüfung frei. Die Freigabe und Prüfung dauert tatsächlich nur circa fünf Sekunden und ersetzt lästige manuelle Schritte.
Und muss ich mir als User dafür eine App auf mein Smartphone laden?
Ja. Für die Fernidentifizierung, die ich gerade skizziert habe, sind verschiedene Szenarien denkbar. Der Endanwender kann sich eine AUTHADA-App auf dem Smartphone installieren, die ab kommenden Monat verfügbar ist. Alternativ kann ein Unternehmen unsere AUTHADA Identifizierungs-Software als SDK in bestehende App-Infrastrukturen integrieren.
Durch die angesprochene Gesetzesänderung ist es nun auch möglich, den Personalausweis vor Ort, am Point of Sale auszulesen, unabhängig davon, ob dieser aktiviert ist oder nicht. Vorteil ist, dass die Eingabe einer PIN nicht notwendig ist. Ein Mitarbeiter kann die Identifizierung durch Abgleich des Lichtbildes mit der anwesenden Person durchführen und die Daten vom Personalausweis automatisch auslesen. Das AUTHADA Onsite-Verfahren erhöht die Datenqualität, schließt Dokumentenfälschungen aus und beschleunigt den Identifizierungsvorgang in der Filiale oder am Point-of-Sale. Perspektivisch kann auch eine eIDAS-konforme Fernsignatur ausgelöst werden.
Inwieweit kann die Lösung von AUTHADA das sogenannte Postident-Verfahren oder das Video-Ident-Verfahren ersetzen?
Das eID-Verfahren ist eine Alternative zu Postident oder Video-Ident und kann sie komplett ersetzen. Weiterer Unterschied ist, dass für den Einsatz des eID-Verfahrens keine Zustimmung oder Erlaubnis durch die Bafin notwendig ist. Dadurch ist eine höhere regulatorische Sicherheit gewährleistet, da die elektronische Identität im Geldwäschegesetz selbst niedergeschrieben ist. Institutionen wie die Bafin müssen beim eID-Verfahren nicht nachsteuern, wie es etwa bei Video-Ident-Verfahren passiert ist, als die Bedingungen zur Anwendung durch die Bafin verschärft wurden.
Ihr eID-Verfahren funktioniert nur mit neuen deutschen Personalausweisen?
Unser Verfahren funktioniert mit neuen deutschen Personalausweisen und elektronischen Aufenthaltstiteln (eAT). eATs sind Ausweisdokumente für Nicht-EU-Bürger, die dauerhaft in Deutschland wohnen. Aktuell sind rund acht Millionen eATs im Umlauf.
Künftig werden über die eIDAS-Verordnung notifizierte eIDs beginnend mit Österreich, Italien, Frankreich oder den Niederlanden in unsere Lösung eingebunden werden.
Noch eine Detailfrage: Ich bin kürzlich umgezogen und habe dann bei meiner Ummeldung auf meinen neuen Personalausweis einen Aufkleber mit meiner neuen Adresse bekommen. Wie lässt sich diese neue Adresse dann auslesen?
Bei der Ummeldung muss man ja im Einwohnermeldeamt oder im Bürgerbüro persönlich vorsprechen. Spätestens bei der Aushändigung des Personalausweises zur Platzierung des Aufklebers wird die neue Adresse über ein Lese- und Schreibgerät am Platz des Mitarbeiters auf dem Chip des Personalausweises verändert. Solche Aufkleber können beim Video-Ident-Verfahren oft nur schlecht gelesen werden und sind anfällig für Betrug. Die Datenqualität beim Auslesen der Daten vom Personalweis mit dem eID-Verfahren ist dagegen immer bei 100 Prozent.
Welche Anwendungsmöglichkeiten neben dem bereits angesprochenen Online-Abschluss eines Kreditvertrages gibt es für die Lösungen von AUTHADA?
Die eID findet Anwendung für hochregulierte Bereiche, also für Banken und Finanzdienstleister, Versicherungen, Glückspielanbieter, Telekommunikationsanbieter, E-Government und teilweise E-Commerce.
- Ein großer Anwendungsbereich sind Transaktionen, die geldwäschegesetzlich relevant sind, zum Beispiel Kontoeröffnung, Erwerb von E-Geld oder Kreditverträge. Auch im Bereich Versicherungen kann unsere Lösung helfen, etwa wenn eine Lebensversicherung abgeschlossen wird. Auch für Glücksspielanbieter gibt es verschärfte Auflagen, kommend aus dem GwG.
- Ein zweiter Anwendungsbereich ist die Telekommunikationsbranche. Seit letztem Sommer muss vor der Aktivierung von Prepaid-Karten eine Identifizierung erfolgen. Hier hilft die eID ebenso wie beim Abschluss von Postpaid-Verträgen über eine Fernsignatur nach eIDAS.
- Ein drittes Feld sind E-Government-Services. Bei Inanspruchnahme von Services auf den neuen Bürger-Portalen der Länder und Kommunen spielt die eID sicher eine entscheidende Rolle.
- Viertens erleben wir ein großes Interesse aus dem Handel, wo die stationäre Lösung zum Einsatz kommen kann. Das Risiko bei bislang betrugsanfälligen Verfahren, wie das Bezahlen auf Rechnung im E-Commerce, lässt sich mittels validierten Daten reduzieren.
GwG, DSGVO, KWG und TKG sind nur einige der Kürzel für Vorschriften, Regelungen und Gesetze. Wer muss sich bei Nutzung der Lösung von AUTHADA um deren Einhaltung kümmern?
Jedes Unternehmen hat Compliance-Beauftragte und eine Rechtsabteilung, die prüfen, ob eine Lösung den rechtlichen Anforderungen standhält. Bei der eID ist es relativ einfach. Aus dem E-Government kommend wurde die eID zum Beispiel im §12 des GwG sowie im §111 des Telekommunikationsgesetzes (TKG) notifiziert. Bei der Bewertung haben die Unternehmen also ein leichtes Spiel.
Noch eine Anmerkung zum Grundsatz der Datensparsamkeit, gemäß DSGVO: Je nach Anwendungsfall können wir konfigurieren, welche Daten ausgelesen werden sollen. Das ist bei Postident und Video-Ident durch die Erfassung aller persönlichen Daten anders.
Bei der Vorbereitung auf unser Gespräch habe ich mich gewundert, dass es die von ihnen vorgestellt Identifizierungslösung, die mir plausibel, simpel und komfortabel erscheint, bislang noch nicht gibt. Den neuen Personalausweis gibt es schon seit 2010 und das eID-Verfahren steht im Gesetz. Warum dauert das so lange, bis es praktische eID-Anwendungen gibt?
Die Möglichkeit der Anwendung der eID hat sich für die bereits genannten Branchen erst nach und nach aus neuen oder geänderten Vorschriften ergeben. Die Aufklärungsarbeit des Bundes beim Bürger bezüglich der Vorteile der eID war leider gering.
Die vorhandene vom Bund beauftragte Lösung entspricht nicht den Anforderungen des Marktes, da sich fast kein Bürger das notwendige Kartenlesegerät anschaffen wollte.Viertens fehlte lange Zeit die freigeschaltete eID-Funktion. Das hat sich erst mit dem Inkrafttreten des Gesetzes zur Förderung des elektronischen Identitätsnachweises Mitte Juli 2017 geändert. Denn jetzt ist die eID-Funktion immer und unwiderruflich freigeschaltet.
Schließlich ist der Aufwand für die Entwicklung einer praktikablen und gleichzeitig hochsicheren, mobilen eID-Identifizierungslösung hoch. AUTHADA hat dazu fast drei Jahre gebraucht.
Wo gibt es die Lösungen von AUTHADA im Praxiseinsatz? Gibt es schon Referenzkunden?
Ab Mai 2018 sind wir mit unserer Identifizierungslösung live am Markt. Im zweiten Quartal 2018 werden wir bei zwei Kunden live zu erleben sein. Auf dem afb Market and Innovation Event am 17. Mai 2018 in München werde ich sicher über den ersten Praxiseinsatz unserer Lösung berichten können. Im Laufe des Jahres 2018 glauben wir, zwei weitere große Kunden gewinnen zu können. Und mit unserer Signaturlösung wollen wir im dritten Quartal 2018 live gehen.
Dabei wünsche ich Ihnen viel Erfolg. Herzlichen Dank für das Gespräch.