insic: Verfahren zur Identifikation und Altersprüfung

Ein Artikel von Gunter Fricke, www.insic.de

Im zweiten Teil unserer kleinen Reihe von wiederkehrenden Fragen unserer Kunden und Interessenten konzentrieren wir uns heute auf die verschiedenen Prüfverfahren zur Feststellung der Identität, zur Bestätigung des Alters von Spielteilnehmern, der Erfüllung von Compliance Anforderungen aus dem Glücksspielrecht und zur GWG-konformen Prüfung.

Registrierung

Die Basis jeder Identifizierung ist die Bestätigung von Kontaktdaten durch den Spieler. Üblicherweise erfolgt dies durch den Klick auf einen Bestätigungslink in einer Email. Je nach Anwendungsfall ist auch der Versand einer SMS mit einem PIN Code an eine angegebene Mobilnummer mit anschliessender online – Bestätigung der PIN sinnvoll.

Die Bestätigung der Kontaktdaten kann natürlich auch über Social Media Kanäle erfolgen, wobei zusätzliche Daten wie Namen, Geburtsdatum und Login-Daten nach Freigabe durch den Kunden zusätzlich nutzbar werden.

Der Prüfung der durch den Spieler in der Registrierung gemachten Angaben auf Plausibilität kommt eine besondere Bedeutung zu. Wenn schon frühzeitig und intuitiv klar wird, dass Ute Mustermann und Donal Duck sich nicht ohne Weiteres registrieren können, vermindert sich das Risiko von Fake – Identitäten im weiteren Verlauf erkennbar.

Fester Bestandteil der Registrierung ist die Dublettenprüfung ggf. doppelter Identitäten entweder exakt auf die angegebenen Spieler-Daten oder unscharf nach bestimmten Suchmustern. Die Prüfschärfe kann im folgenden ID Prozess mit weiteren Kriterien wiederholt und ggf. in Abhängigkeit des geforderten Prüfniveaus weiter erhöht werden.

Die Eingabe und Prüfung von Postleitzahlen gestaltet sich auf den zweiten Blick kompliziert. Es hilft nicht immer, die aktuellste Postleitzahl zu nutzen, wenn in den externen Datenbanken die zuletzt gemeldete Adresse gespeichert ist. Neben der zuletzt gültigen Postleitzahl ist damit auch der Zugriff auf die Historie, insbesondere für sich im Zuschnitt ändernde Postleitzahlenbereiche, sinnvoll. Die genaue Ermittlung der Straße aus externen Datenbanken hat sich nicht bewährt, sofern der Spieler nicht die Möglichkeit hat, die Daten manuell zu überschreiben. Im Einzelfall kann die Nutzung einer individuellen Adress-Validierung sinnvoll sein, bevor ein Spieler in diesem frühen Stadium abgewiesen wird.

Der Zwang zur Erfassung einer IBAN ist immer noch ein Filter. Die Eingabe einer Bankverbindung folgt im besten Fall der Idee des Spielers von seiner Kontoverbindung und berechnet die formal korrekten Bankdaten im Hintergrund. Die Bankverbindung ist ein wichtiges Kriterium zur Feststellung der Identität, wenn z.B. aus Kostengründen auf eine bereits erfolgte Identifizierung zurück gegriffen werden soll.

Immer wieder stehen wir vor der Frage, ob die Erfassung von Daten zur Registrierung auf einer oder verteilt über mehre Seiten erfolgen soll. Die Antwort kann nur sein, dass im ersten Schritt nur die Daten eingesammelt werden können, die der Kunde im Prozess jeweils bereit ist preiszugeben. Nach einem ersten Schritt sollten konkrete Handlungsmöglichkeiten eröffnet und dann schrittweise entsprechend des Fortschritts im ID Prozess weitere Daten abgefragt werden. Stilblüten in Form von mehrseitigen Registrierungsprozessen fördern die Akzeptanz nicht. Spätestens zur verbindlichen Bestellung muss der erforderliche Prüfstatus erreicht sein – aber nicht zwingend früher.

Identifizierung

Der Großteil der Identifizierungen erfolgt mittels der Schufa Datenbank und kombiniert den Schufa Identitätscheck Premium mit dem Schufa Kontonummerncheck plus IBAN und die abschließende Überweisung von einem Cent mit einer PIN im Buchungstext, die online zu bestätigen ist. Mittels Zweit- und Drittabfragen und einem Kundendialog auf Basis genauer Informationen, welche eingegebene Information noch einmal durch den Kunden geprüft werden sollte, gelingt eine Trefferquote, die eine vergleichsweise hohe Akzeptanz geniesst. Eher problematisch sehen wir die Verarbeitung der 1-Cent Überweisung. Wir gehen immer mehr dazu über, mehrere Bankbänder am Tag mit unterschiedlichen Zielbanken zu erstellen, damit die Überweisungen auch untertäglich den Kunden zur Verfügung stehen.

Mit dem GiropayID Verfahren erfolgt die Altersprüfung mittels Zugang über das Online-Banking des Kunden und kann initial mit einer Ersteinzahlung kombiniert werden. Es gibt ähnliche Verfahren anderer Anbieter, wobei die Speicherung der Bank-Zugangsdaten variiert. Diesen Verfahren gemeinsam ist die Nutzung des Online Banking Zuganges des Kunden, der auf die Seite des Zahlungsanbieters oder der Hausbank verlinkt wird.

Die deutsche Post bietet neben dem klassischen Postident den erweiterten Service POSTID an. Hat der Kunde einmal seine Daten der Post gegenüber bestätigt, kann er seine Identität auch zukünftig auf den angeschlossenen Plattformen verwenden. Zur Bestätigung im POSTID Verfahren wird der Kunde auf die Seiten der deutschen Post verlinkt. Die angekündigte Preiserhöhung beim klassischen Postident zum 01.01.2018 wird das günstigere POSTID stärken.

Die Identifizierung per Video-Chat oder per Kurzvideo in Kombination mit einer Ausweisprüfung ermöglicht eine Freigabe in der Regel nach einer manuellen Prüfung. Der Trend zu einem kurzen Video anstatt eines vollen Chats mit einem Servicemitarbeiter sollte aufmerksam beobachtet werden. Wird eine vorläufige Registrierung auf Basis einer automatischen Ausweiserkennung vorgeschaltet, kann die sofortige Spielteilnahme ermöglicht und die abschliessende Prüfung in einem smarten Prozess nachgelagert werden.

Zulässig ist ebenfalls das eID Verfahren zur Nutzung des elektronischen Personalausweises, dessen Verbreitung allerdings eingeschränkt ist.

In der Kombination aus Internet-Vertrieb und vorhandenem Zugang am Point of Sale wie in Wettshops oder Annahmestellen, ergeben sich Varianten zum Identitätsnachweis mittels Ausweisdokumenten vor Ort z.B. kombiniert mit vorab auszudruckenden Formulars oder auf Basis eines 3D Barcodes auf dem Mobiltelefon.

Die Nutzung maschinenlesbarer Seiten von Ausweis-Dokumenten basiert jeweils auf Fotos der Vor- und/oder Rückseite. Der Prüfung von internationalen Personalausweisen, Reisepässen, Schengen-Visa und anderen temporären Aufenthaltstiteln sollte dabei ohne Zeitversatz automatisch erfolgen und nur in Ausnahmefällen einer manuellen Prüfung mit entsprechender Verzögerung zu unterziehen sein. Insbesondere am Point of Sale erlaubt die Nutzung von Ausweis-Scannern ein automatisiertes Onboarding.

Wir haben gelernt, dass der Übergang von einem Verfahren in einen alternativen Prozess bei etwa einem Drittel der Kunden festzustellen ist. Die Prozesse sind also hinreichend offen zu gestalten. Hat der Kunde einmal die Möglichkeit zur sofortigen Teilnahme über ein Sofortspiellimit erreicht, ist es eine Herausforderung auch den Abschluss des Prozesses mit dem Kunden aktiv und mit Alternativen zu gestalten.

Erweiterte ID Verfahren und zusätzliche Schnittstellen

Nach einer vorläufigen oder abgeschlossenen Identifizierung kommen weitere Verfahren je nach formalen Anforderungen zum Einsatz.

In Abhängigkeit der gewählten Bezahlverfahren werden Scoring Abfragen eingesetzt. Dies reicht von einer einfachen Adressprüfung bis zum vollständigen Verbraucher-Score über bekannte Anbieter wie die Schufa, Crif-Bürgel oder Creditreform.

Durch die besonderen Sorgfaltspflichten des GWG sind betroffene Anbieter gezwungen, den PEP-Status der Kunden zu prüfen. Zudem ist ein Abgleich mit den internationalen Sanktionslisten gegen Terrorfinanzierung gefordert.

Gibt es einen Anfangsverdacht auf Geldwäsche, ist eine automatisierte Web-Recherche sinnvoll. Dies kann in den großen Suchmaschinen anhand bestimmter Schlüsselbegriffe automatisch erfolgen. Mittels sofortiger Prüfungen im Internet ist es zudem möglich, Neuanmeldungen von Sportlern oder anderen Personen zu erkennen, die in der Öffentlichkeit stehen aber keinen PEP Status erlangen.

Das Land Hessen ist gemäß des GlüStV mit der Errichtung und Unterhaltung des übergreifenden Sperrsystems OASIS zum Schutz der Spieler und zur Bekämpfung der Glücksspielsucht beauftragt. Vor der Spielteilnahme sind Inhaber einer Lizenz nach GlüStV verpflichtet zu prüfen, ob in OASIS eine Sperre vorliegt. Neben der online Abfrage steht eine sehr performante Schnittstelle für Abfragen im Batchverfahren zur Verfügung.

In Schleswig Holstein ist die zwingende Voraussetzung zum Angebot eines Glücksspiels nach den Vorgaben des Glücksspielgesetzes der Betrieb eines SAFE Servers. Der SAFE Server speichert die Daten der Spielteilnehmer, Spiel-, sowie Bezahltransaktionen und stellt diese der Glücksspielaufsicht zum Upload zur Verfügung. Wir setzen dieses Konzept in Dänemark erfolgreich um und sehen echte Perspektiven, sofern die Datenbasis aktiv von der Regulierung genutzt wird und die Integration dem Lizenzinhaber zusätzliche Prüfmöglichkeiten erschliesst.

In der Zusammenfassung bleibt ob der Vielzahl der Prüfverfahren festzuhalten, dass viele verschiedene Kombinationen von Teil-Verfahren zur Identifikation und Altersprüfung zur Verfügung stehen. Die Herausforderung einer optimalen Mischung für das jeweilige Medium und das angebotene Produkt führt dazu, dass in der Praxis kein einheitlicher Prozess festgelegt werden kann. Die Aufgabe bleibt die Gestaltung offener Prozesse mit der Möglichkeit zur einfachen Anpassung an die Regulierung und den Markt.

Wir erwarten in den kommenden Monaten die Anerkennung weiterer interessanter Verfahrenselemente und bleiben gespannt.

Lesen Sie auch