Mit der Artikelserie „insic Update“ stellen wir Ihnen einen vollständigen Überblick über die benötigte Software zur Umsetzung der Compliance Anforderungen unter deutscher und europäischer Regulierung zur Verfügung.
Alle Artikel dieser Serie finden Sie auf unserer mehrsprachigen Übersichtsseite.
Herausforderungen bei der Auswahl von geeigneten ID-Verfahren
Das Vertrauen in die Identität eines Nutzers ist die Grundlage für die rechtssichere Abwicklung von Geschäften im Internet.
Zur Auswahl des oder der richtigen Anbieter von entsprechenden Verfahren zur Identifizierung, sind Kenntnisse von Feinheiten in der Identitätsüberprüfung unverzichtbar, um einen dauerhaften Mehrwert zu schaffen.
Der klassische Ansatz zu der Auswahl von Softwarelösungen in fünf Schritten bedarf bei der Auswahl von ID-Verfahrens eines erweiterten Vorgehens.
1. Positionsbestimmung
Die Regulierung fordert von uns die eindeutige Identifizierung im digitalen Austausch. Die ausgewählten Services müssen regulatorischen Anforderungen entsprechen, deren genaue Bestimmung bereits eine hohe Hürde darstellt.
In der Praxis setzen wir uns täglich mit Gewerberecht, Jugendschutzgesetz, Jugendmedienschutzstaatsvertrag (JMStV), Glücksspielstaatsvertrag, Medienstaatsvertrag, Geldwäschegesetz, Zahlungsdiensteaufsichtsgesetz, diversen Anwendungs- und Ausführungsbestimmungen und Vorgaben zur Auslegungen der einzelnen Gesetze auseinander.
Zusätzlich legen die 16 Bundesländer eigene Standards und unterschiedliche Gesetze fest. Die Innenministerien der Länder und die lokalen Gewerbeaufsichten unterscheiden sich schließlich stark in der individuellen Ausrichtung und agieren mit hausinternen Standards. Schließlich bestimmen Institutionen wie die FSK, USK, KJM, GGL, FIU und die BaFin die Leitplanken des Handelns in weiteren Bestimmungen.
Eine vollständige Sicherheit ist bei der Identifizierung insbesondere im Fernabsatz nicht zu erreichen und vom Gesetzgeber in der Regel nicht gefordert. Die Bandbreite möglicher Vertrauensniveaus reicht von einer freiwilligen Selbsteinschätzung (FSK/USK) bis hin zur individuellen behördlichen Genehmigung (GGL, BaFin).
Ohne fundierte juristische Beratung gehen Anbieter hohe regulatorische Risiken ein, die unter Umständen existenzbedrohend werden können.
Nach Festlegung der relevanten gesetzlichen Anforderungen ist der Risikoappetit des Anbieters zu bestimmen. In stark regulierten Märkten muss das Risiko einer ungenauen Identifizierung ermittelt werden. Als Diensteanbieter legen Sie fest, welche Risikoarten in welcher Risikobereitschaft und mit welcher Eintrittswahrscheinlichkeit zur Erreichung der Geschäftsziele bewusst eingegangen werden können. Hierzu sind als Grundlage die betroffenen Prozesse und die Maßnahmen zur Risikovermeidung zu bestimmen.
Am Beispiel der Vorgaben der KJM nach JMStV ist eine Abweichung von 15% in der Schreibweise von Namen grundsätzlich zulässig. Sie bestimmen als Anbieter, ob sie Abweichungen in der Schreibweise von Namen akzeptieren können oder die Prüfschärfe erhöhen, um einen genauen Abgleich mit Zahlungsdaten zur Vermeidung von Zahlungsausfällen zu ermöglichen.
Die Risikoanalyse umfasst die Prüfung von Neukunden, die Handhabung vorläufiger Identifizierungen und die Bestätigung von Datenänderungen durch Admins. Zusätzlich müssen erneute Prüfungen nach dem Ablauf der Identität innerhalb vorgegebener Fristen bewertet werden. Da aber viele Abteilungen, Verantwortliche und Prozessbeteiligte im Unternehmen betroffen sind, sollte die Risikoanalyse zum Beispiel mit dem Einsatz eines Risiko-Management-Systems unterstützt werden.
2. Zieldefinition
Key-Performance-Indikatoren (KPI) wie Erfolgs- und Abbrecherquoten oder Konversionsraten einzelner Verfahren erlauben dabei nur einen ersten Einblick, genügen aber nicht als Grundlage für die Auswahlentscheidung.
Für unterschiedliche Kundengruppen bedarf es angepasster ID-Verfahren mit deutlich unterschiedlichem Prüfniveau. Ein Verfahren für die Gruppe der unter Dreißigjährigen (z.B. Video-Autoident) wird in der Gruppe der über Sechzigjährigen zu signifikant anderen Erfolgsquoten führen. Eine one-fits-all Lösung gibt es dabei nicht.
Nutzen Sie eine Stärken-Schwächen-Analyse zur Entscheidungsfindung, wenn Sie bereits mehrere ID-Verfahren nutzen. Wir empfehlen dafür eine enge SWOT-Analyse bezogen auf jede ID-Methode und nachfolgend im Gesamtkontext. Auf dieser Grundlage können Sie dann die Anforderungen für neue ID-Verfahren, insbesondere mit Blick auf die heutigen Schwächen besser festlegen.
Bestimmen Sie zunächst einen realistischen Zielkorridor der angestrebten Konversionsrate. Bleiben Sie realistisch und arbeiten sie mit Annahmen wie 5% der Neuanmeldungen wollen gar keine echten Daten eingeben, 10% wollen keine richtigen Daten angeben, 10% finden die Anmeldung beim (ausländischen) Wettbewerb mit unzureichendem Schutzniveau besser und weitere 5% wollen vielleicht die angebotenen ID-Verfahren nicht nutzen. Damit ist eine Konversionsrate von mehr als 70% in diesem exemplarischen Fall unmöglich zu erreichen. Entscheiden Sie sich für ein zu hohes Schutzniveau fällt die Konversionsrate weiter.
Setzen sie mehrere ID-Verfahren gleichzeitig ein, erreichen Sie mit dem ersten ID-Hauptverfahren vielleicht 40%, mit dem zweiten weitere 20% und mit dem dritten Prüfverfahren vielleicht 10%.
Wird ein zusätzliches ID-Verfahren in einen bestehenden ID-Mix hinzugefügt, verschieben sich Erfolgsquoten zwischen den Verfahren, ohne dass vorher Aussagen über die Gesamtperformance getroffen werden können. Gelingt einem neuen Verfahren ein Anteil von möglicherweise 20 %, kannibalisiert es meist andere bestehende Verfahren, sodass die Netto-Verbesserung über alle ID-Methoden vielleicht bei 7 % liegt. Wird ein führendes Verfahren von der ersten Stelle im Frontend an die letzte Stelle gesetzt, fällt der Anteil sofort um die Hälfte. Probieren Sie es aus und legen Sie danach ihre KPIs fest.
Finden Sie hier die richtige Balance für Ihre Zielgruppen und den anwendbaren Grad der Regulierung.
3. Vorauswahl von ID-Verfahren
Anbieter von Dienstleistungen im Internet stehen vor einer vielfältigen Auswahl von ID-Methoden mit unterschiedlichen Compliance-Niveaus. Das Verständnis dieser Verfahren und die Einordnung in die jeweilige Risikoklasse bedarf intensiver Einarbeitung.
Grundsätzlich soll gute Nutzerfreundlichkeit (UX) im Prüfprozess mit einer hohen Prüfqualität einhergehen. In der Praxis erreichen Sie höchste Prüfniveaus mit teuren und komplexen Verfahren, die im konkreten Anwendungsfall über-compliant sein können und nicht immer mit guter Conversion glänzen.
Zur Auswahl stehen grundsätzlich fünf Gruppen von ID-Verfahren mit unterschiedlichen Formen der Interaktion in der konkreten Anwendung:
- Datenbankabfragen mit Dateninhalten unterschiedlicher Risikoklassen, angefangen mit einer Ortsabfrage über Google als Ausfüllhilfe bis hin zur Adressprüfung über zuverlässige Dritte wie die SCHUFA.
- Interaktive Abfragen mit Zugriff auf bereits erfolgte Identifizierungen gespeichert in ID-Wallets mit Freigabe durch den Nutzer oder Prüfung mittels eID.
- Fintec Bankzugang, Zugriff auf Bankkonten zur Bestätigung der Identität über Protokolle des Open Bankings.
- VideoIdentifizierung, interaktive Verfahren mit Ausweiserkennung und Videochat, Liveness-Checks oder Selfie-Prüfung.
- Vor-Ort-Identifizierung, Nutzung von Verfahren zur Identifizierung am Point Of Sale in bestehenden Filialnetzen wie zum Beispiel in Lotto-Annahmestellen oder dem PostIdent der Deutschen Post.
Entscheiden Sie, welche Form der Interaktion in Ihrem Anwendungsfall noch sinnvoll erscheint oder überhaupt erforderlich ist.
Neben den konkreten Anforderungen an die einzelnen ID-Verfahren ist der Datenschutz von zentraler Bedeutung. Das relevante Entscheidungskriterium für die Auswahl des passenden ID-Dienstes ist die Form der Datenhaltung in Bezug auf Ort und Dauer.
Wir unterscheiden folgende Datenschutz-relevante Formen der technischen Verarbeitung:
- On-premise hosting: Die Daten werden in Ihrer eCommerce- oder Spielplattform verarbeitet und gespeichert.
- Private cloud hosting: Die Daten werden auf der Hosting-PLattform im Namen und unter Kontrolle der Anbieter-Plattform verarbeitet und gespeichert. Hierbei handelt sich z.B. um virtuelle Server in den Amazon Web Services (AWS), Microsoft Azure oder Google Cloud.
- Externer Datenabgleich: Die Daten werden an eine externe Datenbank übertragen, dort ohne Speicherung verglichen und es wird lediglich ein Prüfergebnis zurückgegeben.
- Datenübergabe: Die Daten werden an eine externe Datenbank übertragen, dort zur weiteren Verwendung gespeichert und verglichen. Das Prüfergebnis wird zusammen mit Nutzerdaten zurückübertragen.
- Externe Erhebung: Die Daten werden an ein externes ID-Wallet übertragen, die Identifizierung findet in dem Wallet statt und das Prüfergebnis wird mit aktualisierten Nutzerdaten zurückgegeben. Die Identität steht dem Betreiber des Wallets zur eigenen Wiederverwertung zur Verfügung.
Die Datenhaltung in den ersten drei Verarbeitungsformen ist dabei regelmäßig unproblematisch. Die Verarbeitungsformen "Datenübergabe" und "Externe Erhebung" sollten vom internen Datenschutzbeauftragten eigens evaluiert werden. Es bleibt zu bewerten, ob es für Sie sinnvoll ist, die eigenen Nutzerdaten einem Serviceanbieter zur Verfügung zu stellen, der damit theoretisch den vereinfachten Zugang zu Plattformen des Wettbewerbs ermöglichen kann. In diesem Zusammenhang ist immer das Risiko zu bewerten, mehr in die externe Datenbank „einzuzahlen“ als „herauszubekommen“. Der Customer Livetime Value (CLV) ist in dieser Betrachtung mit einzubeziehen.
Im Weiteren ist die Technologie des Datenaustausches von entscheidender Bedeutung zur Bezifferung des Aufwandes und der Projektlaufzeit, insbesondere wenn viele Schnittstellen anzubinden sind. Im Markt gibt es zunächst unterschiedliche Datenaustauschformate wie JSON, XML oder CSV. Danach sind jenseits von Netzwerkprotokollen im ISO-Layer zusätzliche Authentifizierungsformate mit Passworten, Zertifikaten oder Access-Tokens zu implementieren.
Ein typischer Identifizierungsprozess mit beispielsweise drei Hauptverfahren benötigt im deutschen regulierten Glücksspiel bis zu 15 externe Schnittstellen unterschiedlicher technischer Ausprägung. Durch die großen Unterschiede in der technischen Umsetzung sollten ID-Verfahren ausgewählt werden, die im Idealfall latent ähnliche technische Standards erfordern.
4. Anbieterauswahl
Die Auswahl von ID-Anbietern kann nun anhand der Kriterien Regulierungsform, Risikoappetit, KPIs, Nutzerfreundlichkeit, Erwägungen des Datenschutzes, Form der Datenhaltung und bevorzugte Technologien vorbereitet werden.
Jenseits der kommerziellen Fragen, ist der Grad der Flexibilisierung von unterschiedlichen ID-Workflows unter Berücksichtigung kontinuierlicher Marktveränderungen zu bestimmen.
Jedes Jahr ändern sich etwa 20 % der eingesetzten Schnittstellen grundsätzlich, die ID-Anbieter verschwinden vom Markt oder ziehen sich aus einem Zielmarkt zurück. Viele neue Anbieter befinden sich in fremdfinanzierten Start-Up Phasen und erlauben maximale Flexibilität bei entsprechendem Umsetzungsrisiko. Andauernde Technologie- und Releasewechsel in den angeschlossenen ID-Verfahren führen zu einem erheblichen technischen Wartungsaufwand, der durch den Diensteanbieter dauerhaft zu leisten ist.
Neben der reinen Verfügbarkeit der Services ist schließlich deren optimale Reihenfolge und Parallelität im Workflow der Identifizierung zu berücksichtigen.
Eine einmal gewählte Umsetzung muss zielgruppenspezifisch immer wieder neu gedacht und überarbeitet werden. Unter anderem Vergleichsgruppentests führen dabei zu hohen Anforderungen an die Möglichkeiten zur offenen Gestaltung von ID-Prozessen. Die sich ständig ändernde Regulierung fordert dabei zusätzlich einen hohen Grad an Anpassungsfähigkeit mit oft extrem kurzen Fristen zur Umsetzung im Produktionsbetrieb. Was heute noch allgemeines Verständnis ist, mag morgen schon strafbewährt nicht mehr möglich sein.
Der Einsatz von ID-Verfahren im mehrstufigen Prüfprozess und deren jeweiliges Prüfergebnis bestimmen situativ den weiteren Fortgang der Identifizierung. Es gibt keinen seriellen Ablauf von Prüfschritten. Prüfungen ergeben sich immer aus der aktuellen Situation des Nutzers, der aktuellen Verfügbarkeit von Daten, deren Qualität und den regulatorischen Vorgaben. Wir unterscheiden folgende Stufen:
- Identifizierung fehlgeschlagen: Der Nutzer konnte nicht geprüft werden, da kein ID-Verfahren erfolgreich war. Zweit- und Drittabfragen mit Mechaniken zur Datenkorrektur waren ebenfalls nicht erfolgreich. Es sollten alternative Methoden der Identitätsprüfung angeboten werden.
- Identifizierung teilweise erfolgreich: Ein Teil der Nutzerdaten konnte z.B. über externe Datenbanken geprüft werden, es fehlt aber beispielsweise der Nachweis von echter Präsenz über eine face-to-face Prüfung.
- Identifizierung erfolgreich: Die Nutzerdaten konnten einer Person eindeutig zugeordnet werden und die Zuordnung zu einer wirklich existierenden Person wurde über einen geeigneten Präsenz-Check bestätigt.
- Identifizierung veraltet: Das Alter der Nutzerdaten bestimmt deren Verwendung. Zu unterscheiden sind - je nach anwendbarer Regulierung - die Ablaufdaten der Nutzerprofile von einem Jahr, zwei Jahren und mehr als zwei Jahren. Die Nutzerdaten müssen also regelmäßig mittels geeigneter Verfahren überprüft werden. Lag der Identifizierung ein vorzeitiges Ablaufdatum eines Ausweisdokumentes innerhalb dieser Zeiträume zugrunde, so ist dieses Ablaufdatum ebenfalls zu berücksichtigen.
Entscheiden Sie, ob der Einsatz eines offenen Workflow-Managements zur Steuerung der ID-Prozesse für Sie wichtig ist.
Arbeiten sie mit einer homogenen Kundengruppe unter einer einfachen Regulierung, so implementieren Sie seit Jahren verfügbare Diensteanbieter über eine eigene Schnittstelle direkt in Ihre Applikation.
Für die Mehrzahl der Diensteanbieter am Markt gilt allerdings, dass die ständige Anpassung von mehreren parallelen Verfahren separat zum Beispiel für Neukunden, Bestandskunden oder Scoring ein ständiger Kampf um Konversion bleibt.
Die Total Cost of Ownership (TCO) bezeichnen die Gesamtkosten, die mit dem Betrieb und der Wartung eines Systems über dessen gesamte Lebensdauer verbunden sind. Sie müssen bei der Auswahlentscheidung berücksichtigt werden. Oft werden variable Kosten in Höhe von ein bis zwei Euro für eine einzelne Identifizierung vor dem Hintergrund der Gesamtkosten relativiert. Wirklich relevant sind jedoch die Kosten, die aufgrund mangelnder Durchlässigkeit des Identifizierungsprozesses entstehen. Der Customer Lifetime Value (CLV) beschreibt den Gesamtwert, den ein Unternehmen während der gesamten Beziehung zu einem Neukunden erwartet. In der Praxis begegnen uns CLVs von fünfzig bis zweihundert Euro pro Neukunde, während die Kundengewinnungskosten zwischen zwanzig und fünfzig Euro pro aktivem Nutzer liegen. Es lohnt sich also immer, um jedes Prozent Conversion zu kämpfen.
5. Entscheidung
Auf Grundlage dieser ganzheitlichen Betrachtung empfehlen wir zur Auswahl von ID-Verfahren folgendes Vorgehensmodell:
- Bestimmung des regulatorischen Rahmens und des damit verbundenen Mindest-Prüfniveaus
- Risikobewertung zur Bestimmung der eigenen Risikobereitschaft
- Bestimmung relevanter KPI mit realistischen Zielsetzungen
- Bestimmung des Grades von Interaktionen und Form der UX, die vom Nutzer (noch) akzeptiert werden
- Zielsetzung in Bezug auf Datenschutz und die damit verbundenen Fragen der langfristigen Datenspeicherung und Wiederverwendung der Daten durch Dritte
- Bestimmung der technischen Verfahren zum Datenaustausch in Bezug auf Komplexität, time-to-market und Wartbarkeit
- Analyse des ID-Workflows zu Steuerung von Alternativprozessen bei fehlgeschlagenen, nicht vollständigen oder veralteten ID-Prozessen
- Festlegung des Freiheitsgrades zur Flexibilisierung von Prozessen und deren paralleler Betrieb für unterschiedliche Zwecke
- Berechnung der Effekte von zusätzlicher Konversion auf Basis des CLV und Bestimmung der TCO zur Erreichung der Ziele.
Nutzen Sie diese Hinweise bei Ihrer nächsten Auswahlentscheidung!
Sie halten die Risikobewertung für überflüssig? In Wirklichkeit ist doch alles viel einfacher? Diskutieren Sie mit uns dieses Vorgehensmodell und geben Sie uns Feedback - wir freuen uns auf den Austausch mit Ihnen!
Quelle: insic GmbH