23. März 2023 von Pascal Groß
Identitätsfeststellung – aktuelle Entwicklung mit Fokus auf Versicherungen
In meinem Artikel „Wer bin ich? Identitätsfeststellung im Wandel“ habe ich seinerzeit einen Überblick über den aktuellen Stand der Identitätsfeststellung im Zusammenhang mit digitalen Versicherungsdienstleistungen gegeben. Nach nunmehr gut dreieinhalb Jahren lohnt es sich, erneut einen Blick auf dieses Thema und die aktuellen Entwicklungen zu werfen. Daher möchte ich euch hier vorstellen, wie sich das Thema in meinen Augen weiterentwickelt hat.
Recap: Wofür ist die Identitätsfeststellung notwendig und welche Verfahren gibt es?
Die Identitätsfeststellung ist bei Versicherungen in verschiedenen Prozessen und mit verschiedenen Anforderungen an das Sicherheitsniveau notwendig. Gesetzliche und sicherheitstechnische Rahmenbedingungen geben vor, dass bei jeder digitalen Interaktion zwischen Versicherungsunternehmen und Versicherungsnehmerinnen und -nehmern eine Form von Identifizierung oder Authentifizierung notwendig ist. Die Anforderung kann von der reinen Kenntnis der Versicherungsnummer bis hin zu einer Identifikation nach Vorgabe des Geldwäschegesetzes (GwG) reichen. Ich konzentriere mich in diesem Artikel auf die Anwendungsfälle, bei denen ein Abgleich zwischen der Identität der natürlichen Person und den Daten im Bestandssystem des Versicherers notwendig ist. Auch hier gibt es weitere Abstufungen.
Als Grundlage für die meisten Verfahren dient entweder der Wohnsitz der betroffenen Person oder ein Ausweisdokument, in Deutschland üblicherweise Personalausweis oder Reisepass.
Verfahren teilen sich in asynchrone Verfahren (wie die Identifizierung durch einen berechtigten Dritten, PostIdent oder Identifizierung via Brief-PIN) und synchrone Verfahren (wie VideoIdent, Selfie-Ident und eID) auf.
Echte neue Verfahren zur Identitätsfeststellung mit Marktrelevanz im Endkundengeschäft sind in den letzten Jahren nicht hinzugekommen, daher spare ich es mir an dieser Stelle, die Verfahren noch einmal im Detail zu beschreiben. Die bekannten Verfahren wurden jedoch weiterentwickelt und die Nutzungsverteilung hat sich geändert.
Wie hat sich die Nutzung verändert?
Die Identifikation durch berechtigte Dritte – im Versicherungskontext häufig Vertreterinnen oder Vertreter – und PostIdent sind weiterhin wichtige Verfahren, wenn es um den Abschluss von Versicherungspolicen geht. Sind die Anforderungen an das Sicherheitsniveau nicht ganz so hoch, beispielsweise bei der Registrierung zu Online-Services, wird statt PostIdent weiterhin oft die für Versicherungsnehmerinnen und -nehmer weniger aufwändige Identifikation per Brief-PIN und damit im Endeffekt eine Adress-Identifikation verwendet.
Während diese asynchronen Verfahren weiterhin eine große Relevanz haben, kann auf der anderen Seite auch ein stärkerer Trend zu synchronen Identitätsfeststellungsverfahren beobachtet werden. Das klassische VideoIdent, also der Videochat mit einer Agentin oder einem Agenten, die oder der die Identifikation durch Verifikation der Sicherheitsmerkmale des Ausweisdokuments durchführt, ist weiterhin das wichtigste Verfahren, wenn es um Identifikationen mit GwG-Relevanz geht.
Für weniger kritische Anwendungsfälle hat aber vor allem das Selfie-Ident, das zum Zeitpunkt meines letzten Artikels gerade erst in der Versicherungsbranche angekommen war, starken Zuwachs erhalten. Insbesondere die großen Anbieter NECT, IDNow und WebID Solutions haben hier eine starke Durchdringung im deutschen Versicherungsmarkt erreicht. Zur Erinnerung: Auch hier erfolgt eine Identifikation auf Basis von Sicherheitsmerkmalen des Ausweisdokuments und Abgleich mit den Gesichtsmerkmalen der zu identifizierenden Person anhand von „Selfie“-Videos, jedoch komplett ohne Beteiligung einer weiteren Person, also automatisiert.
Beide Verfahren hatten zuletzt jedoch auch mit einem gewissen Imageschaden zu kämpfen, da ein Bericht des Chaos-Computer-Clubs veröffentlicht wurde, der belegte, wie diese Verfahren ausgetrickst werden können. Dies führte dazu, dass die gematik die Zulassung der Verfahren für die elektronische Personenakte zurückzog und einige Versicherer diese Verfahren auch zeitweise in allen Anwendungsfällen deaktivierten.
Insgesamt scheint es aber bisher nicht zu einer bleibenden Abkehr von diesen videobasierten Verfahren gekommen zu sein, auch einige abgeschaltete Implementierungen sind mittlerweile wieder aktiv.
Als ich von diesen Problemen erfahren habe, ging ich davon aus, dass dies der Einführung der eID (also der Identifizierung mittels elektronischen Personalausweises über eine NFC-Schnittstelle) einen Schub geben würde. Während das Verfahren in der öffentlichen Verwaltung bereits recht verbreitet und teilweise auch das einzige zugelassene synchrone Verfahren ist, konnte ich eine Steigerung der Verbreitung im Versicherungsumfeld bisher jedoch nicht beobachten.
Welche weiteren Entwicklungen gibt es am Markt?
Wie bereits oben erwähnt, sind keine neuen Verfahren aufgekommen, die aktuell eine potenzielle Marktrelevanz erwarten lassen. Auch das bereits im letzten Artikel erwähnte Bank-Ident über die Verknüpfung mit dem eigenen Bankkonto konnte sich bisher, anders als beispielsweise in den Niederlanden, in Deutschland nicht durchsetzen. Zwar ist yes®, die diesbezügliche Initiative von Sparkassen und Volks- und Raiffeisenbanken, in der Zwischenzeit an den Start gegangen, konnte die selbst gesetzten Erwartungen jedoch nicht erfüllen.
Eine recht frische Entwicklung (Dez. 2022) diesbezüglich ist, dass yes® mit verimi, der ID-Wallet, die mit namhaften deutschen Firmen als Gesellschafter (u. a. Allianz, Lufthansa, Deutsche Bank) an den Start ging und ebenfalls hinter den Nutzungserwartungen zurückblieb, fusioniert. Dies soll zu einem breit aufgestellten deutschen Identitätsdienstleister führen. Der Erfolg bleibt jedoch abzuwarten.
Wie geht es weiter?
Da es keine neuen Verfahren gibt, die die etablierten unter Druck setzen, ist davon auszugehen, dass vor allem die digitalen, synchronen Verfahren weiter an Relevanz gewinnen. Schwer zu sagen ist jedoch, ob die Probleme im Zusammenhang mit Video- und Selfie-Ident tatsächlich zu einem Umschwung auf andere Verfahren wie eID führen. Aktuell scheint es mir eher so, als überständen sie diese „Krise“ zumindest im Bereich der Versicherungen nahezu unbeschadet, und daher dürften sie auch in den nächsten Jahren die wichtigsten Methoden der digitalen Identitätsfeststellung bleiben.