Eldo Devole
6 Monate nach der Veröffentlichung des Vorschlages der Kommission geht es weiterhin darum was eID ist. Wie kann man das nutzen? Welcher Business Case dahinterstecken könnte und wie wird dieser eID wallet aussehen? Wer wird ein solches Wallet anbieten und vor allem mit welchem Mehrwert?
Klar ist jedoch, dass die EU-ID Wallets kommen und, dass sie neben der Identität auch Attribute beinhalten werden.
Unterschiedliche Player sind gerade dabei zu analysieren ob sie Wallet-Anbieter werden sollten, wobei die technischen Anforderungen an die Sicherheit sehr anspruchsvoll sind. Die Diskussionen über offline Capabilities, Self-sovereignty, Identities etc. sind sehr wichtig, jedoch aus meiner bescheidenen Perspektive für Banken sind sie nicht vordergründig.
Unabhängig davon wer oder wie viele das Rennen machen, oder welche Schemes sich etablieren werden, wird es wichtig sein, zu klären welche Use Cases ein Unternehmen (z.B. ein Finanzinstitut) bereitstellt, um in einem Scheme nutzbar machen.
Die vordergründige Frage also ist nicht, wie die Gleise aussehen werden, die ein europäisches eID Lösung ermöglichen werden, sondern welche Vehikel darauf fahren werden und mit welchem Mehrwert für den Konsumenten.
Der Anfang könnte damit gemacht werden, eine klare Definition über eID zu finden. Das BSI definiert die eID wie folgt: „Der elektronische Identitätsnachweis (kurz eID), ist ein Nachweis, welcher die Identität einer Person in der digitalen Welt mittels eines Datenchips verlässlich nachweisen kann. * (BSI)[1]“ Diese Darstellung ist sehr präzise, stellt aus unserer Sicht aber gleichzeitig auch nur die Basis der eID dar.
Der Mehrwert ist die eindeutige Identifizierung online. Damit hat sich zumindest geklärt, womit sich jemand identifiziert. Die Frage wie, wird im Moment von einer Vielzahl von Unternehmen verfolgt. Wir wollen uns nun mit der Frage beschäftigen warum der Kunde das wollen würde und mit welchem Mehrwert.
eID stellt mehr dar als nur die Daten auf dem Ausweis. Für unterschiedliche Use Cases braucht ein Nutzer unterschiedliche Daten. Im Wesentlichen sind die Daten auf dem Ausweis nur die Basis und Ankerpunkt für eine Vielzahl von Identitätsbestandteilen (Attribute), wie z.B.: Arzt, Student, Arbeitnehmer, Fahrzeughalter, Rentner, etc.
Die Vielfalt und Kombination dieser Daten sowie die Sicherheit, dass es sich dabei um echte Daten handelt, ist in unseren Augen das echte Mehrwertversprechen der eID. Dieses Versprechen wollen wir „Relevant ID“ nennen. Dabei ist nicht primär von Bedeutung, ob es sich um die eID einer natürlichen bzw. juristischen Person oder gar eines Objektes/einer Maschine handelt.
- Relevant eID ist die Gesamtheit verifizierbarer Daten für einen elektronisch erzielbaren Geschäftserfolg zwischen zwei oder mehreren Handelnden.
Die Fragen, die demnach gestellt werden sollten, sind also folgende:
- Welche Daten brauche ich, deren Aggregation mit eigenen Daten mir dabei helfen bessere/ neue Produkte und Services anzubieten?
- Für welche Datensätze kann ich als Verifizierungsstelle in einem solchen Scheme agieren?
- Welche Datenaggregationen und Prozesse kann ich anderen Teilnehmern via eID Scheme anbieten?
Diese Fragen beinhalten eine Vielfalt an Folgefragen, die nicht zuletzt auch mit dem Digitalisierungsgrad der Prozesse sowie den Handlungsspielraum bei der Verarbeitung und Aggregation von Daten in direkter Abhängigkeit stehen.
- Wie sieht meine Dateninfrastruktur aus?
- Welche Touchpoints habe ich die Daten generieren, bzw. ausgeben
- Welche Digitalisierungsprojekte sind bei mir im Gange? Wird das Thema eID in diesen Projekten betrachtet?
Relevante Identität beschreibt also eine Aggregation von Daten, die zum Erreichen des Geschäftserfolges notwendig sind. Dieser Punkt beinhaltet drei Elemente:
- Privacy by Default
- Mehrwert
- User Experience
Es adressiert also gleichzeitig drei sehr wesentliche Elemente, die zurzeit noch diametral zueinander zu stehen scheinen: das Bedürfnis der Leistungsanbieter auf Daten, sowie das Grundrecht auf Privacy des Konsumenten. Wobei nach unser Dafürhalten Privacy by Default ein wesentlicher Bestandteil des Angebotes an Endkunden sein sollte und im Wesentlichen durch die Einführung einer „Relevanten ID“ adressiert werden könnte.
Aus unserer Sicht sind die Banken in einer vielversprechenden Position, wenn es um die eID geht. Sie genießen das Vertrauen des Kunden, haben eine weitreichende Identifizierung des Kunden gem. GWG durchgeführt, und kennen die Fallstricke des Transaktionsgeschäfts in einer Omnichannel Welt. Diese Stärken zu nutzen und dabei einen Mehrwert anzubieten, sollte für Banken aus unserer Sicht im Vordergrund stehen.
Weiterhin ist es aus unserer Sicht bedeutsam B2B Use Cases einen größeren Stellenwert in der Diskussion zu geben als die im oft genannten und als Beispiel gezogenen B2C Kontext. Die Mehrwerte der verifizierbaren Attribute wie das Vertretungsbefugnis sind von gleich hohen bzw. höheren Interesse.
Als Beispiel eines Use Cases für eID könnte folgendes dienen.
- Wie identifiziert sich ein Mitarbeiter einer Bank ggü. einem Kunden online?
- Wie identifiziert sich ein Vertretungsbefugte Mitarbeiter ggü. einem Dienstleister?
Die eID Use Cases gehen also nicht nur in eine Richtung: wie, dass ein Endkunde identifiziert sich dem Unternehmen gegenüber, sondern stellen bidirektionale Datentransaktionen dar, die mehr darstellen als nur die Daten auf dem Ausweis. Das Attribut, welches in dem Use Case am wichtigsten ist, ist also das Anstellungsverhältnis des Anrufenden und dessen Zuständigkeit.
Banken können sich strategisch und technisch auf die Einführung der eID Schemes vorbereiten und die Weichen stellen, um für diesen Wandel bereit zu sein. Dabei sollten sie sich auf Ihre Kunden und Use Cases konzentrieren und nicht nur auf den klassischen Identifizierungsfall sowie die technische Infrastruktur, die diese Identifizierung ermöglicht.
Die Frage der Akzeptanz und Verbreitung der eID Lösungen (unabhängig vom Scheme) entscheidet sich mit dem tatsächlichen Wertversprechen an den Endkunden. Aus unserer Sicht sollte der Fokus darauf gelegt werden diese zu kreieren.