Daten ohne Kraken

Das ist doch mal ein Versprechen, wie man es im Internet nicht häufig bekommt: "Meine Identität. Meine Daten. Meine Kontrolle." So wirbt Verimi derzeit großflächig in Deutschland. Konkurrent NetID sichert mir immerhin eine "sichere Datenhaltung ausschließlich in der EU" zu. Beide deutschen Konsortien aus mehreren großen Firmen wollen Facebook und Google den "Internet-Generalschlüssel" streitig machen.

Ich soll nicht mehr Google oder Facebook als zentralen Login-Service nutzen, mich also nicht mehr mit meinen dort hinterlegten Zugangsdaten auf allen möglichen Online-Seiten einloggen – sondern künftig mit Verimi oder NetID. Ich, die als privatsphärenbewusste Nutzerin im Digitalzeitalter eher lästig war, werde plötzlich umworben. Aber halten die Anbieter ihr Versprechen, besser zu sein als das US-Duopol?

Nutzer jonglieren pro Jahr mit durchschnittlich 300 verschiedenen Logins – von der Fluggesellschaft über das Zeitungsabo bis zur Bank. Passwortmanager helfen zwar, den Überblick über bestehende Konten zu behalten. Aber wenn sich Nutzer bei einem neuen Dienst anmelden wollen, müssen sie jedes Mal wieder ein eigenes Formular ausfüllen. Kein Wunder, dass viele sich lieber mit ihren bestehenden Google- oder Facebook-Konten einloggen. Allerdings verrät die Information, wer sich wann wo eingeloggt hat, viel über die Vorlieben der Nutzer. Datenkonzerne können dies beispielsweise für personalisierte Werbung nutzen.

Die beiden neuen Konsortien versprechen nun, Datenschutz und Bequemlichkeit miteinander zu verbinden. Verimi bietet darüber hinaus noch einen Service an, der über eine reine Online-Anmeldung hinausgeht: eine geprüfte Identität. Die Prüfung geschieht per Videochat ("Videoident"), Auslesen des elektronischen Personalausweises via Smartphone oder Lesegerät oder über Verknüpfung mit dem Account eines Partners, der die Identität bereits geprüft hat, beispielsweise einer Bank.

Auf diese Weise können sich Nutzer beispielsweise bei Behörden ausweisen, ohne jedes Mal den Ausweis zücken zu müssen. "Da wir den E-Personalausweis integrieren können, können wir etwa 80 Prozent aller Leistungen beim E-Government abdecken", sagt Verimi-Sprecher Tobias Enke. Zudem kann Verimi bei Bedarf die Korrektheit einer angegebenen Kontonummer verifizieren, das Alter eines Nutzers oder das Vorhandensein eines Führerscheins, was etwa beim Carsharing praktisch ist. Qualifizierte elektronische Signaturen, also das rechtsgültige digitale Unterschreiben eines Vertrags, will Verimi ab 2019 ermöglichen.

Der Zugang zu meinem "abgesicherten und modernen Zugang in die digitale Welt" ist ein wenig aufwendig, macht aber einen durchdachten Eindruck. Nachdem ich mich mit meinen Daten angemeldet und den Link in der Bestätigungsmail angeklickt habe, empfiehlt Verimi mir, ein zweites Sicherheitsmerkmal zu aktivieren. Dafür muss ich die Verimi-App auf dem Handy installieren und eine Pin sowie eine Puk bestimmen. Diese werden künftig abgefragt, wenn ich beispielsweise das Passwort ändern oder Personaldokumente übertragen will.

Jetzt also endlich einloggen, denke ich – und stelle fest, dass ich keinen einzigen der angebotenen Dienste nutze: Ich habe keine Versicherung bei der Allianz, bin keine Kundin der Deutschen Bank oder der Telekom, habe kein Miles-&-More-Konto bei der Lufthansa und lese weder die "Bild" noch die "Welt". Meine eigene Bank ist nicht im Angebot.

In der Hoffnung, beim Konkurrenten NetID mehr Nutzwert zu finden, eröffne ich auch dort einen Account. Das dürften wohl die wenigsten Nutzer machen, und das kennzeichnet auch schon die größte Schwäche der beiden neuen Dienste: Dass sie sich nicht zusammengetan haben. Aber dafür sind die beiden Ansätze wohl zu unterschiedlich, wie sich noch zeigen wird.

Bei NetID geht alles etwas schneller: E-Mail, Aktivierungslink – los geht's. Allerdings finde ich nirgendwo eine Übersicht aller Partner, bei denen ich mich nun einloggen könnte. Und die wenigen, die genannt werden, interessieren mich nicht: eine Kochseite mit Rezepten, ein Shop für Unterwäsche, ein Laden für hochpreisige Sportklamotten. Trotzdem logge ich mich dort probeweise ein. Stimme ich der Datenübertragung von NetID zum Shop zu, brauche ich das Anmeldeformular nicht mehr per Hand auszufüllen – das ist aber auch schon der einzige Vorteil.

Bei der Kochseite hingegen bleibt das Formular leer, die Datenübertragung scheint nicht zu funktionieren. In meinem NetID-Account kann ich hinterher sehen, welchem Dienst ich welche Daten übertragen habe, und die Verknüpfung wieder löschen. Aber die einmal übertragenen Daten bleiben natürlich dort.

In der Tat vertritt NetID eher die Interessen der Anbieter als die der Nutzer. Angesichts der wachsenden Zahl von Nutzern, die Cookies blockieren, fällt es deutschen Online-Unternehmen immer schwerer, die Vorlieben ihrer Kunden zu erfahren. "Für die Industrie sind die Folgen verheerend", sagt Jan Oetjen, Vorstand von United Internet und Vorsitzender des Stiftungsrates von NetID. "Personalisierte Produkte sind einer der kritischen Erfolgsfaktoren." Die Hauptmotivation der Beteiligten ist es also, personalisierte Werbung auszuspielen.

De facto ist NetID kein zusätzlicher Dienst, sondern eher ein Zusammenschluss von Unternehmen, die ihre bestehenden Kunden aneinander weiterreichen. Hätte ich beispielsweise einen Account bei Web.de, GMX, der RTL Mediengruppe, ProSiebenSat1 oder 7Pass, hätte ich diesen als Login für alle NetID-Partner nutzen können. "So haben wir vom Start weg schon 60 Prozent der deutschen Onliner", sagt Sven Bornemann, CEO der NetID Foundation – mehr als 35 Millionen Accounts. Und damit sei NetID schon jetzt größer als Facebook mit seinen 25 Millionen deutschen Nutzern oder Google mit seinen 20 Millionen. Künftig sollen noch Zalando, Otto, "Zeit" und "Spiegel" dazukommen.

Auch wenn individualisierte Werbung für die meisten Nutzer eher Drohung als Verheißung sein dürfte: Immerhin entstünde kein "zentrales Wissen" wie bei den US-Konzernen, beteuert Bornemann. Alle Nutzerdaten bleiben beim jeweiligen Account-Anbieter. Nur wenn der Nutzer explizit zustimmt, darf dieser sie weitergeben.

Verimi hat es hier nicht ganz so einfach. Der Dienst, 2017 gegründet und seit April 2018 am Start, hat zwar einen großen Gesellschafterkreis hinter sich: Daimler, Lufthansa, Telekom, Deutsche Bank und Allianz beteiligen sich jeweils mit mehreren Millionen Euro. Doch die Nutzer müssen sich einmalig einen neuen Account anlegen.

Dafür brauchen sie keine Werbung zu fürchten, denn das Geschäftsmodell ist ein anderes: Verimi verlangt von den Partnern gestaffelte Lizenzgebühren. Eine verifizierte E-Mail-Adresse liegt im Bereich von ein paar Cent, Führerscheindaten kosten zwei bis drei Euro. Das sei nur ein Bruchteil dessen, was die beteiligten Unternehmen für eine eigene Verifizierung ausgeben müssten, so Enke.

Dennoch beschleicht einen als Nutzer ein ungutes Gefühl: Sind meine Daten bei einer Versicherung wirklich besser aufgehoben als bei Facebook? "Wir tracken niemanden", beteuert Enke. Jedes Unternehmen bekomme nach dem Prinzip der Datensparsamkeit nur jene Daten, die für den jeweiligen Prozess notwendig seien – und das erst, nachdem der Nutzer zugestimmt habe. Zudem lägen die Daten verschlüsselt und fragmentiert auf verschiedenen Clouds.

Enkes größter Traum besteht darin, den Kommunen beim E-Government unter die Arme zu greifen. Dafür gibt es derzeit erste Projekte in Nordrhein-Westfalen und Thüringen sowie eine Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik. Nicht mehr anstehen zu müssen im Bürgerbüro, um einen neuen Reisepass zu beantragen – das ist tatsächlich ein Traum, der mindestens so wertvoll ist wie ein zentrales Login im Internet.

(bsc)