Skip to content
Deutsch
Kostenlos testen
Skip to content
Deutsch
Wypróbuj za darmo
Autenti / Blog / So wählen Sie ein System zur Fernidentitätsprüfung von Kunden aus – 7 Auswahlkriterien
eID

So wählen Sie ein System zur Fernidentitätsprüfung von Kunden aus – 7 Auswahlkriterien

Lesedauer:

20 min

Veröffentlichungsdatum:

System zur Fernidentitätsprüfung ist ein SaaS-Dienst, der es einem Unternehmen ermöglicht, die Identität eines Kunden zu bestätigen, ohne dass dieser physisch anwesend ist - über das Internet, in Echtzeit. Der Kunde durchläuft den Prozess von seinem Telefon oder Computer aus; das Unternehmen erhält das Ergebnis zusammen mit Beweisen, die seine Identität belegen.

Klingt einfach. Das Problem ist, dass der Markt für diese Lösungen nicht homogen ist und die Unterschiede zwischen den Anbietern in der Demo-Phase nicht offensichtlich sind - sie werden erst nach der Implementierung deutlich. Ein System unterstützt drei Verifizierungsmethoden, ein anderes acht. Eines speichert die Daten in Polen, ein anderes in einer globalen Cloud. Bei dem einen dauert die Integration eine Woche, bei dem anderen verbringt die IT-Abteilung drei Monate mit der Ausarbeitung von Grenzfällen.

Dieser Artikel hilft Ihnen, eine Anforderungsliste zu erstellen, bevor Sie mit Anbietern sprechen. Sieben Kriterien, spezifische Fragen für jedes.

Wichtigste Erkenntnisse

  • Ein Identitätsüberprüfungssystem (für KYC) ist kein gewöhnliches SaaS-Tool - es berührt Vorschriften (AML, eIDAS, RODO), sensible Daten und einen für das Onboarding entscheidenden Prozess. Ein Auswahlfehler ist kostspielig zu korrigieren.
  • Die Verifizierungsmethoden unterscheiden sich im Grad der Sicherheit der Identität. Bevor Sie Angebote bewerten, sollten Sie das erforderliche Maß an Sicherheit anhand von Vorschriften oder Ihrer eigenen Risikoanalyse bestimmen.
  • Die Einhaltung von eIDAS ist nicht immer erforderlich - aber wenn Ihr Prozess ein hohes Maß an Sicherheit erfordert oder rechtliche Auswirkungen hat, ist es eine Voraussetzung.
  • Die Anbieterbindung bei KYC kommt dann ins Spiel, wenn ein Wechsel des Anbieters eine vollständige Neuerfindung erfordert. Durch die Wahl einer Plattform zur Aggregation mehrerer Anbieter über eine einzige API wird dieses Problem beseitigt.
  • Der Preis pro Verifizierung ist nicht der Gesamtpreis - IT-Integration, Wartung, Support und eventuelle Migration tragen zu den Gesamtkosten bei.
  • Die Benutzerfreundlichkeit des Verifizierungspfads auf der Endkundenseite hat einen direkten Einfluss auf die Abschlussrate beim Onboarding. Testen Sie vor dem Kauf immer mit echten Benutzern.
  • Pilotversuche mit echten Daten vor der Unterzeichnung eines Jahresvertrags sind Standard - ein Anbieter, der sich weigert, dies zu tun, ist ein Warnzeichen.

Wodurch unterscheidet sich ein Identitätsüberprüfungssystem von einem typischen B2B-SaaS-Tool?

Ein System zur Überprüfung der Kundenidentität ist aus drei Gründen anders - und schwerer zu ersetzen - als ein typisches operatives Tool.

Erstens berührt es sensible personenbezogene Daten und unterliegt einer Regulierung - dem AML-Gesetz, eIDAS, RODO, und oft auch sektoralen Anforderungen (FSA, Versicherungsvorschriften). Eine falsche Wahl ist nicht nur ein operatives Problem, sondern auch ein potenzielles Regulierungsrisiko.

Zweitens ist das Ergebnis der Überprüfung ein rechtliches Beweismittel. Der Identifizierungsbericht kann in der Fallakte, bei der Prüfung durch die Aufsichtsbehörde oder in einem Gerichtsverfahren landen. Die Qualität und Integrität dieses Dokuments ist wichtig.

Drittens ist das Verifizierungssystem tief in den Prozess der Kundenanwerbung verwoben. Ein Wechsel des Anbieters bedeutet eine technische Reintegration, eine Änderung des Benutzerpfads und - wenn bei der Implementierung nicht auf die richtige Architektur geachtet wurde - das Risiko von Ausfallzeiten.

Daher ist die Wahl eines Anbieters für die Fernidentitätsprüfung (für KYC-Verfahren) eine Entscheidung, für die es sich lohnt, sich vor der Vertragsunterzeichnung die Zeit zu nehmen, sie zu analysieren.

7 Kriterien für die Auswahl eines Systems zur Überprüfung der Kundenidentität

1. verfügbare Überprüfungsmethoden und ihr Sicherheitsniveau

Nicht jede Überprüfungsmethode bietet das gleiche Maß an Sicherheit bezüglich der Identität. Ein Selfie mit einem Dokument ist etwas anderes als das kryptografische Auslesen eines NFC-Chips auf einer elektronischen Karte. Jede Methode hat unterschiedliche technische Anforderungen auf der Kundenseite, unterschiedliche Bearbeitungszeiten und unterschiedliche Kosten.

Fragen an den Anbieter:

  • Welche Methoden stehen zur Verfügung - Videoverifikation, e-card, e-banking, mCitizen, qualifizierte Signatur?
  • Welches Sicherheitsniveau (niedrig, mittel, hoch nach eIDAS) wird den einzelnen Verfahren zugeordnet?
  • Kann eine Methode für ein bestimmtes Verfahren oder Kundensegment ausgewählt werden?
  • Sind die Methoden unabhängig voneinander oder müssen sie gebündelt erworben werden?


Praktischer Ansatzpunkt: Bestimmen Sie zunächst das erforderliche Sicherheitsniveau für Ihren Prozess - dies ergibt sich aus den Vorschriften oder Ihrer eigenen Risikoanalyse. Erst dann prüfen Sie, ob das System Methoden anbietet, die diesem Niveau entsprechen.

Einen detaillierten Vergleich der auf dem polnischen Markt verfügbaren Methoden finden Sie in dem Artikel Methoden zur Überprüfung der Kundenidentität: Anforderungen, Anleitungen und die zu wählende Methode.

2 Einhaltung der Vorschriften und Zertifikate

Für den Compliance Manager gibt es bei der Beurteilung eines Lieferanten eine Schlüsselfrage: "Werde ich diese Wahl gegenüber der Aufsichtsbehörde verteidigen können?". Die Antwort liegt nicht in den Erklärungen des Lieferanten - sie liegt in den spezifischen Dokumenten und der Datenarchitektur.

Fragen an den Anbieter:

  • Ist die Plattform konform mit eIDAS und dem polnischen AML-Gesetz 2018?
  • Wo werden die Daten physisch gespeichert - in Polen, in der EU, außerhalb der EU?
  • Über welche Zertifizierungen verfügt der Anbieter (ISO 27001, SOC 2, andere)?
  • Enthält der Prüfbericht einen Prüfpfad - wer hat wann, mit welchen Methoden und mit welchem Ergebnis geprüft?
  • Liegt der Bericht in einer rechtsgültigen Form vor (z. B. gestempelt mit einem qualifiziertem Siegel)?


Autenti eID arbeitet in diesem Bereich in voller Übereinstimmung mit eIDAS und RODO - die Daten werden in Europa verarbeitet und gespeichert. Die Prüfberichte werden mit dem qualifizierten elektronischen Siegel von Autenti gesichert, wodurch sie im Falle eines Rechtsstreits oder einer Prüfung Beweiskraft erlangen.

Beispiel aus der Praxis: Grenke Polska, die ein AML-konformes Remote-Leasing-Onboarding umsetzt, weist ausdrücklich darauf hin, dass die Remote-Kundenidentifizierung "die Risiken des Unternehmens minimiert" - eben weil jede Verifizierung mit einem dokumentierten Bericht endet. Es lohnt sich, den Anbieter zu fragen, wie ein solcher Bericht aussieht und ob Sie ihn vor der Vertragsunterzeichnung einsehen können.

3 Integrationsmodell und Risiko der Anbieterbindung

Dieses Kriterium wird in der Auswahlphase meist übersehen - und wird meist erst nach der Implementierung zum Problem.

Anbieterbindung im Zusammenhang mit KYC bedeutet, dass ein Wechsel des Verifizierungsanbieters oder das Hinzufügen einer neuen Methode eine vollständige Neuintegration der IT erfordert. Wenn Sie direkt mit einem bestimmten Biometrieanbieter zusammengearbeitet haben und dieser Anbieter die Preise erhöht, den Service einstellt oder aus Ihrem Markt ausscheidet, sitzen Sie fest oder müssen für die erneute Integration bezahlen.

Fragen an den Anbieter:

  • Erfolgt die Integration über eine einzige API, die Zugang zu mehreren Methoden und Anbietern bietet?
  • Erfordert das Hinzufügen einer neuen Überprüfungsmethode eine neue technische Integration?
  • Was geschieht mit den Verifizierungen, wenn einer der Unterlieferanten (z. B. der Biometrieanbieter) einen Fallback hat? Gibt es einen automatischen Fallback?
  • Ist die API versioniert und wie sieht die Supportpolitik für ältere Versionen aus?


Autenti eID löst dieses Problem durch ein Hub-Modell - die Integration mit einer API ermöglicht den Zugang zu mehreren Verifizierungsanbietern (Identt, Veridas, Authologic, u.a.). Wenn ein Anbieter ausfällt, kann das System auf den nächsten umgeschaltet werden, ohne dass der Kunde eingreifen muss.

4 UX des Verifizierungspfads auf der Endkundenseite

Ein gutes System ist nicht nur das, was man in der Administrationsoberfläche sieht. Viel wichtiger ist, was der Kunde während der Verifizierung sieht - und wie viele von ihnen den Prozess abschließen.

Unternehmen kaufen oft ein System, bei dem sie nur auf die Funktionen und die Einhaltung von Vorschriften achten. Sie ignorieren die UX. Das Ergebnis: Die Konversionsrate im Onboarding-Prozess sinkt, Kunden brechen die Anwendung auf halbem Weg ab, der Support erhält Meldungen, dass die Verifizierung nicht funktioniert".

Fragen an den Anbieter:

  • Wie viele Schritte erfordert die Verifizierung für den Endkunden?
  • Funktioniert sie auf mobilen Geräten, ohne dass eine App installiert werden muss?
  • Wie lange dauert die Verifizierung im Durchschnitt?
  • Gibt der Anbieter Daten zur Abschlussquote bei der Bereitstellung für andere Kunden weiter?
  • Ist die Schnittstelle optisch anpassbar (weißes Etikett, eigene Farben, Logo)?


Ein Test ist mehr wert als eine einstündige Demo: Fordern Sie eine Sandbox an und führen Sie die Verifizierung selbst auf Ihrem Telefon durch. Bitten Sie vorzugsweise ein paar Außenstehende - Leute, die nicht wissen, wie das System funktioniert.

Zum Vergleich: BNP Paribas Leasing Solutions hat nach der Einführung der Fernüberprüfung Identifizierungszeiten von einigen zehn Sekunden erreicht - und das bei Anforderungen, die sich auf einen Personalausweis und eine Kamera beschränken. Die Verifizierung ist rund um die Uhr verfügbar, ohne dass ein Mitarbeiter des Unternehmens vor Ort sein muss. Michal Porycki, Geschäftsführer von TS bei BNP Paribas Leasing Solutions, kommentiert: " Automatisierte Lösungen zur Identitätsüberprüfung beschleunigen den Prozess erheblich und erhöhen die Kundenzufriedenheit."

MHC Mobility - ein Unternehmen, das eine Flotte von mehr als 13.500 Fahrzeugen in der CEE-Region verwaltet - hat seinerseits nach der Implementierung 90 % positive Rückmeldungen von Kunden zu seinem neuen Unterzeichnungsprozess mit Identitätsüberprüfung erhalten. Dies ist eine Zahl, die man bei der Bewertung von Angeboten von einem Anbieter verlangen sollte: Wie hoch sind die tatsächliche Abschlussquote und die Zufriedenheitsergebnisse bei Kunden, die mit Ihrem Unternehmen vergleichbar sind?

5 SLA, Verfügbarkeit und Behandlung von Zwischenfällen

Die Identitätsüberprüfung ist oft ein kritischer Pfad beim Onboarding. Ein Ausfall zu Spitzenzeiten bedeutet verlorene Anfragen, verärgerte Kunden und Druck auf die Betriebsabteilung.

Fragen an den Anbieter:

  • Wie hoch ist die garantierte Systemverfügbarkeit (SLA) - 99,9 %? 99,95%? 99,99%?
  • Wie lange ist die Reaktionszeit auf einen kritischen Vorfall? Wie sieht die Eskalation aus?
  • Veröffentlicht der Anbieter einen Verfügbarkeitsverlauf (Statusseite)?
  • Wie ist das Verfahren für die Meldung von Problemen - E-Mail, dedizierter Support, Slack?


99,9 % Betriebszeit sind 8,7 Stunden Nichtverfügbarkeit pro Jahr. 99,99 % sind 52 Minuten. Bei hochvolumigen Prozessen ist dieser Unterschied von Bedeutung - es lohnt sich, ihn in Zahlen auszudrücken, bevor Sie einen Vertrag unterzeichnen.

6 Preismodell und Gesamtbetriebskosten

Der von einem Anbieter angegebene Preis pro Verifizierung ist oft nur ein Teil der tatsächlichen Kosten. Der Rest fällt bei der Implementierung oder bei der ersten Rechnung an.

Fragen an den Anbieter:

  • Wie sieht das Abrechnungsmodell aus - pro Verifizierung, Abonnement, gemischtes Modell?
  • Beinhaltet der Preis alle Überprüfungsmethoden oder wird jede einzeln in Rechnung gestellt?
  • Fallen zusätzliche Kosten für Implementierung, technische Unterstützung und Schulung an?
  • Wie ändert sich der Preis bei steigendem Volumen - linear, degressiv, Schwellenwert?
  • Fallen Gebühren für die Speicherung von Berichten und Daten an?


Beim Vergleich von Angeboten lohnt es sich, die TCO (Total Cost of Ownership) nach 12 und 24 Monaten zu berechnen - einschließlich der IT-Integrationszeit, etwaiger zusätzlicher Lizenzen und der Kosten für den Support.

7 Implementierungsunterstützung und Dokumentation

Die Integrationszeit hängt weitgehend von der Qualität der Dokumentation und der Verfügbarkeit von Support auf Seiten des Anbieters ab. Eine schlecht dokumentierte API kann eine 2-wöchige Integration in einen 2-monatigen Debugging Edge Case verwandeln.

Fragen an den Anbieter:

  • Ist die API-Dokumentation öffentlich und aktuell?
  • Steht vor der Vertragsunterzeichnung eine Testumgebung (Sandbox) zur Verfügung?
  • Wie lange dauert es im Durchschnitt, bis der erste Anruf für die neue Integration erfolgt?
  • Wer steht dem Anbieter bei der Implementierung zur Seite - ein spezieller Techniker, allgemeiner Support, allein mit der Dokumentation?
  • Bietet der Anbieter vor der vollständigen Implementierung ein Pilotprojekt mit echten Daten an?

Worauf ist bei bestimmten Branchen zu achten?

Die Kriterien sind universell, aber ihre Bedeutung hängt von der Branche ab.

Finanzen und Leasing - Die AML- und FSA-Vorschriften sind hier am strengsten. Das Kriterium der Einhaltung der Vorschriften und des Prüfpfads hat überragendes Gewicht. Oft wird ein hohes Maß an Identitätssicherheit verlangt, was die verfügbaren Methoden auf E-Card, E-Banking oder qualifizierte Signaturen beschränkt.

E-Commerce und Marktplätze - der Umfang der Verifizierung ist hoch und die Toleranz der Kunden für Reibungsverluste im Prozess ist gering. UX und Abschlussrate sind hier am wichtigsten. Die Kosten pro Verifizierung wirken sich bei hohem Volumen stark auf die Wirtschaftlichkeit aus.

Personalwesen und Remote-Einstellung - die Prozesse sind weniger reguliert als im Finanzwesen, aber es besteht ein zunehmender Druck, die Identität von Bewerbern, die aus der Ferne eingestellt werden, zu überprüfen. Die Anpassung der Methoden an verschiedene Länder ist entscheidend, wenn das Unternehmen außerhalb Polens einstellt.

Hiring und Sharing Economy - hohe Nutzerfluktuation und Betrugsrisiko. Entscheidend ist die Geschwindigkeit des Prozesses auf der Kundenseite und die Möglichkeit der erneuten Verifizierung ohne erneute Integration.

Wann sollte man mit einem Pilotprojekt und nicht mit einer vollständigen Implementierung beginnen?

Wenn der Umfang der Verifizierung in Ihrem Unternehmen noch unbekannt ist oder der Onboarding-Prozess gerade erst entwickelt wird, ist ein Pilotprojekt vor der vollständigen Integration sinnvoll.

Mit einem Pilotprojekt können Sie drei Dinge überprüfen, die sich anhand einer Demo nicht beurteilen lassen: die tatsächliche Abschlussrate bei Ihren Kunden, das Verhalten des Systems bei prozessspezifischen Randfällen und die realen API-Antwortzeiten unter Last.

Ein guter Anbieter wird Pilotversuche mit echten Daten in begrenztem Umfang zulassen. Wenn ein Anbieter sich weigert, vor der Unterzeichnung eines Jahresvertrags eine Sandbox oder ein Pilotprojekt durchzuführen, ist das ein Signal.

Die häufigsten Fehler bei der Auswahl eines Identitätsprüfungssystems

  1. Auswahl nach dem Preis für eine einzelne Überprüfung. Die billigste Option pro Verifizierung kann die teuerste sein, wenn man die Kosten für Integration, Wartung und eventuelle Migration berücksichtigt. Die Gesamtbetriebskosten (TCO) sind entscheidend, nicht der angebotene Preis.
  2. Kein UX-Test auf der Endkundenseite. Die Entscheidung wird in der Chefetage auf der Grundlage von Demos für Käufer getroffen - nicht für diejenigen, die sich der Überprüfung unterziehen werden. Ergebnis: niedrigere Abschlussquote als erwartet, höhere Akquisitionskosten, unzufriedene Kunden in der Registrierungsphase.
  3. Übersehen von Problemen mit der Anbieterbindung. Die direkte Integration mit einem einzigen Anbieter von biometrischen Daten oder Dokumenten sieht zunächst einfach aus. Problematisch wird es, wenn der Anbieter seine Preise ändert, die Verfügbarkeit einschränkt oder den Betrieb einstellt. Dann sind die Kosten für den Wechsel gleich hoch wie die Kosten für eine neue Implementierung.
  4. Unterschätzung der Prüfungsanforderungen. Das System erfüllt die gesetzlichen Anforderungen "auf dem Papier", aber die Prüfberichte haben keine rechtsgültige Form, es gibt keine Zeitstempel, und es fehlt an Details zu Methode und Ergebnis. Beim ersten Audit oder Streitfall ist dies ein Problem, das nicht schnell behoben werden kann.

 

Mehr zu Fehlern im KYC-Prozess: 5 derhäufigsten Fehler im KYC-Prozess und wie man sie vermeiden kann.

Häufig gestellte Fragen

Was ist der Unterschied zwischen einem Identitätsprüfungssystem und einem Anbieter von Identitätsprüfungen?

Es ist das Unternehmen, das den Dienst anbietet - es kann eine Online-Plattform, eine API-Integration oder ein Vor-Ort-Modell sein. Ein Verifikationssystem ist die spezifische Software, die der Identifikationsweg des Kunden durchläuft. Einige Anbieter bieten ihre eigenen biometrischen Systeme an, andere fassen Methoden aus verschiedenen Quellen über eine einzige API zusammen. Bei der Auswahl ist es wichtig zu wissen, ob Sie direkten Zugang zu einer Verifizierungsmethode oder zu einer Orchestrierungsschicht kaufen, die mehrere Methoden verwaltet.

Wie hoch sind die Kosten für die Implementierung eines Fernidentitätsprüfungssystems?

Die Kosten hängen von den gewählten Methoden, dem Umfang der Überprüfung und dem Abrechnungsmodell ab. Ein typisches Modell ist eine Gebühr pro Verifizierung (von einigen wenigen bis zu mehreren Dutzend Zloty, je nach Methode und Anbieter) plus eine optionale Implementierungs- oder Abonnementgebühr. Zu den Gesamtkosten sollten noch die IT-Integrationszeit sowie mögliche Wartungs- und Supportkosten hinzugerechnet werden.

Muss ein Identitätsüberprüfungssystem eIDAS-konform sein?

Nicht jedes Verfahren muss eIDAS-konform sein - dies hängt vom erforderlichen Sicherheitsniveau und den sektoralen Vorschriften ab. Die Verpflichtung ergibt sich aus spezifischen Rechtsvorschriften: Das AML-Gesetz schreibt sie den verpflichteten Institutionen vor, die EU-Richtlinien den Finanzmarktbetreibern. Wenn Ihr Prozess jedoch ein hohes Maß an Sicherheit in Bezug auf die Identität oder die rechtliche Wirkung erfordert (z. B. bei der Unterzeichnung eines Vertrags), ist die Einhaltung von eIDAS eine Voraussetzung.

Wie lange dauert es, ein System zur Fernidentitätsprüfung zu implementieren?

Nicht jede Implementierung erfordert eine API-Integration. Einige Identitätsüberprüfungssysteme funktionieren über ein Online-Panel - bei einem solchen Time-to-Market-Modell dauert es nur wenige Stunden nach der Einrichtung des Dienstes, ohne dass die IT-Abteilung beteiligt ist. Bei der Integration über eine API - mit guter Dokumentation und dediziertem Support - reicht die Zeit von einigen Tagen (Proof of Concept oder MVP) bis zu einigen Wochen (vollständige Integration mit Backoffice-Systemen und Onboarding-Pfad). Die Hauptvariable ist die Komplexität der technischen Umgebung auf der Client-Seite: die Anzahl der anzuschließenden Systeme, das Datenmodell, die Schnittstellenanforderungen. Das Prüfsystem selbst ist selten der Engpass.

Was versteht man unter "Vendor Lock-in" im Zusammenhang mit Remote-Identitätsprüfungssystemen und wie lässt sich dies vermeiden?

Ein Vendor Lock-in tritt auf, wenn ein Wechsel des Verifikationsanbieters eine vollständige technische Neuerfindung erfordert - eine neue API, neue Tests, neue Prozesszertifizierungen. Dies wird durch die Wahl einer Plattform vermieden, die mehrere Anbieter über eine einzige API zusammenfasst. In einer solchen Architektur erfordert die Änderung oder Hinzufügung einer Verifizierungsmethode keine neue Integration, sondern lediglich eine Konfigurationsänderung.

Auf welche Vorschriften sollte man sich berufen, um die Wahl eines KYC-Systems innerhalb einer Organisation zu rechtfertigen?

In Polen sind die wichtigsten Gesetze das Gesetz zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML) von 2018, die eIDAS-Verordnung (EU 910/2014), RODO und sektorspezifische Vorschriften (EU-Richtlinien für Banken, Versicherer, Wertpapierfirmen). Bei der internen Argumentation lohnt es sich, auf den spezifischen Artikel zu verweisen, der die Überprüfungspflicht vorschreibt, und nachzuweisen, dass das gewählte System die Anforderungen an das Sicherheitsniveau und den Prüfpfad erfüllt.

Nächster Schritt

Wenn Sie gerade dabei sind, Lösungen für die Identitätsüberprüfung aus der Ferne zu bewerten und Ihre Anforderungen mit dem Marktangebot vergleichen möchten, vereinbaren Sie einen kostenlosen Beratungstermin mit einem Autenti-Experten. Wir helfen Ihnen dabei, eine Liste von Anforderungen zusammenzustellen und Ihre Optionen zu bewerten - unabhängig davon, ob Sie sich letztendlich für Autenti entscheiden.

Mateusz Kościelak

Mateusz Kościelak verfügt über mehr als 10 Jahre Erfahrung im B2B-Vertrieb und -Marketing mit Spezialisierung auf Enterprise B2B SaaS. Er ist ein vielseitiger (V-Shaped) Marketer mit Erfahrung im Aufbau von Lead-Generierungssystemen durch Content, SEO und Performance-Marketing, mit Fokus auf internationale Expansion.