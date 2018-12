Im Herbst 2017 gründeten zehn deutsche Konzerne ein neues Unternehmen und tauften es Verimi. Das Ziel: Eine Datenbank mit Millionen von Nutzerdaten aufbauen. Der Dienst soll zur Identifikation im Netz dienen und ging im Frühjahr online. Im Juni hatte er 13.000 Anmeldungen. Die Beteiligten sprechen bereits von einer „Konkurrenz zu Google und Facebook“.

Verimi steht für „verify me“ und richtet sich mit seinem Service-Angebot an Unternehmen und Behörden: Die Plattform prüft die Identität von Nutzerinnen und Nutzern und holt vor allem deren Zustimmung zur Verarbeitung ihrer Daten ein. Die Daten werden zentral gespeichert und erst auf Anfrage an Unternehmen oder Behörden übermittelt.

Zu dem illustren Kreis der Gesellschafter zählen unter anderem der Medienkonzern Axel Springer, die Deutsche Bank. die Allianz, der Autohersteller Daimler und die Telekom. Mittlerweile sind über ein Dutzend Unternehmen beteiligt. Konkurrenz bekommt Verimi am deutschen Markt von der Datenallianz NetID, hinter der unter anderem RTL, ProSiebenSat1, der Spiegel Verlag und Gruner + Jahr stehen.

Konkurrenz für Facebook und Google

Gegenüber Nutzerinnen und Nutzern wirbt Verimi mit Bequemlichkeit. Das Konto soll an möglichst vielen Stellen die Registrierung ersetzen und dadurch weitere Passwörter unnötig machen, so etwa beim Einkaufen oder Banking im Netz. Single Sign-on heißt das Prinzip dahinter. So funktioniert heute schon das Facebook- oder Google-Konto, das inzwischen bei vielen anderen Anbietern als Log-in dient – und für das Verimi nun zur deutschsprachigen Konkurrenz werden will.

Doch wer den Dienst im vollen Umfang nutzen möchte, zahlt einen hohen Preis. Voraussetzung für die vollständige Authentifizierung ist, dass sich Nutzerinnen und Nutzer bei der einmaligen Registrierung für Verimi „nackig“ machen, also ihr Portemonnaie auspacken und alles von Meldeadresse bis Ausweisnummer und Bankkonten in ihr Profil eintragen. Auch ihren Klarnamen hinterlassen sie, die Nutzung mit Pseudonym ist ausgeschlossen.

Eine Datenbank, die meine Adresse, Ausweisnummer und Kontodaten kennt? Und noch dazu weiß, auf welchen Seiten im Netz ich einkaufe? Das klingt nach einer heiklen Kombination. Verimi strebt nichts weniger als die Vorherrschaft auf dem deutschen Markt an: „Unser Ziel ist es, das digitale Zuhause für Nutzer zu werden.“ Sollte das gelingen, entstünde hier eine gigantische Datenbank.

Gleichzeitig wirbt das Unternehmen auch mit hohen Datenschutzstandards: „Wer dressiert die Datenkraken? Das macht mein Verimi“, heißt es auf einem Plakat. Das Unternehmen verspricht, keine Daten ohne die Zustimmung der Nutzerinnen und Nutzer an die kooperierenden Unternehmen zu übermitteln. Privatsphäre made in Germany.

Datenschutz als Dorn im Auge der Werbeindustrie

Aber warum machen sich deutsche Unternehmen überhaupt die Mühe, eine Konkurrenz zu den Log-in-Diensten von Facebook und Google zu entwickeln? Hier lohnt ein Blick auf die Europäische Union. Denn die Antwort liegt tatsächlich in den Daten. Für ihre Verarbeitung hat die EU inzwischen umfassende Regeln vorgegeben. Trotzdem lautet das Mantra der kommerziellen Digitalisierung heute mehr denn je: „Daten sind der Rohstoff der Zukunft.“ Auch solche Firmen, die bisher gar nicht erster Linie Geld mit personenbezogenen Daten verdienten, wollen deshalb möglichst viele Informationen sammeln. Der konkrete Zweck ist vielen Unternehmen selbst noch nicht klar. Oft geht es jedoch um Verhaltensprognosen, nicht nur, um Werbung personalisieren zu können.

Vielen Unternehmen sind die europäischen Datenschutzregeln deshalb ein Dorn im Auge, mit denen Betroffenen mehr informationelle Selbstbestimmung ermöglicht werden soll. Mit der Europäischen Datenschutzgrundverordnung (DSGVO) werden ihre Rechte auf Auskunft, Berichtigung und Löschung von Daten gestärkt. Besonders kritisich sehen viele Unternehmen die noch ausstehende ePrivacy-Verordnung. Sie soll der Wildwest-Situation beim Online-Tracking ein Ende bereiten: Wenn das EU-Parlament sich durchsetzt, müssten Unternehmen eine explizite Einwilligung der Nutzer einholen, deren Online-Verhalten sie mitschneiden wollen.

Verimi könnte Datensammlern und Werbefirmen helfen, an das Einverständnis der Betroffenen zu kommen: „Die neue E-Privacy-Verordnung untergräbt so ziemlich alles, womit Werbevermarkter ihr Geld verdienen“, erklärt Michael Neuber, ein Rechtsberater des Bundesverbands für Digitale Wirtschaft (BVDW). Und weiter: „Datenallianzen wie Verimi […] sollen Lösungen schaffen.“ Statt von jedem Nutzer einzeln die Einwilligung einzusammeln, sollen diese an zentraler Stelle dem Tracking zustimmen und dann dauerhaft eingeloggt mit ihrem Verimi-Account durch das Internet surfen.

Datenallianzen in Zeiten erschwerter Datenerhebung

Dementsprechend anders klingt es, wenn Verimi nicht bei Nutzern, sondern bei Unternehmen für den eigenen Dienst wirbt. Die im Mai zurückgetretene Chefin von Verimi, Donata Hopfen sagte auf einer brancheninternen Marketing-Veranstaltung Anfang des Jahres, dass sie sich „gut gegen die E-Privacy-Verordnung gerüstet“ sehe, da Verimi die „datenschutzrechtlich zulässige Personalisierung von werblichen Angeboten“ ermögliche.

Die gemeinsame Verwaltung der Nutzerdaten in einer einzigen Datenbank macht es für die beteiligten Unternehmen einfacher, die Zustimmung einzuholen. Ein Verimi-Unternehmenssprecher sagt auf Anfrage von netzpolitik.org: „Anwendungspartner erhalten durch den Einsatz von Verimi Rechtssicherheit bei der Verarbeitung von Nutzerdaten.“ Zudem profitieren die kooperierenden Unternehmen vom Werbeeffekt des Netzwerks. Denn Verimi zeigt „dem Nutzer an, wo er Verimi bereits einsetzt und wo er dies noch tun könnte.“

Ein Log-in für alles: von Onlineshopping bis Meldeamt

Eine echte Neuigkeit ist die Einbindung des privaten Authentifizierungsdienstes in die staatliche Verwaltung. Die Abwicklung von Behördengängen ist derzeit mit einem kommerziellen Dienst wie Facebook oder Google nicht möglich. Mit Verimi soll es das in Zukunft aber werden. Nutzerinnen können sich dann beispielsweise auf der Webseite des zuständigen Meldeamtes einloggen und eine Adressänderung vornehmen. Dafür befindet sich das Unternehmen derzeit im Prozess der Notifizierung nach der eIDAS-Verordnung der EU. Dieses Regelwerk über „electronic IDentification, Authentication and trust Services“ schreibt vor, unter welches Sicherheitsniveau ein behördlicher Vorgang fällt und in welcher Form – elektronisch oder schriftlich – die Identifizierung erfolgen kann.

Die Politik signalisiert bereits Interesse. Das Bundeswirtschaftsministerium (BMWi) bestätigt: „Vertreterinnen und Vertreter des BMWi [haben] sich zu verschiedenen Gelegenheiten mit den Initiatoren von Verimi ausgetauscht.“ Auch die Bundesdruckerei, die sich nach einer zwischenzeitlichen Privatisierung wieder in der Hand des Bundes befindet, ist Teil des Verimi-Konsortiums. Über diesen Umweg ist die Bundesregierung selbst an Verimi beteiligt.

In Nordrhein-Westfalen und Thüringen arbeitet man bereits an der Einbindung von Verimi im eGovernment. Dazu erklärt das NRW-Digitalministerium gegenüber netzpolitik.org: „Die Anmeldung am Servicekonto.NRW mit einer Verimi-Identität wurde getestet.“ Ein Vertrag sei jedoch noch nicht geschlossen worden. Die SPD-Sprecherin für digitale Gesellschaft aus Thüringen, Dorothea Marx, sagt: „Entscheidend für den Erfolg von eGovernment-Angeboten ist, dass Thüringen ein Identifikationsverfahren verwendet, das vertrauenswürdig ist und von vielen Menschen genutzt wird. Diesbezüglich hat Verimi durch die beteiligten Unternehmen und Organisationen als europäische Alternative zur amerikanischen Großanbietern das Potential zur datenschutzfreundlicheren Standardanwendung.“

Sollte Verimi tatsächlich als Log-in bei Behördengängen zum Einsatz kommen, hätte das eine bemerkenswerte Konsequenz: Erstmals würden Daten ganz offiziell gemeinsam gespeichert, die vorher nicht zusammen lagen. Die digitale Nutzerin und Bürgerin werden eins.

Grundsätzlich gilt: Je wertvoller eine Datenbank ist, desto größer werden die verschiedenen Begehrlichkeiten, diese Daten zu nutzen. Verimi als erste zentrale Datenbank, die behördliche Urkunden, Kontodaten und privates Surfverhalten im Internet vermengt, dürfte für die Werbeindustrie besonders interessant sein.

Kostenlose Dienstleistungen gibt es nicht

Verimi befindet sich in einem unbequemen Spagat. Gegenüber Nutzerinnen und Nutzern präsentiert sich das Unternehmen als kostenloser und bequemer Service und als Verbündeter im Kampf für den Datenschutz. Doch innerhalb der Werbeindustrie gilt die Datenallianz als Türöffner für personalisierte Werbung. Ein Interessenkonflikt ist vorprogrammiert.

Während Nutzerinnen und Nutzer wohl so wenige Daten wie nötig preisgeben wollen, drängen die beteiligten Unternehmen auf rechtlich abgesicherte und möglichst umfassende Datenerhebung. Die Kontrolle, die den Nutzerinnen und Nutzern versprochen wird, ist schließlich oberflächlich und kann revidiert werden. Es gibt viele Möglichkeiten, um Menschen zur Zustimmung zu drängen, dazu zählen die Einschränkung der Nutzbarkeit wie auch Gewinnaktionen. Und wer einmal Verimi als zentralen Log-in nutzt und sein digitales Alltagsleben eng dem Dienst verwoben hat, wird womöglich auch bei einer freigiebigeren Datenpolitik nicht aussteigen. Die eigenständige Erhebung und Verarbeitung von Metadaten durch die kooperierenden Unternehmen wird in der Datenschutzerklärung von Verimi zudem völlig ausgeklammert: Für das Tun der kooperierenden Unternehmen will Verimi keine Verantwortung tragen.

Am Ende gilt: There ain’t no such thing as a free lunch. Da Nutzerinnen und Nutzer nicht für die Dienstleistung von Verimi zahlen, tun es die Unternehmen, die das Log-in einbinden. Dass die Loyalitäten von Verimi nicht nur bei diesen zahlenden Kunden, sondern auch bei den Nutzerinnen und Nutzern liegt, muss das Unternehmen erstmal beweisen. In Anbetracht des Vertrauens, dass datenverarbeitende Firmen in den letzten Jahren bereits verspielt haben, dürften allein ein paar Werbeplakate dafür nicht ausreichen.