Eine Identität für alles: Das schwierige Geschäftsmodell von Verimi

Ein Dutzend der größten deutschen Unternehmen gründet einen gemeinsamen Log-in-Dienst. Gegenüber Nutzerinnen und Nutzern wirbt Verimi mit Bequemlichkeit: Ein einziges Passwort als Generalschlüssel für alles, vom Online-Shopping bis zum Meldeamt. Doch was springt dabei für die Gründer raus? Wir haben uns das näher angeschaut und finden Widersprüche.

Eine Identität für alles: Der Log-in-Dienst Verimi will „das digitale Zuhause“ seiner Nutzerinnen und Nutzer werden. Die beteiligten Unternehmen suchen vor allem einen Türöffner zum Datensammeln. Gemeinfrei-ähnlich freigegeben durch unsplash.com Ben Sweet

Im Herbst 2017 gründeten zehn deutsche Konzerne ein neues Unternehmen und tauften es Verimi. Das Ziel: Eine Datenbank mit Millionen von Nutzerdaten aufbauen. Der Dienst soll zur Identifikation im Netz dienen und ging im Frühjahr online. Im Juni hatte er 13.000 Anmeldungen. Die Beteiligten sprechen bereits von einer „Konkurrenz zu Google und Facebook“.

Verimi steht für „verify me“ und richtet sich mit seinem Service-Angebot an Unternehmen und Behörden: Die Plattform prüft die Identität von Nutzerinnen und Nutzern und holt vor allem deren Zustimmung zur Verarbeitung ihrer Daten ein. Die Daten werden zentral gespeichert und erst auf Anfrage an Unternehmen oder Behörden übermittelt.

Zu dem illustren Kreis der Gesellschafter zählen unter anderem der Medienkonzern Axel Springer, die Deutsche Bank. die Allianz, der Autohersteller Daimler und die Telekom. Mittlerweile sind über ein Dutzend Unternehmen beteiligt. Konkurrenz bekommt Verimi am deutschen Markt von der Datenallianz NetID, hinter der unter anderem RTL, ProSiebenSat1, der Spiegel Verlag und Gruner + Jahr stehen.

Konkurrenz für Facebook und Google

Gegenüber Nutzerinnen und Nutzern wirbt Verimi mit Bequemlichkeit. Das Konto soll an möglichst vielen Stellen die Registrierung ersetzen und dadurch weitere Passwörter unnötig machen, so etwa beim Einkaufen oder Banking im Netz. Single Sign-on heißt das Prinzip dahinter. So funktioniert heute schon das Facebook- oder Google-Konto, das inzwischen bei vielen anderen Anbietern als Log-in dient – und für das Verimi nun zur deutschsprachigen Konkurrenz werden will.

Doch wer den Dienst im vollen Umfang nutzen möchte, zahlt einen hohen Preis. Voraussetzung für die vollständige Authentifizierung ist, dass sich Nutzerinnen und Nutzer bei der einmaligen Registrierung für Verimi „nackig“ machen, also ihr Portemonnaie auspacken und alles von Meldeadresse bis Ausweisnummer und Bankkonten in ihr Profil eintragen. Auch ihren Klarnamen hinterlassen sie, die Nutzung mit Pseudonym ist ausgeschlossen.

Eine Datenbank, die meine Adresse, Ausweisnummer und Kontodaten kennt? Und noch dazu weiß, auf welchen Seiten im Netz ich einkaufe? Das klingt nach einer heiklen Kombination. Verimi strebt nichts weniger als die Vorherrschaft auf dem deutschen Markt an: „Unser Ziel ist es, das digitale Zuhause für Nutzer zu werden.“ Sollte das gelingen, entstünde hier eine gigantische Datenbank.

Gleichzeitig wirbt das Unternehmen auch mit hohen Datenschutzstandards: „Wer dressiert die Datenkraken? Das macht mein Verimi“, heißt es auf einem Plakat. Das Unternehmen verspricht, keine Daten ohne die Zustimmung der Nutzerinnen und Nutzer an die kooperierenden Unternehmen zu übermitteln. Privatsphäre made in Germany.

Datenschutz als Dorn im Auge der Werbeindustrie

Aber warum machen sich deutsche Unternehmen überhaupt die Mühe, eine Konkurrenz zu den Log-in-Diensten von Facebook und Google zu entwickeln? Hier lohnt ein Blick auf die Europäische Union. Denn die Antwort liegt tatsächlich in den Daten. Für ihre Verarbeitung hat die EU inzwischen umfassende Regeln vorgegeben. Trotzdem lautet das Mantra der kommerziellen Digitalisierung heute mehr denn je: „Daten sind der Rohstoff der Zukunft.“ Auch solche Firmen, die bisher gar nicht erster Linie Geld mit personenbezogenen Daten verdienten, wollen deshalb möglichst viele Informationen sammeln. Der konkrete Zweck ist vielen Unternehmen selbst noch nicht klar. Oft geht es jedoch um Verhaltensprognosen, nicht nur, um Werbung personalisieren zu können.

Warum machen sich deutsche Unternehmen die Mühe, eine Konkurrenz zu den Log-in-Diensten von Facebook und Google zu entwickeln? Die Antwort liegt in den Daten. Alle Rechte vorbehalten Screenhot: verimi.de

Vielen Unternehmen sind die europäischen Datenschutzregeln deshalb ein Dorn im Auge, mit denen Betroffenen mehr informationelle Selbstbestimmung ermöglicht werden soll. Mit der Europäischen Datenschutzgrundverordnung (DSGVO) werden ihre Rechte auf Auskunft, Berichtigung und Löschung von Daten gestärkt. Besonders kritisich sehen viele Unternehmen die noch ausstehende ePrivacy-Verordnung. Sie soll der Wildwest-Situation beim Online-Tracking ein Ende bereiten: Wenn das EU-Parlament sich durchsetzt, müssten Unternehmen eine explizite Einwilligung der Nutzer einholen, deren Online-Verhalten sie mitschneiden wollen.

Verimi könnte Datensammlern und Werbefirmen helfen, an das Einverständnis der Betroffenen zu kommen: „Die neue E-Privacy-Verordnung untergräbt so ziemlich alles, womit Werbevermarkter ihr Geld verdienen“, erklärt Michael Neuber, ein Rechtsberater des Bundesverbands für Digitale Wirtschaft (BVDW). Und weiter: „Datenallianzen wie Verimi […] sollen Lösungen schaffen.“ Statt von jedem Nutzer einzeln die Einwilligung einzusammeln, sollen diese an zentraler Stelle dem Tracking zustimmen und dann dauerhaft eingeloggt mit ihrem Verimi-Account durch das Internet surfen.

Datenallianzen in Zeiten erschwerter Datenerhebung

Dementsprechend anders klingt es, wenn Verimi nicht bei Nutzern, sondern bei Unternehmen für den eigenen Dienst wirbt. Die im Mai zurückgetretene Chefin von Verimi, Donata Hopfen sagte auf einer brancheninternen Marketing-Veranstaltung Anfang des Jahres, dass sie sich „gut gegen die E-Privacy-Verordnung gerüstet“ sehe, da Verimi die „datenschutzrechtlich zulässige Personalisierung von werblichen Angeboten“ ermögliche.

Die gemeinsame Verwaltung der Nutzerdaten in einer einzigen Datenbank macht es für die beteiligten Unternehmen einfacher, die Zustimmung einzuholen. Ein Verimi-Unternehmenssprecher sagt auf Anfrage von netzpolitik.org: „Anwendungspartner erhalten durch den Einsatz von Verimi Rechtssicherheit bei der Verarbeitung von Nutzerdaten.“ Zudem profitieren die kooperierenden Unternehmen vom Werbeeffekt des Netzwerks. Denn Verimi zeigt „dem Nutzer an, wo er Verimi bereits einsetzt und wo er dies noch tun könnte.“

Ein Log-in für alles: von Onlineshopping bis Meldeamt

Eine echte Neuigkeit ist die Einbindung des privaten Authentifizierungsdienstes in die staatliche Verwaltung. Die Abwicklung von Behördengängen ist derzeit mit einem kommerziellen Dienst wie Facebook oder Google nicht möglich. Mit Verimi soll es das in Zukunft aber werden. Nutzerinnen können sich dann beispielsweise auf der Webseite des zuständigen Meldeamtes einloggen und eine Adressänderung vornehmen. Dafür befindet sich das Unternehmen derzeit im Prozess der Notifizierung nach der eIDAS-Verordnung der EU. Dieses Regelwerk über „electronic IDentification, Authentication and trust Services“ schreibt vor, unter welches Sicherheitsniveau ein behördlicher Vorgang fällt und in welcher Form – elektronisch oder schriftlich – die Identifizierung erfolgen kann.

Die Politik signalisiert bereits Interesse. Das Bundeswirtschaftsministerium (BMWi) bestätigt: „Vertreterinnen und Vertreter des BMWi [haben] sich zu verschiedenen Gelegenheiten mit den Initiatoren von Verimi ausgetauscht.“ Auch die Bundesdruckerei, die sich nach einer zwischenzeitlichen Privatisierung wieder in der Hand des Bundes befindet, ist Teil des Verimi-Konsortiums. Über diesen Umweg ist die Bundesregierung selbst an Verimi beteiligt.

Verimi präsentiert sich als Verbündeter im Kampf für den Datenschutz. Alle Rechte vorbehalten Screenshot: verimi.de

In Nordrhein-Westfalen und Thüringen arbeitet man bereits an der Einbindung von Verimi im eGovernment. Dazu erklärt das NRW-Digitalministerium gegenüber netzpolitik.org: „Die Anmeldung am Servicekonto.NRW mit einer Verimi-Identität wurde getestet.“ Ein Vertrag sei jedoch noch nicht geschlossen worden. Die SPD-Sprecherin für digitale Gesellschaft aus Thüringen, Dorothea Marx, sagt: „Entscheidend für den Erfolg von eGovernment-Angeboten ist, dass Thüringen ein Identifikationsverfahren verwendet, das vertrauenswürdig ist und von vielen Menschen genutzt wird. Diesbezüglich hat Verimi durch die beteiligten Unternehmen und Organisationen als europäische Alternative zur amerikanischen Großanbietern das Potential zur datenschutzfreundlicheren Standardanwendung.“

Sollte Verimi tatsächlich als Log-in bei Behördengängen zum Einsatz kommen, hätte das eine bemerkenswerte Konsequenz: Erstmals würden Daten ganz offiziell gemeinsam gespeichert, die vorher nicht zusammen lagen. Die digitale Nutzerin und Bürgerin werden eins.

Grundsätzlich gilt: Je wertvoller eine Datenbank ist, desto größer werden die verschiedenen Begehrlichkeiten, diese Daten zu nutzen. Verimi als erste zentrale Datenbank, die behördliche Urkunden, Kontodaten und privates Surfverhalten im Internet vermengt, dürfte für die Werbeindustrie besonders interessant sein.

Kostenlose Dienstleistungen gibt es nicht

Verimi befindet sich in einem unbequemen Spagat. Gegenüber Nutzerinnen und Nutzern präsentiert sich das Unternehmen als kostenloser und bequemer Service und als Verbündeter im Kampf für den Datenschutz. Doch innerhalb der Werbeindustrie gilt die Datenallianz als Türöffner für personalisierte Werbung. Ein Interessenkonflikt ist vorprogrammiert.

Während Nutzerinnen und Nutzer wohl so wenige Daten wie nötig preisgeben wollen, drängen die beteiligten Unternehmen auf rechtlich abgesicherte und möglichst umfassende Datenerhebung. Die Kontrolle, die den Nutzerinnen und Nutzern versprochen wird, ist schließlich oberflächlich und kann revidiert werden. Es gibt viele Möglichkeiten, um Menschen zur Zustimmung zu drängen, dazu zählen die Einschränkung der Nutzbarkeit wie auch Gewinnaktionen. Und wer einmal Verimi als zentralen Log-in nutzt und sein digitales Alltagsleben eng dem Dienst verwoben hat, wird womöglich auch bei einer freigiebigeren Datenpolitik nicht aussteigen. Die eigenständige Erhebung und Verarbeitung von Metadaten durch die kooperierenden Unternehmen wird in der Datenschutzerklärung von Verimi zudem völlig ausgeklammert: Für das Tun der kooperierenden Unternehmen will Verimi keine Verantwortung tragen.

Am Ende gilt: There ain’t no such thing as a free lunch. Da Nutzerinnen und Nutzer nicht für die Dienstleistung von Verimi zahlen, tun es die Unternehmen, die das Log-in einbinden. Dass die Loyalitäten von Verimi nicht nur bei diesen zahlenden Kunden, sondern auch bei den Nutzerinnen und Nutzern liegt, muss das Unternehmen erstmal beweisen. In Anbetracht des Vertrauens, dass datenverarbeitende Firmen in den letzten Jahren bereits verspielt haben, dürften allein ein paar Werbeplakate dafür nicht ausreichen.

 

Update, 19.Dezember: Ein Mitarbeiter der PR-Abteilung von Verimi hat mittlerweile auf diesen Artikel reagiert.
In der E-Mail heißt es: „Verimi ist keine Plattform zur Einholung von Einwilligungen. Der zitierte Denkansatz in dem von Ihnen verlinkten Horizont-Artikel vom Januar 2018 [‚Verimi könnte Datensammlern und Werbefirmen helfen, an das Einverständnis der Betroffenen zu kommen. Statt von jedem Nutzer einzeln die Einwilligung einzusammeln, sollen diese an zentraler Stelle dem Tracking zustimmen und dann dauerhaft eingeloggt mit ihrem Verimi-Account durch das Internet surfen.‘] hat sich letztendlich nicht durchgesetzt.“

15 Ergänzungen
  1. Wer will so einen Dienst eigentlich freiwillig nutzen?

    Kann man nur hoffen dass Verime bei keinem Dienst Pflicht wird den man nutzen möchte, sonst muss man diese Dienste meiden wie die Pest..

  2. Wenn ich die beteiligten Unternehmen so sehe, wüsste ich nichts anderes als ein spontan sehr großes Unvertrauen gegen die Betreiber zu entwickeln.

    Abgesehen davon kann man das Vorhaben, also das fachübergreifende Zusammenführen privater, schützenswerter Daten in der Privatwirtschaft und die Fortverwendung in staatlichem Rahmen, unabhängig in welcher Weise, nur als widerrechtlich betrachten.

    Unzulässig ist hier im mindesten, dass NutzerInnen des Dienstes im Verkehr mit staatlichen Behörden auch nur ein Vorteil gewährt wird, der anders, also ohne die den immens tiefen Eingriff in die Persönlichkeitsrechte des Einzelnen von Seite privater Datenverarbeiter, nicht gewährt wird.
    Der Gleichheitsgrundsatz und informationelle Selbstbestimmung würde hier zutiefst verletzt.

    Nicht zuletzt muss darauf verwiesen sein, dass diese Form von Identitätsmanagement grade vor Kurzem in den USA vollständig mehrfach vor die Wand gefahren wurde.
    Anscheinend sind damit nicht nur privateste Daten der BürgerInnen des Landes abgeflossen, auf nicht bestimmbare Zeit verursacht der Bruch, mindestens, Unsicherheit in privaten Rechtsgeschäften.

    Gesetzt den Fall die Datenbanken und Server würden hier vielleicht besser gesichert.
    Gesetzt auch, dass ein Ausbruch der Daten einen äußerst großen, wenig bis nicht eindämmbaren sozialen, politischen und ökonomischen Schaden verursacht.
    Muss dann nicht dem Grundsatz gefolgt werden das Vorhaben, wie gering man das Risiko eines unberechtigten Zugriffs auch bewertet, in Abgleich mit dem immensen Risiko, unterlassen wird?

    Wenn, wie in den USA, eine große Abhängigkeit von privaten ID-Management-Anbietern entsteht, sind die Gefahren für das ökonomische und sozialpolitische System nicht mehr zu übersehen.
    Wer einmal Schwierigkeiten mit der Schufa hatte, wird sich vor der x-fachen Potenzierung desgleichen fürchten müssen.

  3. „Statt von jedem Nutzer einzeln die Einwilligung einzusammeln, sollen diese an zentraler Stelle dem Tracking zustimmen und dann dauerhaft eingeloggt mit ihrem Verimi-Account durch das Internet surfen.“

    Der Web-Surfer wird zur dauergetrackten Amöbe. Zum Opfer des Datensammelwahns heilsgläubiger Unternehmer und Politiker.

    Warum erinnert der Begriff ‚Verimi‘ mich nur an ‚Surimi‘? Wie das eine ein Krebsfleischimitat, ist das andere ein billiges Datenschutzimitat… beides ist ähnlich leicht in seiner trügerischen Existenz durchschaubar.

    1. > Warum erinnert der Begriff ‚Verimi‘ mich nur an ‚Surimi‘? Wie das eine ein Krebsfleischimitat, ist das andere ein billiges Datenschutzimitat… beides ist ähnlich leicht in seiner trügerischen Existenz durchschaubar.

      Haha, sehr gut :D

  4. Na das nenne ich mal einen Datenreichtum.
    Behörden und Privatwirtschaft.
    Da ist es nur eine Frage der Zeit, bis es zu einem bedauerlichen Vorfall in Sachen unerlaubten Datenabfluss kommt.
    Adresse verifiziert, das ist der feuchte Traum der Wirtschaft, Krimineller und aller Behörden.

  5. Der feuchte Traum der autoritären Law-and-Order PolitikerInnen: Endlich nutzen die Menschen das Internet mit ihrer Identität! Und sie machen es freiwillig!

    Aber mal im Ernst, ich glaube nicht, dass Verimi für den User viel mehr Nutzen hat als ein guter Password Manager.

    1. Die Frage nach dem Mehrwert für Nutzerinnen und Nutzer habe ich mir auch gestellt.

      Dazu: „Die Abwicklung von Behördengängen ist derzeit mit einem kommerziellen Dienst wie Facebook oder Google nicht möglich. Mit Verimi soll es das in Zukunft aber werden. Nutzerinnen können sich dann beispielsweise auf der Webseite des zuständigen Meldeamtes einloggen und eine Adressänderung vornehmen.“

  6. Ich verstehe ja die Skepsis. Aber was ist eigentlich die Alternative? Google, Facebook und Twitter sind ja auch nicht vertrauenswürdiger.

    Menschen dazu zu bewegen einen Passwortmanager zu verwenden, scheint ja auch nicht zu funktionieren.

    Wäre eine staatliche/europäische Lösung erstrebenswert?

  7. Ich kann nur vor dem Dienst warnen.
    Optimale Nutzung aller Dienste im Internet:
    Jeder Dienst bekommt eine eigene E-Mail adresse die aus mindestens 20 zufällige Zeichen besteht. Das verwendete mind. 30 stellige Passwort für den Dienst speichert ihr im tool namens keepass. Wenn ihr irgendwann plötzlich auf eine nie durch Zufall erratbare E-Mail Adresse spam bekommt (schaltet den spam filter am besten komplett ab), dann nehmt euch einen Anwalt. Ihr bekommt dann Recht und euer Geld wird mit angenehme 5% über den Basiszinssatz verzinst.

  8. es gibt dezentrale, internationale Alternativen:
    netID (netid.de), solid (solid.interrupt, verwendet netID), id4me und mein Projekt spkcspider (spkcspider.net, Ausrichtung auf sicheren E-Commerce).
    Wäre super, wenn ihr solche Projekte unterstützen würdet und eventuell euren Chef vorschlagt.
    Dadurch könnten eines oder mehrere der dezentralen Protokolle weltweiter Standard werden.

    1. …aber gut, das war ja noch bevor der Shill bei SPON aufgeflogen ist, vlt findet ja jetzt mal bisschen selbstreflektion bei den Medien statt.
      Kann doch nicht sein, dass ihr alle wie das ehemalige Nachrichtenmagazin oder Telepolis enden wollt.

  9. Zitat: „Entscheidend für den Erfolg von eGovernment-Angeboten ist, dass Thüringen ein Identifikationsverfahren verwendet, das vertrauenswürdig ist und von vielen Menschen genutzt wird. Diesbezüglich hat Verimi durch die beteiligten Unternehmen und Organisationen als europäische Alternative zur amerikanischen Großanbietern das Potential zur datenschutzfreundlicheren Standardanwendung.“

    Viele hätten kein Problem damit auf eGovernment, Vorratsdatenspeicherung, Bundestrojaner, Staatstrojaner und weitere „eDienstleistungen“ des Bundes, der Länder und der Sozialversicherungen zu verzichten. Die können noch so datenschutzfreundlich sein, sie und ihre Staatsdiener sind auch nur Menschen. Oft solche, die nicht allzuviel Ahnung von IT haben, wie diese Dame aus Thüringen, haben. Auch solche, die mit den Lücken ihrer Netzwerke und Betriebssysteme Tag für Tag zu kämpfen haben. Und auch solche, die nicht vertrauenswürdig sind. Wenn die dieses Verimi verwenden wollen, ist es ihre Sache.

    Für meinen Teil verwende ich für verschiedene Aufgaben z.B. Bank, Finanzamt, Büro, online Lehrgänge, allgemeines Geblubber und Musik/Filme unterschiedliche virtuelle Maschinen verschiedener Plattformen mit wechselnden Betriebssystemen, weil ich diese Daten auf keinen Fall in einer Hand zusammengefasst sehen möchte.

    Aus diesem Blickwinkel würde ich dieses Verimi bestenfalls befremdlich finden.

Ergänzung an Michael Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.