„Zweites Halbjahr steht unter der Überschrift Skalierung“
Franz Công Bùi und Stefan Paravicini.
Herr Adrian, Sie haben vor einem Jahr gesagt, dass Deutschland beim Thema digitale Identitäten aufpassen muss, nicht in Laborprojekten stecken zu bleiben. Wo stehen wir heute?
Ich würde sagen, dass es im Markt seither wenig durchschlagende Neuerungen im Kontext digitaler Identitäten zu beobachten gab. Aber wenn Deutschland hier eine Position haben will und auch in Richtung digitaler Infrastruktur etwas verändern möchte, läuft die Zeit. Andere Staaten sind schon viel weiter, und auch globale Player bereiten sich intensiv vor, Lösungen zu bringen. In Deutschland wird viel diskutiert.
Die Bundesregierung hat den Wettbewerb „Schaufenster Sichere Digitale Identitäten“ gestartet. Noch mehr Laborprojekte?
Ein Großteil der Use Cases für digitale Identitäten ist bereits vorhanden. Insofern ist es keine Frage der Technologie oder der Projektförderung, ob man Use Cases für digitale Identitäten öffnen kann. Wenn ich die Schaufensterprojekte richtig verstehe, sind sie auf 36 Monate angelegt. Wenn jetzt erst einmal drei Jahre ein Schaufenster gemacht würde, um dann zu überlegen, ob das auch in die Realität kommt, wäre das lang. Ich glaube, es kann jetzt auch nicht mehr darum gehen, grundlegend neue Technologien zu entwickeln, um schneller Fortschritte zu erzielen.
Sondern?
Es gibt ganz klare Punkte, an denen man festmachen kann, ob eine digitale Identität in Deutschland Fuß fassen wird. Da hat Verimi mittlerweile drei Jahre Erfahrung. Es geht vorneweg um kommerzielle Erwägungen in den Unternehmen: Wie viel kostet das, wie viele Nutzer hat das, und welche Transaktionskosten sind damit verbunden? Es gibt auch prozessuale Erwägungen: Wie aufwendig ist das zu implementieren, wie passt das zu meinen Prozessen, und kann ich damit in meinen Workflows überhaupt umgehen? Und dann ist es auch eine Frage der Regulatorik: Wie passt eine digitale Identität zu vorhandenen Standards, und wie interoperabel ist das dann? Gerade in regulierten Sektoren haben sich die Unternehmen in ihren jeweiligen Silos schon gut organisiert. An diesen Punkten ist es viel Arbeit, die Transformation auf ein Ökosystem digitaler Identitäten zu beschleunigen. Technologie ist dabei nachrangig.
Sie haben das Kalkül aus Sicht der Unternehmen beschrieben, aber was hat der Nutzer vom Einsatz einer digitalen Identität?
Sie können es darüber definieren, wo Sie sich überall identifizieren müssen und das auch machen, weil es ein gewohnter Prozess ist. Wenn Sie sich einmal anschauen, wie viele Post-Ident-Transaktionen es jedes Jahr gibt, sind Sie leicht im zweistelligen Millionenbereich. Das ist das Normalste der Welt in Deutschland. Sie haben Video-Identifizierungen im Finanzsektor. Sie nutzen Video- und Vorort-Identifizierung im Telekommunikationsbereich, wenn Sie etwa eine neue SIM-Karte kaufen. In der Shared Economy, zum Beispiel im Mobilitätssektor, müssen Sie nachweisen, dass Sie einen Führerschein haben. Mit Corona sind auch Serviceportale im öffentlichen Sektor in den Fokus gerückt. Überall müssen Sie sich identifizieren und authentifizieren, wenn Sie auf persönliche Informationen zugreifen wollen.
Und daraus folgt?
All diese Prozesse sind mit Identifizierungsverfahren belegt – und das Nutzererlebnis mit diesen Verfahren ist sicher nicht das, was man in einer digitalen Welt erwarten darf. Das sind zentrale Anwendungen für eine digitale Identität. Zudem können Sie alle Verträge, die dem Schriftformerfordernis unterliegen, mit Ihrer digitalen Identität rechtssicher digital mit einem Klick unterschreiben – zum Beispiel Mietverträge, Arbeitsverträge, Kredit- oder Finanzierungsverträge.
Wie bringt man den Nutzer in den Use Case?
Schauen Sie sich zum Beispiel Paypal an. Das ist darüber gewachsen, dass es eine Alternative in immer mehr Check-outs wurde. Die Nutzer haben davor jedes Mal ihre Kreditkartendaten neu angegeben. Irgendwann haben sie gesehen, dass es auch Paypal gibt und der komplette Check-out mit einem Klick funktionieren kann. Oder sie haben das von Freunden gehört. So entsteht ein Netzwerkeffekt. Oder das Beispiel Bonusprogramme, ich habe ja eine Historie bei Payback und Miles & More. Sie kommen nie auf die Idee, sich bei einem Bonusprogramm anzumelden, wenn Sie keinen Use Case haben. Wenn Sie dann aber bei Rewe an der Kasse stehen und das dritte Mal gefragt werden, ob Sie eine Payback-Karte haben, fragen Sie sich, was ist das eigentlich und was kann ich damit machen? Genau so läuft das auch mit der digitalen Identität.
Wie ist Verimi im vergangenen Jahr vorangekommen?
Insgesamt sind wir zufrieden, aber es kann natürlich immer mehr sein. Wir haben uns in den vergangenen Monaten stark entwickelt. Da geht es auf der einen Seite um interne Dinge, aber auch um Use Cases als Minimal Viable Product. Wir bewegen uns vor allem in Sektoren, die hochgradig reguliert sind und sichere Prozesse brauchen. Da kommen Sie nicht von null auf hundert in Prozesse rein, sondern müssen auch nachweisen, dass Ihre Lösung tragfähig ist.
Wo steht Verimi da?
Wir sind heute der führende Anbieter für ein ID-Wallet in Deutschland, wir haben über 40 Use Cases mit mehr als 30 Partnern im Minimal Viable Product Set-up realisiert. Sie können uns nutzen über Web, über App und auch lokal. Sie können Verimi nutzen, um sich zu identifizieren, zu authentifizieren, um zu unterschreiben und zu bezahlen. Und wir haben ziemlich alle ID-Quellen angebunden, die Sie heute anbinden können, also eID, Bank-Ident, Foto-Ident, Video-Ident und Vor-Ort-Ident. Das geht bei uns im Portal und – viel wichtiger – direkt integriert in den Use Cases bei Partnern. Alles, was für eine initiale Identifizierung anwendbar ist, haben wir an die Plattform angebunden. In der Wallet selbst haben wir die relevanten Standards bei Regulierung und Sicherheit erreicht. Auch das ist ja nicht von heute auf morgen gemacht.
Warum eigentlich nicht?
Das Speichern einer Identität ist keine Rocket Science. Die Frage ist aber, ob man es darf und die richtige Rechtsgrundlage hat und ob der Nutzer, wenn er seine Daten wieder verwenden will, das am Ende regulierungs- und sicherheitskonform auf dem passenden Vertrauensniveau tun kann. Das haben wir gelöst und in 40 Use Cases implementiert. Wir haben in den vergangenen Monaten also viel Grundlagenarbeit gemacht, was viele im Markt unterschätzen. Jetzt geht es vor allem um die Veränderungsprozesse bei den Partnern.
Und das dauert etwas länger?
Wenn man wie Verimi in regulierten Märkten unterwegs ist, dann redet man mit regulierten Finanzinstituten, die dem Geldwäschegesetz verpflichtet sind. Man redet mit Versicherungen, mit Telekommunikations- und Mobilitätsanbietern, die ebenfalls regulatorische Rahmenbedingungen berücksichtigen müssen. Das dauert. Wir sind jetzt aber dabei, für die zweite Jahreshälfte mit massenrelevanten Use Cases zu skalieren. Wir sind kein Start-up, das nach drei Monaten durch die Decke geht. In unserem Segment braucht es ein bisschen mehr Zeit. Diese Zeit haben uns unsere Gesellschafter aber auch sehr bewusst gegeben. Deswegen haben wir auch keine Finanzinvestoren an Bord, sondern strategische Investoren, die uns als Komponente für die Effizienzsteigerung und für die Verbesserung des Nutzererlebnisses in ihren Prozessen begreifen.
Ist denn die neue Finanzierungsrunde abgeschlossen, und können Sie den neuen Investor nennen?
Auch das dauert noch ein bisschen. Wir müssen hier zwei Dinge zusammenbringen, nämlich die Strategie und die finanzielle Beteiligung. Wenn Sie in unsere Shareholder-Liste reinschauen, sind das große Konzerne. Auch der Shareholder, der noch hinzukommen wird, passt in diese Kategorie, und uns ist wichtig, dass alle Prozesse passen. Wir sind ja nicht unter Druck, dass wir dringend einen Investor brauchen. Wir machen das in der gebotenen Zeit und mit der gebotenen Sorgfalt. Ich bin aber zuversichtlich, dass wir das in den nächsten Wochen hinbringen.
Könnten neben dem neuen Investor kurzfristig auch neue Partner zu Verimi stoßen?
Unsere Gespräche mit Partnern sind natürlich ebenfalls vertraulich. Das zweite Halbjahr steht aber unter der Überschrift Skalierung. Es werden viele neue Partner zu uns stoßen.
Gibt es ein konkretes Ziel, sagen wir eine Verdoppelung auf 60 Partner bis Jahresende?
Das kann man so nicht sagen. Für uns steht bei der Skalierung ohnehin die Zahl der Nutzer im Vordergrund. Wir brauchen eine kritische Masse im oberen einstelligen Millionenbereich, um das Ökosystem ins Laufen zu bringen. Das werden wir 2021 unter Umständen noch nicht erreichen. Das haben wir uns aber für das nächste Jahr als Ziel gesetzt.
Es gibt mittlerweile eine ganze Menge Lösungen für digitale Identitäten im Markt. Wie differenziert sich Verimi im Wettbewerb?
Unser wesentliches Differenzierungsmerkmal ist, dass Sie bei uns Ihre Identität abspeichern und wiederverwenden. Das können Sie bei keinem anderen in dieser Qualität und Breite machen. Für den Kunden bedeutet das die maximale Bequemlichkeit einer One-Click-Experience. Für die Unternehmen bedeutet es, dass ich im Onboarding niemanden wegen eines umständlichen Identifizierungsprozesses verliere und minimale Transaktionskosten habe, weil aus der Wiederverwendung der digitalen Identität keine Gestehungskosten erwachsen.
Wie denken Sie über die Möglichkeiten der Blockchain-Technologie für digitale Identitäten?
Wir schauen uns das sehr genau an. Wir haben aber ein laufendes Geschäft in regulierten Sektoren, und in der Regulierung ist die Blockchain mit vielen rechtlichen und betrieblichen Herausforderungen behaftet. Es gibt sicherlich Ideen, wie man damit umgehen kann. Wir müssen allerdings noch sehen, was unter Regulierungs- und Datenschutzperspektiven mit Identitätsdaten in Verbindung mit der Blockchain möglich ist. Das ist für uns sehr spannend, aber wir müssen sehen, was wir hier anbieten können.
Auf dem Digitalgipfel vor wenigen Tagen hat Angela Merkel die Bedeutung einer digitalen Identitätslösung aus Europa für die digitale Souveränität hervorgehoben. Hat sie Recht?
Erstmal freut es mich, dass digitale Identitäten für die Kanzlerin eine so große Bedeutung haben. Gerade für die öffentliche Hand hat das natürlich ein wahnsinniges Effizienzpotenzial, und ein funktionierendes Ökosystem muss im Public Sector wie im Private Sector gleichermaßen breit verankert sein. Ich glaube auch, dass es für die Souveränität Europas wichtig ist, dass wir am Ende des Tages nicht die digitalen Identitäten europäischer Bürger von globalen Tech-Playern zurückkaufen müssen. Die Bürger werden das bequemste Angebot wählen. Auf Entscheiderebene in den einzelnen Unternehmen geht es in der Regel um die kommerzielle Komponente und nicht um die digitale Souveränität Europas. Es ist deshalb wichtig, dass wir schnell eine eigene wettbewerbsfähige Lösung haben. Und dazu müssen wir an einem Strang ziehen.
Das Interview führten