Es kommt eine digitale ID für jeden Deutschen

Die Zeit drängt. Seit Kurzem ist die Datenschutz-Grundverordnung (DSGVO) in Kraft, in absehbarer Zeit kommt die E-Privacy-Verordnung dazu. Damit wird europaweit der Datenschutz neu geregelt. Der Knackpunkt für Werbungtreibende: Wollen sie die Daten der User weiter verwenden, müssen sie dafür deren Zustimmung einholen – und das für jede einzelne Website.

Seit Monaten formieren sich deshalb im Hintergrund Allianzen, die gewissermaßen einen Spagat vollziehen wollen. Ihr Ziel: eine Einwilligung gleich für ein ganzes Bündel von Webangeboten einzuholen. Dazu wollen sie eine Lösung auf den Markt bringen, die für den User möglichst einfach ist und den beteiligten Partnern erlaubt, Daten gesetzeskonform zu erheben, zu analysieren und weiterzureichen.

Für den Werbemarkt in Deutschland gilt derzeit die European netID als wichtigste Log-in-Allianz. An ihr sind Schwergewichte wie die Medienkonzerne RTL und Pro Sieben Sat1 sowie United Internet Media beteiligt. Geht ihr Plan auf, sollen die User schon bald über nur ein Log-in ihre Genehmigung zur Datenerhebung auf sämtlichen Seiten dieser Unternehmen geben können – also von GMX.de bis „TV Now“.

Thomas Duhr, stellvertretender Geschäftsleiter Interactive beim RTL- Vermarkter IP Deutschland und Vizepräsident im Digitalverband BVDW, treibt die Log-in-Allianz netID seit Monaten maßgeblich voran. Im Interview äußert er sich dazu, wie sich die netID von Mitbewerbern wie Verimi abgrenzt, wann sie startbereit ist, welche Marketingmaßnahmen geplant sind und wie sie sich als Alternative gegen Plattformen wie Facebook behaupten möchte. Die US-Player verfügen in dieser Gemenge lage über einen großen Vorteil. Mit nur einem Log-in ebnen sie schon heute den Usern den Zutritt und den Werbungtreibenden vielfältige Möglichkeiten.

Thomas Duhr: Das kann man so nicht sagen. Bei beiden Initiativen steht klar der Verbraucher, also der Internetnutzer, im Vordergrund. Denn laut der DSGVO und der E-Privacy-Verordnung gilt künftig: alle Macht dem Konsumenten. Dem versuchen beide Bündnisse gerecht zu werden. Der Nutzer wird als maßgebliche Instanz miteinbezogen und wir versuchen, ihm die Abgabe seiner Willenserklärung zur Übermittlung seiner Daten so einfach wie möglich zu gestalten.

Duhr: In Bezug auf den Konsumenten, dass wir uns bei der European netID Foundation zunächst auf Sachverhalte fokussieren, die mit der Internetnutzung einhergehen, also um Marketing, Personalisierung, Content Recommendation oder Tracking und Analytics. Diese Aspekte sind erforderlich, um dem Konsumenten die User Experience zu liefern, die er heute gewohnt ist. Verimi geht einen Schritt weiter und ermöglicht den Zugang und die Nutzung ganz anderer Felder, etwa beim Bankkonto. Das überfordert nach unserem Dafürhalten den Konsumenten zum jetzigen Zeitpunkt aber noch.

Duhr: Wir sind sicher, dass das so ist. Verimi steht für Verify me. Das Prinzip dahinter geht also mit der Frage einher, wie weit der Authentifizierungsprozess beim Sign-on reicht, also wie weit ich mich als User „entblättern“ muss. Das Verimi-Modell basiert aktuell schon auf einem „Level of Authentication 4“ (LOA 4). Der LOA 4 entspricht, wenn wir mal das Analoge als Vergleich heranziehen, den Anforderungen des Post-Ident-Verfahrens. Es gäbe ja auch die Video-Ident-Verfahrenslogik. Das ist zwar spannend, die Frage ist nur, ob man für den medialen Anwendungszweck eine Authentifizierung via Video-Ident benötigt. Ich sehe das für klassische E-Commerce-Anbieter sowie für mediale Anbieter – von der Monetarisierung über Werbung bis hin zur inhaltlichen Gestaltung der Angebote – als nicht zwingend erforderlich. Wir gehen zwar davon aus, dass eine digitale ID für jeden Deutschen in den nächsten Jahren kommt, derzeit ist die Grundeinstellung aber noch eine andere. Wir arbeiten mit der European netID Foundation zunächst auf LOA 1 und 2. Das ist ausreichend, um die Marketing- und E-Commerce-Anforderungen von DSGVO und der kommenden E-Privacy-Verordnung zu erfüllen.

com! professional: Wann startet die netID und wie sieht sie aus?

Duhr: Das Konzept der netID ist dezentral. In der Auslegung der DSGVO ist die Single-Sign-on- und die Cookie-Zustimmungslogik aktuell. Es wird also nichts auf dem Bildschirm des Nutzers aufpoppen. Die Initiatoren der European netID Foundation verfügen schon jetzt über eine große Menge an Identifiern im Sinne einer Benutzername-Passwort-Kombination. Das heißt: Es gibt Nutzer der Mediengruppe RTL, der Pro-Sieben-Sat1-Gruppe und der United-Internet-Gruppe. User, die zum Beispiel einen Web.de-Account von United Internet nutzen, haben die Option, ihre Benutzername-Passwort-Kombination von Web.de zur netID zu machen. Aktuell haben wir zwischen 35 und 40 Millionen netIDfähige Accounts. Diese könnten mit einer aktiven Willenserklärung des Kunden entsprechend umgewandelt werden.

com! professional: Muss der User diese ID jeweils neu bestätigen, wenn ein neuer Partner hinzukommt?

Duhr: Ja, in der harten Lesart des Gesetzes muss jede Veränderung, die in diesem Kontext entsteht, vom jeweiligen Nutzer bestätigt werden. Wir hoffen aber, und das ist ja auch einer der Gründe des Schulterschlusses mit den anderen Häusern, dass es uns gemeinsam gelingt, einige der „erwartbaren Fehlfunktionen“ dieses gut gemeinten Gesetzes zu minimieren. Denn wir denken, dass weder der Konsument noch der Gesetzgeber das so gewollt hat.