69. Ausgabe, 2. Quartal 2018

Deutschland will die Datenhoheit zurück

Mit Verimi und European netID Foundation gehen gleich zwei Datendienste aus Deutschland gegen die US-Internet-Giganten ins Rennen.

Kennen Sie das ungute Gefühl, dass man hat, wenn man persönliche Daten im Internet eingeben muss? Wer müllt uns danach mit Werbemails zu? Wer verdient sich mit unseren Daten eine goldene Nase? Wie sicher sind die Daten bei Facebook, Google und Amazon? Zehn deutsche Konzerne haben mit Verimi nun eine europäische Alternative an den Start gebracht; angeblich verwahrt sie unsere Daten deutlich sicherer als die Amerikaner. Der Server hat sich Verimi einmal näher angeschaut.

Kennen Sie das ungute Gefühl, dass man hat, wenn man persönliche Daten im Internet eingeben muss? Wer müllt uns danach mit Werbemails zu? Wer verdient sich mit unseren Daten eine goldene Nase? Wie sicher sind die Daten bei Facebook, Google und Amazon? Zehn deutsche Konzerne haben mit Verimi nun eine europäische Alternative an den Start gebracht; angeblich verwahrt sie unsere Daten deutlich sicherer als die Amerikaner. Der Server hat sich Verimi einmal näher angeschaut.

Datenhoheit
© wavebreakmediamicro/123RF.com

Lange genug haben sich deutsche Schwergewichte eingeschüchtert angeschaut, wie Facebook oder Google das Leben der User einfach gemacht und sich unbezahlbare Informationen angeeignet haben. Jahrelang nutzten US-Internet-Riesen die Bequemlichkeit der User aus: Wer auf eine fremde Webseite kommt, kann sich dort gleich mit seiner Google-Mail-Adresse oder seinem Facebook-Account registrieren. Die US-Konzerne rieben sich dabei jedes Mal die Hände, kommen sie doch ohne großen Aufwand an immer mehr Daten der Nutzer. Und die sind Gold wert, wie wir heute wissen. Denn spätestens seit dem Facebook-Datenskandal wissen wir, wie wertvoll, aber auch wie gefährlich das „Spiel mit Daten“ ist. Ob für die Werbung oder zur politischen Manipulation.

Deshalb schien es nur eine Frage der Zeit, bis auch deutsche Unternehmen die Nase voll davon haben würden, dass die unter Trump zunehmend unberechenbar werdenden Amerikaner ihre Datenhoheit ungeniert ausbauen. Und als ob sie den Datenskandal vorausgeahnt hatten, so begannen zehn deutsche Konzerne bereits im Vorjahr die Vorbereitungen für einen eigenen Datendienst namens Verimi. Der Name setzt sich zusammen aus den englischen Begriffen „verify“ (überprüfen) und „me“ (mich, ich). Fast  sieben Monate nach der Ankündigung ging der Dienst Anfang April 2018 an den Start. Zu den Funktionen, die gleich zu Beginn zur Verfügung standen, gehörten die Möglichkeiten, sich über Verimi bei verschiedenen Websites anzumelden, sowie das Video-Ident-Verfahren. Weitere Services wie die elektronische Signatur, Bezahldienste oder das Hochladen sensibler Dokumente sollen nach und nach folgen.

Im Grunde funktioniert Verimi nach dem gleichen Prinzip wie der Log-in per Facebook. Der Nutzer erstellt einmalig ein Profil mit all seinen Daten und kann sich dann bei vielen verschiedenen Unternehmen und Behörden einloggen. „Single Sign-on“ ist der gebräuchliche englische Begriff dafür. Mit ihrem Angebot wollen deutsche Unternehmen wie Telekom, Allianz, Daimler, der Medienkonzern Springer, die Lufthansa oder der Sicherheitsspezialist Giesecke+Devrient (stark im Geschäft mit Chips für Bankkarten oder SIM-Modulen in Handys) beim Anmelden auf Webseiten mehr Datenschutz bieten als US-Konzerne. So wird versichert, dass die Plattform „höchste Standards bei Datensicherheit und Datenschutz gewährleistet“. Verimi berücksichtigt natürlich das reformierte EU-Datenschutzrecht ebenso wie die eIDAS-Verordnung, die die Vertrauensdienste der Online-Ausweisfunktion reguliert. Die Nutzer bestimmen, „welche Daten an wen übertragen und zu welchen Anlässen genutzt werden dürfen“, heißt es auf der Firmen-Homepage. Für das Projekt waren die deutschen Konzerne bereit, mehrere Millionen Euro zu investieren. Ein wichtiger strategischer Partner ist die Bundesdruckerei, die ja eigentlich für die Herstellung von Personalausweisen und Reisepässen zuständig ist. Die erste Verimi-Chefin Donata Hopfen, die allerdings schon vier Wochen nach den Start von ihrem Amt zurücktrat, sagte im April 2018: „Der Datenskandal von Facebook zeigt, dass wir dringend eine europäische Alternative brauchen. Der Dienst ist genauso einfach wie der von Facebook nutzbar. Deshalb wenden wir uns  auch an Behörden. Wenn sie Verimi nutzen, ermöglichen sie Bürgern einen komfortablen Zugriff auf ihre Internetportale.“

Zum Start hatte die 30-köpfige Verimi-Mannschaft zwei Etagen in einem Gebäude der Bundesdruckerei angemietet. Von dort aus entwickelten sie die ersten Zugangsverfahren wie das Scannen der Iris, des Fingerabdrucks oder die sogenannte Video-Identifikation: Wenn Nutzer ihren Pass in eine Webcam halten, überprüft ein Mitarbeiter die Echtheit. Hopfen hält solche Verfahren für vertrauensbildend und „besonders sicher“. Selbstverständlich erfülle der Dienst die Standards der DatenschutzGrundverordnung, die am 25. Mai in Kraft trat.

Der Generalschlüssel fürs Internet ist für hunderte Anwendungen erdacht. Man kann sich bei der Buchung von Flügen bei der Lufthansa mit seinem Account einloggen. Die Daten, die der Kunde bei Verimi eingetragen hat, werden automatisch übertragen und der Flug sofort gebucht. Genauso funktioniert das Online-Banking, ein digitales Zeitungsabo oder Onlineshopping. Ändern sich die Daten, etwa die Adresse, muss der Nutzer diese nur einmal ändern. Auf allen anderen Webseiten wird die Änderung automatisch übernommen.

Sein Geld will Verimi an Provisionen für die Log-ins verdienen. Das Unternehmen denkt bereits über den deutschen Markt hinaus und will sein Angebot europaweit ausbauen. Man sei in Gesprächen mit dutzenden Industrieverbänden und -unternehmen sowie mit beinahe allen Bundesministerien. Selbst als Alternative für die elektronische Gesundheitskarte sieht sich Verimi gut aufgestellt. Die digitale Patientenakte des Bundesgesundheitsministeriums kam bisher nie über ein Versuchsstadium hinaus. Verimi hingegen versichert, unkompliziert Ärzten den Zugang auf Patientendaten ermöglichen zu können – beinahe so sicher wie die Bank von England. Die Konzerne hätten keinen Einblick in die persönlichen Informationen der Verimi-Kunden, versichert Jeannette von Ratibor von der Deutschen Telekom, die vorübergehend der Verimi-Geschäftsführung vorsteht: „Es werden keine Daten abgegriffen.“ Allein der Nutzer selbst entscheide, mit wem er seine Adresse oder Kreditkartendaten oder im Zweifel seinen Arztbrief teile.

Dumm ist nur, dass die Datenallianz der Konzerne nicht die einzige deutsche Initiative ist, die derzeit an sicheren Log-in-Verfahren arbeitet. Auch die Medienkonzerne ProSiebenSat.1, RTL und United Internet gründeten im letzten Sommer die European netID Foundation. Sie funktioniert nach demselben Prinzip und soll noch 2018 an den Start gehen. Wenn es denn so kommt, wäre das ein herber Rückschlag für beide. Denn: Je mehr Unternehmen einen Internet-Generalschlüssel anbieten, desto weniger ist er wert.

Autor: juj