Kontoeröffnung - Online-Identitätsnachweis im Jahr 2020
Geschrieben von Eric Scheibler am 02.05.2020
Vor kurzem habe ich ein Konto bei einer Bank eröffnet und dabei unfreiwillig die Methoden zur Online-Identifikation ausprobiert. Im Folgenden möchte ich meine Erfahrungen kurz zusammenfassen und dabei vor allem auf Usability und Accessibility eingehen.
Inhaltsverzeichnis
Ausgangslage
Ich habe Mitte April 2020 ein Konto bei einer sog. Internetbank eröffnet. Um diesen Prozess abschließen zu können, muss man sich in Deutschland einer unpersönlichen Legitimationsprüfung unterziehen.
Bisher hatte ich dafür das PostIdent Verfahren eingesetzt - d.h. man geht mit dem Personalausweis zu einer Post und bestätigt dort seine Identität. Das war zwar etwas unpraktisch, dafür aber recht barrierearm, da der Postangestellte die meiste Arbeit für mich getan hat.
Die Internetbank bot allerdings kein PostIdent in der Filiale an, sondern ließ mir die Wahl zwischen VideoIdent und Ausweisen mittels eID des Personalausweises. Wobei an dieser Stelle anzumerken ist, dass beide Verfahren von mehreren Firmen angeboten werden. Die Post bietet neben PostIdent in ihren Filialen beispielsweise auch VideoIdent und ausweisen mittels eID an.
Die folgenden Abschnitte beschreiben daher vor allem die Umsetzung der Verfahren durch die, von der Bank ausgewählten Dienstleister. Einiges lässt sich allerdings durchaus auch verallgemeinern.
VideoIdent
Ich habe meinen Personalausweis vor 9 Jahren bekommen, die eID zur Identifikation mangels Einsatzzweck allerdings nie ausprobiert. Daher fiel meine Wahl auf VideoIdent. Man benötigt dafür lediglich ein Smartphone oder ein Notebook bzw. einen PC mit einer Webcam.
Für das VideoIdent Verfahren wurde die IDnow GmbH beauftragt. Ich startete die Legitimationsprüfung, wurde auf die Seite von IDnow weitergeleitet und bekam dort den Link zu ihrer Android App und einen Transaktionscode angezeigt. Nachdem ich die App installiert und den Code eingegeben habe, wurde ein Video Chat aufgebaut und ich wartete auf einen freien Mitarbeiter.
So weit, so gut. Was muss man nun tun?
Man muss sein Gesicht und den Personalausweis in die Kamera halten und ein paar Angaben über sich laut aussprechen. Darunter fällt auch die Personalausweisnummer und hier fingen die Probleme an.
Dem Gegenüber fiel natürlich sehr schnell auf, dass ich blind bin, da ich nicht direkt in die Frontkamera geschaut habe. Daraufhin wurde mir, noch bevor die Legitimationsprüfung so richtig starten konnte, gesagt, dass ich nicht berechtigt sei, das VideoIdent Verfahren zu nutzen. Als Grund wurde angeführt, dass man die Ausweisnummer mit den eigenen Augen ab- und vorlesen können muss.
Ich hatte die Ausweisnummer wohl gemerkt jederzeit griffbereit und hätte sie:
- aus dem Gedächtnis rezitieren können
- von einem Stück Papier ablesen können, auf das ich sie mir in Blindenschrift notiert habe
- von einer Braillezeile ablesen können, die an ein Notebook angeschlossen ist
- von einer Sprachausgabe vorlesen lassen und sie selbst wiederholen können
Auf meine vorgebrachten Lösungsvorschläge ging der Mitarbeiter von IDnow jedoch gar nicht ein und beendete das Gespräch. Ich probierte es dann noch einmal, bekam einen anderen Menschen zugelost, bekam aber die gleiche Antwort. Das lässt darauf schließen, dass IDnow diese Anforderungen vorgibt und der einzelne Mensch diese penibel umsetzen muss, wenn er keinen Ärger von seinen Vorgesetzten bekommen möchte.
Ich beschwerte mich dann per E-Mail beim IDnow Support und bekam die folgende Antwort:
Sie können versichert sein, dass wir Ihr Feedback sehr ernst nehmen. Unsere Mitarbeiter werden regelmäßig durch unser internes Trainerteam geschult zudem führen wir Qualitätskontrollen der Gespräche durch. Sehr gerne werden wir auch mit den Mitarbeitern ein Coaching bezüglich Ihres Feedbacks durchführen.
So weit, so üblich, wenn man Beschwerden dieser Art vorbringt. Was genau geschult werden soll und ob sich an der Praxis der Diskriminierung Blinder etwas ändern wird, kann man aus diesen Statement nicht ablesen. Und selbst wenn: Wie überzeuge ich dann das Gegenüber im Video Chat von dem Richtungswechsel?
In der Antwort des Supports fanden sich freundlicherweise auch noch die Anforderungen der BaFin an Blinde und VideoIdent, denn die gibt es tatsächlich:
Der User muss die Ausweisnummer selbst vorlesen oder aufs Band sprechen. Eine zweite Person darf bei diesem Prozessschritt als Hilfestellung agieren und die Ausweisnummer zur Wiederholung der zu identifizierenden Person vorsagen. Der zu identifizierende User muss diese dann wiederholen. Auch bei den Aufnahmen der Sicherheitsmerkmale oder der Eingabe des Idents-Codes darf Hilfe durch eine weitere Person angenommen werden
Nirgendwo wird erwähnt, dass das Vorlesen ausschließlich durch die eigenen Augen zu erfolgen hat. Die BaFin erlaubt hingegen sogar eine Hilfsperson, die die Nummer vorspricht und der Blinde wiederholt.
Meine Methode 4 ist besonders nahe an den BaFin Ausnahmen, nur dass die Hilfsperson kein Mensch sondern ein Computer ist. 1 und 2 funktionieren ganz ohne zusätzliche Technik. Alle vier Varianten erfüllen meiner Meinung nach die BaFin Vorgaben.
Blindheit allein kann also nicht von der BaFin als Ausschlusskriterium gemeint gewesen sein. Aber wenn die Firma nicht möchte, dann möchte sie nicht. Da lässt sich kurz- bis mittelfristig nichts ändern. Da ich die Kontoeröffnung aber ganz gern abschließen wollte, entschied ich mich, das zweite angebotene Verfahren auszuprobieren.
eID des Personalausweises
Für die Legitimationsprüfung mittels Personalausweis beauftragte die Bank die AUTHADA GmbH. Man benötigt ebenfalls ein Smartphone und seinen Personalausweis mit freigeschalteter eID.
Ich hatte bereits damals bei der Abholung des Ausweises im Bürgerbüro die eID freigeschaltet und die PIN gesetzt. Leider konnte ich mich an den Vorgang nicht und an die PIN erst recht nicht mehr erinnern. Deshalb musste ich erneut zum Bürgerbüro, um die PIN zurückzusetzen und eine neue zu vergeben.
Dort stellte sich heraus, dass das Modul zur PIN-Eingabe ausschließlich ein Touchscreen ist - ein selbstständiges Setzen der PIN ist für Blinde also nicht möglich. Da wurde bei der Beschaffung wie üblich nicht auf Barrierefreiheit geachtet. Immerhin besitzt das EC-Kartenterminal, mit dem ich die anfallende Gebühr entrichten muss, noch eine Tastatur - da frage ich mich schon lange, wann man auch dort auf Touchscreens umstellt.
Nun konnte der eigentliche Legitimationsprüfungsvorgang starten. Dazu wurde ich von der Bankwebseite auf die Webseite von AUTHADA weitergeleitet. Dort folgte zunächst die Aufforderung, ihre App aus dem Play Store zu laden. Bis dahin dachte ich noch, ich würde den weiteren Vorgang mit der Ausweisapp2 durchführen, die zwar auch nicht barrierefrei aber wenigstens benutzbar ist.
Statt dessen sollte ich mit der AUTHADA App nun einen QR Code von meinem Notebookbildschirm scannen. Dieser Vorgang ist für Blinde zwar nicht übermäßig komfortabel aber durchaus durchführbar. In der Vergangenheit habe ich schon mehrere QR Codes gescannt und dafür max. ein paar Sekunden benötigt.
Mit diesem QR Code war das allerdings nicht zu schaffen. Der Code bot einen extrem schlechten Kontrast und ihm fehlte eine neutrale Umrandung. Nach einigem probieren habe ich ihn heruntergeladen, in einem Bildbetrachterprogramm geöffnet und reingezoomt - gleiches Ergebnis. Auch Ausdrucken und vom Papier scannen funktionierte nicht.
An diesem Punkt kam ich nicht weiter und musste auf eine Assistenz zurückgreifen. Das passiert mir im IT-Alltag sonst recht selten. Auch die Assistenz brauchte mehrere Minuten und eine ruhige Hand, bis der Code endlich von der App erkannt worden war. Hier könnte man durch die Erzeugung eines kontrastreichen Codes inkl. Umrandung viel für die Usability tun.
Anschließend folgte der NFC Scan des Ausweises und die PIN Eingabe. Dazu hält man den Ausweis an die Geräterückseite des Smartphones und gibt seine sechsstellige PIN ein. Das war der einzige Teil des Verfahrens, der tatsächlich reibungslos funktioniert hat.
Als nächstes mussten Vorder- und Rückseite des Ausweises fotografiert werden. Warum diese Fotos zusätzlich zur bereits erfolgten elektronischen Verifikation benötigt werden, bleibt unklar. Vielleicht verlangt die BaFin diese Fotos, vielleicht auch nicht. Es wird jedenfalls nicht erläutert und die Datenschutzerklärung ist so allgemein gehalten, dass sie beinahe zu jedem Unternehmen passen könnte.
Unabhängig von der Datenschutzproblematik hätte ich spätestens hier jemanden benötigt, der mir beim Anfertigen der Fotos hilft.
Nach dem erfolgreichem Foto-Upload generierte die App eine TAN, die auf der zu Beginn geöffneten Webseite eingegeben werden muss. Es passte zum bisherigen Gesamteindruck, dass diese TAN in einem Bild ohne Bildbeschreibung daher kam und vom Screenreader deshalb nicht vorgelesen werden konnte.
Damit war der Legitimationsprozess aber noch nicht abgeschlossen, denn der “Absenden” Button neben dem TAN Eingabefeld lies sich nicht klicken. Unklar. Schließlich erkannte meine Assistenz, dass man neben dem App-aus-Play-Store-laden Hinweis noch einen Haken zur Bestätigung setzen muss. Diese Checkbox war für den Screenreader gar nicht zu erkennen und auch visuell offenbar nicht übermäßig markant.
Nachdem auch das geklärt war, konnte meine Assistenz den “Absenden” Button anklicken und den Legitimationsprozess erfolgreich abschließen. Auch der Button war mit der Tastatur nicht erreichbar aber das spielt nach so vielen Problemen schon keine große Rolle mehr.
Fazit
Beide Verfahren waren nicht barrierefrei. Leider, so muss man sagen, nicht mal ansatzweise.
IDnow schließt mich grundsätzlich von VideoIdent aus - da hätte nicht einmal eine Assistenz etwas daran geändert. Ein anderer VideoIdent Dienst mag das besser lösen aber diesbezüglich hat der Kunde nicht die Wahl, sondern muss nehmen, was der, bei dem er sich identifizieren möchte, ausgewählt hat.
Die AUTHADA eID Umsetzung scheitert gleich an mehreren Stellen. Bedenkt man, dass sich das legitimieren mit dem Personalausweis theoretisch an die gesamte Bevölkerung richtet, würde ich hier eine Verpflichtung zu Usability und Accessibility erwarten. Das zöge im Idealfall Nutzertests mit einem repräsentativen Teil der Bevölkerung nach sich. Was am Ende schief gegangen ist, lässt sich von Außen nicht nachvollziehen - es ist jedenfalls alles andere als praxistauglich und komfortabel.
Dass das lokale Bürgerbüro Touchscreens zur PIN-Verwaltung eingekauft hat, ist dann schon beinahe folgerichtig.
Meine Legitimationspräferenzen sehen also wie folgt aus:
- PostIdent in der Filiale: Der Weg zur Post ist für mich relativ kurz und problemlos zurückzulegen. Alles weitere erledigt die Post.
- VideoIdent: Lässt sich von zu Hause mit geringen Hardwareanforderungen durchführen und wäre noch einen Versuch wert, solange das Unternehmen nicht IDnow heißt.
- eID: Zumindest die Umsetzung von AUTHADA ist eine absolute Notlösung und nur mit Assistenz durchzuführen. In meinem Fall war es tatsächlich die einzige Möglichkeit, sich zu legitimieren. Ich würde sie daher zumindest nicht komplett ausschließen. Vielleicht haben andere Anbieter sich bei Usability und Accessibility auch mehr Mühe gegeben.
Von der Bank würde ich mir wünschen, dass sie ein möglichst breites Spektrum an Legitimationsverfahren anbietet und im Idealfall auch Barrierefreiheit ein Kriterium für die Anbieterauswahl darstellt. Statt dessen war die Antwort dort ein Schulterzucken.
Ich mache mir bezüglich der Online-Funktionen des Personalausweises für die Zukunft auch kaum Hoffnung auf Besserung. Schon einen einzelnen Anbieter zur Barrierefreiheit zu verpflichten, erscheint unrealistisch aber mehrere? Wer sollte das kontrollieren? Was passiert bei Verstößen?
Da bleibt nur der Trost, dass man diese Funktionen nicht allzu häufig in Anspruch nehmen muss.