Kontakt
von Camille Lefèvre
Digitalisierung

Welche schritte nötig sind, damit ihr digitales onboarding mit einem verification‑tool wie idnow compliance‑sicher wird

27. Feb 2026 • von Camille Lefèvre
Welche schritte nötig sind, damit ihr digitales onboarding mit einem verification‑tool wie idnow compliance‑sicher wird

Digitale Identitätsprüfung ist längst kein Nice-to-have mehr – für viele Geschäftsmodelle ist sie Kernelement der Kundengewinnung und Compliance. Wenn Sie wie ich Unternehmen beraten, Gründer begleiten oder digitale Prozesse gestalten, stehen Sie unweigerlich vor der Frage: Welche Schritte sind nötig, damit Ihr digitales Onboarding mit einem Verification‑Tool wie IDnow compliance‑sicher wird? In diesem Beitrag teile ich meine pragmatische Checkliste und Erfahrungen – technisch, rechtlich und organisatorisch.

Verstehen, welche rechtlichen Anforderungen greifen

Bevor Sie ins Tool investieren, müssen Sie die regulatorische Landkarte klären. In Deutschland sind insbesondere folgende Regelungen relevant:

  • Geldwäschegesetz (GwG): KYC-/AML-Anforderungen bestimmen, welche Identitätsdaten Sie erheben und wie lange Sie sie speichern müssen.
  • Datenschutz-Grundverordnung (DSGVO): Grundprinzipien wie Zweckbindung, Datenminimierung, Rechtmäßigkeit der Verarbeitung, Informationspflichten und Betroffenenrechte sind zwingend.
  • eIDAS-Verordnung: Bei qualifizierten elektronischen Signaturen und elektronischen Identitätsnachweisen gilt es, Anforderungen an Vertrauensdienste zu prüfen.
  • Sektorale Vorgaben (z. B. BaFin für Finanzdienstleister): Hier können zusätzliche Dokumentations- und Meldepflichten bestehen.

    • Ich empfehle, diese Anforderungen schriftlich in einem Compliance- und Risikoprofil festzuhalten. Nur wenn Sie wissen, welche Anforderungen gelten, können Sie das Tool und den Prozess passend konfigurieren.

    Vendor‑Due‑Diligence: IDnow & Co. kritisch prüfen

    Die Wahl des Anbieters ist zentral. IDnow ist einer der führenden Anbieter, aber keine Lösung passt universell. Prüfen Sie anhand dieser Kriterien:

  • Rechtskonformität: Unterstützt der Anbieter die in Ihrem Sektor nötigen Verfahren (z. B. Video‑Ident nach GwG, eIDAS-konforme Prozesse)?
  • Sicherheitsstandards: Zertifikate (ISO 27001), Penetrationstests, Secure‑Development‑Lifecycle.
  • Datenverarbeitung & Hosting: Wo werden die Daten gehostet (EU/Deutschland bevorzugt), welche Subprozessoren werden eingesetzt?
  • Vertragliche Absicherung: AVV/Processor‑Agreement, Subprocessor‑Listen, SLA‑Regelungen zu Verfügbarkeit, Löschung und Backup.
  • Audit‑ und Reporting‑Capabilities: Liefert der Anbieter Prüfprotokolle, Logs und Support für Audits?

    • Meine Erfahrung: Fordern Sie Referenzen aus Ihrer Branche und bestehende Auditberichte an. Legen Sie Wert auf Transparenz bei Subprozessoren und auf klare vertragliche Zusagen zu Datenlöschungen.

    Prozessdesign: Minimal, nachvollziehbar, automatisiert

    Ein compliance‑sicherer Prozess ist nicht automatisch komplex – im Gegenteil. Ziel ist ein schlanker, dokumentierter Ablauf, der Nachvollziehbarkeit und Revisionssicherheit bietet:

  • Verfahrensbeschreibung: Definieren Sie Schritt für Schritt, welche Daten erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage.
  • Rollen & Verantwortlichkeiten: Wer validiert, wer unterschreibt, wer hat Zugriff auf welche Logs? (Siehe Tabelle weiter unten.)
  • Automatische Dokumentation: Jede Identitätsprüfung muss mit Zeitstempel, Prüfergebnis, Prüfmethodik und Metadaten protokolliert werden.
  • Fallbacks & Zweitprüfung: Legen Sie fest, wann eine manuelle Nachprüfung erforderlich ist (z. B. bei Unstimmigkeiten).
  • Retention & Löschung: Automatisieren Sie die gesetzlich vorgeschriebenen Aufbewahrungsfristen und Löschprozesse.

    • Technische Maßnahmen, die ich immer einfordere

    Die Technik muss die Compliance‑Anforderungen unterstützen. Wichtige Maßnahmen, die ich bei Integrationen mit IDnow oder ähnlichen Tools sehe:

  • End-to-End Verschlüsselung (TLS für Transport, AES für ruhende Daten).
  • Pseudonymisierung sensibler Daten und Speicherung von Rohbildern nur so lange wie nötig.
  • Zugriffskonzepte mit least‑privilege, Multi‑Factor‑Authentication und rollenbasiertem Zugriff.
  • Secure API‑Integration: Token‑basierte Authentifizierung, kurze Lebensdauer von Zugangstokens und regelmäßige Rotationen.
  • Logging & Monitoring: Manipulationssichere Logs, SIEM‑Integration und Alerts für Anomalien.

    • Datenschutz-Folgeabschätzung (DPIA) und Informationspflichten

    Bei großangelegten Identitätsprüfungen oder sensiblen Daten ist eine Datenschutz‑Folgenabschätzung Pflicht. Ich nutze die DPIA, um Risiken zu identifizieren und zu mitigieren:

  • Beschreiben Sie Prozess, Datenflüsse und eingesetzte Technik.
  • Bewerten Sie Risiken für Betroffene, z. B. Identitätsdiebstahl oder Profiling.
  • Treffen Sie Maßnahmen (Technisch/Organisatorisch) und dokumentieren Sie diese.

    • Zudem müssen Sie transparente Informationen für Nutzer bereitstellen: Zweck, Rechtsgrundlage, Speicherdauer, Kontakte für Betroffenenrechte. Das sollte bereits im Onboarding‑Flow klar kommuniziert werden.

    Organisatorische Maßnahmen & Schulung

    Tools können nur so gut sein wie das Team, das sie bedient. Ich setze daher auf regelmäßige Schulungen und klare Prozesse:

  • Schulungsplan für Mitarbeiter, die Prüfungen sehen oder Entscheide treffen.
  • Klare SOPs (Standard Operating Procedures) für Grenzfälle.
  • Regelmäßige Audits und Prozessreviews – mindestens quartalsweise bei hohem Volumen.
  • Incident‑Response Plan: Wer meldet Datenschutzverletzungen, wie werden Aufsichtsbehörden informiert?

    • Nachvollziehbarkeit & Reporting für Aufsichtsbehörden

    Im Fall einer Prüfung müssen Sie schnell vollständige Nachweise liefern können. Ich empfehle:

  • Audit‑Log‑Paket: Ergebnis jeder Identitätsprüfung, verwendete Methode (VideoID, eID), Hashes der Belege, Zeitstempel, verantwortliche Personen.
  • Reporting‑Template für Behördenanfragen (GwG/BAFin/Datenschutzbehörde).
  • Archivierung der Nachweise in unveränderlicher Form (Append‑only Storage oder WORM‑Archiv).

    • Pragmatische Checkliste vor der Live‑Schaltung

    DokumentStatus
    Rechtsanalyse (GwG, DSGVO, eIDAS, sektorale Regeln)Erledigt / In Arbeit
    DPIA abgeschlossenErledigt / In Arbeit
    AVV mit Anbieter & Subprocessor‑ListeErledigt / In Arbeit
    Sicherheitszertifikate & PenTest‑Berichte des AnbietersErledigt / In Arbeit
    Technische Integration: TLS, API‑Security, LoggingErledigt / In Arbeit
    SOPs & MitarbeiterschulungenErledigt / In Arbeit
    Retention‑ und Löschkonzept automatisiertErledigt / In Arbeit
    Audit‑Log‑Paket & Reporting‑TemplatesErledigt / In Arbeit

    Wer übernimmt was? Typische Rollenverteilung

    RolleVerantwortung
    Datenschutzbeauftragte(r)DPIA, Informationspflichten, Kontakt zur Aufsichtsbehörde
    Compliance/LegalRechtsanalyse, GwG‑Konformität, Vertragsmanagement
    IT‑SecurityTechnische Controls, PenTests, SIEM
    Produkt/Onboarding‑OwnerProzessdesign, UX, Reporting
    Operations/BackofficeManuelle Prüfungen, Eskalationen, Archivierung

    UX nicht vergessen — Compliance und Conversion gehen Hand in Hand

    Ein häufiger Fehler ist, Compliance und Nutzungsfreundlichkeit gegeneinander auszuspielen. Ich setze auf klare Kommunikation im Prozess: Erklären Sie kurz, warum Sie Daten brauchen, zeigen Sie Fortschrittsanzeigen und bieten Sie Hilfestellung (z. B. Beispiele für Ausweisdokumente). Wenn Nutzer den Wert des Prozesses verstehen, sinken Abbrüche – und damit auch die Risiken von Schattenprozessen, in denen Mitarbeiter fragwürdige Ausnahmen schaffen.

    Praxisbeispiel: Wo IDnow hilft — und wo nicht

    IDnow bietet robuste Lösungen für Video‑Ident und eIDAS‑basierte Verfahren. Das ist ideal, wenn Sie rechtskonforme Identitätsbestätigungen nach GwG benötigen. Allerdings: Für hochsensible Fälle (z. B. komplexe Wirtschaftsauskunft oder dauerhafte Zugriffsrechte) benötigen Sie zusätzliche Maßnahmen wie erweiterte Due‑Diligence oder menschliche Risikoentscheidungen. Setzen Sie das Tool deshalb nicht als Black‑Box ein, sondern als Teil eines kontrollierten, dokumentierten Prozesses.

    Wenn Sie möchten, stelle ich Ihnen gern eine passgenaue Checkliste für Ihr Geschäftsmodell zusammen – inklusive Vertragscheckliste für Anbieter wie IDnow und einem DPIA‑Template, das Sie sofort verwenden können.

    Sie sollten auch die folgenden Nachrichten lesen:

    Wie sie mit einem 13‑Wochen‑Cash‑Conversion‑Plan kurzfristige Liquiditätslücken in Wachstumsphasen stoppen
    Finanzen

    Wie sie mit einem 13‑Wochen‑Cash‑Conversion‑Plan kurzfristige Liquiditätslücken in Wachstumsphasen stoppen

    Wachstum ist schön — bis die Liquidität fehlt. Ich habe viele Gründer und Geschäftsführer...

    19. Mar Weiterlesen...
    Wie sie mit einem 90‑tage‑lieferanten‑scoring lieferengpässe vorhersagen und einkaufsbudgets präzise anpassen
    Strategie

    Wie sie mit einem 90‑tage‑lieferanten‑scoring lieferengpässe vorhersagen und einkaufsbudgets präzise anpassen

    Lieferengpässe sind keine abstrakte Gefahr mehr – sie treffen Unternehmen konkret und...

    27. Feb Weiterlesen...