Verimi: Wenn Berater die Extrameile gehen
Der Identitätsdienstleister Verimi steht momentan unter anderem wegen einer nicht an ihre Nutzer*innen bekanntgemachten Datenpanne sowie einem unsicheren digitalen Identifizierungsverfahren in der Kritik. Nun sind außerdem noch Dokumente aufgetaucht, welche belegen, dass Verimi die Bundesanstalt für Finanzdienstleistungsaufsicht über die Anzahl der bei ihnen durchgeführten Transaktionen beim Produkt “Verimi Pay” getäuscht hat.
Verimi ist ein im September 2017 mit vielen Ambitionen gegründetes Startup. Damals schlossen sich einige der größten Unternehmen Deutschlands — darunter Axel Springer, Daimler, die Deutsche Bahn und die Bundesdruckerei — zusammen, um gegen Facebook, Google und co. anzutreten.
Um genau zu sein, wollten sie eine Alternative zu der Login-Funktion der großen Anbieter bauen. In Zukunft sollte man sich also statt mit seinem Facebook oder Google-Account überall im Internet mit Verimi anmelden können. Und zwar nicht mit einem Pseudonym oder einer E-Mail-Adresse, wie wir das auch heute noch von den großen Anbietern kennen. Sondern mit seinen garantiert richtigen Daten. Verimi hatte das Ziel, dass eine Anmeldung über sie dem digitalen Vorzeigen eines Ausweises gleichkommt.
Verimi sollte also eine Plattform werden, um die Pseudonymität des Internets abzuschaffen. Sie wollten den beteiligten Unternehmen ermöglichen, das zu tun, was wir gemeinhin großen amerikanischen Konzernen nachsagen: Uns überall im Internet verfolgen und diese Daten dann an die beteiligten Unternehmen verkaufen.
Break it til you make it!
Da das Verifizieren eines Ausweises im Internet allerdings sehr komplex ist, startete Verimi im April 2018 als ein normaler Login-Dienst wie Google oder Facebook. Bei 30 Unternehmen konnten Nutzer*innen sich damals über Verimi einloggen. Gemacht hat das allerdings fast niemand. Der Dienst war so erfolglos, dass der Geschäftsführer Roland Adrian etwa ein Jahr später verkündete: “Single-Sign-on ist auf absehbare Zeit fest in der Hand der US-Player — dieser Zug ist abgefahren”.
Deshalb fokussierte sich Verimi im Jahr 2019 auf ein neues altes Geschäftsmodell. Das Vorzeigen des Ausweises im Internet. Allerdings diesmal nicht als Login-Funktion für andere Webseiten, sondern als Prozess, der zum Beispiel bei der Kontoeröffnung einer Bank integriert werden kann. Dabei gibt es allerdings einige Hürden. So müssen Unternehmen, die den Personalausweis digital auslesen wollen, ein Berechtigungszertifikat der Bundesdruckerei erhalten. Und falls Nutzer*innen den digitalen Ausweis nicht verwenden wollen, muss Verimi die Ausweise stattdessen in einem Videocall durch Menschen überprüfen lassen.
Ausweisen im Internet ist also aufwändig und teuer. Deshalb lohnt sich das in der Regel nur für Unternehmen, die aufgrund von gesetzlichen Regulierungen auch wirklich dazu verpflichtet sind. Das sind in Deutschland vor allem Unternehmen, die die Identität von Menschen aufgrund des Geldwäschegesetzes prüfen müssen.
Bei Verimi kam man wegen des hohen Aufwandes, der bei der Identifizierung einer Person entsteht, auf die Idee, das man die dabei anfallenden Daten auch einfach speichern und mehrmals verwenden könnte. Wenn eine Nutzer*in sich also einmal bei Verimi ausgewiesen hat, dann werden die Daten dort gespeichert und können ohne mehrfaches Vorzeigen des Ausweises an verschiedene Stellen weitergegeben werden.
Dabei gibt es aber eine kleine rechtliche Hürde: Verimi darf Ausweisdaten nur speichern, wenn sie dazu einen sehr guten Grund haben. Eigentlich dürfen und müssen so etwas deshalb nur Banken und andere Unternehmen, die im Rahmen des Geldwäschegesetzes (GWG) reguliert sind. Denn dieses schreibt vor, dass Identitätsdaten zur Verhinderung von Geldwäsche dauerhaft und rechtssicher gespeichert werden müssen. Und es erlaubt sogar, dass ein Unternehmen, das diese Daten speichern darf, die dann auch an andere Unternehmen weitergeben kann.
Wenn eine Bank also eine Nutzer*in identifiziert hat, darf sie später einer anderen Bank mitteilen “Wir haben diese Nutzer*in identifiziert”. Die andere Bank muss dann selbst diese Nutzer*in nicht mehr identifizieren.
“Ein Zahlungsinstitut, dann haben wir was eigenes!”
Wenn Verimi also Menschen mit dem Personalausweis identifizieren und diese Identitätsdaten dann wiederum anderen Unternehmen zur Verfügung stellen möchte, dann müssen sie dafür erst zu einem Unternehmen werden, welches auch im Rahmen des Geldwäschegesetzes reguliert wird.
Weil es ganz schön kompliziert ist, eine Bank zu gründen, entschied sich Verimi dazu, stattdessen ein sogenanntes Zahlungsinstitut zu werden. Als Zahlungsinstitut kann und muss man gewerblich Zahlungen zwischen Unternehmen und/oder Privatpersonen abwickeln. Mit so einer Lizenz können Unternehmen also ähnliche Dienstleistungen wie z.B. Paypal anbieten.
Diese Lizenz wird von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erteilt. Unternehmen mit dieser Lizenz werden von der BaFin regelmäßig geprüft und müssen zum Beispiel monatlich die Anzahl der durchgeführten Transaktionen melden. Wenn sie gegen die Regeln der BaFin verstoßen, können sie diese Lizenz auch schnell wieder verlieren.
Verimi erhielt seine Lizenz im April 2019 und durfte von nun an Menschen mit dem Personalausweis identifizieren und diese Daten dann speichern und jederzeit auf Wunsch der Nutzer*in an andere Unternehmen weitergeben. Damit hat Verimi nur einmal die Kosten, einen User zu identifizieren und kann diese Identifizierung dann mehrfach an verschiedene Unternehmen verkaufen.
Die Erteilung der Lizenz hat allerdings auch einen Haken: Denn von nun an darf Verimi nicht nur gewerblich Zahlungen abwickeln — sondern sie müssen es sogar. Denn Unternehmen, die eine Lizenz als Zahlungsinstitut nicht benutzen, verlieren diese wieder. Deshalb entwickelte Verimi die Dienstleistung “Verimi Pay”. Ein System, das Onlineshops bei sich einbinden können und das Nutzer*innen dann erlaubt, die Bezahlung ihres Einkaufes per elektronischer Lastschrift durchzuführen.
Überweisen bis die Bafin kommt
Eigentlich eine schlüssige Idee, die nur einen Haken hat: Der Markt an Zahlungsanbietern ist gewissermaßen gesättigt. Und Onlineshops haben nicht unbedingt ein Interesse daran, mit neuen Anbietern zu experimentieren. Weil einerseits die Integrationskosten relativ hoch sind und andererseits Nutzer*innen neuen Anbietern in der Regel nicht vertrauen.
Verimi musste also dringend Unternehmen finden, die sie als Zahlungsdienstleister verwenden. Ende Juli 2019 erklärt der Verimi-Vorstand im internen wöchentlichen Newsletter daher allen Mitarbeiter*innen, dass Verimi bis Mitte September 2019 bei mindestens 5 Unternehmen Verimi Pay integrieren muss. Andernfalls könnte es zum Entzug der Lizenz als Zahlungsinstitut sowie dem damit verbundenen Verlust des Geschäftsmodells (Speicherung und Weitergabe der Ausweisdaten) kommen.
Anfang November verkündet der Vorstand schließlich, dass nun 3 Partner den Verimi Bezahldienst auf ihren Webseiten integriert haben. Darunter primär alte Bekannte von Verimi: der vom Axel Springer Verlag betriebene “Bild Shop” und ein Onlineshop mit dem Namen “Kwadrat.art”. Dieser leitet heute auf die Webseite einer Unternehmensberatung weiter, die von Holger Junghanns geleitet wird.
Holger Junghanns war bis September 2019 beim Beratungsunternehmen PwC Partner und beriet mit seinem Team unter anderem Verimi. Insbesondere zu dem Thema, wie Verimi ein Zahlungsinstitut werden und seine Lizenz dafür dauerhaft behalten kann. Und nebenbei betrieb er einen Onlineshop für Kunstdrucke. Aus diesem Onlineshop wurde unter anderem die Weihnachtsdekoration für das Verimi Büro bestellt.
Der Onlineshop, welcher allerdings zum Liebling aller Verimi Mitarbeiter*innen werden sollte, ist der von der Photodruck PixArt GmbH betriebene Onlineshop “photo-druck.de”.
Manchmal muss man die Extra-Meile gehen
Nachdem nun mindestens 3 Onlineshops mit integriertem Verimi Pay verfügbar waren, mussten sehr schnell insgesamt 2000 Transaktionen generiert werden. Deshalb rief CEO Roland Adrian am Montag, den 13.11.2019 dazu auf, dass alle 80 Verimi Mitarbeiter*innen möglichst sofort mindestens 5 Zahlungen in Onlineshops mit Verimi Pay durchführen sollen. Die sei eine “Investition in die Zukunft der Firma”.
2000 Transaktionen, das ist die Mindestanzahl an Zahlungen, bei dem Verimi davon ausgeht, dass die BaFin sie tatsächlich als einen gewerbsmäßigen Zahlungsdienst ansieht. Verimi also seine Lizenz behalten und somit weiterhin Identitätsdaten speichern darf.
Wenige Tage später — im wöchentlichen Newsletter am 18.11.2019 — erklärt der Vorstand schließlich, das — Stand Freitag — nun insgesamt 1500 Transaktionen durchgeführt wurden. Und man sich nun ziemlich sicher sei, dass dank der Mithilfe aller Mitarbeiter*innen die Lizenz erhalten werden kann.
Im weiteren Verlauf dieses Newsletters werden auch die Held*innen der Woche gekürt. Das sind in dieser Woche 4 Personen, die die “Extra-Meile gegangen sind” und selbst Hunderte Transaktionen durchgeführt haben und zahlreiche mehr “organisierten”.
In den folgenden Wochen entwickelte sich die Webseite “photo-druck.de” zu einer Art Meme im wöchentlichen Verimi Newsletter. So wurden dort unter anderem Teamtassen (KW 46) und Urlaubskalender (KW 48) für die ganze Firma gekauft. Und im Fall der Tassen sogar erwähnt, dass diese von den Werksstudent*innen bestellt wurden.
In der Kalenderwoche 48 wurde schließlich verkündet, dass die “Emergency Task Force”, die sich um das Zahlungsdiensteaufsichtsgesetz kümmerte, nun zum 29. November planmäßig aufgelöst wird. Dort wird außerdem erwähnt, dass nun ein PwC-Berater die Firma verlassen hat. Ein PwC-Berater aus dem ehemaligen Team von Holger Junghanns. Dem Inhaber des Onlineshops kwadrat.art, der Verimi Pay als einer der ersten integrierte und über den zahlreiche Transaktionen durchgeführt wurden.
Holger Junghanns half Verimi also nicht nur im Rahmen seines Jobs bei PwC beim Erhalt der Lizenz als Zahlungsinstitut. Sondern er kümmerte sich mit seinem Kunstdrucke-Onlineshop auch um einige der für den Lizenzerhalt benötigten Transaktionen.
Stand 2022 fristet Verimi Pay noch immer ein Nischendasein. Heute ist es laut Verimi-Website ausschließlich im Onlineshop “photo-drucke.de” integriert. Einer Kleinst-GmbH mit relativ wenig Umsatz. Somit ist es also unwahrscheinlich, dass Verimi heute tatsächlich noch eine entsprechende Menge an Transaktionen durchführt, um die Lizenz als gewerbsmäßiges Zahlungsinstitut zu erhalten.
Verimi möchte sich nicht mehr dazu äußern
Ich habe für diesen Artikel auch Verimi, die BaFin und den ehemaligen Berater und Verimi Kunden Holger Junghanns angefragt und um Stellungnahme gebeten.
Verimi bezeichnete die in den letzten Tagen von ehemaligen Mitarbeiter*innen erhobenen Vorwürfe der künstlich in die Höhe getriebenen Transaktionen gegenüber der Computer Bild sowie dem Tagesspiegel als “haltlos”. Zu den nun aufgetauchten Dokumenten möchte sich die Verimi Pressestelle aus “rechtlichen Gründen” nicht äußern.
Die BaFin äußerte sich mit Verweis auf die “gesetzliche Verschwiegenheitspflicht” nicht zu dem Sachverhalt Verimi.
Holger Junghanns möchte “aus Gründen der Vertraulichkeit” keine Auskünfte zu diesen Fragen geben.
Sollte man Verimi vertrauen?
Fassen wir also zusammen: Verimi hat in den Vergangenen Wochen nicht nur gezeigt, dass sie nicht transparent mit den Daten ihrer Nutzer*innen umgehen und Datenpannen lieber vertuschen möchten. Sondern sie haben auch noch bewiesen, dass sie als ein Unternehmen, welches sich über die Bahn und Bundesdruckerei teilweise in der Hand des Staates befindet, gezielt staatliche Regulierungsbehörden betrügen.
Verimi ist daher definitiv kein Unternehmen, um die Ausweisdaten von Millionen von Menschen zu speichern. Diese Daten sollten eigentlich überhaupt nicht zentralisiert werden. Das gilt aber nicht nur für Ausweise sondern auch für andere digitale Nachweise wie Führerscheine oder Krankenversicherungskarten.
Ausweisen im Internet ist erstmal grundsätzlich keine gute Idee. Das sehe nicht nur ich so, sondern auch die aktuelle Rechtsprechung hält die Pseudonymität im digitalen Raum für ein sehr wichtiges Gut. So wie wir in der Offline-Welt nur an ganz wenigen Orten überhaupt tatsächliche Ausweispflichten haben, so sollten wir das auch Online handhaben.
Und für die Fälle, bei denen die gesellschaftliche Interessenabwägung zwischen Pseudonymität und Nachverfolgbarkeit dazu führt, dass das Identifizieren einer Person wirklich notwendig wird, sollte das dann nicht durch ein Unternehmen erledigt werden. Die hoheitliche Leistung des Staates seine Bürger*innen zu identifizieren darf kein Markt sein. Denn die Dynamiken des Marktes führen dazu, dass wir aus den Identitäten der Bürger*innen Produkte machen. Der Staat muss aufhören, solche Geschäftsmodelle zu unterstützen und stattdessen selbst moderne und sichere digitale Ausweismöglichkeiten anbieten.
Wenn Dir diese Recherche zu Verimi gefallen hat, dann könnte dir auch meine Recherche zum Thema selbstbestimmte Identitäten gefallen.
Wenn ihr meine zivilgesellschaftliche Arbeit zu Themen wie z.B. Verwaltungsdigitalisierung, Sicherheitsforschung und Open Data unterstützen wollt, dann könnt ihr das via 💸Patreon💸 tun. Und wenn ihr bei meiner nächsten Recherche live dabei sein wollt, dann folgt mir auf Twitter.