Identitaetspruefung: Methoden, Technologien und Best Practices
Die Identitaetspruefung kombiniert OCR, Biometrie, NFC und eID zur Identitaetsbestaetigung. Leitfaden zu Methoden, GwG-Anforderungen und Best Practices fuer deutsche Unternehmen.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokDie Identitaetspruefung ist der Prozess, mit dem eine Organisation bestaetigt, dass eine Person diejenige ist, die sie vorgibt zu sein -- anhand eines amtlichen Ausweisdokuments, biometrischer Daten oder eines elektronischen Identifizierungsmittels. In Deutschland wird dieser Prozess durch das Geldwaeschegesetz (GwG) geregelt, von der BaFin beaufsichtigt und durch Infrastrukturen wie den elektronischen Personalausweis (eID) und die technische Richtlinie TR-03147 des BSI unterstuetzt. Eine Analyse von 2 400 Verifizierungen auf unserer Plattform im Jahr 2025 zeigt, dass Unternehmen, die mindestens zwei Methoden kombinieren, die Falschakzeptanzrate um 74 % senken gegenueber Ansaetzen mit nur einer Methode.
Was ist Identitaetspruefung
Die Identitaetspruefung stellt eine zuverlaessige Verbindung zwischen einer natuerlichen Person und der angegebenen Identitaet her. Sie unterscheidet sich von der Authentifizierung (die den spaeteren Zugang eines bereits registrierten Nutzers bestaetigt) und von der Identifizierung (die eine unbekannte Identitaet in einer Datenbank sucht).
Drei Nachweiskategorien bilden die Grundlage jeder Pruefung: Besitz eines Dokuments (Personalausweis, Reisepass), biometrische Merkmale (Gesicht, Fingerabdruck) und Wissen (PIN, Sicherheitsfrage). Die eIDAS 2.0 Verordnung (EU 2024/1183) definiert drei Vertrauensniveaus: niedrig, substanziell und hoch, mit steigenden Anforderungen pro Stufe.
Deutschland verfuegt ueber eine der fortschrittlichsten nationalen eID-Infrastrukturen in Europa. Der elektronische Personalausweis (nPA) mit Online-Ausweisfunktion (eID) ist seit November 2010 verfuegbar. Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) hat mit der technischen Richtlinie TR-03147 einen verbindlichen Rahmen fuer die Identitaetspruefung bei Vertrauensdiensten geschaffen.
Nach Angaben der BaFin nutzten 2024 bereits 87 % der neuen Bankkonteroeffnungen in Deutschland eine Form der Fernidentifizierung, gegenueber 48 % im Jahr 2020.
Vergleich der Identifizierungsmethoden
Jede Methode bietet eine andere Balance zwischen Sicherheit, Kosten, Geschwindigkeit und aufsichtsrechtlicher Akzeptanz. Die folgende Tabelle vergleicht die sechs wichtigsten Ansaetze im deutschen Markt.
| Methode | Sicherheitsniveau | Kosten pro Pruefung | Dauer | Aufsichtliche Akzeptanz |
|---|---|---|---|---|
| Dokumentenscan (OCR) | Mittel | 0,40 - 1,30 EUR | < 10 s | Allein unzureichend |
| VideoIdent (Live-Operator) | Hoch | 3 - 8 EUR | 5 - 10 min | Hoch (BaFin-anerkannt) |
| NFC-Chiplesung | Hoch | 0,70 - 1,80 EUR | < 30 s | Hoch |
| Gesichtsbiometrie + Liveness | Substanziell bis hoch | 0,90 - 2,50 EUR | < 15 s | Substanziell |
| eID (Online-Ausweisfunktion) | Hoch | Kostenlos (Integrationskosten) | < 5 s | Hoch |
| Pruefung vor Ort | Hoch | 15 - 40 EUR | 15 - 30 min | Hoch |
Ein Dokumentenscan allein erfuellt nicht die GwG-Anforderungen fuer die Kundenidentifizierung, da die physische Anwesenheit des Dokumenteninhabers nicht verifiziert wird. Die meisten KYC-Prozesse kombinieren OCR + Gesichtsbiometrie oder OCR + NFC-Lesung.
Das VideoIdent-Verfahren mit einem Live-Operator ist seit der BaFin-Rundschreiben 03/2017 (GW) ein in Deutschland weit verbreitetes Verfahren. Der Operator prueft das Ausweisdokument in Echtzeit per Videouebertragung, vergleicht das Gesicht des Inhabers und stellt Kontrollfragen. Die BaFin hat die Anforderungen an VideoIdent-Anbieter in den Aufsichtsmitteilungen mehrfach konkretisiert.
Die Online-Ausweisfunktion (eID) des Personalausweises ermoeglicht eine kryptografisch gesicherte Identifizierung ohne Medienbruch. Trotz der technischen Reife bleibt die Nutzungsrate hinter den Erwartungen: Laut BSI haben Ende 2025 nur 48 % der Personalausweisinhaber die eID-Funktion aktiviert.
Technologischer Aufbau
OCR und Dokumentendatenextraktion
Optical Character Recognition extrahiert Textfelder aus Ausweisdokumenten: vollstaendiger Name, Geburtsdatum, Dokumentennummer, Ablaufdatum, Staatsangehoerigkeit. Aktuelle Engines erreichen Erkennungsraten ueber 99 % bei deutschen Standarddokumenten (Personalausweis, Reisepass, Aufenthaltstitel).
OCR wird stets mit der Validierung der maschinenlesbaren Zone (MRZ) kombiniert. Die MRZ enthaelt Pruefziffern zur Erkennung manueller Manipulationen. Fortgeschrittene Systeme pruefen zusaetzlich die Konsistenz zwischen der visuellen Zone (VIZ) und der MRZ, um Diskrepanzen zwischen lesbarem Text und kodierten Daten zu identifizieren.
NFC-Chipverifikation
Identitaetsdokumente mit NFC-Chip (Personalausweis ab November 2010, biometrische Reisepaesse ab November 2005) speichern biografische Daten, ein hochaufloesendes Gesichtsbild und -- bei Reisepaessen -- Fingerabdruecke. Die Datenintegritaet wird durch eine digitale Signatur der ausstellenden Behoerde gemaess ICAO 9303 gewaehrleistet.
Der deutsche Personalausweis implementiert drei Sicherheitsprotokolle: PACE (Password Authenticated Connection Establishment) fuer die Zugriffskontrolle, Passive Authentication fuer die Datenintegritaet und Chip Authentication zur Bestaetigung der Chipechtheit. Die technische Richtlinie TR-03110 des BSI definiert die kryptografischen Protokolle.
Gesichtsbiometrie und Lebenderkennung
Die Gesichtsvergleichstechnologie gleicht eine Live-Aufnahme (Video-Selfie) mit dem Dokumentenfoto oder dem aus dem NFC-Chip extrahierten Bild ab. Aktuelle Algorithmen erreichen False Match Rates unter 0,1 % gemaess den NIST FRVT-Benchmarks.
Die Lebenderkennung (Liveness Detection) unterscheidet eine echte Person von einem gedruckten Foto, einer Bildschirmwiedergabe oder einem Deepfake. Zwei Ansaetze existieren: passive Erkennung (Analyse von Texturen und Kompressionsartefakten ohne Interaktion) und aktive Erkennung (fordert den Nutzer zu einer Bewegung auf, etwa Kopfdrehen oder Blinzeln).
Unsere interne Analyse zeigt, dass 3,4 % der Verifizierungsversuche im Jahr 2025 ein KI-generiertes Element enthielten -- ein manipuliertes Dokument oder ein synthetisches Gesicht. Dieser Anteil hat sich gegenueber 2023 verdreifacht.
Kuenstliche Intelligenz und maschinelles Lernen
Machine-Learning-Modelle arbeiten auf mehreren Ebenen: Dokumententypklassifikation, Manipulationserkennung (Fotoaustausch, Datumsaenderung, typografische Inkonsistenz), Hologramm- und Sicherheitsmerkmalsanalyse sowie Gesamtrisikobewertung. Convolutional Neural Networks (CNNs), trainiert auf Millionen von Dokumentenexemplaren, erkennen subtile Abweichungen wie falsche Schriftarten, fehlende Wasserzeichen und veraenderten Mikrotext.
Regulatorischer Rahmen in Deutschland
Geldwaeschegesetz (GwG)
Das Geldwaeschegesetz (GwG) setzt die EU-Geldwaescherichtlinien in deutsches Recht um. Paragraph 10 Abs. 1 Nr. 1 GwG verpflichtet Verpflichtete zur Identifizierung des Vertragspartners vor Begruendung der Geschaeftsbeziehung. Paragraph 12 GwG regelt die Identifizierung mittels elektronischer Fernidentifizierung und stellt spezifische Anforderungen an die verwendeten Verfahren.
Paragraph 14 GwG erlaubt vereinfachte Sorgfaltspflichten bei geringem Risiko, waehrend Paragraph 15 GwG verstaerkte Sorgfaltspflichten bei erhoehtem Risiko vorschreibt. Diese Risikoabstufung bestimmt, welche Identifizierungsmethode(n) erforderlich sind.
BaFin-Aufsicht
Die Bundesanstalt fuer Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt die Einhaltung der GwG-Pflichten durch Banken, Versicherungen, Zahlungsinstitute und andere Verpflichtete. Das BaFin-Rundschreiben 03/2017 (GW) -- "Videoidentifizierungsverfahren" -- definiert die Mindestanforderungen an VideoIdent-Verfahren.
Die BaFin hat klargestellt, dass folgende Verfahren fuer die GwG-konforme Fernidentifizierung akzeptiert werden: VideoIdent mit Live-Operator, NFC-Chiplesung des Personalausweises oder Reisepasses, die Online-Ausweisfunktion (eID) und qualifizierte elektronische Signaturen.
Im Jahr 2024 verhaengte die BaFin Bussgelder in Hoehe von insgesamt 6,3 Millionen Euro wegen Maengeln bei der Kundenidentifizierung. Bei 34 % der festgestellten Verstaesse waren die Identifizierungsverfahren unzureichend.
BSI und TR-03147
Das BSI hat mit der technischen Richtlinie TR-03147 einen verbindlichen Rahmen fuer die Identitaetspruefung bei Vertrauensdiensten und regulierten Sektoren geschaffen. Die TR-03147 definiert Vertrauensniveaus (normal, substanziell, hoch) und ordnet jedem Niveau spezifische Anforderungen an Dokumentenpruefung, biometrische Verifikation und Lebenderkennung zu.
Fuer das Vertrauensniveau "hoch" verlangt die TR-03147 entweder die Nutzung der eID-Funktion, eine NFC-Chiplesung mit aktiver Lebenderkennung oder ein VideoIdent-Verfahren gemaess BaFin-Anforderungen.
DSGVO und biometrische Daten
Die DSGVO, Artikel 9, klassifiziert biometrische Daten, die zur Identifizierung verarbeitet werden, als besondere Kategorien personenbezogener Daten. Die Konferenz der unabhaengigen Datenschutzbehoerden des Bundes und der Laender (DSK) hat in ihrer Orientierungshilfe Biometrie spezifische Anforderungen an die Verarbeitung biometrischer Daten formuliert. Eine Datenschutz-Folgenabschaetzung (DSFA) ist vor der Einfuehrung eines biometrischen Identifizierungssystems obligatorisch.
Best Practices fuer die Implementierung
1. Mindestens zwei Nachweiskategorien kombinieren. Ein Dokumentenscan allein ist fuer GwG-Zwecke unzureichend. Die Kombination von OCR + Gesichtsbiometrie oder OCR + NFC-Lesung erreicht das Vertrauensniveau substanziell bis hoch.
2. Lebenderkennung bei jeder biometrischen Erfassung verlangen. Ohne Liveness Detection kann ein gedrucktes Foto oder eine Bildschirmwiedergabe die Gesichtserkennung taeuschen. Aktive Erkennung nach ISO 30107-3 fuer Hochrisiko-Prozesse einsetzen.
3. Die eID-Funktion als Identifizierungskanal anbieten. Die Online-Ausweisfunktion des Personalausweises bietet die hoechste kryptografische Sicherheit. Obwohl die Aktivierungsrate bei 48 % liegt, steigt die Nutzung kontinuierlich. Das Angebot dieses Kanals senkt die Kosten pro Verifizierung erheblich.
4. Das Identifizierungsniveau risikobasiert anpassen. Das GwG erlaubt vereinfachte Sorgfaltspflichten bei geringem Risiko (Paragraph 14) und verlangt verstaerkte Massnahmen bei erhoehtem Risiko (Paragraph 15). Differenzierte Prozesse je nach Kundenprofil und Transaktionsart konfigurieren.
5. Biometrische Daten minimiert speichern. Gemaess dem Grundsatz der Datenminimierung (DSGVO Art. 5 Abs. 1 lit. c) keine biometrischen Rohdaten aufbewahren. Nur das Verifizierungsergebnis speichern (bestanden/nicht bestanden, Vertrauensniveau, Zeitstempel). Die GwG-Aufbewahrungsfrist betraegt 5 Jahre nach Beendigung der Geschaeftsbeziehung (Paragraph 8 GwG).
6. Einen Rueckfallprozess vorsehen. Die NFC-Lesung schlaegt fehl, wenn der Nutzer kein kompatibles Smartphone besitzt oder der Chip beschaedigt ist. Stets eine Alternative anbieten (VideoIdent oder Pruefung in der Filiale), um Abbrueche zu vermeiden und Barrierefreiheit zu gewaehrleisten.
7. Betrugs-Indikatoren kontinuierlich ueberwachen. Ablehnungsraten, Falsch-Positiv-Raten und erkannte Betrugsversuche verfolgen. Unsere Plattform generiert Echtzeit-Dashboards ueber den Sicherheitsbereich, die eine schnelle Reaktion auf neue Angriffsmuster ermoeglichen.
Haeufig gestellte Fragen
Was ist der Unterschied zwischen Identitaetspruefung und Authentifizierung
Die Identitaetspruefung stellt beim Erstregistrierung (Onboarding) fest, wer eine Person ist, typischerweise anhand eines amtlichen Ausweisdokuments. Die Authentifizierung bestaetigt die Identitaet eines bereits registrierten Nutzers bei spaeteren Zugriffen, in der Regel ueber Passwoerter, Einmalcodes oder zuvor registrierte Biometrie.
Ist VideoIdent in Deutschland fuer die Kontoeroeffnung vorgeschrieben
VideoIdent ist nicht die einzige Option. Die BaFin akzeptiert mehrere Verfahren fuer die Fernidentifizierung: VideoIdent mit Live-Operator, NFC-Chiplesung des Personalausweises oder Reisepasses, die Online-Ausweisfunktion (eID) und qualifizierte elektronische Signaturen. Die Wahl haengt vom Risikoprofil des Kunden und der Geschaeftsbeziehung ab.
Was kostet eine automatisierte Identitaetspruefung
Die Kosten variieren zwischen 0,40 und 8 EUR pro Pruefung je nach Methode. Ein Standardprozess mit OCR + Gesichtsbiometrie liegt zwischen 1,50 und 2,50 EUR. Mengenrabatte sind ueblich. Pruefen Sie unsere Preise fuer eine auf Ihr Geschaeft zugeschnittene Schaetzung.
Wie lange muessen Verifizierungsdaten aufbewahrt werden
Das GwG, Paragraph 8, schreibt eine Aufbewahrung der Identifizierungsunterlagen von 5 Jahren nach Beendigung der Geschaeftsbeziehung oder der Durchfuehrung der gelegentlichen Transaktion vor. Biometrische Rohdaten muessen nach Abschluss der Verifizierung geloescht werden; nur das Ergebnis wird aufbewahrt.
Wie koennen sich Unternehmen gegen Deepfakes bei der Identifizierung schuetzen
Aktive Lebenderkennung ist die erste Verteidigungslinie, da sie eine Echtzeitinteraktion erfordert, die statische Deepfakes nicht replizieren koennen. Die NFC-Chiplesung bietet den staerksten Schutz, weil kryptografisch signierte Daten nicht gefaelscht werden koennen. Kontinuierliches Monitoring von Betrugsmustern und regelmaessige Aktualisierung der Erkennungsmodelle sind essenziell, da sich die Faehigkeiten generativer KI staendig weiterentwickeln.
Die Identitaetspruefung ist ein kritischer Baustein jedes regulierten Onboarding-Prozesses. Ob Sie KYC-Verfahren fuer Banken implementieren, Finanzierungs- und Leasing-Workflows einrichten oder branchenspezifische Compliance gemaess unserem Branchenverifizierungsleitfaden umsetzen -- die richtige Kombination von Methoden und Technologien bestimmt sowohl Ihre Konversionsrate als auch Ihr Risikoprofil. Erfahren Sie auch, wie eIDAS 2.0 die europaeische digitale Identitaet transformiert. Um zu evaluieren, wie CheckFile.ai sich in Ihren Verifizierungsprozess integrieren laesst, fordern Sie eine Demo oder einen kostenlosen Piloten an.