Digitale Identitäten: der Online-Ausweisfunktion zum Durchbruch verhelfen

Bereits im November 2010 wurde in Deutschland mit dem neuen elektronischen Personalausweis (nPA) eines der fälschungssichersten Ausweisdokumente mit Online-Ausweisfunktion (eID) weltweit eingeführt. Der nPA war seinerzeit wegweisend und ermöglicht die elektronische Identifizierung und Authentisierung. Dennoch nutzen die Menschen in Deutschland ihre staatliche digitale Identität noch immer weniger als in anderen Ländern. Weil die Identifizierung jedoch Grundlage für viele Verwaltungsleistungen ist, ist die fehlende Akzeptanz ein Hemmschuh für die erfolgreiche Umsetzung digitaler Verwaltungsleistungen u. a. im Kontext des Onlinezugangsgesetzes (OZG). Ziel unseres Projekts „Digitale Identitäten” mit dem Bundesministerium des Innern und für Heimat (BMI) im Rahmen des interministeriellen Projektes GovLabDE Digitale Identitäten ist es, die staatliche digitale Identität zu einer gern genutzten und weit verbreiteten Lösung weiterzuentwickeln und damit dazu beizutragen, die Nutzungsraten von Online-Verwaltungsservices zu erhöhen.

Ob Elterngeld, BAföG, Kfz-Zulassung oder auch das Corona-Überbrückungsgeld: Um den Online-Zugang zu Verwaltungsleistungen zu verbessern bzw. zu ermöglichen, werden aktuell hunderte Verwaltungsverfahren unter Hochdruck digitalisiert. Zentraler Bestandteil von Online-Leistungen ist die sichere Identifizierung bzw. Authentisierung. Die Online-Ausweisfunktion des Personalausweises bietet hierfür Potenziale, die noch nicht ausreichend stark gehoben werden.

Grundsätzlich ist die Verbreitung des elektronischen Personalausweises und damit die potenzielle Nutzerbasis hoch: in 2020 besaßen 62 Millionen Deutsche einen Personalausweis mit Chip und damit die eID¹. Seit 2017 ist für die Verwendung kein Kartenlesegerät mehr nötig, es geht direkt übers Smartphone. Hinzu kommen Mitbürger:innen mit elektronischen Aufenthaltstiteln und EU-Bürger:innen mit eID-Karte, die ebenfalls die Online-Ausweisfunktion als sicheren elektronischen Identitätsnachweis verwenden können.

Dennoch bewegt sich die tatsächliche Nutzung der eID auf niedrigem Niveau. Eine aktuelle Studie des Wirtschaftsprüfungsunternehmens PricewaterhouseCoopers (PwC)² zeigt, dass die Online-Ausweisfunktion des Personalausweises den meisten Deutschen zwar bekannt ist (71 Prozent), aber nur sehr wenige Bürger:innen sie tatsächlich nutzen (7 Prozent). Der gerade veröffentlichte eGovernment Monitor 2022 der Initiative D21 kommt zu einem ähnlichen Ergebnis: demnach nutzen nur 10 Prozent der Inhaber:innen des nPA die Möglichkeit der elektronischen Identifikation (Vorjahr 9 Prozent) – auch wenn seit Juli 2022 erstmals ein deutlicherer Anstieg der Nutzungszahlen³ messbar ist.

Die allgemeine Zurückhaltung bei der Nutzung beruht jedoch laut der PwC-Studie nicht auf grundsätzlichen Bedenken gegenüber der Online-Ausweisfunktion: nur 7 Prozent der Befragten würden sich bewusst gegen die Nutzung entscheiden.

Warum also wird die eID so wenig eingesetzt? Welche Hebel müssen in Bewegung gesetzt werden, um die Verwendung der staatlichen digitalen Identität und damit auch die Nutzung digitaler Verwaltungsleistungen erheblich zu steigern? Was sind die Ursachen dafür, dass die eigentlich technologisch fortschrittliche Lösung der der Online-Ausweisfunktion weder auf Seiten der Diensteanbieter (also derjenigen, die eine öffentliche oder privatwirtschaftliche Online-Leistung anbieten) noch bei den Nutzer:innen weit verbreitet ist? Und was ist ein Ausweg aus dieser Henne-Ei-Problematik?

Entsprechend entwickelten wir unsere übergeordnete Leitfrage:

Aus über zehn Jahren seit der Einführung der Online-Ausweisfunktion existierten bereits diverse Studien, Analysen und viele unterschiedliche Hypothesen bei den verantwortlichen Akteuren rund um diese Frage. Bisher lag der Fokus allerdings nicht darauf, Nutzerakzeptanz im Sinne einer konsequenten Produktstrategie über die verschiedenen Zuständigkeiten hinweg sicherzustellen. Daher traten wir an, die vielfältigen Vorarbeiten in einer Design-orientierten Synthese zusammen zu führen, Lücken durch ergänzende qualitative und quantitative Forschung zu schließen, die identifizierten Hürden und Anwendungsfälle klar zu beschreiben und aus Nutzersicht zu priorisieren. Erst danach folgte die iterative Entwicklung erster Lösungskonzepte und, im nächsten Schritt, deren Konkretisierung.

Phase 1: „Ermitteln“
Zunächst wurde eine umfangreiche Recherche zu Haltung, Wahrnehmung und Gewohnheiten der Bürger:innen rund ums elektronische Identifizieren durchgeführt. Der zweite große Block betraf die eID-Funktion des Personalausweises, die anhand konkreter Anwendungsszenarien erforscht wurde. Hierzu wurde zunächst ein Studiendesign entwickelt und Nutzergruppen für den Research-Prozess anhand der Nutzertypen des eGovernment Monitor priorisiert und rekrutiert. Mit Hilfe von Desk Research und qualitativen Interviews wurden Hürden („Was hält Nutzer:innen ab?“), aber auch Motivationsfaktoren identifiziert.

Phase 2: „Erproben“
Auf Basis der Research-Ergebnisse wurden in der zweiten Projektphase für die identifizierten Optimierungspotentiale erste Lösungskonzepte iterativ entwickelt und die Resonanz von Nutzer:innen auf diese Konzepte getestet. Bereits bestehende Lösungen wie beispielsweise die AusweisApp2 (AA2), das Nutzerkonto Bund (NKB) und die sich im Entwicklungsprozess befindende Smart eID wurden in die Konzepte & Tests mit einbezogen. Ebenso wurden Erfahrungen aus anderen Projekten wie beispielsweise der ID Wallet berücksichtigt

Phase 3: „Proof-of-Concept“
Mit den gewonnenen Erkenntnissen aus Phase 2 wurden die Konzepte konkretisiert. Ihre Machbarkeit und Wirkung wurden mittels Resonanz- und Usability-Tests geprüft und die Rahmenbedingungen für die Umsetzung mit Arbeitsgruppen und relevanten Stakeholdern aus Verwaltung, Sicherheits-Community und Zivilgesellschaft geklärt.

Die aus den qualitativen Interviews mit Nutzer:innen, Expert:innen und Mitarbeitenden in Verwaltung und Bürgerbüros entstandene Nutzerreise zeigt, dass die Akzeptanzprobleme der eID schon beim Erhalt des Personalausweises einsetzen.

• Die Erfahrung auf dem Amt bei Beantragung eines neuen Personalausweises trägt nicht zu dessen Nutzung im digitalen Raum bei. Teilweise wird Bürger:innen sogar aktiv abgeraten, die Online-Ausweisfunktion zu nutzen.
• Der PIN-Brief zur Aktivierung der Online-Ausweisfunktion verwirrt die Nutzer:innen. Sie können seine Relevanz nicht einschätzen.
• Es vergeht zu viel Zeit (Monate bis Jahre) zwischen Erhalt des Personalausweises mit Online-Ausweisfunktion und der ersten Nutzung: die eID gerät in Vergessenheit.
• Es gibt zu wenig konkrete Anwendungsfälle, die zur Nutzung motivieren.
• Die initiale Nutzung der eID ist komplex, es fehlt an Übung und Erklärung.
• Es ist unklar, wie genau die eID genutzt wird.

Einige der aufgedeckten Probleme konnten kurzfristig im laufenden Projekt adressiert werden. So haben wir beispielsweise den PIN-Brief bereits neu designt, um digitale Komponenten ergänzt und so adressatenfreundlicher und verständlicher gestaltet. Doch um nachhaltige Veränderungen zu erzielen und zu einer tatsächlich verbreiteten Nutzung der staatlichen digitalen Identität beizutragen, muss das Nutzungserlebnis ganzheitlich betrachtet werden. Und da fällt auf, dass dabei derzeit die Bedarfe der Nutzer:innen noch nicht ausreichend stark in das Zentrum der Lösungen gestellt werden.

Eine weitere Herausforderung: Es wird kein einheitliches und wiedererkennbares Nutzungserlebnis gewährleistet. Seit der Einführung der Online-Ausweisfunktion in 2010 sind rund um die eID eine ganze Reihe von Komponenten und Lösungen für die Nutzung der Funktion entstanden, deren Einbindung in die verschiedenen Online-Services stark variiert. So wird der Ablauf, wie sich mit dem Ausweis zu identifizieren ist, mitunter sehr unterschiedlich erklärt, und ein einheitliches Nutzungserlebnis bleibt aus. Hinzu kommen teils komplizierte Abläufe und variierende Hardware-Anforderungen.

All die oben genannten Gründe führen in der Folge zu hohen Abbruchraten im Identifizierungsprozess mit der eID – die Zahlen schwanken zwischen knapp 50 bis zu 80 Prozent. Über die konkrete Höhe liegen jedoch keine vollumfänglichen Erkenntnisse vor. Darüber hinaus werden aus Sicht der Verwaltung die Integrationsoptionen der bisherigen Lösungen marktüblichen Maßstäben nicht gerecht.

Vor dem Hintergrund der vorliegenden Problemstellung kristallisierte sich folglich auch als Ziel des Projekts heraus, die staatlichen Identifizierungsangebote in eine konsistente Strategie zu überführen, zu konsolidieren und für die Bürger:innen und Diensteanbieter nachvollziehbar und nutzbar zu machen. Denn es wurde deutlich, dass es ohne grundlegende Verbesserung der User Experience (UX) – also des Nutzererlebnisses – von der Beantragung bis zu den Anwendungsfällen unwahrscheinlich sein würde, dass die Verbreitung der Nutzung der eID signifikant steigt.

Aufbauend auf den Ergebnissen des Research entwickelten wir im Rahmen der Neuausrichtung des Gesamtprojekts Digitale Identitäten gemeinsam mit dem BMI im Rahmen des GovLab DE Digitale Identitäten eine klare Produktvision, an deren Erreichung wir später unsere Lösung messen werden:

Unser derzeitiger Lösungsansatz ist ein Identifizierungsservice bestehend aus drei Komponenten, die sowohl die Seite der Nutzenden, als auch die Bedarfe der Diensteanbieter adressieren.

1. Eine nutzerzentriert entwickelte, intuitiv handhabbare App sowie das zugehörige Backend, die die Nutzer:innen an die Hand nimmt und durch den Identifikationsprozess leitet: von der Erstaktivierung bis zur tatsächlichen Nutzung im Rahmen eines Anwendungsfalls. Hierzu benötigen sie für jeden Identifizierungsvorgang zusätzlich ihren Personalausweis oder auch ihren elektronischen Aufenthaltstitel oder ihre EU ID-Karte.

2. Integrationskomponenten – konkret: ein Web-Widget für Desktop und mobile Anwendungen – für die Diensteanbieter, die eine aufwandsarme, einheitliche und für die Nutzenden wiedererkennbare und intuitiv nutzbare Einbettung der eID in vielfältige Anwendungen ermöglichen. Informationen zum Integrations-Flow gibt es auf GitHub.

3. Eine Webseite, auf der die technischen Informationen (API, Dokumentationen) öffentlich zugänglich und verwertbar sind. Diensteanbietern soll es so einfach wie möglich gemacht werden, die Lösung zu integrieren und ihr Angebot um die sichere Identifizierung bzw. Authentifizierung mit der staatlichen, digitalen Identität zu erweitern.

Aus den ersten Nutzungen heraus werden mögliche weitere Wege der Entwicklung identifiziert, um der Produktvision schrittweise messbar näher zu kommen. Aktuell sind zwei Richtungen denkbar:

• Erweiterung um weitere Nachweise und/oder Attribute (z. B. Signatur)
• Erweiterung um Funktionalitäten (z. B. Konto, Kommunikationsmodul)

Die Umsetzung hängt von der im weiteren Prozess identifizierten tatsächlichen Nachfrage in konkreten Anwendungsfällen ab.

Grundsätzlich stehen wir bei der Produktentwicklung im Kontext der eID vor der Herausforderung, dass der Go-live/Launch nicht allein in unseren Händen liegt. Identifizierung braucht immer einen kontextuellen Bezug und stellt einen Prozessschritt dar, um einen anderen Dienst erfolgreich zu nutzen. Um möglichst rasch Erfahrung im Live-Betrieb und Nutzer-Feedback aus einer echten Anwendungssituation zu erhalten, haben wir eine Beta-Version unseres eID Clients in eine erste reale Anwendung integriert: in den ebenfalls von uns als DigitalService entwickelten Online-Dienst „Grundsteuererklärung für Privateigentum“. Das hilft uns, unser Produkt in Zukunft noch einfacher und intuitiver für unsere Nutzer:innen zu gestalten. Denn: gute Produktentwicklung braucht die Konfrontation mit der Realität.

Die App „BundesIdent“ kann im App Store (iOS) oder im Google Play Store (Android) heruntergeladen werden. Darüber hinaus steht sie plattformunabhängig als APK auf GitHub zum Download zur Verfügung. Auch der Code wurde in unserem GitHub Repository veröffentlicht.

Sicherheit, Vertrauenswürdigkeit und Datenschutz spielen eine herausragende Rolle bei Identifikationsprozessen im Zusammenhang mit Online Services. Die Vertrauensniveaus von Online Services sind in der europäischen Verordnung „über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ (kurz: eIDAS-Verordnung) definiert.

Unsere Lösung ist so ausgelegt, dass sie das höchste Vertrauensniveau („hoch“) beim Identitätsnachweis – hierzulande spricht man mitunter auch von „Schutzniveau“ oder „Sicherheitsniveau“ – erfüllt. Für das Auslesen des Personalausweises werden zertifizierte Open Source-Bestandskomponenten genutzt.

Es werden keinerlei Daten auf dem Smartphone gespeichert. Stattdessen werden sie vom eID-Server abgerufen und weitergeleitet. Der eID-Server wird von D-Trust, einem Unternehmen der Bundesdruckerei-Gruppe, betrieben und ist eine zentrale Komponente aller eID-Integrationen. Die App fungiert quasi als Kartenlesegerät.

Den Umgang mit Daten und deren Schutz stimmen wir eng mit externen Datenschützern ab und stehen darüber hinaus im Austausch mit dem BfDI.

Im Laufe der bisherigen Projektarbeit hat sich ein großes Bedürfnis nach Bündelung und Vereinfachung des Zugangs zu digitaler Identität offenbart. Zudem hat die Pandemie die Offenheit und Gewohnheit, mehr online zu erledigen, beflügelt. Die Zeit ist also mehr als reif für eine funktionierende, nutzerfreundliche staatliche Identitätslösung.

Uns ist daher wichtig, dass wir am Ende ein häufig und gern genutztes Produkt entwickeln, das einen echten Mehrwert für die Bürger:innen und die Verwaltung schafft. Das die sichere Identifikation im digitalen Raum ermöglicht und nicht mehr nur von „pragmatischen Profis“ genutzt wird. Sondern eine Lösung, die durch vereinfachten Einstieg, vermehrte Anwendungsfälle, eine durchgängig gute User Experience und gezielte Kommunikation die große Gruppe derjenigen erreicht, die bislang von einer Nutzung abgesehen haben.

Ob uns das gelingt, werden wir genau beobachten: über die Zahl der Dienste, die unsere Lösung einbinden, die Häufigkeit der Downloads der App und nicht zuletzt die Abbruchraten innerhalb der Identifizierungsprozesse.