Seit dem 1. November 2010 ist er da: Der neue Personalausweis. Oberflächlich betrachtet ist er der althergebrachte Personalausweis im neuen Scheckkartenformat. Die Innovation liegt in seinem Inneren: Alle Ausweisdaten sind auf einem Chip gespeichert, der von berechtigten Onlinehändlern auslesbar ist. So können Identitäten zuverlässig geprüft und kreditorische Risiken minimiert werden. Kann auch Ihr Shop von der neuen Technologie profitieren?

Lesen Sie dazu mehr in einem Gastbeitrag von Lars Bey und RA Martin Schirmbacher.

Mehr Vertrauen im Onlinehandel

Gerade noch über die hohen Umsätze zur Weihnachtszeit gefreut, klagen nicht wenige Mint-Blue zu Beginn des neuen Jahres über unbezahlte Rechnungen und Kunden, die es gar nicht zu geben scheint. Grund hierfür ist das latente Risiko der Onlinehändler, Opfer von Identitätsbetrug zu werden.

Für den Betreiber eines Ladengeschäfts spielt diese Gefahr kaum eine Rolle, da er den Kauf in der Regel in seinem Geschäft vor Ort durch Übergabe von Ware und Geld abschließt. Im Falle eines Vertragsabschlusses kann sich der Händler zudem den amtlichen Personalausweis des Kunden zeigen lassen, um zu prüfen, ob er wirklich die Person ist, für die er sich ausgibt.

Risikominimierung im Online-Handel

Im Fernabsatz sind diese Strategien zur Risikominimierung nicht möglich. Die Übergabe der Ware und die Bezahlung erfolgen getrennt voneinander. Auch die Möglichkeiten des Identitätsnachweises setzten bislang nicht die Erfordernisse des Onlinehandels an ein einfaches, sicheres und zugleich sehr schnelles Verfahren um.

Der neue Personalausweis

Geändert hat sich dies mit dem zum 1. November 2010 eingeführten neuen Personalausweis. Er erhöht die Sicherheit deutlich und verstärkt das Vertrauen in den elektronischen Geschäftsverkehr. Fortan ist das Dokument nicht nur ein hoheitliches Ausweispapier, sondern zugleich der Internetausweis des Bürgers.

Elektronischer Identitätsnachweis

Die elektronische Identität können sich legitimierte Onlineshops dann zum Beispiel bei der Registrierung von Kunden oder dem Bezahlvorgang digital vorzeigen lassen – analog zum realen Geschäftsverkehr. Bei dem „elektronischer Identitätsnachweis“ genannten Prozess, werden die auf dem Ausweis gespeicherten personenbezogenen Daten in einem hochsicheren Vorgang ausgelesen.

Für den Onlinehändler wird dabei der hoheitliche Nachweis erbracht, dass die online übermittelten Kundendaten tatsächlich die Daten des Onlineshop-Nutzers sind. Identitätsbetrug wird so wirksam ein Riegel vorgeschoben.

Juristische Betrachtung: Zusätzliche Sicherheit durch Anscheinsbeweis

Online-Händler, die im Internet Bestellungen entgegennehmen, haben bisweilen Probleme nachzuweisen, dass die Person, die als Besteller angegeben ist, auch tatsächlich die Bestellung aufgegeben hat. Wird etwa unter Angabe eines Namens, einer Lieferanschrift und einer E-Mail-Adresse in einem Onlineshop bestellt, hat der Händler keine Chance nachzuweisen, dass es tatsächlich der Namensträger war, der die Bestellung ausgelöst hat.

Problem: Ware verschwindet oft

Nicht selten verschwindet die Ware und der vermeintlichen Besteller versichert, nie auf der Website gewesen zu sein.

Dieser Einwand ist dem Besteller abgeschnitten, wenn eine Authentisierung mit dem neuen Personalausweis erfolgt. Zwar bleibt die Beweislast, dass der Kunde bestellt hat, grundsätzlich bei dem Händler. Doch kann man von einem so genannten Anscheinsbeweis ausgehen. Das bedeutet, dass der Kunde darlegen muss, dass er die Bestellung nicht ausgelöst habe, und sein Ausweis gestohlen worden sei. In diesem Fall spricht aber alles dafür, dass der Kunde mit der PIN nicht sorgfältig umgegangen ist.

Schadensersatzanspruch gegen den Kunden

Wenn es nicht (doch) der angebliche Besteller selbst war, muss seine Personalausweis-PIN grob fahrlässig verwahrt worden sein und so ein Dritter die Möglichkeit bekommen haben, die Bestellung zu tätigen. Der Anspruch des Händlers ist dann auf Ersatz des entstehenden Schadens, bei Verlust der Ware also auf den Warenwert, gerichtet.

Mit der Integration des „elektronischen Identitätsnachweises“ des neuen Personalausweises in seinen Online-Shop, hat der Betreiber daher die Sicherheit, in jedem Fall einen Anspruch auf Zahlung gegen denjenigen zu haben, mit dessen Ausweis die Bestellung vorgenommen wurde.

Die Technische Umsetzung: In drei Schritten zur sicheren Kundenbeziehung

Um von der Technologie des neuen Personalausweises zu profitieren und Kundenbeziehungen im Internet sicherer zu gestalten, ist nicht zwingend eine hohe Investition in Technik und Know-how notwendig. In nur drei Schritten erweitern Sie Ihren Onlineshop schnell und sicher um die „Online-Ausweisfunktion“ des neuen Personalausweises:

  1. Beauftragung eines eID-Service-Providers, der für Sie den Identitätsabgleich (eID-Service) über einen eID-Server steuert. Für Mint-Blue rechnet sich der eID-Service als zuverlässige und sichere Dienstleistung eher, als selbst in den Aufbau und Betrieb eines eigenen eID-Servers zu investieren.
  2. Beantragung eines Berechtigungszertifikats bei der staatlichen Vergabestelle für Berechtigungszertifikate. Diese prüft Ihren Antrag zur Nutzung der eID-Funktion für ihr Geschäftsfeld. Dabei müssen Zweck und Erfordernis der auszulesenden Attribute zweifelsfrei begründet dargelegt werden. Name und Anschrift eines Bürgers sind erforderlich, um das kreditorische Risiko des Betreibers zu senken; die Abfrage des Geburtsdatums hingegen ist bei der Durchführung eines Onlinekaufs sicherlich zu hinterfragen. Mit der erteilten Berechtigung der Vergabestelle stellt ein von Ihnen beauftragter Zertifizierungsdienst ein technisches Berechtigungszertifikat aus, das mit dem eID-Service konnektiert wird.
  3. Technische Integration der eID-Schnittstelle in Ihren Onlineshop. Hierzu stehen unterschiedliche Konnektoren für verschiedene Web-Frameworks zur Verfügung. Über die Schnittstelle werden die von Ihnen abgefragten und vom Kunden freigegebenen elektronischen Identitätsdaten des Personalausweises direkt in Ihrer Webanwendung bereitgestellt.

Anschließend können Sie Ihren Kunden die sichere Registrierung und Anmeldung mit dem neuen Personalausweis anbieten und zugleich Ihre Risiken, Opfer von Identitätsmissbrauch und -diebstahl zu werden, minimieren.

Über die Autoren

Lars Bey

 

RA Dr. Martin Schirmbacher

Martin Schirmbacher ist Fachanwalt für IT-Recht und seit Jahren in der auf Medien und Technologie spezialisierten Rechtsanwaltskanzlei HÄRTING Rechtsanwälte (www.haerting.de) tätig. Er prüft dort unter anderem Online-Geschäftskonzepte seiner Mandanten und zeigt Wege zur rechtssicheren Ausgestaltung der Geschäftsidee.