eIDAS: Neue Chancen für die elektronische Kreditvergabe

Banken und Versicherungen sind wie wohl kaum eine andere Branche von den Umwälzungen der digitalen Transformation betroffen. Um langfristig ihre Stellung zu sichern, müssen sie ihre Geschäftsprozesse komplett, also vom Frontend bis zum Backend, digitalisieren. Getrieben wird dieser Trend zur Digitalisierung vor allem durch gestiegene Kundenanforderungen an schnelle, benutzerfreundliche und vor allem vollständig digital abschließbare Produkte.

Das betrifft im Besonderen auf die Kreditvergabe zu, wie eine aktuelle Umfrage des Bitkom1) herausfand. Demnach werden Verbraucher künftig vermehrt im Internet Kredite aufnehmen. Ein Viertel der Internetnutzer (25 Prozent) kann sich vorstellen, online einen Kredit aufzunehmen. Sieben Prozent haben das schon getan. Dabei müssen Banken einen mobilen Zugang zu den neuen Dienstleistungen anbieten. Der Trend geht laut Umfrage weg vom Desktop-PC und hin zu mobilen Geräten.

Nur ein Viertel der Prozessschritte erfolgt digital

Auf diese Trends haben Banken noch keine ausreichende Antwort gefunden. So besitzt die Kreditvergabe in puncto Digitalisierung noch viel Potenzial. Nur ein Viertel der Prozessschritte erfolgt derzeit digital 2) . Der Rest besteht weiterhin aus manuellen, papiergebundenen Workflows.

Entsprechend dauert die Bearbeitung beispielsweise von Ratenkrediten in 55 Prozent der Fälle zwischen 30 und 60 Minuten, bei 26 Prozent der Vorgänge sind es sogar bis zu fünf Stunden Bearbeitungszeit. Im Gegensatz dazu liegt die technisch mögliche Bearbeitungsdauer für voll digitalisierte Kreditentscheidungen bei gerade einmal 35 Sekunden.3)

Stark segmentierte Signaturlandschaft in Europa

Eine der größten Hürden, wenn es darum geht, papiergebundene Arbeitsschritte der Kreditvergabe in digitale Prozesse zu überführen, sind gesetzlich vorgeschriebene Unterschriften. Die elektronische Signatur bietet hierbei eine echte Alternative zur händischen Unterschrift.

Die bestehende EU-Signaturrichtlinie (1999/93/EG) hat nicht zu einer EU-weiten Nutzung elektronischer Signaturen geführt. So führte ihre abweichende Umsetzung in den einzelnen Mitgliedstaaten zu unterschiedlichen nationalen Qualitäts- und Sicherheitsniveaus und dadurch zu einer stark segmentierten Signaturlandschaft.4)

Zudem verhinderte der hohe organisatorische und technische Aufwand für den Einsatz elektronischer Signaturen eine breite Anwendung. Auch in puncto einfache Handhabung gab es Verbesserungsbedarf. Das betraf vor allem die ausschließliche Erzeugung der elektronischen Unterschrift mit Signaturkarte und entsprechendem Lesegerät.

Die EU-Kommission hat bereits 2010 diese Hemmnisse erkannt und in ihrer Digitalen Agenda für Europa neue Rechtsvorschriften für die elektronische Signatur gefordert (Schlüsselaktion 3).5)

Rechtliche Ergänzungen

Die eIDAS-Verordnung greift diese Forderung auf und legt einen einheitlichen, europaweit gültigen rechtlichen und organisatorischen Rahmen für einen vertrauenswürdigen elektronischen Geschäftsverkehr fest. Damit sollen sichere und nahtlose digitale Transaktionen zwischen Unternehmen, Bürgern und Behörden ermöglicht werden.

Im Bereich der elektronischen Identifizierung setzt die Verordnung auf eine gegenseitige Anerkennung der verschiedenen nationalen elektronischen Identifikationssysteme (eID-System). Mit diesen eID-Systemen können sich Anwender europaweit elektronisch ausweisen.

Der zweite große Regelungsbereich sind die sogenannten Vertrauensdienste. Darunter fasst die Verordnung elektronische Signaturen, elektronische Siegel, elektronische Zeitstempel, elektronische Zustell- und Bewahrungsdienste sowie die Website-Authentifizierung.

Im Fall der elektronischen Signatur präzisiert und erweitert eIDAS die bestehende EU-Signaturrichtlinie. Sie billigt ausdrücklich der qualifizierten elektronischen Signatur 6) (QES) die gleiche Rechtswirkung zu wie eine per Hand geleistete Unterschrift. Wichtig für den europaweiten Einsatz: Eine qualifizierte elektronische Signatur, die eIDAS-konform in einem EU-Staat ausgestellt wurde, wird in allen anderen EU-Mitgliedstaaten anerkannt.

Signatur via Zwei-Faktor-Authentifizierung

Die bisherige EU-Signaturrichtlinie ist aufgehoben und wurde durch die eIDAS-Verordnung ersetzt. Neben den rechtlichen Ergänzungen schafft eIDAS auch die Grundlage für neue, vereinfachte elektronische Verfahren und Werkzeuge.

Seit Juli 2016 erleichtert die EU-Verordnung damit den Einsatz elektronischer Signaturen. Der Anwender kann ab sofort die Signatur aus der Ferne auslösen, zum Beispiel auch über mobile Endgeräte wie Smartphones oder Tablets. Dabei wird der private Signaturschlüssel auf sicheren Servern eines qualifizierten Vertrauensdiensteanbieters (VDA, bisher: akkreditiertes Trustcenter wie zum Beispiel D-Trust GmbH) gespeichert. Dies erlaubt Anwendern den Verzicht auf eine Signaturkarte und ein Lesegerät.

Die Auslösung der Signatur erfolgt über eine Zwei-Faktor-Authentifizierung. Das können neben der Eingabe von Benutzername und Passwort zum Beispiel biometrische Merkmale oder eine TAN-SMS auf dem Mobiltelefon sein (siehe Abbildung 1).

Das neue elektronische Siegel ist digitaler Firmenstempel und Integritätsschutz für Dokumente in einem. Inhaber des "E-Siegels" sind juristische Personen. Eine Organisation erhält so die Möglichkeit, ihre Geschäftskorrespondenz wie Bescheide, Kontoauszüge, Rechnungen und vieles mehr im Namen der Organisation zu unterschreiben. Damit ist der Ursprung beziehungsweise der Absender des Dokuments eindeutig identifizierbar.

Gleichzeitig stellen elektronische Siegel sicher, dass die Daten des Dokuments hundertprozentig dem Original entsprechen, also nicht im Nachhinein verändert wurden. Dieser Integritätsschutz ist für die Archivierung digitaler Unterlagen interessant. Das Aufbringen des elektronischen Siegels erfolgt entweder über eine Siegelkarte und ein dazugehöriges Lesegerät oder - analog zur digitalen Unterschrift via Fernsignatur - über den Siegelserver eines Vertrauensdiensteanbieters.

Vorteile in allen Wertschöpfungsprozessen

Die Mehrwerte und Nutzeneffekte der eIDAS-Verordnung ziehen sich durch alle Branchen und Wertschöpfungsprozesse. Die wichtigsten Vorteile sind:

- schnellere Prozessdurchlaufzeiten sowie Geschäftsabschlüsse in Echtzeit,

- schnellere Reaktionen auf Kundenanfragen, was die Kundenzufriedenheit erhöht,

- Kosteneinsparungen, indem Ausgaben für den Transport (Papier, Briefumschläge, Porto) und die Archivierung (Ordner, Regale, Räumlichkeiten) wegfallen,

- gestärkte Nachweisfähigkeit und Beweissicherheit elektronischer Transaktionen durch einheitliche Standards und

- Wettbewerbsvorteile für europäische Unternehmen durch neue Produkte, Dienstleistungen und Geschäftsmodelle.

Wie sich die eIDAS-Verordnung auf die unterschiedlichsten Prozessschritte einer Kreditvergabe positiv auswirkt, zeigt die Abbildung 2.

Über europäische Website-Authentifizierungsdienste hat der Kunde die Sicherheit, dass hinter der Webseite eine echte und vertrauenswürdige Institution steht. Über eine eID-Lösung weist sich der Kunde gegenüber der Bank aus. Nachdem er seine Kreditwünsche geäußert hat, erstellt der Finanzierungspartner ein Antragsformular, das der Kunde mit seiner elektronischen Signatur unterschreibt. Mit einem elektronischen Zeitstempel wird Datum und Uhrzeit des eingegangenen Antragformulars bestimmt.

Die Bank erstellt daraufhin eine Bestätigung und versieht diese mit einem elektronischen Siegel. So hat der Kunde die Sicherheit, dass der Absender auch wirklich der Finanzierungspartner ist und dass das Dokument auf seinem digitalen Weg nicht mehr verändert wurde.

Über einen elektronischen Einschreibdienst wird die Bestätigung dem Kunden zugestellt. Der Dienst stellt sicher, dass die Daten durch einen identifizierten Absender gesendet, durch einen ebenfalls eindeutig identifizierten Empfänger empfangen wurden und dass Versand und Empfang zum korrekten Zeitpunkt stattfanden. Letztlich sorgen elektronische Bewahrungsdienste für eine rechtsverbindliche elektronische Langzeitspeicherung.

Die Bundesdruckerei hat mit "sign-me" eine Online-Plattform für die rechtssichere elektronische Unterschrift entwickelt. Diese zeigt exemplarisch, welche Vorteile die eIDAS-Verordnung bei einer konsequenten Umsetzung bietet.

eIDAS in der Praxis: Die Online-Plattform sign-me

Die Lösung deckt den kompletten Prozess des elektronischen Unterschreibens ab. Weder ist die Installation spezieller Signatursoftware noch die Einbeziehung von Signaturexperten erforderlich. Das Internetportal unterstützt die unterschiedlichen Signaturverfahren - von der konventionellen Signaturkarte über den Personalausweis oder elektronischen Aufenthaltstitel bis hin zur neuen Fern signatur ganz ohne Signaturkarte. (siehe Abbildung 3).

Das zu unterschreibende Dokument wird in einem ersten Schritt von der Bank auf die sign-me-Plattform hochgeladen. Der Zugriff auf die Unterschriftfunktion für das Dokument erfolgt über einen individuell generierten, vertraulichen Weblink, den der Geschäftspartner zugeschickt bekommt, sofern er zuvor eine Identitätsprüfung abgeschlossen hat. Diese Identitätsprüfung kann via Signaturkarte, eID-Funktion des Personalausweises oder ganz einfach mithilfe eines Fernprüfverfahrens wie Videoident erfolgen.

Nach erfolgreicher Prüfung fordert die Lösung für den Nutzer ein persönliches Signaturzertifikat im Trustcenter der Bundesdruckerei an. Das Zertifikat bildet die technische Voraussetzung für eine rechtsgültige digitale Unterschrift und lässt sich in der Plattform für eine Nutzung mit der fernausgelösten Signatur sicher verwahren. Nach geleisteter Unterschrift wird das unterschriebene Dokument an die Bank zurückgegeben.

All diese Prozessschritte erfolgen vollständig elektronisch und damit medienbruchfrei.

Die Online-Plattform besitzt eine frei gestaltbare Web-Schnittstelle, mit der sie sich problemlos in die Online-Angebote jeder Bank einbinden lässt. Zudem kann die Signaturlösung der Bundesdruckerei im "Look and Feel" der Bank gestaltet werden.

Fußnoten

1) Bitkom: Digital Banking, Juni 2016, Freier Download unter: https://www.bitkom.org/Presse/Pressegrafik/2016/Juni/Bitkom-Praesentation-Digital-Banking-06-06-2016-final.pdf

2) Pricewaterhouse Coopers (PwC): Effizienz der Kreditprozesse in deutschen Kreditinstituten, 2015, Freier Download unter: http://www.pwc.de/de/finanzdienstleistungen/ banken/assets/pwc_effizienzderkreditprozesseindeutschen-kreditinstituten_2015.pdf

3) Roland Berger: Plan D - konsequent digital: Wie Finanzdienstleister durch End-to-End Digitalisierung ihre Zukunft sichern, 2016, Freier Download unter: http://www.rolandberger.de/media/pdf/Roland_Berger_End_to-End_Digitalisierung_D_20160301.pdf

4) Siehe dazu Christoph Thiel / Arno Fiedler: "Der grenzenlose Binnenmarkt" in: Zeitschrift "Datenschutz und Datensicherheit" 01/2013, S. 14-19. www.dud.de.

5) Europäische Kommission: Strategie für einen digitalen Binnenmarkt für Europa, COM(2015) 192 final.

6) Die qualifizierte elektronische Signatur (QES) basiert auf einem qualifizierten Zertifikat und einem Signaturschlüsselpaar, das auf einer sicheren Signaturerstellungseinheit (bisher hauptsächlich Signaturkarte) gespeichert ist. In der sicheren Signaturerstellungseinheit wird die QES erzeugt. Das Zertifikat dient der eindeutigen Zuordnung zum Urheber der elektronischen Unterschrift. Des Weiteren lässt sich mit dem Zertifikat die Integrität (Unversehrtheit) des zugesandten Dokuments prüfen.