Close

Ihre Daten nach dem Onboarding: Was wirklich mit ihnen passiert

Was passiert mit personenbezogenen Daten nach dem digitalen Onboarding? Dieser Artikel erklärt typische Fehler, geltende Mindestanforderungen, die Zukunft mit der EUDI Wallet und wie qualifizierte Vertrauensdienstleister für Datenschutz und Rechtsgültigkeit sorgen.
Lesezeit: 4 Minuten
Inhaltsindex

Kurz erklärt

Digitales Onboarding bedeutet: Eine Person weist ihre Identität online nach — per Ausweisscan, Video-Ident oder eID — und gibt dabei sensible personenbezogene Daten preis. Was danach mit diesen Daten passiert, ist für viele Nutzerinnen und Nutzer eine Black Box. Dieser Artikel erklärt, welche Daten typischerweise erhoben werden, welche Anforderungen heute gelten, welche Fehler Unternehmen häufig machen — und warum die Wahl des richtigen technischen Partners dabei eine unterschätzte Rolle spielt.

Stellen Sie sich vor: Sie haben gerade ein Konto eröffnet.

Der Prozess lief reibungslos. Ausweis fotografiert, kurzes Video, Häkchen gesetzt — fertig. Doch was passiert in dem Moment, in dem Sie auf „Bestätigen” klicken? Wo landen Ihr Ausweisbild, Ihre biometrischen Merkmale, Ihre Adressdaten? Wie lange werden sie gespeichert? Und wer hat eigentlich Zugriff?

Diese Fragen klingen nach Datenschutz-Grundsatzdiskussion. In Wahrheit sind sie hochgradig operativ — und für Unternehmen, die digitales Onboarding einsetzen, zugleich eine der größten Haftungsquellen der nächsten Jahre.

Was im Onboarding-Prozess tatsächlich anfällt

Beim digitalen Onboarding entstehen — je nach Verfahren — verschiedene Datenkategorien gleichzeitig: Identitätsdaten aus dem Ausweisdokument (Name, Geburtsdatum, Adresse, Ausweisnummer), biometrische Daten wie Lichtbilder oder Liveness-Checks, Verbindungs- und Gerätedaten sowie Prozessdaten, die den Ablauf der Identifikation dokumentieren.

Diese Kombination ist aus Datenschutzsicht besonders heikel. Biometrische Daten gelten nach der DSGVO als besondere Kategorie personenbezogener Daten — sie dürfen nur unter engen Voraussetzungen verarbeitet werden. Gleichzeitig sind sie für die Betrugserkennung unverzichtbar. Das Spannungsfeld zwischen Datensparsamkeit und Sicherheitsanforderungen ist real, und es lässt sich nicht durch guten Willen allein auflösen — sondern nur durch kluge technische und organisatorische Maßnahmen.

Typische Fehler, die Unternehmen teuer zu stehen kommen

Der häufigste Fehler liegt nicht im Onboarding-Prozess selbst, sondern in dem, was danach kommt — oder vielmehr: was danach nicht kommt.

Viele Unternehmen definieren keine klaren Aufbewahrungsfristen. Daten werden gesammelt, weil sie irgendwann nützlich sein könnten — und dann schlicht nicht gelöscht. Was juristisch als Verstoß gegen das Prinzip der Speicherbegrenzung gilt, ist in der Praxis häufig schlicht Vergesslichkeit in wachsenden IT-Landschaften.

Ein zweites Problem ist die unklare Auftragsverarbeitung. Wer ein externes Ident-Verfahren nutzt, gibt Daten an Drittanbieter weiter. Ob dabei gültige Auftragsverarbeitungsverträge bestehen, ob diese den aktuellen Anforderungen entsprechen und ob der Anbieter tatsächlich die nötige Zertifizierung mitbringt — das wird oft erst im Ernstfall geprüft. Dann ist es zu spät.

Dazu kommt ein strukturelles Problem: Viele Unternehmen behandeln Onboarding-Daten wie normale Kundendaten. Sie landen im CRM, werden ohne weitere Schutzmechanismen gespeichert und sind für deutlich mehr Mitarbeitende zugänglich, als es der Grundsatz der Datenzugangsbeschränkung erlaubt.

Was im Ernstfall wirklich zählt

Im Fall einer Datenschutzverletzung — oder einer Prüfung durch die Aufsichtsbehörde — kommt es auf drei Dinge an: Nachweis, Nachvollziehbarkeit und Reaktionsfähigkeit.

Nachweis bedeutet: Können Sie dokumentieren, auf welcher Rechtsgrundlage Sie welche Daten zu welchem Zeitpunkt verarbeitet haben? Ein revisionssicheres Protokoll des Onboarding-Vorgangs ist dabei keine Kür, sondern Pflicht. Qualifizierte Vertrauensdienstleister stellen solche Dokumentationen als Teil ihrer Kernleistung bereit.

Nachvollziehbarkeit bedeutet: Können Sie im Zweifel zeigen, dass die durchgeführte Identifikation tatsächlich den regulatorischen Mindestanforderungen entsprochen hat — etwa den Anforderungen aus der eIDAS-Verordnung oder den FATF-Empfehlungen zur Geldwäscheprävention?

Reaktionsfähigkeit bedeutet: Haben Sie einen definierten Prozess für den Fall einer Datenpanne? Die 72-Stunden-Meldepflicht nach DSGVO ist kein theoretisches Konstrukt — sie ist ein operativer Test Ihrer internen Abläufe.

Mindestanforderungen, die heute gelten

Die regulatorischen Anforderungen an digitales Onboarding sind in den letzten Jahren deutlich gestiegen. Folgende Aspekte sind heute keine optionalen Best Practices mehr, sondern Grundvoraussetzungen:

Die verwendeten Identifikationsverfahren müssen für den jeweiligen Anwendungsfall zugelassen sein. Für regulierte Bereiche wie Finanzdienstleistungen, Telekommunikation oder das Gesundheitswesen gelten spezifische Anforderungen — etwa an das Vertrauensniveau des Verfahrens (substanziell oder hoch im Sinne von eIDAS) oder an die Gleichwertigkeit mit der physischen Identifikation nach dem Geldwäschegesetz.

Datenschutz muss bereits bei der Systemgestaltung berücksichtigt werden, nicht erst im Nachhinein — Privacy by Design ist gesetzliche Anforderung. Das betrifft unter anderem die Minimierung erhobener Daten, die Pseudonymisierung wo möglich und die klare Definition von Rollen und Zugriffsrechten.

Auftragsverarbeitungsverträge mit Ident-Dienstleistern müssen aktuell, vollständig und auf die konkrete Verarbeitungssituation zugeschnitten sein. Musterverträge von der Stange erfüllen diese Anforderung oft nicht.

Die EUDI Wallet: Ein neues Kapitel für Datenkontrolle

Mit der Einführung der EUDI Wallet — der europäischen digitalen Brieftasche, die auf Basis der überarbeiteten eIDAS-2-Verordnung in allen EU-Mitgliedstaaten verpflichtend bereitgestellt werden muss — verändert sich die Grundlogik des digitalen Onboardings grundlegend.

Bisher liegt die Kontrolle über Identitätsdaten überwiegend bei den Unternehmen, die den Onboarding-Prozess durchführen: Sie erheben, speichern und verwalten. Die EUDI Wallet dreht dieses Verhältnis um. Künftig verwahren Nutzerinnen und Nutzer ihre verifizierten Identitätsnachweise selbst — in einer staatlich anerkannten, dezentralen Wallet auf ihrem Gerät. Beim Onboarding geben sie dann gezielt nur die Attribute weiter, die für den jeweiligen Zweck tatsächlich benötigt werden. Nicht mehr, nicht weniger. Das nennt sich Selective Disclosure.

Das hat weitreichende praktische Konsequenzen. Ein Unternehmen, das künftig per EUDI Wallet identifiziert, erhält keine Rohdaten mehr aus einem Ausweisscan — sondern einen kryptografisch bestätigten Nachweis, dass eine bestimmte Eigenschaft zutrifft: Volljährigkeit, Wohnsitz, Berufsqualifikation. Die Nachweise sind durch qualifizierte Vertrauensdienstleister signiert und damit rechtsgültig im Sinne von eIDAS 2. Das Unternehmen speichert das Ergebnis, nicht den Weg dorthin.

Für die Datenschutz-Architektur bedeutet das eine strukturelle Entlastung: Viele der Risiken, die heute aus der Speicherung biometrischer Daten entstehen, entfallen, wenn diese Daten gar nicht erst beim Unternehmen ankommen. Gleichzeitig entstehen neue Anforderungen: Unternehmen müssen als sogenannte Relying Parties registriert und in der Lage sein, Wallet-Präsentationen technisch korrekt zu verifizieren — was wiederum Infrastruktur und Know-how voraussetzt.

Qualifizierte Vertrauensdienstleister spielen in diesem neuen Ökosystem eine zentrale Rolle — sowohl als Herausgeber vertrauenswürdiger Nachweise (Attestierungen) als auch als technische Brücke zwischen Wallet-Infrastruktur und bestehenden Unternehmenssystemen. Wer heute die richtigen Partnerschaften aufbaut, wird den Übergang deutlich reibungsloser gestalten als Unternehmen, die erst reagieren, wenn die Wallet-Pflicht greift.

Wo qualifizierte Vertrauensdienstleister den Unterschied machen

Unternehmen, die auf qualifizierte Vertrauensdienstleister setzen, erhalten mehr als ein Ident-Verfahren. Sie erhalten eine zertifizierte Infrastruktur, die unter kontinuierlicher Aufsicht steht — in Europa durch die zuständigen nationalen Behörden im Rahmen der eIDAS-Verordnung. Das bedeutet: Die technischen und organisatorischen Maßnahmen zum Datenschutz werden nicht selbst deklariert, sondern regelmäßig extern geprüft.

Das hat praktische Konsequenzen. Wenn ein qualifizierter Vertrauensdienstleister die Identifikation durchführt und dokumentiert, können Sie diese Dokumentation im Zweifelsfall vorlegen — gegenüber Aufsichtsbehörden, im Streitfall vor Gericht, gegenüber Prüferinnen und Prüfern. Die Beweislast wird erheblich erleichtert.

Darüber hinaus können gut aufgestellte Dienstleister die Daten nach der Identifikation so strukturieren, dass Ihre eigenen Systeme nur das erhalten, was sie tatsächlich benötigen. Das minimiert Risiken in Ihrer eigenen Infrastruktur — und hilft Ihnen, das Prinzip der Datensparsamkeit in der Praxis umzusetzen, ohne auf Sicherheit zu verzichten.

Fazit: Onboarding endet nicht mit dem Klick

Die Frage „Was passiert mit meinen Daten nach dem Onboarding?” ist keine, die Nutzerinnen und Nutzer stellen sollten — sie ist eine, die Unternehmen sich selbst stellen müssen, bevor sie ein digitales Identifikationsverfahren einführen.

Wer diese Frage nicht beantworten kann, trägt ein rechtliches und reputationsbezogenes Risiko. Wer sie beantworten kann, hat die Grundlage für nachhaltiges digitales Wachstum — und für das Vertrauen, das digitale Beziehungen langfristig trägt.

Stichworte