Customer Onboarding vs. Strong Customer Authentication (SCA): Zwei Bausteine, ein Ziel – aber völlig unterschiedliche Momente in der Customer Journey
Stellen Sie sich vor, digitale Geschäftsbeziehungen wären wie ein gut gesichertes Gebäude: Bevor jemand hinein darf, prüfen Sie, wer da eigentlich kommt. Und jedes Mal, wenn die Person später eine sensible Tür öffnen will, prüfen Sie erneut, ob sie wirklich berechtigt ist – und ob sie es jetzt in diesem Moment ist. Genau hier liegt der Kernunterschied zwischen Customer Onboarding und Strong Customer Authentication (SCA). Beide schützen vor Betrug und schaffen Vertrauen, aber sie greifen an unterschiedlichen Punkten, mit unterschiedlichen Mitteln und regulatorischen Zielen.
Was bedeutet Customer Onboarding – und wozu dient es?
Customer Onboarding beschreibt den Einstiegsprozess, bei dem ein Kunde erstmals eine Geschäftsbeziehung mit einem Anbieter – typischerweise einer Bank, einem Payment Service Provider oder einem digitalen Dienst – aufnimmt. Ziel ist es, die Identität zu prüfen, Risiken einzuschätzen und die Beziehung regulatorisch sauber zu starten. In regulierten Branchen fällt Onboarding praktisch immer mit „Know Your Customer“ (KYC) und AML-Pflichten (Anti-Money-Laundering) zusammen.
Typische Bestandteile sind:
- Identifizierung und Verifizierung (z. B. Ausweisprüfung, Video-Ident, eID, biometrische Checks)
- Risikobewertung (z. B. PEP/Sanktionslisten-Screening, Herkunft der Mittel)
- Vertragsabschluss / Kontoeröffnung
- Einrichtung von Zugangsdaten und ggf. Authentisierungsverfahren
Kurz gesagt: Onboarding beantwortet die Frage „Wer bist du?“ – und „dürfen wir eine Beziehung starten?“. Es schafft die Grundlage für alles, was danach kommt.
Was ist SCA – und warum ist sie Pflicht?
SCA (Strong Customer Authentication / Starke Kundenauthentifizierung) ist eine regulatorische Sicherheitsanforderung aus der PSD2, die den elektronischen Zahlungsverkehr besser gegen Betrug absichern soll. Sie verlangt bei bestimmten Aktionen (z. B. Online-Zahlungen, Login ins Banking, Auslösung sensibler Transaktionen) eine Zwei-Faktor-Authentisierung auf Basis von mindestens zwei unabhängigen Elementen:
- Wissen (z. B. PIN, Passwort)
- Besitz (z. B. Smartphone, Token)
- Inhärenz (z. B. Fingerabdruck, FaceID)
Bei Remote-Zahlungen muss außerdem eine dynamische Verknüpfung mit Betrag und Empfänger erfolgen, damit Angreifer Transaktionsdaten nicht manipulieren können.
SCA beantwortet also die Frage: „Bist du es wirklich – jetzt – und stimmt diese konkrete Transaktion?“
Wichtig: SCA hat nichts mit dem Vertragsstart zu tun. Sie greift während der laufenden Kundenbeziehung immer dann, wenn Risiko- oder PSD-relevante Aktionen stattfinden.
Der entscheidende Unterschied: Zeitpunkt, Zweck und Datenbasis
Damit es ganz klar wird, hier die Unterschiede auf den Punkt gebracht:
Customer Onboarding
- Zeitpunkt: einmalig zu Beginn der Beziehung
- Zweck: Identität feststellen, Compliance sicherstellen, Risiko einstufen
- Basis: Identitäts- und Kundendaten (KYC-Profil)
- Ergebnis: Kundin/ Kunde ist zugelassen und bekommt ein Konto/Zugang
- Regulatorik: AML/KYC, eIDAS-konforme Identifizierung, nationale Aufsichtsanforderungen
SCA
- Zeitpunkt: wiederholt bei sensiblen Aktionen während der Nutzung
- Zweck: Betrug verhindern, Transaktionen absichern
- Basis: Authentisierungsfaktoren + Transaktionsdaten
- Ergebnis: konkrete Aktion wird freigegeben oder blockiert
- Regulatorik: PSD2-RTS zu SCA & Secure Communication; künftig PSR/PSD3-Weiterentwicklung
Einfach gesagt:Onboarding schafft Vertrauen in die Identität. SCA schützt Vertrauen in die Nutzung.
Wie beide Prozesse zusammenspielen – und warum das oft verwechselt wird
In der Praxis verschwimmt der Unterschied, weil moderne digitale Journeys beides nahtlos kombinieren. Beispiel: Eine Bank lässt eine neue Kundin per Video-Ident onboarden, danach wird sofort ein erstes Payment ausgeführt – und dafür ist SCA nötig. Aus Sicht der Kundin wirkt das wie „ein Prozess“, technisch und rechtlich sind es aber zwei getrennte Sicherungsschichten.
Gerade in Wallet-, BNPL-, E-Commerce- und Embedded-Finance-Modellen wird dieser Übergang immer wichtiger:
- Sauberes Onboarding reduziert die Eintrittswahrscheinlichkeit von Identitätsbetrug.
- Konsequente SCA reduziert das Transaktionsrisiko im laufenden Betrieb.
Rolle digitaler Identitäten und Vertrauensdienste
Wenn man die Customer Journey ernsthaft sicher machen will, reicht es nicht, nur einen der beiden Teile gut zu lösen. Die Qualität des Customer Onboardings bestimmt, wie belastbar die Kundenidentität ist, und damit indirekt auch, wie zuverlässig SCA später funktionieren kann.
Hier kommen hochwertige Identitätsprüfungen, qualifizierte Vertrauensdienste und starke elektronische Signaturen ins Spiel:
- Sie erlauben rechtsgültige digitale Vertragsabschlüsse direkt im Onboarding.
- Sie liefern eine verifizierte Identität als vertrauenswürdigen Ankerpunkt.
- Sie machen spätere Authentisierungen konsistenter, weil Identität und Nutzung aus einem Guss gedacht werden.
Viele europäische Anbieter – etwa solche, die digitale Identitäten und Signaturen in regulierten Umfeldern bereitstellen – sehen Onboarding und SCA deshalb als End-to-End-Sicherheitsarchitektur, nicht als isolierte Pflichtübungen.
Fazit: Zwei Begriffe, zwei Aufgaben, ein gemeinsames Versprechen
Customer Onboarding und SCA verfolgen dasselbe große Ziel: Vertrauen in digitale Geschäftsbeziehungen. Aber sie tun es in unterschiedlichen Phasen:
- Onboarding prüft die Person und eröffnet die Beziehung.
- SCA schützt die Handlung innerhalb dieser Beziehung.
Wer beide sauber trennt und gleichzeitig intelligent verbindet, schafft bessere User Experience, weniger Fraud und robuste Compliance – genau das, was moderne digitale Finanz- und Vertrauensökosysteme brauchen.
Wir unterstützen Sie gerne bei Ihren Anwendungsfällen – kontaktieren Sie jetzt unsere Namirial Expertinnen und Experten!
