Verimi seriös einzuordnen heißt, den Dienst als real existierenden, regulierungsnahen Identity-Provider zu prüfen und seine Interessenkonflikte, Datennutzung und Sicherheitsarchitektur getrennt zu bewerten. Werbeversprechen wie „digitale Identität aus Deutschland“ klingen nach Datensouveränität, treffen in der Praxis aber auf ein Gesellschaftermodell mit großen Konzernen, die selbst datengetriebene Geschäftsinteressen haben.
Wichtige Fakten auf einen Blick
- Verimi ist kein Betrug, sondern ein 2017 gegründeter Identity-Provider mit Sitz in Berlin, der nach eigenen Angaben von zwölf Großkonzernen aufgebaut wurde.
- Laut Unternehmensdarstellung hat Verimi über 500 Partnerunternehmen, die Verimi-Login oder Identitätsprüfungen in ihren Portalen integrieren.
- Verimi kann deutlich mehr Daten als klassische Social-Logins speichern, darunter Ausweisdaten, Anschrift, Geburtsdatum, Telefonnummer und optional Zahlungsdaten, was den Schadensumfang bei Kontoübernahme erhöht.
- Die Datenfreigabe erfolgt pro angebundenem Dienst, trotzdem fehlt Nutzern typischerweise eine detaillierte, exportierbare Historie, welche Daten wann an welchen Partner übermittelt wurden.
- Technisch setzt Verimi auf Transportverschlüsselung (TLS) und bietet Zwei-Faktor-Authentifizierung, trotzdem bleibt die Plattform ein zentraler Angriffspunkt für alle verbundenen Konten.
- Ein öffentliches Archiv unabhängiger Penetrationstests oder externer Auditberichte ist im Standardzugriff nicht etabliert, wodurch Sicherheitsbehauptungen schwer nachprüfbar bleiben.
- Wer Datensparsamkeit priorisiert, fährt oft besser mit dienstspezifischen Logins oder staatlichen Identitätslösungen, während Verimi vor allem bei Komfort punkten kann.
Verimi: Was steckt hinter dem Dienst?
Verimi wurde 2017 als privatwirtschaftlicher Identity-Provider gestartet, mit dem erklärten Anspruch, eine europäische Alternative zu US-Login-Ökosystemen wie „Sign in with Google“ oder Facebook Login aufzubauen. Als Gründungspartner werden von Verimi große deutsche Unternehmen genannt, darunter Allianz, Daimler und Deutsche Bank, insgesamt zwölf Gesellschafter nach eigener Darstellung. Quelle: Verimi Unternehmensseite.
Das Produktprinzip ist Single Sign-On: Ein Verimi-Konto dient als zentrales Nutzerkonto für angebundene Partnerportale. In der Praxis kann das bedeuten, dass bei einer Kontoeröffnung, einer Vertragsstrecke oder einer Altersverifikation Daten aus dem Verimi-Profil in das Partnerformular übernommen werden, statt sie neu einzugeben. Verimi beschreibt diesen Einsatz als „digitale Identität“ inklusive Identitätsprüfung. Quelle: Produktbeschreibung bei Verimi.
Im Unterschied zu reinen Login-Providern ist das Datenmodell breiter: Verimi sieht sich als Ablage für Identitätsdaten und Nachweise. In typischen Verimi-Profilen können Ausweisdaten, Adresse und Kontaktangaben hinterlegt werden; je nach Nutzungsszenario kommen Zahlungsinformationen hinzu. Diese Zentralisierung ist der Kern des Geschäftsmodells: Partner sparen Reibung in Prozessen, Verimi wird zur Drehscheibe. Quelle: Datenschutzhinweise von Verimi.
Organisatorisch sitzt Verimi in Berlin und firmiert als GmbH. Den Sitz und die rechtlichen Kontaktdaten lässt sich über das Impressum prüfen. Quelle: Impressum von Verimi.
Als Reichweitenindikator nennt Verimi nach eigenen Angaben „über 500 Partnerunternehmen“. Diese Zahl ist eine Selbstauskunft und keine behördliche Statistik, sie ist aber relevant, weil sie die potenzielle Verbreitung des Verimi-Login beschreibt. Quelle: Partnerangaben bei Verimi.
Für Leserinnen und Leser von Skandal-Online ist an dieser Stelle ein Perspektivwechsel nützlich: Es geht weniger um die Frage, ob ein Dienst „echt“ ist, sondern ob Anreizstrukturen sauber zu den Versprechen passen. Skandal-Online untersucht Gerüchte und Tatsachen oft entlang genau dieser Bruchlinie zwischen Narrativ und Konstruktion.
Regulierung und rechtlicher Rahmen
Die Grundebene ist die DSGVO: Verimi arbeitet unter deutscher Datenschutzaufsicht, weil das Unternehmen in Deutschland ansässig ist und die Verarbeitung im EU-Rechtsraum stattfindet. Der Serverstandort wird in der Außendarstellung als Deutschland beschrieben; prüfbar ist das für Nutzer eher indirekt über Datenschutzhinweise und Vertragsunterlagen. Quelle: Datenschutzhinweise von Verimi.
Wichtig ist die zweite Ebene: Identitätsprüfung ist in Deutschland in vielen Branchen an Regime wie Geldwäschegesetz angebunden. Banken, Versicherer und bestimmte Finanzdienstleister müssen Identitäten nach GwG sicher feststellen; die Aufsicht und Auslegung dafür liegt bei der BaFin für den beaufsichtigten Sektor. Verimi selbst wird in solchen Prozessen als technischer Dienstleister genutzt, die regulatorische Verantwortung bleibt beim verpflichteten Institut, das den Dienst einkauft. Quelle: BaFin Informationsportal.
Zu Zertifizierungen: Verimi verweist nach eigener Darstellung auf Informationssicherheitsstandards wie ISO 27001. Für Leser ist entscheidend, was das bedeutet: ISO 27001 prüft ein Managementsystem für Informationssicherheit, nicht die Fehlerfreiheit einer konkreten App-Version. Ohne veröffentlichte Zertifikatsdetails (Scope, Datum, Zertifizierer) bleibt die Aussage schwer nachprüfbar. Quelle: Verimi Angaben zu Sicherheit und Standards.
Zur eIDAS-Verordnung: eIDAS regelt in der EU unter anderem Vertrauensdienste und elektronische Signaturen. Verimi bewirbt Anwendungsfälle rund um digitale Identität und Signaturprozesse; ob ein konkreter Prozess „qualifiziert“ ist, hängt an Rolle, Zertifizierung und konkreter Implementierung im Partnerprozess. Den rechtlichen Rahmen liefert eIDAS als EU-Verordnung. Quelle: eIDAS-Verordnung (EU) Nr. 910/2014.
Eine praktische Lücke entsteht unabhängig von DSGVO und eIDAS: Es gibt keine allgemeine Pflicht, eine öffentlich durchsuchbare Liste zu veröffentlichen, welche konkreten Datenfelder an welchen Partner übermittelt wurden, wenn Nutzer zustimmen. Anbieter lösen das meist über AGB, Einwilligungstexte und Datenschutzhinweise, die die Kategorien beschreiben, aber nicht jede einzelne Übertragung in einem nutzerseitig exportierbaren Log dokumentieren. Quelle: Verimi Datenschutzhinweise zur Datenweitergabe.
Datenschutz: Was passiert mit den Nutzerdaten?
Der kritische Punkt bei „Verimi Datenschutz“ ist die Datenbreite: Verimi kann Personalausweis-Informationen und Ausweisdokumente verarbeiten, außerdem Wohnadresse, Geburtsdatum und Telefonnummer. Optional kommen je nach Prozess Zahlungsdaten oder Bankverbindungen hinzu, wenn ein Partnerdienst das abfragt und der Nutzer es hinterlegt. Das ist mehr als ein reiner Login-Token, wie ihn viele Social-Login-Provider bereitstellen. Quelle: Verimi Datenschutzhinweise.
Die Weitergabe an Partner ist in der Logik des Dienstes an Nutzerfreigaben pro Service geknüpft: Ein Partner erhält Daten, wenn ein Nutzer im jeweiligen Prozess zustimmt. Das senkt das Risiko „stiller“ Massenweitergaben, erhöht aber die Bedeutung nachvollziehbarer Protokolle, weil Nutzer später prüfen wollen, was tatsächlich geflossen ist. In vielen Identitätsdiensten ist genau dieser Auditpfad aus Nutzersicht dünn: Man sieht Zustimmungen, aber nicht immer feldgenau, zeitgestempelt und exportierbar, welche Daten wann an welchen konkreten Endpunkt gingen. Quelle: Verimi Informationen zu Einwilligungen und Datenempfängern.
Strukturell wird es bei den Gesellschaftern: Wenn Konzerne den Identity-Provider mittragen, entsteht ein nachvollziehbares Interesse an reibungslosen, datenreichen Onboarding-Strecken, weil solche Daten in vielen Geschäftsmodellen die Abschlussquote verbessern. Verimi erklärt, keine Daten für Werbezwecke zu nutzen, trotzdem ist für Außenstehende ohne unabhängige Kontrolle schwer prüfbar, wie strikt Zweckbindung, Zugriffsrechte und interne Auswertungen technisch und organisatorisch umgesetzt werden. Quelle: Verimi Aussagen zur Zweckbindung.
Ein praktischer Prüfpunkt für Nutzer: In den Datenschutzhinweisen und im Konto sollten die Kategorien der Empfänger genannt werden, oft ergänzt um konkrete Partnernamen. Entscheidend ist, ob diese Listen aktuell sind und ob sie die jeweils genutzte Funktion abdecken, etwa Identitätsprüfung, Signatur oder Login. Wer eine seriöse Datenspur will, fordert zusätzlich eine DSGVO-Auskunft an und prüft, ob dort Übermittlungen an Empfänger samt Datum genannt werden. Rechtsgrundlage ist Art. 15 DSGVO. Quelle: DSGVO Volltext (EU) 2016/679.
Der investigative Vergleich passt, weil der Mechanismus ähnlich ist: Außenkommunikation betont Kontrolle, die operativen Details bleiben in Dokumenten verstreut. Intransparenz bei Datennutzung wie im Diesel-Skandal ist keine Behauptung über gleiches Fehlverhalten, sondern ein Hinweis auf das gleiche Muster, dass Nachprüfbarkeit an fehlenden Detailprotokollen scheitert.
Sicherheitsarchitektur und technische Schwachstellen
Aus Nutzersicht setzt Verimi auf gängige Schutzmechanismen, die man von modernen Identity-Providern erwartet. Dazu gehört Zwei-Faktor-Authentifizierung, typischerweise per SMS oder über eine Authenticator-App. Ergänzend wird die Datenübertragung zwischen App, Browser und Backend über aktuelle Transportverschlüsselung abgesichert, häufig genannt wird dabei TLS 1.3. Für den Zugriff auf die mobile App steht zudem oft eine biometrische Login-Option bereit, etwa per Fingerabdruck oder Face-ID, was den Komfort erhöht und das Risiko schwacher Passwörter reduziert.
Technisch entsteht jedoch ein zentrales Risiko durch die Bündelung: Verimi fungiert als Single Point of Failure. Wird ein Verimi-Konto kompromittiert, kann das je nach angebundenem Umfang potenziell den Zugriff auf mehrere verbundene Dienste gleichzeitig ermöglichen. Das unterscheidet sich von dezentralen Logins, bei denen ein Vorfall bei einem Anbieter nicht automatisch die Anmeldung bei anderen Partnern öffnet. Für Nutzer bedeutet das, dass Kontoschutz (starkes Passwort, 2FA, Gerätesicherheit, Wiederherstellungsoptionen) deutlich wichtiger ist als bei einem isolierten Konto.
Ein weiterer Schwachpunkt ist weniger technisch als organisatorisch: Es fehlt an Transparenz nach außen. Öffentlich einsehbare Penetrationstests, Bug-Bounty-Programme oder unabhängige Sicherheitsaudits sind nicht ohne Weiteres verfügbar. Stattdessen wird in der Außendarstellung typischerweise auf interne Prüfungen, Konzernstandards und Zertifikate aus dem Unternehmensumfeld verwiesen. Das kann solide sein, ist für Außenstehende aber schwer zu verifizieren, weil Umfang, Methodik, Findings und Nachbesserungen nicht nachvollziehbar dokumentiert sind.
Verimi Erfahrungen: Nutzerberichte und bekannte Probleme
In Nutzerberichten taucht als häufigste Beschwerde immer wieder das Thema Login-Fehler bei Partnerseiten auf. Typisch sind Abbrüche im Weiterleitungsprozess, nicht erkannte Sitzungen oder Situationen, in denen Verimi zwar die Anmeldung bestätigt, die Partnerseite aber keine gültige Rückmeldung übernimmt. Anwender beschreiben außerdem eine fehlende Synchronisation zwischen Verimi und angeschlossenen Diensten, etwa wenn der Status einer Identitätsprüfung oder die hinterlegten Daten beim Partner nicht korrekt ankommen oder nicht zeitnah aktualisiert werden.
Hinzu kommt regelmäßig Kritik am Support: Die Reaktionszeit wird in Erfahrungsberichten oft mit mehreren Tagen angegeben, besonders dann, wenn es um gesperrte Konten, fehlgeschlagene Verifikationen oder Probleme beim Gerätewechsel geht. Das ist im Kontext einer zentralen Identitätsplattform besonders unangenehm, weil Nutzer im Zweifel nicht nur einen Dienst, sondern mehrere Anmeldungen blockiert sehen.
Positive Rückmeldungen beziehen sich vor allem auf die Bequemlichkeit, etwa bei Behördengängen oder Online-Vertragsabschlüssen. Wenn Ausweisdaten vorausgefüllt werden und wiederholte Eingaben entfallen, sparen Nutzer Zeit, reduzieren Tippfehler und erleben den Prozess als deutlich reibungsloser, besonders bei wiederkehrenden Formularstrecken.
Wichtig zur Einordnung: Es gibt keinen dokumentierten Fall von Datenmissbrauch oder einem Hackerangriff auf Verimi selbst, der öffentlich belegt wäre. Gleichzeitig ist auch keine öffentlich zugängliche Incident-Response-Historie verfügbar, die transparent machen würde, wie Sicherheitsvorfälle klassifiziert, kommuniziert und abgearbeitet werden.
Vergleich: Verimi vs. andere Identity-Provider
Im Vergleich zu Google- oder Facebook-Login liegt der zentrale Unterschied weniger im Prinzip des Single Sign-on, sondern im Datenprofil. Verimi speichert typischerweise deutlich mehr sensible Daten, bis hin zu Identitäts- und Ausweisinformationen, je nach genutzter Funktion. Bei US-Logins stehen meist Konto- und Profildaten im Vordergrund. Gleichzeitig erklärt Verimi laut AGB, kein Tracking für Werbezwecke zu betreiben, was ein relevanter Abgrenzungspunkt gegenüber Plattformlogins ist, die in vielen Ökosystemen mit Werbeprofilen und Tracking-Mechanismen verknüpft sind.
Gegenüber der BundID ist die Differenz vor allem strukturell: Verimi ist privatwirtschaftlich organisiert, die BundID ist staatlich. Beide nutzen eIDAS-Mechanismen beziehungsweise sind in eIDAS-konforme Prozesse eingebettet, doch die BundID unterliegt in der Wahrnehmung oft engeren Datenschutzvorgaben und verfolgt keine Gewinnabsicht. Das verändert Anreizstrukturen, etwa bei Produktdesign, Partnerauswahl und der Frage, wie stark Datennutzung mit Geschäftsmodellen gekoppelt ist.
In der Marktposition bleibt Verimi ein Nischenanbieter. Die Nutzerzahlen liegen deutlich unter denen großer US-Dienste, und die Partnerakzeptanz ist besonders dort sichtbar, wo Gesellschafterinteressen naheliegen, vor allem bei Versicherungen und Banken aus dem Kreis der Anteilseigner. Für Nutzer bedeutet das: Verimi kann in bestimmten Branchen sehr praktisch sein, ersetzt aber nicht die breite universelle Akzeptanz, die man von globalen Logins kennt.
Ist Verimi ein Betrug? Fazit und Einordnung
Nein, Verimi ist kein Betrug. Der Dienst ist als regulär auftretender Identitätsanbieter mit deutscher Rechtsgrundlage einzuordnen, er arbeitet mit nachvollziehbaren Prozessen (Registrierung, Verifikation, Einwilligungen, Löschmöglichkeiten) und besitzt ein erkennbares Geschäftsmodell: Verimi verdient typischerweise an der Bereitstellung von Identitäts- und Verifikationsdiensten für Partner, nicht an klassischer Werbevermarktung. Auch die Einbettung in gängige Compliance-Rahmen (unter anderem DSGVO-Logik, vertragliche Rollen, dokumentierte Zwecke) spricht gegen das Bild eines „Scams“.
Die wesentliche Kritik liegt jedoch nicht bei der formalen Seriosität, sondern bei Transparenz und Governance. Skepsis ist nachvollziehbar, wenn Nutzer nicht auf Anhieb überblicken können, welche Daten in welcher Tiefe an welche Partner fließen, insbesondere wenn mehrere Funktionen kombiniert werden (Login plus Identitätsnachweis). Zusätzlich spielt die Konzernabhängigkeit eine Rolle: Wenn Gesellschafter aus regulierten Branchen zugleich zu den wichtigsten Partnern zählen, entsteht zumindest der Eindruck potenzieller Interessenkonflikte oder eines Ökosystems, in dem Datenflüsse wirtschaftlich attraktiv sind. Verstärkt wird das durch die Wahrnehmung, dass ein unabhängiges, öffentlich leicht zugängliches Audit (zum Beispiel regelmäßige Prüfberichte oder eine transparente Sicherheits- und Incident-Historie) als Vertrauensanker fehlt, selbst wenn intern selbstverständlich Prüfungen stattfinden können.
Praktisch bedeutet das: Wer Komfort und Zeitersparnis höher gewichtet als maximale Datensparsamkeit und den beteiligten Unternehmen grundsätzlich vertraut, kann Verimi als funktionale Lösung nutzen, besonders bei wiederkehrenden Identitätsprüfungen. Für Datenschutz-Puristen, die konsequent Minimierung, Unabhängigkeit und vollständige Nachvollziehbarkeit von Datenweitergaben priorisieren, bleibt Verimi dagegen ein schwieriger Kompromiss.
Häufig gestellte Fragen
Ist Verimi wirklich in Deutschland ansässig und wann wurde das Unternehmen gegründet?
Verimi hat seinen Sitz in Berlin und wurde 2017 gegründet. Das steht in der Unternehmensdarstellung. Die Gründung als privatwirtschaftlicher Identity-Provider zielt auf eine europäische Alternative zu US-Logins.
Welche großen Unternehmen stehen hinter Verimi als Gesellschafter?
Verimi nennt zwölf Gesellschafter, darunter bekannte Konzerne wie Allianz, Daimler und Deutsche Bank. Diese Gesellschafterstruktur erklärt teilweise die starke Marktposition und die Integration in viele Partnerportale. Sie erzeugt gleichzeitig Fragen zur Unabhängigkeit und zu möglichen Interessenkonflikten.
Welche Daten speichert Verimi typischerweise im Nutzerprofil?
In Verimi-Profilen können Ausweisdaten, Adresse, Geburtsdatum, Telefonnummer und optional Zahlungsdaten hinterlegt sein. Das Datenmodell geht damit über klassische Social-Logins hinaus. Dadurch steigt der potenzielle Schaden bei einer Kontoübernahme.
Wie transparent ist Verimi bei der Nachvollziehbarkeit von Datenweitergaben an Partner?
Die Datenfreigabe erfolgt pro angebundenem Dienst, aber Nutzern fehlt meist eine detaillierte, exportierbare Historie. Das erschwert die Nachvollziehbarkeit, welche Daten wann an welchen Partner übermittelt wurden. Das ist ein zentraler Kritikpunkt aus Datenschutzsicht.
Welche Sicherheitsmaßnahmen nennt Verimi und welche Prüfberichte sind öffentlich?
Verimi setzt auf Transportverschlüsselung und bietet Zwei-Faktor-Authentifizierung. Ein öffentliches Archiv unabhängiger Penetrationstests oder regelmäßiger externer Auditberichte ist im Standardzugriff nicht etabliert. Dadurch bleiben manche Sicherheitsbehauptungen für Außenstehende schwer überprüfbar.
Für wen ist die Nutzung von Verimi aus Nutzersicht sinnvoll?
Wer Komfort und Zeitersparnis bei wiederkehrenden Identitätsprüfungen priorisiert, profitiert von Verimi. Nutzer, die maximale Datensparsamkeit und vollständige Transparenz verlangen, sollten hingegen vorsichtiger sein oder dienstspezifische Logins bevorzugen. Die Entscheidung hängt von persönlicher Risikobereitschaft und Vertrauen in die Gesellschafter ab.
Spricht etwas Konkretes gegen die Seriosität von Verimi?
Formale Aspekte wie Compliance innerhalb von DSGVO-Logik sprechen gegen einen Betrug. Die wesentlichen Bedenken betreffen Governance und Transparenz, etwa fehlende öffentlich leicht zugängliche Auditberichte und unklare Historien zu Datenweitergaben. Das macht Verimi eher zu einem vertrauensbedürftigen Dienst als zu einem offensichtlichen Betrug.
Share:
