Nachweis der Staatsbürgerschaft: Wie Didit die Staatsbürgerschaft anhand von Ausweisdokumenten ermittelt (DE)

Die Identitätsprüfung hat in der Vergangenheit eine Frage beantwortet: wer ist diese Person. Ein Name, ein Geburtsdatum, ein amtlicher Lichtbildausweis, eine biometrische Übereinstimmung. Ausreichend, um ein Konto zu eröffnen, AML-Prüfungen durchzuführen und fortzufahren.

Ab 2026 fügen Regulierungsbehörden in verschiedenen Gerichtsbarkeiten eine zweite Frage hinzu: welche Staatsbürgerschaft hat diese Person. Das US-Finanzministerium entwirft eine Executive Order, die Banken verpflichtet, Staatsbürgerschaftsdaten von Kunden zu erfassen. Der EU-eIDAS-2.0-Rahmen macht die Staatsangehörigkeit zu einem Attribut erster Klasse in digitalen Identitätswallets. Wählerregistrierung, Glücksspiellizenzen, grenzüberschreitende Finanzdienstleistungen, staatliche Leistungen und Branchen, die für Einwanderung relevant sind, verschieben die Überprüfung der Staatsangehörigkeit von einem „nice-to-have“ zu einer Pflicht.

Dieser Beitrag erklärt, wie Didit den Nachweis der Staatsbürgerschaft handhabt – welche Dokumente unterstützt werden, wie die Extraktion funktioniert, welche Authentizitätsprüfungen durchgeführt werden und wie die Ausgabe in den restlichen KYC-Stack integriert wird.

Was als Staatsbürgerschaftsnachweis gilt

Die Staatsbürgerschaft ist kein einzelner Datenpunkt. Sie wird aus Dokumentenbeweisen abgeleitet, und die akzeptierten Beweise variieren je nach Land. Es gibt jedoch einige globale Muster:

• Pässe sind der stärkste Beweis. Jedes Land, das Pässe ausstellt, beschränkt die Ausstellung auf Bürger (und eine geringe Anzahl von Ausnahmen wie Flüchtlingsreisepapiere). Das Dokument selbst wird gemäß dem ICAO 9303-Standard ausgestellt, was bedeutet, dass es eine maschinenlesbare Zone, eine strukturierte visuelle Zone und – bei modernen Ausgaben – einen NFC-Chip enthält, der dieselben Daten enthält, die von der ausstellenden Behörde signiert wurden.
• Einbürgerungs- und Staatsbürgerschaftsurkunden belegen die erworbene Staatsbürgerschaft. Dies sind in der Regel Papierdokumente, die von Bundes- oder nationalen Behörden ausgestellt werden. In den USA sind die relevanten Formulare N-550/N-570 (Certificate of Naturalization) und N-560/N-561 (Certificate of Citizenship).
• Geburtsurkunden belegen die Staatsbürgerschaft durch Geburt in Gerichtsbarkeiten, in denen das Geburtsrecht gilt. Die Formate variieren stark – allein in den USA geben jeder Bundesstaat, jedes Territorium und viele Landkreise eigene aus.
• Konsularische Geburtsurkunden im Ausland (CRBA / FS-240 in den USA, entsprechende Dokumente in anderen Ländern) decken Bürger ab, die außerhalb ihres Staatsbürgerschaftslandes geboren wurden.
• Personalausweise implizieren die Staatsbürgerschaft in Ländern, in denen der Personalausweis nur an Bürger ausgestellt wird (der Großteil der EU, Teile Lateinamerikas, der Großteil des Nahen Ostens). In Ländern, in denen auch Einwohner Personalausweise besitzen können (z. B. einige Golfstaaten, einige EU-Daueraufenthaltskarten), beweist der Personalausweis allein keine Staatsbürgerschaft.

Ein Verifizierungsanbieter, der nur Pässe unterstützt, kann Kunden, die nie einen besessen haben, nicht bedienen. Rund 52 % der US-amerikanischen Erwachsenen und in weiten Teilen Lateinamerikas und Südostasiens deutlich höhere Prozentsätze besitzen keinen Reisepass. Ein Anbieter, der nur Führerscheine unterstützt, kann keine einzige Anforderung an die Überprüfung der Staatsbürgerschaft erfüllen – ein Führerschein beweist den rechtmäßigen Aufenthalt in den meisten Gerichtsbarkeiten, nicht die Staatsangehörigkeit.

Didits Dokumentenbibliothek deckt all dies ab, für 220+ Länder und 14.000+ Dokumenttypen.

Der Überprüfungsprozess

Aus Kundensicht ist der Ablauf eine einzige, kontinuierliche Sitzung auf einem Telefon oder Desktop. Im Hintergrund laufen sechs Schichten parallel.

Schicht 1: Dokumenterfassung

Der Kunde wird aufgefordert, das Dokument zu fotografieren. Das Erfassungs-SDK verarbeitet Framing, Blendungserkennung, Fokus und Korrektur bei schlechten Lichtverhältnissen. Scans, die zu unscharf, zu dunkel oder zugeschnitten sind, werden abgelehnt. Bei Pässen wird insbesondere die Seite mit der MRZ und, falls das Gerät NFC unterstützt und der Reisepass einen Chip hat, aufgefordert, den Reisepass an das Telefon zu tippen, um den Chip auszulesen.

Für Geburtsurkunden und Einbürgerungsurkunden – bei denen es keine MRZ oder Chips gibt – führt der Erfassungsprozess den Kunden an, das vollständige Dokument auf einem kontrastierenden Untergrund zu fotografieren und mehrere Seiten für Dokumente zu akzeptieren, die sich über mehr als eine Seite erstrecken.

Schicht 2: Dokumentklassifizierung

Bevor Felder extrahiert werden, wird das Dokument klassifiziert: Typ, Land, ausstellende Behörde, Ausgabejahr. Die Klassifizierung erfolgt auf einem Modell, das anhand der 14.000+ Dokumentenbibliothek trainiert wurde, was bedeutet, dass es eine Geburtsurkunde aus Texas von einer Geburtsurkunde aus Georgia, eine Einbürgerungsurkunde aus dem Jahr 1998 von einer aktuellen und einen US-Reisepass von einem US-Reisepass unterscheiden kann.

Die Klassifizierungsausgabe steuert die nachgelagerte Verarbeitung. Verschiedene Dokumenttypen haben unterschiedliche Feldschemata, unterschiedliche Sicherheitsmerkmale und unterschiedliche Authentizitätssignale, die überprüft werden müssen.

Schicht 3: Feldextraktion

OCR extrahiert die strukturierten Felder für den identifizierten Dokumenttyp. Bei einem ICAO-Reisepass bedeutet dies Name, Geburtsdatum, Staatsangehörigkeit, Reisepassnummer, Ausstellendland, Ablaufdatum, Geschlecht, Geburtsort und die MRZ-Prüfziffern. Bei einer Einbürgerungsurkunde bedeutet dies A-Nummer, Name, Geburtsdatum, Land der früheren Staatsbürgerschaft, Datum der Einbürgerung und Urkundennummer. Bei einer US-Geburtsurkunde bedeutet dies Name, Geburtsdatum, Geburtsort, Namen der Eltern und Registrierungsdetails.

Das Extraktionsmodell ist pro Dokumenttyp abgestimmt. Das Ausführen eines generischen OCR über eine Geburtsurkunde aus Mississippi erzeugt Müll – die Typografie ist ungewöhnlich, der Sicherheits Hintergrund ist verrauscht, das Feld Layout variiert je nach Ausgabejahr. Dokument-spezifische Extraktion ist der Unterschied zwischen 97 % und 60 % Automatisierungsrate.

Schicht 4: Authentizitätsprüfungen

Hier findet die meiste Betrugsprävention statt. Abhängig vom Dokument führt das System Folgendes aus:

• MRZ-Integritätsprüfung – die maschinenlesbare Zone enthält Prüfziffern, die aus den codierten Daten berechnet werden. Ein gefälschter oder veränderter Reisepass schlägt diese Prüfung fehl.
• NFC-Chip-Verifizierung – wenn der Chip vorhanden ist, liest das System die signierte Datengruppe, überprüft die Signatur des Ausstellers anhand der Länder-Trustliste (z. B. ICAO PKD) und vergleicht die Chipdaten mit der visuellen Zone.
• Erkennung von Sicherheitsmerkmalen – Hologramme, UV-Merkmale, Mikro druck, Intaglio, Geisterbilder. Das Modell sucht nach den spezifischen Merkmalen, die die ausstellende Behörde für diese Dokumentversion verwendet.
• Vorlagenabgleich – Das Dokument wird mit Referenzvorlagen der ausstellenden Behörde im gleichen Jahr verglichen, wobei auf Schriftart-Fehlüberschneidungen, Layoutabweichungen und Farbinkonsistenzen geachtet wird.
• Manipulationserkennung – Splice-Erkennung, Copy-Paste-Artefakte, Fotosubstitution, Bearbeitungen auf Feldebene. Dadurch werden Fälle erkannt, in denen ein legitimes Dokument nach der Ausstellung verändert wurde.
• Bildforensik – Erkennung von rein digitalen Dokumenten, Screenshot-Artefakten und Rendering-Signaturen von bekannten Fälschungs tools.

Für Geburtsurkunden und andere Dokumente mit geringer Sicherheit verlassen sich Authentizitätsprüfungen stärker auf Vorlagenabgleich und Manipulationserkennung, da die Dokumente selbst weniger physische Sicherheitsmerkmale aufweisen. Dies ist eine strukturelle Schwäche der Dokumentenklasse, nicht der Verifizierung – die korrekte Abmilderung besteht darin, die Geburtsurkunden-Verifizierung nur mit zusätzlichen Signalen zu kombinieren (SSN-Verifizierung, Adresshistorie, Geräte Risikobewertung) anstatt vorzutäuschen, dass eine saubere OCR einer Geburtsurkunde ein starker Beweis ist.

Schicht 5: Biometrischer Abgleich und Lebendigkeitsprüfung

Das Dokumentenfoto wird mit einem Live-Selfie verglichen, das von der Kamera des Kunden aufgenommen wurde. Die Lebendigkeitsprüfung bestätigt, dass es sich bei dem Selfie um einen lebenden Menschen handelt, nicht um ein Foto eines Fotos, ein Deepfake, eine 3D-Maske oder einen Replay-Angriff. Die Gesichtserkennungs Schicht vergleicht die biometrischen Merkmale und gibt eine Übereinstimmungsbewertung zurück.

Für Staatsbürgerschaftsdokumente ohne Foto – US-Geburtsurkunden, bestimmte Einbürgerungsurkunden, einige ältere Personalausweise – wird der biometrische Schritt mit einem separaten, foto-tragenden Ausweis abgeglichen, der in derselben Sitzung erfasst wird. Der Kunde lädt beide Dokumente hoch; die Biometrie wird mit dem Foto-Ausweis abgeglichen; der Staatsbürgerschaftsbeweis wird mit der gleichen verifizierten Identität verknüpft.

Schicht 6: Ausgabe

Die API gibt einen strukturierten Verifizierungsdatensatz zurück:

• Dokumententyp, Staatsbürgerschaftsland, extrahierte Felder
• Authentizitätsbewertung und die spezifischen Prüfungen, die bestanden oder fehlgeschlagen sind
• Biometrische Übereinstimmungsbewertung und Ergebnis der Lebendigkeitsprüfung
• Gesamtentscheidung (genehmigt, Prüfung, abgelehnt) mit Fehlercodes
• Manipulationssicherer Audit-Trail mit gehasht Dokumentenbildern, Zeitstempeln und Systemversion

Der Datensatz wird über dieselbe API in Sanctionsscreening, PEP- und Adverse-Media-Prüfungen und die kontinuierliche KYC-Überwachung integriert.

Was eine Staatsbürgerschaftsüberprüfung tatsächlich zurückgibt

Das übliche Integrationsmuster ist ein einzelner Aufruf, der eine Verifizierungssitzung erzeugt, und ein Webhook, der das strukturierte Ergebnis liefert, sobald es abgeschlossen ist. Ein vereinfachtes Beispiel für den Staatsbürgerschaftsanteil dieses Ergebnisses:

```json

{

"status": "approved",

"document": {

"type": "certificate_of_naturalization",

"country_of_issue": "US",

"form_number": "N-550",

"extracted_fields": {

"a_number": "A-xxxxxxxxx",

"certificate_number": "xxxxxxxx",

"name": "JANE DOE",

"date_of_birth": "1985-06-12",

"country_of_former_citizenship": "MX",

"date_of_naturalization": "2014-09-18"

}

},

"citizenship": {

"status": "US",

"acquisition": "naturalization",

"evidence_document_type": "certificate_of_naturalization",

"confidence": 0.98

},

"authenticity": {

"overall_score": 0.96,

"checks": {

"template_match": "pass",

"security_features": "pass",

"tampering": "pass",

"image_forensics": "pass"

}

},

"biometric": {

"liveness": "pass",

"face_match_score": 0.93

}

}

```

Das gleiche Schema gilt für Dokumenttypen. Bei einem US-Reisepass würde das Feld „Staatsbürgerschaft“ status: „US“, acquisition: „birth_or_unspecified“, evidence_document_type: „passport“ und die vollständigen MRZ- und NFC-Ergebnisse im Authentizitätsblock enthalten. Bei einer Geburtsurkunde enthält das Feld „Staatsbürgerschaft“ den abgeleiteten Status, den Ausgabestaat und den geringeren Konfidenzwert, der das schwächere Sicherheits Profil von Geburtsurkunden als Dokumentenklasse widerspiegelt.

Downstream-Systeme – Kernbankwesen, Compliance-Fallmanagement, Data Warehouse – konsumieren die strukturierten Felder und leiten sie entsprechend weiter.

Randfälle, die wichtig sind

Die echte Staatsbürgerschaftsüberprüfung muss eine lange Kette von Fällen verarbeiten, die eine lockere Implementierung übersieht.

Doppelte Staatsbürgerschaft. Ein US-amerikanischer Staatsbürger mit mexikanischer Staatsbürgerschaft präsentiert einen mexikanischen Reisepass. Der Reisepass beweist die mexikanische Staatsbürgerschaft rechtmäßig. Er widerlegt die US-amerikanische Staatsbürgerschaft nicht. Wenn der Anwendungsfall die spezifische Bestätigung der US-Staatsbürgerschaft erfordert, muss der Ablauf zusätzliche US-amerikanische Beweise in derselben Sitzung akzeptieren.

Staatenlose Personen und Flüchtlinge. Reisepapiere, die im Rahmen des Flüchtlingsübereinkommens von 1951 oder des Übereinkommens über Staatenlose Personen von 1954 ausgestellt wurden, sehen aus wie Reisepässe, bestätigen aber ausdrücklich keine Staatsbürgerschaft. Didit identifiziert diese Dokumente eindeutig und gibt den korrekten Status an, anstatt sie als Beweis für die Staatsbürgerschaft des ausstellenden Landes zu behandeln.

Kürzlich eingebürgerte Bürger. Ein Kunde, der sich in den letzten 60 Tagen eingebürgert hat, hat möglicherweise noch keinen US-Reisepass. Er verfügt über eine Einbürgerungsurkunde. Der Ablauf muss die Urkunde als Hauptstaatsbürgerschaftsbeweis akzeptieren und nicht auf einen Reisepass bestehen.

Im Ausland geborene Bürger. Ein US-amerikanischer Staatsbürger, der in Deutschland von US-amerikanischen Eltern geboren wurde, hat eine Konsularische Geburtsurkunde im Ausland (CRBA / FS-240), keine US-amerikanische Geburtsurkunde. Der Ablauf muss die CRBA als Staatsbürgerschaftsbeweis erkennen.

Namensänderungen und Dokumentenabweichungen. Ein Kunde, der unter einem Namen eingebürgert wurde und seinen Namen später rechtlich geändert hat, präsentiert eine Einbürgerungsurkunde mit dem alten Namen und einen aktuellen Reisepass mit dem neuen Namen. Die Verifizierung muss die beiden miteinander verknüpfen, ohne eines der beiden Dokumente abzulehnen.

Historische Dokumente. Eine Einbürgerungsurkunde, die 1987 ausgestellt wurde, sieht anders aus als eine, die 2024 ausgestellt wurde. Vorlagenabgleich und Authentizitätsprüfungen müssen die Ausgabegeschichte abdecken, nicht nur das aktuelle Format.

Ein Verifizierungsstack, der bei diesen Fällen stumm fehlschlägt, löst das Staatsbürgerschaftsproblem nicht wirklich – er löst eine vereinfachte Teilmenge, während der Rest an die manuelle Überprüfung weitergegeben wird. Die Bibliothek von Didit enthält absichtlich historische und Randfalldokumentvarianten.

Datenschutz und Datenhandhabung

Die Staatsbürgerschaft sind sensible Daten. Die meisten Datenschutzrahmen behandeln Nationalität und Einwanderungsstatus als geschützte Kategorie neben Rasse, Religion und politischer Meinung. Eine falsche Speicherung schafft ein zweites Compliance-Problem, während das erste gelöst wird.

Didits Haltung zu Staatsbürgerschaftsdaten:

• Datenminimierung. Die Plattform gibt nur die Staatsbürgerschaftsfelder zurück, die der Kunde konfiguriert hat. Ein Kreditgeber, der nur bestätigen muss „ist diese Person ein US-amerikanischer Staatsbürger, ja/nein“, kann ein Boolesches erhalten, nicht die vollständigen Dokumentendaten.
• Verantwortlicher/Auftragsverarbeiter-Grenze. Didit fungiert als Auftragsverarbeiter. Der Kunde (die Bank, die Fintech-Plattform) ist der Verantwortliche. Die Rechtsgrundlage für die Verarbeitung liegt beim Kunden, und die Auftragsverarbeitungsvereinbarung von Didit spiegelt dies wider.
• Verschlüsselung im Ruhezustand und während der Übertragung mit Schlüsselrotation.
• Aufbewahrungssteuerungen, die pro Kunde konfigurierbar sind – das Mindestmaß, das für regulatorische Verpflichtungen erforderlich ist, wird dann gelöscht.
• Audit-Protokollierung jedes Zugriffs sowohl für die interne Rechenschaftspflicht als auch für die Reaktion auf Vorladungen von Aufsichtsbehörden.
• GDPR-, LGPD-, CCPA- und APPI-konforme Datenhandhabung mit regionsspezifischen Residenzoptionen, falls zutreffend.

Das Ziel ist es, dem Kunden zu ermöglichen, seine regulatorische Verpflichtung zu erfüllen, ohne eine neue von der Verifizierungsebene zu erben.

Integration der Staatsbürgerschaftsüberprüfung

Der schnellste Weg zur Produktion ist durch den gehosteten Verifizierungsablauf: ein API-Aufruf zum Erstellen einer Sitzung, eine URL, die der Kunde auf seinem Telefon besucht, und ein Webhook mit dem Ergebnis. Der Ablauf verarbeitet Erfassung, OCR, Authentizität, biometrischen Abgleich und Ergebnisübermittlung in einer einzigen Sitzung.

Für Teams, die eine tiefere Anpassung benötigen – White-Label-UI, benutzerdefinierte Verzweigungslogik, spezifische Dokumenttypenbeschränkungen – bieten das SDK und die direkte API volle Kontrolle über jede Schicht.

Typische Integrationsmuster:

• Banken und Kreditgenossenschaften: Staatsbürgerschaftserfassung, die bei der Kontoeröffnung und unter der neuen US-Regel bei der erneuten Überprüfung bestehender Konten ausgelöst wird. Das Ergebnis speist das Kernbankensystem und die Warteschlange für das Compliance-Fallmanagement.
• Fintechs: Staatsbürgerschaftserfassung bei der Kontoverhöhung oder wenn die Vorschriften dies erfordern (z. B. wenn ein Kunde ein monatliches Volumen überschreitet, das eine verstärkte KYC-Prüfung auslöst).
• Krypto-Börsen: Staatsbürgerschaftserfassung für Gerichtsbarkeiten, in denen der Betreiber nur Bürger oder Einwohner bestimmter Länder lizenzieren darf.
• Glücksspiel- und iGaming-Betreiber: Staatsbürgerschaftserfassung, wenn dies durch die Lizenzierung vorgeschrieben ist, kombiniert mit Altersprüfung im gleichen Ablauf.
• Regierungsdienstleister: Staatsbürgerschaftserfassung zur Überprüfung der Anspruchsberechtigung auf Leistungen, die an vordefinierte Beweisstandards gebunden ist.
• Grenzüberschreitende Dienstleister: Staatsbürgerschaftserfassung, um den Kunden an die richtige konformitätsrechtliche Pipeline der Gerichtsbarkeit weiterzuleiten.

Was dies ermöglicht

Eine gut durchgeführte Staatsbürgerschaftsüberprüfungsschicht ist kein Häkchen. Es sind neue Formen von Identitätsdaten, mit denen nachgelagerte Systeme arbeiten können. Banken können Kunden basierend auf ihrer Staatsbürgerschaft auf den richtigen Onboarding-Pfad leiten. Börsen können geografische Beschränkungen durchsetzen, ohne sich auf die IP-basierte Geolokalisierung zu verlassen. Regierungen können die Anspruchsberechtigung auf Leistungen verifizieren, ohne papierbasierte Prozesse zu verwenden. Plattformen können die aufkommenden Staatsbürgerschafts-gated-Vorschriften einhalten, ohne ihren KYC-Stack neu aufzubauen.

Die in diesem April 2026 diskutierte US-amerikanische Executive Order ist ein Zwangsfaktor. Es wird nicht die letzte sein. Die Richtung der Regulierungsreise geht zu einer Identitätsprüfung als reichhaltigeres Datenprodukt – Identität, Nationalität, Sanktionsstatus, Risikoprofil, fortlaufende Überwachung – die in einem einzigen Ablauf geliefert wird, der in weniger als zwei Minuten auf einem Telefon funktioniert.

Didits Wette seit Tag eins war, dass der richtige Weg, dies zu bedienen, ein breite Dokumentenabdeckung, strukturierte Ausgaben, Preise pro Prüfung und eine API-Oberfläche ist, die sich nahtlos in das vorhandene System des Kunden integrieren lässt. Die Erkennung der Staatsbürgerschaft ist eine natürliche Erweiterung dieser Wette.

---

Didit verifiziert Staatsbürgerschaft, Identität und Sanktionsrisiken für Banken, Fintechs, Krypto-Plattformen und staatliche Dienstleistungen. 14.000+ Dokumenttypen, 220+ Länder, 48+ Sprachen, 0,30 $ pro Überprüfung, keine Mindestmengen. Kostenlos starten oder mit dem Team sprechen.