Onboarding-Flows: Reibungslose Registrierung trotz Compliance

90‑Sekunden‑Einstieg. Zwei neue Nutzer. Beide wollen in fünf Minuten starten. Fall A: sieben Screens, zwei OTPs, Selfie vor dem ersten “Aha�. Ergebnis: 3 Abbrüche von 10. Fall B: klare Führung, KYC erst nach dem ersten Nutzen, Status in Echtzeit. Ergebnis: 36% kürzer, 18% mehr Abschlüsse. Der Unterschied? Ein bewusstes Reibungs‑Budget und saubere Regeln, wo Hürden hingehören — und wo nicht.

Eine einfache Faustregel: Gib pro Screen nur eine Entscheidung. Entferne jede Frage, die du nicht sofort brauchst. Baue nie Sackgassen. Und setze Friktion erst, wenn der Wert klar ist.

Was das Gesetz wirklich verlangt — und was Teams sich selbst aufbürden

Viele Flows sind schwer, weil Teams alles auf einmal prüfen wollen. Doch Recht und Risiko zwingen oft weniger, als man denkt. Trenne Muss von Gewohnheit. Muss: Identität prüfen (KYC), Geldwäsche prüfen (AML), Datenschutz, sichere Zahlung (SCA), Alterscheck im iGaming. Gewohnheit: 20 Felder vor Nutzen, lange Texte, zu früher Dokumenten‑Upload.

Datenschutz ist Pflicht. Eine gute, klare Quelle zu den DSGVO‑Grundlagen zeigt die Prinzipien: Datenminimierung, Zweckbindung, Transparenz.

Elektronische Identitäten helfen bei starker Sicherheit und besserer UX. Ein kurzer Überblick zu eID und Vertrauensdiensten steht hier: eIDAS‑Überblick.

Bei AML geht es um Risiko, PEP‑Treffer und Sanktionslisten. Die deutsche Aufsicht erklärt die Pflicht und gängige Wege klar: BaFin zu Geldwäscheprävention.

Setze ein Reibungs‑Budget — gezielt, nie überall

Friction ist kein Feind. Sie wirkt, wenn der Wert vorher sichtbar ist. Ein Beispiel: Konto anlegen, Kernnutzen zeigen (Probeauftrag, Demo‑Wette, Test‑Wallet), dann KYC. Das baut Vertrauen auf, bevor du nach Ausweis und Selfie fragst.

Nutze Risiko statt Gießkanne. Starte mit einem Kurzpfad für Low‑Risk. Eskaliere nur bei Signalen. Das ist Stand der Praxis und passt zu Leitfäden wie dem FATF‑Leitfaden Digitale Identität. So vermeidest du harte Hürden für gute Nutzer und bleibst streng bei echten Treffern.

Taktiken, die heute tragen

Zeige erst wenig, dann mehr

Brich große Formulare auf. Zeige erst die Felder, die jetzt nötig sind. Erkläre kurz, warum du sie brauchst. Mehr dazu hier: Progressive Disclosure.

Formulare wie Schienen, nicht wie Wände

Hilf beim Tippen: Autocomplete, saubere Labels, klare Fehlermeldungen. Keine Wall‑of‑Text. Kleine Schritte, fester Rhythmus. Gute Forschung dazu: Formular‑Reibung reduzieren (Baymard).

Passkeys statt Passwort‑Müdigkeit

Nutze Passkeys für Login und Schritt‑Bestätigungen. Das senkt OTP‑Stress und Brüche bei Gerätewechsel. Grundlagen liefert die FIDO Alliance zu Passkeys. Der offene Standard ist WebAuthn. Setups für Geräte findest du bei Google und Apple.

• Dokumenten‑Upload vor dem ersten Nutzen.
• Passwort, dann E‑Mail‑OTP, dann SMS‑OTP — direkt nacheinander.
• Unklare “Pendingâ€�‑Schleifen ohne ETA.
• Fehlermeldungen ohne Hilfe, z. B. “Ungültigâ€�.

Tabelle: Compliance vs. reibungsarme Umsetzung

Die Tabelle verbindet Pflicht mit guter UX. Für einige Punkte gibt es klare Normen, z. B. NIST SP 800‑63A für Identitätsprüfung.

KYC Identitätsprüfung	Upload‑Zwang vor Nutzen, Selfie‑Abbrüche	Später KYC nach “Aha�, Auto‑Capture, klare Hinweise, Retake	NIST SP 800‑63A; OIDC Claims; IDV‑SDK	Completion KYC‑Step; Median Upload‑Zeit; Selfie‑Fail‑Rate
AML/PEP/Sanktionen	Unklare “Pending�‑Wartezeiten	Async‑Screening, Status‑UI mit ETA, Benachrichtigung	Realtime/Batch Screening APIs	Pending > 24h; False‑Positive‑Rate
DSGVO Einwilligung/Transparenz	Wall‑of‑Text, erzwungene Opt‑ins	Layered Notice, klare Microcopy, granulare Auswahl	EDPB Guidance; Consent‑SDK	Opt‑in‑Rate; Scroll‑/View‑Through
PSD2 SCA (Zahlungen)	SCA zu früh, Gerätewechsel Bruch	Passkeys, App‑zu‑App, SCA erst bei Geldfluss	FIDO2/WebAuthn; 3DS2	SCA‑Success‑Rate; Drop‑offs bei App‑Switch
Altersverifikation (iGaming)	Harte Hürde vor Mehrwert	Age‑Precheck, klare Gründe bei Fail, Alternativpfad (Bank‑ID)	eIDAS; nationale eIDs	Age‑Verify First‑Try‑Success
Adresse/Name	Tippfehler, Medienbruch	Autocomplete, OCR aus Ausweis, klare Beispiele	W3C Autofill; Address‑APIs	Feld‑Fehlerrate; Korrekturrate
DSAR/Speicherfristen	Unklare Datenwege	Selbst‑Service Export/Löschung; Fristen im UI	DSGVO Art. 15–20	DSAR‑Durchlaufzeit; Quote Self‑Service
Barrierefreiheit	Nicht bedienbare Controls	Tastaturpfade, Fokus‑States, klare Kontraste	WCAG 2.2; WAI‑ARIA	Screenreader‑Task‑Zeit; A11y‑Issues/Sprint

Architektur, die Reibung steuert — nicht vererbt

Baue eine Orchestrierungs‑Schicht. Sie entscheidet je Schritt: Was braucht dieser Nutzer jetzt? Low‑Risk: Kurzpfad. High‑Risk: Tiefer Check. Kein Hard‑Code in den Screens. Regeln gehören in eine Engine, nicht in die App.

Nutzerdaten und Proofs sollten über Standards laufen. Für Identität und Login ist OpenID Connect stabil und weit verbreitet. Damit kannst du Claims für Verifikation, Alter, Adresse sauber handhaben.

Telemetrie ist Pflicht. Logge Events einheitlich (Start, Consent, Capture, KYC‑Result, SCA‑Status). Ohne diese Daten baust du blind.

Denk global. Länder haben verschiedene IDs und Regeln. Ein guter Startpunkt für den Überblick ist World Bank ID4D. So planst du Fallbacks und Vendor‑Wechsel, ohne den Flow neu zu bauen.

Messen, was zählt

Starte mit wenigen, starken Kennzahlen: Completion Start‑zu‑Finish, Time‑to‑Verify (p50/p90), Abbrüche pro Schritt, SCA‑Erfolg, KYC‑Retry‑Rate. Der jährliche Report “Battle to Onboard� zeigt, wie stark Abbrüche kosten: Signicat: Battle to Onboard.

Event‑Taxonomie (Beispiel): onboarding_start, consent_view, consent_accept, doc_capture_start, doc_capture_fail_reason, kyc_result, aml_pending, aml_result, sca_challenge_start/success/fail, address_autocomplete_used, manual_review_queue. So siehst du, wo die Luft raus ist.

Teste mit Geländer. A/B nur mit Legal‑Freigabe, Audit‑Log, fixer Testdauer. Prüfe Bias: Doku‑Typ, Licht, Gerät. Spare Daten, wo möglich. Gute Praxis zur Datenminimierung erklärt das britische ICO: Datenminimierung praxisnah.

Branchen‑Spot: iGaming ohne Pain

iGaming braucht klare Regeln: Alterscheck, Lizenz, Limits (Spielerschutz), Zahlungswege, Standort (Legalität). Gute Flows zeigen vorab, was geprüft wird, warum, und wie lange es dauert. Age‑Precheck spart Frust. Zeige Lizenz und Anbieter‑Sitz offen (GlüStV 2021 in DE). Sag klar: 18+, verantwortungsvoll spielen.

Unsicherheit sinkt, wenn Nutzer vorab lesen können, wie Auszahlungen, KYC und Limits laufen. Ein neutraler Überblick hilft. Ein Beispiel ist dieser norwegische Ressourceneintrag raske utbetaling casino (norwegisch: schnelle Auszahlungen im Casino). Solche Seiten erklären Zahlungsarten, Auszahldauer und übliche Checks. Das wirkt noch vor der Registrierung. Hinweis: Verlinke nur zu lizenzierten Anbietern. Keine Aufforderung zum Spielen. 18+.

Fehlerbarometer: 9 häufige Patzer — sofort behebbar

1. KYC zu früh. Schiebe es nach den ersten Wertmoment.
2. Mehrfache OTPs nacheinander. Nutze Passkeys oder reduziere Schritte.
3. Unklare Fehlermeldungen. Sage, was falsch ist und wie man es fixt.
4. Keine ETA bei “Pending�. Nenne Zeit und nächsten Schritt.
5. Formular‑Wand. Teile in kleine Schritte mit Fortschritt.
6. Kein Fallback. Biete Alternativen (andere ID, manuelle Prüfung).
7. Vendor‑Lock‑in. Entkopple per Orchestrierung und Standard‑Claims.
8. Kein A11y. Teste Tastatur, Fokus, Kontrast, Screenreader.
9. Keine Telemetrie. Ohne Events kein Lernen.

Werkbank: Heute umsetzen, morgen messen

• Datenminimierung: Liste Muss‑ und Kann‑Felder. Streiche Kann.
• KYC später: Stelle Nutzen voran, dann Identitäts‑Check.
• Passkeys aktivieren als Login‑Pfad, SMS‑OTP nur als Fallback.
• Auto‑Capture für Ausweis mit Live‑Hinweisen und Retake.
• AML asynchron: klares Status‑UI mit ETA und Benachrichtigung.
• A11y nach WCAG 2.2: Fokus, Kontrast, Tastaturpfade prüfen.
• Events: Vollständige Taxonomie; Dashboard pro Schritt.
• DSAR‑bereit: Export/Löschung im Konto, Fristen dokumentiert.
• Rollen klar: Product, Legal, Engineering, DSB sign‑off vor Livegang.

FAQ

Du passt Tiefe und Reihenfolge der Checks an das Risiko an. Niedriges Risiko: Kurzer Pfad. Hohes Risiko: Mehr Belege. So hältst du Conversion hoch und bleibst konform.

Führe SCA erst aus, wenn Geld fließt. Nutze Passkeys oder App‑zu‑App statt SMS. Halte den Gerätewechsel klein und gib klares Feedback.

Nur, was du jetzt brauchst. Folge DSGVO: Zweck, Minimierung, Transparenz. Erkläre kurz, warum jedes Feld nötig ist, und biete Opt‑ins getrennt an.

Zeige Status, Grund und ETA. Biete Kontakt oder Self‑Service Upload für Zusatzdokumente. Informiere per E‑Mail/App, wenn geprüft ist.

Starte optional neben Passwort. Nutze WebAuthn/FIDO2. Biete klare Migration: “Füge jetzt einen Passkey hinzu�. Teste auf iOS, Android, Desktop.

Vergleiche Completion, Time‑to‑Verify, SCA‑Erfolg, KYC‑Retry‑Rate, Pending > 24h. Logge Events sauber und fahre kontrollierte A/B‑Tests mit Legal.

Transparenz & Autor

Autor: Produkt‑Lead mit 8+ Jahren Erfahrung in regulierten Onboardings (FinTech, iGaming, Mobility). Mehrere Live‑Rollouts mit KYC/AML, PSD2 SCA und eID‑Anbindung.

Methode: Praxisbeispiele aus Projekten, Normen und öffentlich zugänglichen Leitfäden. Quellen sind im Text verlinkt. Stand: 2026.

Hinweis: Dieser Text ist keine Rechtsberatung. Prüfe stets lokale Gesetze und deine Lizenzauflagen. iGaming: 18+, verantwortungsvoll spielen, nur lizenzierte Anbieter (z. B. nach GlüStV 2021).