eIDAS 2.0 und die EUDI-Wallet: was die EU-Identitäts-Brieftasche für Unternehmen bedeutet
eIDAS 2.0 verpflichtet die EU-Staaten, bis 2026 eine EUDI-Wallet bereitzustellen - eine Identitäts-App mit selektiver Offenlegung. Wir erklären, was das technisch ist und was es für Unternehmen bedeutet.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- Tiefgang
- Was die Wallet technisch ist
- Selektive Offenlegung und das Beispiel "über 18"
- QEAA und die Rolle der Vertrauensdienste
- Was sich für Unternehmen ändert
- Abgelehnte Alternativen und Mythen
- Was Sie jetzt tun sollten
- Wie Dernium hier hilft
- Offene Punkte
- Häufige Fragen
- Muss mein kleines oder mittleres Unternehmen die EUDI-Wallet akzeptieren?
- Was genau bedeutet selektive Offenlegung im Alltag?
- Liegen meine Ausweisdaten dann bei einer Behörde in der Cloud?
- Wie kann eine prüfende Stelle sicher sein, dass ein Wallet-Nachweis echt ist?
- Unterstützt Dernium die EUDI-Wallet?
Problem
Wer heute online sein Alter, seinen Wohnsitz oder einen Berufsabschluss nachweisen will, lädt oft ein Foto des Personalausweises hoch oder kopiert ihn ganz. Damit gibt man weit mehr preis als nötig - Name, Geburtsdatum, Anschrift, Ausweisnummer -, nur um eine einzige Tatsache zu belegen (etwa "über 18"). Gleichzeitig haben Unternehmen, die solche Nachweise prüfen müssen, keinen verlässlichen, EU-weit einheitlichen Weg, echte von gefälschten Belegen zu unterscheiden. Die EU will dieses Missverhältnis mit einer staatlich garantierten digitalen Brieftasche auflösen. Für Unternehmen stellt sich die Frage: Was kommt da auf uns zu, und ab wann?
Für wen ist das? Für Verantwortliche, die Anmeldung, Identität und Altersnachweis im Unternehmen gestalten.
Kurze Antwort
Die Verordnung eIDAS 2.0 (electronic IDentification, Authentication and trust Services - der EU-Rechtsrahmen für elektronische Identifizierung und Vertrauensdienste, Verordnung 2024/1183) verpflichtet alle EU-Mitgliedstaaten, ihren Bürgerinnen und Bürgern eine EUDI-Wallet (European Digital Identity Wallet - europäische digitale Identitäts-Brieftasche) anzubieten. Im Kern:
- Die Wallet ist eine Smartphone-App, in der staatlich beglaubigte Identitätsnachweise und einzelne Attribute (Eigenschaften wie Alter oder Führerschein) liegen.
- Kernprinzip ist die selektive Offenlegung: Man weist genau ein Attribut nach (etwa "über 18"), ohne den Rest des Ausweises zu zeigen.
- Die Nachweise liegen auf dem Gerät der Person, nicht zentral bei einer Behörde.
- Sehr große Online-Plattformen müssen die Wallet als Anmelde- und Altersnachweis akzeptieren.
- Wer Nachweise aus der Wallet abfragen will, muss sich vorher als Relying Party (vertrauender Beteiligter - die Stelle, die einen Nachweis anfordert) registrieren.
Tiefgang
Was die Wallet technisch ist
Die EUDI-Wallet ist im Kern eine App, die kryptografisch signierte Nachweise speichert und auf Anfrage gezielt einzelne davon vorzeigt. "Kryptografisch signiert" bedeutet: Jeder Nachweis trägt eine digitale Unterschrift seines Ausstellers, die sich mathematisch prüfen lässt und nicht fälschbar ist, ohne dass die Prüfung auffällt. Die App hält dabei drei Rollen auseinander: den Issuer (Aussteller - etwa eine Meldebehörde, die einen Wohnsitznachweis ausstellt), den Holder (Inhaber - die nutzende Person mit der Wallet) und die bereits genannte Relying Party, die einen Nachweis anfordert.
Wichtig ist, dass die Nachweise auf dem Gerät der Person liegen, nicht zentral bei einer Behörde. Das ist der Gedanke der nutzergehaltenen Identität: Die Person entscheidet bei jeder Abfrage neu, was sie freigibt. Technisch abgesichert wird das oft durch ein sicheres Element im Smartphone (ein gehärteter Chip, der Schlüssel speichert und Signaturen erzeugt, ohne sie je herauszugeben).
Selektive Offenlegung und das Beispiel "über 18"
Das eingängigste Beispiel ist der Altersnachweis. Statt das Geburtsdatum oder gar den ganzen Ausweis zu übermitteln, gibt die Wallet nur die Aussage "Ja, diese Person ist über 18" frei - signiert und prüfbar, aber ohne das exakte Datum. Diese selektive Offenlegung (selective disclosure - das gezielte Freigeben einzelner Attribute statt des gesamten Dokuments) ist datensparsam: Die Plattform erfährt nur, was sie rechtlich wissen muss.
Technisch umgesetzt wird das über Nachweisformate, die einzelne Felder separat signieren, sodass man Felder weglassen kann, ohne die Signatur zu zerstören. Eine noch stärkere Variante sind Zero-Knowledge-Proofs (Null-Wissen-Beweise - mathematische Verfahren, mit denen man die Wahrheit einer Aussage belegt, ohne die zugrundeliegenden Daten überhaupt zu offenbaren). Damit ließe sich "über 18" beweisen, ohne dass auch nur ein abgeleiteter Wert das Gerät verlässt. In der Praxis ist diese Stufe in den ersten Wallet-Versionen aber noch nicht überall verfügbar.
QEAA und die Rolle der Vertrauensdienste
Neben den hoheitlichen Identitätsdaten kann die Wallet auch Fachnachweise tragen, etwa einen Berufsabschluss, eine Mitgliedschaft oder eine Vollmacht. Solche Nachweise heißen EAA (Electronic Attestation of Attributes - elektronische Bestätigung von Eigenschaften). Wird ein solcher Nachweis von einem besonders streng beaufsichtigten Anbieter ausgestellt, spricht man von einer QEAA (Qualified Electronic Attestation of Attributes - qualifizierte elektronische Attributbestätigung). Das "qualifiziert" ist ein Rechtsbegriff: Es bedeutet, dass der Aussteller ein zugelassener qualifizierter Vertrauensdiensteanbieter ist und der Nachweis dadurch eine gesetzlich verankerte, EU-weit anerkannte Beweiskraft erhält.
Diese Vertrauensdiensteanbieter stehen unter staatlicher Aufsicht und werden in öffentlichen Trust Lists (Vertrauenslisten - amtliche Verzeichnisse zugelassener Anbieter) geführt. Eine Relying Party kann anhand dieser Listen prüfen, ob ein vorgelegter Nachweis von einem qualifizierten Aussteller stammt. So entsteht eine durchgehende Vertrauenskette von der Behörde bis zur prüfenden Stelle, ohne dass beide direkt miteinander Daten austauschen.
Was sich für Unternehmen ändert
Zwei Punkte sind für Unternehmen praktisch relevant. Erstens: Sehr große Online-Plattformen - in der EU-Terminologie VLOP (Very Large Online Platforms - sehr große Online-Plattformen, ein Schwellenwert aus dem Digital Services Act für Dienste ab einer bestimmten Nutzerzahl) - werden verpflichtet, die EUDI-Wallet als Anmelde- und Altersnachweis zu akzeptieren, wenn Nutzer sich damit ausweisen wollen. Wer also einen sehr großen Dienst betreibt, muss die Wallet als Login-Option einbinden.
Zweitens: Wer Nachweise aus der Wallet abfragen will, muss sich vorab als Relying Party registrieren - mit Angabe, welche Attribute man zu welchem Zweck anfordert. Diese Registrierung ist eine Datenschutz-Bremse: Eine Plattform kann nicht beliebig mehr abfragen, als sie angemeldet hat, und die Wallet kann der Person anzeigen, wer was und wofür verlangt. Für die meisten kleineren und mittleren Unternehmen gibt es keine generelle Pflicht zur Akzeptanz; für sie ist die Wallet zunächst eine optionale, aber potenziell sehr saubere Möglichkeit, Identität und Alter zu prüfen.
Abgelehnte Alternativen und Mythen
"Das ist doch nur der alte Online-Ausweis in neu." Nicht ganz. Der bisherige elektronische Personalausweis weist die Person als Ganzes aus. Die Wallet trennt einzelne Attribute und erlaubt selektive Offenlegung - das ist ein qualitativer Sprung in Richtung Datensparsamkeit, kein bloßes Re-Branding.
"Eine staatliche App heißt zentrale Datensammlung." Das Gegenteil ist beabsichtigt: Die Nachweise liegen auf dem Gerät, und die Architektur soll verhindern, dass eine zentrale Stelle mitliest, wo man sich überall ausweist. Ob das in jeder nationalen Umsetzung wirklich durchgehalten wird, ist eine berechtigte offene Frage (siehe unten) - aber das Konstruktionsziel ist dezentral.
"Wir müssen das jetzt sofort einbauen." Für die allermeisten Unternehmen nein. Die Akzeptanzpflicht trifft zuerst sehr große Plattformen. Alle anderen sollten beobachten und planen, aber nicht überstürzt integrieren, solange die Wallets und die zugehörigen Schnittstellen noch reifen.
Was Sie jetzt tun sollten
- Klären Sie, ob Sie betroffen sind: Betreiben Sie eine sehr große Online-Plattform (VLOP), kommt eine Akzeptanzpflicht auf Sie zu. Für kleinere und mittlere Unternehmen ist die Wallet zunächst optional.
- Bestimmen Sie, welche Nachweise Sie heute erheben (Alter, Wohnsitz, Berufsnachweise) und ob Sie dabei mehr Daten anfordern als nötig - genau dort bringt selektive Offenlegung später Entlastung.
- Wenn Sie Nachweise aus Wallets abfragen wollen, planen Sie die Registrierung als Relying Party ein, inklusive der Angabe, welche Attribute Sie zu welchem Zweck verlangen.
- Beobachten Sie den Reifegrad der nationalen Wallets und der Schnittstellen, bevor Sie integrieren - Formate und Details können sich noch ändern.
- Verfolgen Sie die primären Quellen (siehe unten) statt Sekundärberichten, um Fristen und Pflichten korrekt einzuordnen.
Wie Dernium hier hilft
Wir sind kein Aussteller einer EUDI-Wallet, und wir wollen hier ehrlich sein: Unsere Plattform unterstützt die EUDI-Wallet heute nicht. Sie können sich bei Dernium aktuell nicht mit einer EU-Wallet anmelden.
Wohl aber ist unsere Anmelde-Strecke auf denselben Grundgedanken ausgerichtet: nutzergehaltene, föderierte Identität. Dernium ist passkey-first - das heißt, wir setzen vorrangig auf Passkeys (an das Gerät gebundene kryptografische Anmeldedaten, die Passwörter ersetzen), bei denen der private Schlüssel das Gerät nie verlässt. Das ist dieselbe Logik wie beim sicheren Element der Wallet. Ergänzend betreiben wir einen eigenen OIDC-Provider (OpenID Connect - ein verbreitetes, föderiertes Anmelde-Protokoll, mit dem ein Dienst die Anmeldung an eine vertrauenswürdige Identitätsstelle delegiert). Föderiert bedeutet: Die Identität wird an einer Stelle gehalten und kontrolliert für mehrere Dienste nutzbar gemacht - genau das Prinzip, das die Wallet auf staatlicher Ebene verallgemeinert.
Konkret heißt das: Wenn die EUDI-Wallet als Anmelde- und Nachweisweg reif und verbreitet ist, ist unsere Architektur darauf vorbereitet, einen wallet-basierten Login als zusätzlichen Weg zu prüfen. Versprechen für ein Datum geben wir bewusst keines. Wer die Bausteine dahinter verstehen will, findet sie in Passkeys: Ablösung der Passwörter und in Login ohne Konten-Enumeration.
Offene Punkte
- Verkettbarkeit und Datenschutz: Auch bei selektiver Offenlegung besteht das Risiko, dass mehrere Abfragen über technische Merkmale derselben Person zugeordnet werden (Verkettbarkeit). Ob die nationalen Wallets das in der Praxis sauber verhindern, muss sich erst zeigen.
- Zwang zur Akzeptanz: Die Pflicht für sehr große Plattformen, die Wallet zu akzeptieren, ist umstritten - zwischen dem Ziel breiter Verfügbarkeit und der Sorge vor einer faktischen Pflicht zur Nutzung einer staatsnahen App.
- Reifegrad: Wallets, Schnittstellen und die Registrierungsprozesse für Relying Parties stehen am Anfang. Formate und Details können sich noch ändern.
- Zero-Knowledge-Proofs: Die datenschutzfreundlichste Nachweisstufe ist noch nicht überall implementiert; vieles läuft zunächst über selektive Offenlegung ohne echten Null-Wissen-Beweis.
Weiterführende, primäre Quellen: die Verordnung selbst auf eur-lex.europa.eu, das Themenportal der EU-Kommission unter ec.europa.eu/digital-identity sowie Hintergründe des Bundesamts für Sicherheit in der Informationstechnik auf bsi.bund.de.
Häufige Fragen
Muss mein kleines oder mittleres Unternehmen die EUDI-Wallet akzeptieren?
Eine generelle Akzeptanzpflicht gibt es zunächst nur für sehr große Online-Plattformen (VLOP). Für die meisten kleineren und mittleren Unternehmen ist die Wallet eine freiwillige Option, mit der sie Identität oder Alter datensparsam prüfen können, aber kein Muss. Beobachten und planen ist sinnvoller als überstürztes Integrieren.
Was genau bedeutet selektive Offenlegung im Alltag?
Sie weisen mit der Wallet nur die eine Tatsache nach, die gebraucht wird, ohne den ganzen Ausweis zu zeigen. Für eine Altersprüfung gibt die Wallet zum Beispiel die signierte Aussage "über 18" frei, ohne Geburtsdatum, Name oder Adresse zu übermitteln. Die prüfende Stelle erhält genau das, was sie rechtlich wissen muss, und nicht mehr.
Liegen meine Ausweisdaten dann bei einer Behörde in der Cloud?
Nein, das ist gerade nicht das Ziel. Die Nachweise liegen auf Ihrem Gerät in der Wallet-App, häufig abgesichert durch einen gehärteten Chip im Smartphone. Sie entscheiden bei jeder Abfrage neu, was Sie freigeben. Die Architektur soll außerdem verhindern, dass eine zentrale Stelle mitliest, wo Sie sich überall ausweisen.
Wie kann eine prüfende Stelle sicher sein, dass ein Wallet-Nachweis echt ist?
Jeder Nachweis trägt eine kryptografische Unterschrift seines Ausstellers, die sich mathematisch prüfen lässt. Bei besonders streng beaufsichtigten Ausstellern (qualifizierte Vertrauensdiensteanbieter) kann die prüfende Stelle zusätzlich über öffentliche Vertrauenslisten kontrollieren, ob der Aussteller zugelassen ist. So entsteht eine Vertrauenskette von der Behörde bis zur prüfenden Stelle, ohne dass beide direkt Daten austauschen.
Unterstützt Dernium die EUDI-Wallet?
Heute nicht - Sie können sich bei Dernium aktuell nicht mit einer EU-Wallet anmelden. Unsere Anmeldung folgt aber demselben Grundgedanken nutzergehaltener Identität (Passkeys, eigener OIDC-Provider). Wenn die Wallet reif und verbreitet ist, ist die Architektur darauf vorbereitet, einen wallet-basierten Login zu prüfen; ein festes Datum sagen wir bewusst nicht zu.