🔔 Jetzt auf eIDAS 2.0 vorbereiten: mit Workshop & Live-Testing Ihrer Anwendungsfälle.

EUDI-Wallets – was Unternehmen jetzt wissen müssen!

Grafik mit dem Titel: EUDI-Wallet - Kernfragen & Handlungsempfehlungen. Rechts daneben ist eine digitale Wallet mit verschiedenen Personaldokumenten abgebildet. Rechts oben ist sind die EU-Sterne zusehen.

Teilen

EUDI-WALLETS – DIE WICHTIGSTEN FRAGEN & ANTWORTEN FÜR UNTERNEHMEN

Die digitale Identität ist ein zentraler Baustein für die Zukunft der Digitalisierung in Europa. Mit der EUDI-Wallet (European Digital Identity Wallet) will die Europäische Union einen einheitlichen Standard schaffen, der bürgerfreundlich, sicher und wirtschaftlich relevant ist.

27 Mitgliedstaaten der EU haben sich mit der Verabschiedung der eIDAS 2.0 Verordnung am 26. März 2024 verpflichtet, ihren Bürgern und allen juristischen Personen bis zum 21. November 2026 mindestens eine solche standardisierte EUDI-Wallet zur Verfügung zu stellen.

Wir beantworten die 11 wichtigsten Kernfragen für die praktischen Konsequenzen in den Unternehmen in Deutschland.

11 KERNFRAGEN FÜR UNTERNEHMEN

1. Was ist sind EUDI-Wallets und wann kommen sie?

Die EUDI-Wallets (European Digital Identity Wallet) werden digitale Brieftaschen als App auf dem Smartphone. Sie ermöglichen es Bürgern und Bürgerinnen, ihre Identitätsdaten und weitere verifizierte Attribute aus wichtigen Nachweisen wie z.B. dem Personalausweis, aus dem Führerschein oder aus Zeugnissen in digitalen Anwendungen sicher einzusetzen. Zudem können Nutzende rechtsverbindliche digitale Unterschriften im EUDI-Wallet erzeugen. EUDI-Wallets werden kostenfrei nutzbar sein.

Alle EU-Staaten haben sich verpflichtet, ihren Bürgerinnen und Bürgern jeweils mindestens eine national zertifizierte und zugelassene EUDI-Wallet ab Ende November 2026 anzubieten. Eine weitere Frist der eIDAS besagt zudem, dass jeder Mitgliedstaat erst innerhalb von 24 Monaten nach Inkrafttreten benannter Durchführungsrechtsakte eine solche EUDI-Wallet bereitstellen muss – viele der betreffenden beinahe 50 Durchführungsrechtsakte befinden sich Stand noch in laufender Diskussion auf EU-Ebene. Mit dem Beschluss zu den ersten Durchführungsakten hat sich der gesetzte Einführungstermin nun auf Ende Dezember 2026 verschoben, so dass spätestens zu Anfang 2027 mit ersten sichtbaren Umsetzungen zu rechnen sein wird. Zur Umsetzung werden aktuell verschiedene technische Standards im Rahmen des Architectual Reference Frameworks (ARF) erarbeitet. Insgesamt werden beinahe 50 EU-Durchführungsrechtsakte erwartet, die einheitliche Umsetzungsstandards definieren, um ein europäisches und interoperables Ökosystem zu schaffen.

Die politischen Veränderungen in Deutschland einschließlich eines möglichen Regierungswechsels auf Basis der Neuwahlen im März 2025 könnten Veränderungen und Verzögerungen mit sich bringen. So wurde beispielsweise das eIDAS Durchführungsgesetz II nicht wie geplant im Dezember 2024 beschlossen. Die Zeitachse ist ambitioniert: Zum einen hat sich der Bund entschieden, bis Ende 2026 ein eigenes EUDI-Wallet bereitzustellen und zum anderen, müssen die Voraussetzungen für ein Ökosystem in Deutschland geschaffen werden. Die Privatwirtschaft benötigt einiges an Vorbereitungszeit, um existierende Prozesse auf die definierten neuen Standards eines neuen Ökosystem anzupassen.

2. Wie verändert sich das Onboarding von Kunden mit dem Start der EUDI-Wallets?

Das EUDI-Wallet in Deutschland wird auf der eID-Funktion des Personalausweises basieren, deren praktische Nutzung in der Bevölkerung laut E-Government Monitor 2024 bei lediglich 22% lag. Bereits die Initialisierung einer deutschen EUDI-Wallet soll grundsätzlich den Einsatz der eID voraussetzen.

Das EUDI-Wallet wird somit das Angebot an Identifizierungsmethoden für das Onboarding ergänzen, bestimmte Sektoren und Unternehmen sind dabei zur Akzeptanz von EUDI-Wallets verpflichtet. Frühestens zu Anfang 2027 werden die zugelassenen EUDI-Wallets im Markt sichtbar, eine mögliche Marktrelevanz kann sich erst im Jahresverlauf 2027 sukzessive entwickeln. Die etablierten Identifizierungsmethoden wie z.B. Foto-Ident, Bank-Ident oder Local-Ident werden somit weiterhin eine sehr große Bedeutung für die praktische Reichweite beim Onboarding von Kunden haben, EUDI-Wallets bilden eine zusätzliche Option.

Viele Anwendungsfälle, die heute als Erfolgsgarant einer EUDI-Wallet diskutiert werden, existieren bereits und sind mit etablierten Verfahren oder Angeboten in der Praxis gelöst.   Beispiele sind die Altersverifikation (selective disclosure), das Mobile-Payment oder das Management von Organisationsidentitäten. Die EUDI-Wallet mag hier neue technische Standards bringen, in der praktischen Relevanz, Durchdringung und Akzeptanz vor Kunde ändert dies zunächst wenig.

Wichtig zu verstehen ist, dass die größte Herausforderung nicht in der technischen Umsetzung liegt – es gibt bereits einige Anwendungen und Lösungen, welche die entsprechenden Use Cases ermöglichen. Relevant ist vielmehr, welche Anreize Unternehmen und Nutzer haben sollten, auf ein EUDI-Wallet zu wechseln. Nur mit einem funktionierenden Ökosystem kann eine breite Akzeptanz erreicht werden.

3. Was ist bei der Akzeptanz von EUDI-Wallets zu beachten?

Mit EUDI-Wallets werden neue technische Standards und Protokolle für den Identitätsnachweis und die Übermittlung verifizierter Attribute eingeführt. Gleichzeitig müssen stets alle internationalen EUDI-Wallets aus ganz Europa akzeptiert werden. Der reine Identitätsnachweis mit EUDI-Wallets ist abschließend über die PID-Attribute (‚Personal ID Data‘) abgebildet, die z.B. Namen, Geburtsdatum und Nationalität verpflichtend umfassen, die Adresse oder die Ausweisnummer sind jedoch keine Pflichtfelder. Somit werden für die reine Identität weniger Attribute übermittelt, als sie heute bereits über die deutsche eID-Funktion verfügbar sind. Dies bedeutet eine Veränderung für etablierte Identifizierungs- und Geschäftsprozesse, da u.a. deutlicher zwischen der reinen Identitätsfeststellung und den relevanten Angaben für den Geschäftsprozess differenziert werden muss. Zudem muss der Akzeptanzpartner jeweils entscheiden, ob die neuen technischen Standards in die eigenen Geschäftsprozesse übernommen werden oder ob die Protokolle eingangs auf die etablierten Formate transformiert werden. Die Vorbereitung auf die Einführung der EUDI-Wallets sollte daher bereits frühzeitig starten.

4. Welches Vertrauensniveau bedienen die EUDI-Wallets?

Die hinterlegten PID-Attribute sind auf dem Vertrauensniveau ‚hoch‘ definiert und sollen grundsätzlich alle Anforderungen regulierter Sektoren für die Identitätsfeststellung von in der EU ansässigen Bürgerinnen und Bürgern bedienen. Konkret heißt dies, dass die Attribute zur Identitätsfeststellung im Sinne des GwG (Geldwäschegesetz), TKG (Telekommunikationsgesetz) sowie im Kontext von eIDAS und z.B. innerhalb der Telematik Infrastruktur des deutschen Gesundheitssektors verwendet werden können. Die weiteren Attribute der deutschen eID werden in deutschen EUDI-Wallets ebenso auf dem Niveau „hoch“ abgelegt sein. Ob eine biometrische Authentifizierung für den Abruf von Attributen möglich sein wird, wie dies das Vertrauensniveau und damit die Akzeptanz verändert und wie das entsprechende Nutzererlebnis z.B. für einen Onboarding-Prozess mit EUDI-Wallets in regulierten und nicht-regulierten Identifizierungs- oder Authentifizierungs-Prozessen aussehen kann, das ist Stand Januar 2025 noch ungeklärt.

5. Wird die Nutzung und Akzeptanz von EUDI-Wallets kostenfrei sein?

Für Bürgerinnen und Bürger sind die Nutzung der EUDI-Wallets inkl. Anlage der PID (in Deutschland mittels eID-Funktion) sowie die Ausstellung von privaten Signaturen (QES) kostenfrei. Unternehmen registrieren sich als Akzeptanzpartner (‚Verifier‘ oder ‚Relying Party‘) im öffentlich administrierten Ökosystem im Zuge eines kostenpflichtigen bzw. gebührenpflichtigen Prozesses. Ebenso müssen sich Herausgeber (‚Issuer‘) von Attributen registrieren, wobei es drei Arten von Attributen gibt: Erstens die PID, zweitens amtliche Attribute z.B. von Behörden und drittens privatwirtschaftliche Attribute, die entsprechend verifiziert werden. Die konkreten Gebühren für die Teilnahme am Ökosystem sind mit Hinblick auf den marktrelevanten Start von EUDI-Wallets ab Ende 2026 noch in Erarbeitung.

Die technische Anbindung und prozessuale Einbindung von EUDI-Wallets als eine (ggf. weitere) Identifizierungsmethode bringt Aufwände für die Relying Parties mit sich. Ebenso bedarf es eines Prozesses für die Herausgabe, also das Issuing von Attributen. Im Oktober 2024 stellte die Bundesregierung das grundlegende Geschäftsmodell für EUDI-Wallets in Deutschland vor: ‚Open free data‘. Für Relying Parties ist damit der Bezug aller Attribute aus dem EUDI-Wallet eines Nutzers kostenfrei. Ebenso werden Attribute von Issuern kostenfrei für die Ablage im EUDI-Wallet bereitgestellt. Es gibt folglich keine Abrechnungsbeziehung zwischen Issuer, Wallet-Betreiber und Relying Parties – was angesichts der europaweiten Offenheit und Diskrimierungsfreiheit des Ökosystems ohne weitere eIDAS-Vorgaben auch kaum abbildbar wäre.

Einzige Option ist, dass der Nutzer für die Ausstellung verifizierter digitaler Attribute bezahlen müsste. Die PID / eID-Funktion ist dabei durch die Gebühren für den Personalausweis abgedeckt. Bei amtlichen Attributen könnte die Ausstellung digitaler Bestätigungen in die Gebührentabelle übernommen werden – als Aufschlag oder als Abschlag. Für privatwirtschaftliche Attribute wird der Markt zeigen, ob eine Zahlungsbereitschaft beim Nutzer für die Ausstellung digitaler Attribute besteht, zumal wenn diese alternativ über andere Wege kostenfrei zur Verfügung stehen können (z.B. als Papier oder via PSDII-Anbindungen). Ggf. könnten Relying Parties bei der Akzeptanz der Attribute dem Nutzer mögliche Kosten oder Gebühren für die Austellung digitaler Attribute gutschreiben, da die Effizienz aus der Digitalisierung von Prozessen mit verifizierten Attributen letztlich vor allem auch bei der Relying Party entsteht – wenn diese Abwicklung eine kritische Masse erreicht. Die einzige Abrechnungsebene bietet somit der Nutzer selbst.

6. Wer bietet EUDI-Wallets an?

Jeder EU-Mitgliedsstaat hat sich über die eIDAS 2.0 Verordnung verpflichtet, ab Ende 2026 mindestens ein EUDI-Wallet Angebot für seine Bürgerinnen und Bürger im Markt bereitzustellen. Sei es über ein eigenes Angebot oder mittels Zulassung privatwirtschaftlicher Angebote. Jede EUDI-Wallet erfordert dabei eine entsprechende -jeweils nationale- Zertifizierung bzw. Zulassung.

Die Bundesregierung plant lt. BT-Drucksache 20/12796 vom 19. September 2024 zunächst eine nicht zertifizierte Vorab-Version einer deutschen EUDI-Wallet, die nur das reine Identifizieren von natürlichen Personen ermöglicht. Weitere Funktionen, wie z.B. qualifizierte elektronische Signaturen (QES) und weitere verifizierte Attribute (z. B.: Führerschein, Hochschulzeugnis, Mitgliedsausweis) sowie der Vor-Ort-Einsatz sollen später folgen. Der volle Funktionsumfang einer zertifizierten EUDI-Wallet wird erst für 24 Monate nach Inkrafttreten der entsprechenden beinahe 50 EU-Durchführungsrechtsakte avisiert – viele befinden sich Stand Januar 2025 noch in Diskussion. Als Zertifizierungsstelle wird das BSI (Bundesamt für Sicherheit in der Informationstechnik) in Zusammenarbeit mit der Deutsche Akkreditierungsstelle (DAkkS) erwähnt. Welche praktische Bedeutung eine nicht-zertifizierte Vorabversion einer deutschen EUDI-Wallet für Akzeptanzpartner in Privatwirtschaft und Öffentlichem Sektor haben kann, ist derzeit unklar. Ebenso sind Zertifizierungsanforderungen und -Prozesse derzeit unbekannt.

In Deutschland wird es zunächst ein staatliches EUDI-Wallet geben. Es gilt als wahrscheinlich, dass auch EUDI-Wallet Lösungen privater Anbieter -anschließend- über einen noch zu definierenden nationalen Zertifizierungsprozess zugelassen werden können. Angesichts des fehlenden direkten Geschäftsmodells für den Stand-Alone–Betrieb eines EUDI-Wallets ist zu erwarten, dass insbesondere groß skalierte Anbieter oder auf spezifische Zielgruppen bzw. Ökosysteme ausgerichtete Anbieter ein EUDI-Wallet in Ihr Angebot integrieren. Motive könnten dabei indirekte Geschäftsmodelle, optimierte Geschäftsprozesse in der Digitalisierung oder Aspekte wie Kundenservice oder Kundenbindung sein. Nicht unwahrscheinlich ist, dass EUDI-Wallets integraler Bestandteil der IOS / Android Betriebssysteme bzw. nativen Smartphone-Wallets in ganz Europa sein werden. Damit würden eine schnelle Verbreitung und hohe Nutzerfreundlichkeit von EUDI-Wallets stark unterstützt, ähnlich zum Mobile Payment. Die entsprechenden Anforderungen an die digitale Souveränität der sensiblen Identitätsdaten sind dabei für alle EUDI-Wallet Anbieter verbindlich im Architectual Reference Framework (ARF) der EU definiert bzw. werden anhand der nationalen Zulassungsprozesse überwacht. Angesichts der Standard-Integrationen in Smartphones müssen andere privatwirtschaftliche Anbieter also stets abwägen, welche Bedeutung ein spezifisches eigenes EUDI-Wallet Angebot in der eigenen App im Markt haben kann und wie angesichts von Entwicklungs- und Betriebsaufwänden die Kosten-Nutzen-Relation im diskriminierungsfreien Ökosystem zu bewerten sein wird.

EU-weit wird es zum Start somit mindestens 27 verschiedene EUDI-Wallets zuzüglich weiterer privatwirtschaftlicher Wallet-Angebote geben, welche in jedem Land bei jedem Herausgeber (‚Issuer‘) und bei jedem Akzeptanzpartner (‚Relying Party‘) für alle Attribute diskriminierungsfrei akzeptiert werden müssen.

7. Wie wird die breite Nutzung von EUDI-Wallets in der Praxis sichergestellt?

EUDI-Wallets bilden den Kern eines Ökosystems digitaler Identitäten. Erfolgskritisch wird, dass viele Bürgerinnen und Bürger EUDI-Wallets tatsächlich im Alltag nutzen, dass viele (verifizierte) Attribute verfügbar sind und dass es viele Akzeptanzstellen gibt. Regulierte und große Unternehmen werden zur Akzeptanz beim Onboarding und bei der Authentifizierung verpflichtet, was einen guten Startpunkt, jedoch noch keine Alltagsrelevanz definiert. Einstiegshürde bei Bürgerinnen und Bürgern wird in Deutschland die eID über die Onlineausweisfunktion des Personalausweises bleiben, welche Stand 2024 nur eine Verbreitung von ca. 22% hat. Nicht auszuschließen ist, dass mit Start der EUDI-Wallets im nahen Zeithorizont etablierte optische Identifizierungsverfahren, insbesondere das Video-Ident und auch das Foto-Ident in regulierten Sektoren aus Sicherheitsgründen untersagt werden, wie im deutschen Gesundheitswesen bereits 2022 geschehen. Dies würde die Transformation hin zu sicheren digitalen Verfahren, wie z.B. EUDI-Wallet, eID und Bank-Ident beschleunigen – allerdings zeigen regulierte Anwendungsfälle in der Regel auch eine geringe Alltagsrelevanz.

Ein sicherer Ausweis auf dem Smartphone bietet ohne praktische Anwendungsfälle sehr begrenzten Mehrwert. Eine Beschleunigung in Nutzung und Verbreitung könnten privatwirtschaftliche EUDI-Wallets bringen, die unmittelbar in das Nutzungserlebnis des Smartphones und von frequenzstarken Anwendungen eingebunden sind. Unter Umständen ist dabei förderlich, parallel –ggf außerhalb des eigentlichen EUDI-Wallets- für Massenanwendungen auch abgesenkte Vertrauensniveaus und einfache biometrische Authentifizierungen für ein bequemes Nutzungserlebnis zu bieten.

Neben dem ‚Online-Ausweisen‘ als aktuelle Kernanwendung der EUDI-Wallets muss sich das Ökosystem bezüglich der Anwendungen für weitere verifizierte Attribute noch entwickeln. Neben der reinen Identifizierung und Übermittlung verifizierter Attribute kann auch die starke Authentifizierung eine wichtige Rolle für die Verbreitung spielen – wenn z.B. die Funktion der heute etablierten Foto-TAN/Push-TAN-Apps der Onlinebanken zentral -somit bankenübergreifend- über die EUDI-Wallet des Nutzers abgebildet werden kann. Für die Identifizierung und Attribute müssen sich noch Prozesse etablieren, um die Breite relevanter Attribute zu erfassen und zu verifizieren. Hier werden als eIDAS-Rolle neu definierte qualifizierte Vertrauensdiensteanbieter (qTSP) unterstützen, um sogenannte QEAA („qualifizierte elektronisch attestierte Attribute“) zu liefern, mittels derer die Echtheit und Gültigkeit der jeweiligen Attribute bestätigt wird. Die Ausstellung kann dabei in der Praxis auch als EAA, also ohne das ‚q‘ für die Qualifizierung erfolgen, da die Qualifizierung im Wesentlichen nur für grenzüberschreitenden Anwendungsfälle relevant ist, die nicht die Masse der Nutzung bilden werden. Ebenso müssen Prozesse und Anwendungen bei Akzeptanzpartnern aufgebaut werden, so dass der Nutzende seine digitalen Attribute aus seinen EUDI-Wallets in der Praxis überhaupt relevant verwenden kann. Auch hier gilt, dass ein verifiziertes Attribut nur sehr wenig Mehrwert bieten würde, wenn es keine breite Anwendung im Sinne einer Akzeptanz bei Unternehmen und Behörden findet. Und diese Akzeptanz wird im Wesentlichen durch verbesserte Economics getrieben sein – welche erst entstehen können, wenn es ein breites Ökosystem gibt. Auf welche Weise sich also das Henne-Ei-Phänomen für die Breite Nutzung des EUDI-Wallet im Markt auflösen kann, ist Stand heute noch nicht absehbar.

Fakt bleibt, dass die Marktakzeptanz der EUDI-Wallet maßgeblich von dem praktisch nutzbaren Ökosystem und von den entsprechenden Anreizen abhängen wird. Erfolgreiche digitale Ökosysteme hatten deutlich bessere Voraussetzungen zum Start: Zum Beispiel das eRezept: Die Verpflichtende Nutzung und Akzeptanz für alle Teilnehmer des geschlossenen eHealth-Ökosystems -also insbesondere Ärzte, Apotheker und Krankenkassen-, die etablierte technologische Infrastruktur und der klare ökonomische Anreiz bei einzelnen Akzeptanzpartnern -vor allem Versandapotheken- führten dazu, dass die Einführung durch visible Kommunikation gestützt werden konnte. Weiteres Beispiel bildet das Mobile Payment, welches sich auf der bewährten technischen, prozessualen und kommerziellen Infrastruktur des Payment-Marktes schnell etablieren konnte. In diesem Vergleich sind für das EUDI-Wallet zahlreiche Aspekte noch zu lösen, was eine schnelle Verbreitung mindestens nicht zum Start sicherstellt.

Bis zur geplanten Einführung der EUDI-Wallet bleibt es wichtig, auf bewährte digitale Identifikationslösungen wie Ident & Sign zu setzen. Gleichzeitig bedarf es einer engen Zusammenarbeit zwischen staatlichen und privaten Akteuren, um die Grundlagen für eine breite Nutzung zu schaffen.

8. Sollten Unternehmen eigene EUDI-Wallets anbieten?

Es besteht die Möglichkeit, eine eigene EUDI-Wallet Lösung für seine Kunden anzubieten. Im spezifischen Kontext eines Unternehmens oder Ökosystems kann es sehr sinnvoll sein, ein eigenes EUDI-Wallet in die eigenen Apps einzubinden, um z. B. die Digitalisierung von Geschäftsprozessen im eigenen Ökosystem zu optimieren, Kundenservice zu bieten oder Kunden zu binden.

Unternehmen können zudem entscheiden, ob sie z.B. als Herausgeber von verifizierten Attributen (‚Issuer‘) und / oder als Akzeptanzpartner (‚Verifier‘) im Ökosystem agieren möchten. Das Angebot eines eigenen EUDI-Wallets eignet sich insbesondere, wenn spezifische eigene Attribute für die Digitalisierung benötigt werden und das eigene EUDI-Wallet besonders auf diese zugeschnitten sein kann – stets unter Beachtung der diskriminierungsfreien Akzeptanzvorgaben.

Je EU-Mitgliedsstaat müssen ein EUDI-Wallet und seine EUDI-Wallet-Infrastruktur ein nationales Zertifizierungsverfahren durchlaufen. Unklar ist derzeit, welche Vorteile daraus resultieren könnten, wenn ein Anbieter mit seiner EUDI-Wallet-Applikation und -Infrastruktur bereits in einem EU-Mitgliedsland zugelassen ist, und das EUDI-Wallet auch den Bürgerinnen und Bürgern anderer Mitgliedsstaaten angeboten und dafür entsprechend national zugelassen werden soll.

Für privatwirtschaftliche Angebote kann der Aufsatz auf einer bereits breit zugelassenen White Label Plattform mit modularen Bausteinen sinnvoll sein, um initiale Entwicklungsaufwände, den Aufwand für Zulassungsprozesse sowie die laufende Weiterentwicklungs- und Betriebsaufwände effizient zu strukturieren.

Verimi hat langjährige Erfahrung im Aufbau und Betrieb von regulierten ID-Wallets und bietet auch individuelle Lösungen für partnerspezifische Wallet-Angebote auf Basis der EUDI-Wallet-Standards bis hin zur kompletten White Label EUDI-Wallet Lösung unter der Marke des Partners für das Angebot im Markt.

9. Sind die technischen EUDI-Wallet Standards für mein eigenes Identitätsmanagement relevant?

Die EUDI-Wallet führt neue technische Standards ein, welche wesentliche Fortschritte für Effizienz und Sicherheit in der Verarbeitung digitaler Identitätsdaten bringen. Diese Standards sind für unternehmenseigene Lösungen sehr relevant, um die Vorteile der vertrauensvollen Verarbeitung digitaler Identitäten in Europa für eigene Anwendungen und spezifische Geschäftsprozesse zu nutzen. Zudem wird so gesichert, dass die eigenen Attribute von Nutzenden zu einem späteren Zeitpunkt ggf. auch im offenen Ökosystem gegenüber weiteren Akzeptanzpartnern verwendet werden könnten.

Gleichzeitig gilt es abzuwägen, wann der geeignete Zeitpunkt ist, um die neuen Standards in den eigenen Geschäftsprozessen einzusetzen bzw. eine Transformation auf diese Standards einzuleiten. Bis dahin können die neuen EUDI-Wallet Protokolle für die Verarbeitung in Bestandssystemen transformiert werden.

Verimi verfügt über langjährige Erfahrung in der Einbindung von digitalen Identitätsdaten in individuelle Anwendungsfälle und berät Sie gern dazu, welche Aspekte im Kontext Ihrer Systeme zu beachten sind.

10. Was ist mit Organisationsidentitäten – wird zwischen EUDI-Wallets für nnatürliche Personen und für juristische Personen unterschieden?

EUDI-Wallets sollen laut eIDAS-Verordnung sowohl die Identität natürlicher als auch juristischer Personen verarbeiten können. Der aktuelle Fokus aller Diskussionen und Piloten liegt auf den EUDI-Wallets für natürlichen Personen. Die Pflicht-Attribute der PID bilden die Grundlage jeder EUDI-Wallet für natürliche Personen. Ein derartig europaweit einheitlich definierter Datensatz ist für juristische Personen nicht verfügbar, was bereits im Kern den Aufsatz einer EUDI-Wallet rein für juristische Personen erschwert. Die Nachweise, beispielsweise über die Existenz, die Rechtsform, Merkmale oder Vertretungsvollmachten eines Unternehmens sind in zahlreichen nationalen Registern unterschiedlich hinterlegt und häufig sind diese nicht umfänglich digital verarbeitbar. So ist es bis zu einem eigenen EUDI-Wallet für juristische Personen noch ein sehr weiter Weg, das entsprechende Ökosystem muss sich ebenso noch entwickeln.

Statt einer universellen EUDI-Wallet für juristische Personen könnten aber bereits jetzt spezialisierte Wallets innerhalb spezifischer, geschlossener Ökosysteme eine praktikable Alternative darstellen. Diese können ausgewählte Elemente eines EUDI-Wallets adaptieren, um den individuellen Anforderungen von Unternehmen gerecht zu werden. Dazu können Module der EUDI-Wallet für natürliche Personen mit spezifischen Lösungsbausteinen kombiniert werden, um z.B. die Vertretungsvollmachten nachzuweisen.

Ein EUDI-Wallet für juristische Personen bleibt aktuell eine Vision. Komplexitäten wie die Vielzahl unterschiedlicher Rechtsformen in Deutschland und die bereits bestehenden Herausforderungen der PID für natürliche Personen zeigen, wie weit der Weg noch ist. Stattdessen könnte eine spezialisierte Lösung innerhalb spezifischer Ökosysteme, die Elemente eines EUDI-Wallets integriert, eine praktikable Alternative darstellen.

11. Was können Unternehmen aktuell tun?

EUDI-Wallets werden -frühestens- Ende 2026 in zertifizierter Form und damit relevant für den Markt verfügbar sein. Es ist dabei nicht unwahrscheinlich, dass sich die Zeitplanung für den Start noch weiter verzögern wird. Während sich die praktische Relevanz bei Bürgerinnen und Bürgern erst im Zeitverlauf entwickeln muss, so sind besonders regulierte und große Unternehmen verpflichtet, die EUDI-Wallets bereits zum Start für die Identifikation von Kunden (Onboarding) und als Authentifizierungskanal (2-FA) zu akzeptieren.

Die Akzeptanzverpflichtung birgt grundlegende Fragestellungen für Unternehmen, da EUDI-Wallets technisch und inhaltlich neue Standards einführen, die technisch und prozessual bedient werden müssen. Nachdem ein Grundverständnis der Implikationen in der Organisation verankert wurde, müssen daher etablierte Schnittstellen und Geschäftsprozesse auf den EUDI-Wallet-Fit validiert werden. Es werden Richtungsentscheidungen im Bezug auf Anpassungsumfänge, –Zeiten und –Prioritäten zu treffen sein und die Systeme müssen in der Folge vorbereitet werden. Ideal werden die Veränderungen anhand von ausgewählten Pilotanwendungen und Proof-of-Concept-Umsetzungen bereits deutlich vor dem produktiven Start im Markt verprobt. Daher empfiehlt sich ein frühzeitiger Start der entsprechenden Initiativen.

Verimi verfügt über umfassende Erfahrungen und know-how im Zusammenhang mit der Einbindung von ID-Wallet basierten Prozessen und unterstützt gern bei der Validierung des Validierung des EUDI-Wallet-Fits.

EINORDNUNG – WELCHEN EINFLUSS HABEN DIE EUDI-WALLETS AUF DAS ANGEBOT VON VERIMI?

Die EUDI-Wallets und eIDAS Standards sind integrierter Bestandteil des Serviceangebots bei Verimi. Die Standards der ‚verified credential‘ sind bereits heute produktiver Teil des Verimi ID-Wallet.

Bei den Verimi Ident-Services stehen EUDI-Wallets und das Ausweisen mit dem EUDI-Wallet -sobald verfügbar- neben allen etablierten Ident-Verfahren für alle Verimi-Partner bereit. Nutzer können damit also das Ausweisen mit dem EUDI-Wallet sowohl bei Verimi-Partnern als auch im Verimi ID-Wallet einfach und bequem alternativ zum Foto-Ident, Bank-Ident, Video-Ident und Local-Ident verwenden. Das Verimi ID-Wallet selbst wird -sobald sinnvoll möglich- auf alle relevanten Vorgaben des EUDI-Wallet-Standards aktualisiert und als EUDI-Wallet zugelassen. Für Partner werden die entsprechenden Belegdaten und Protokolle erweitert, etablierte Anbindungen können natürlich weiterhin genutzt werden.

Bei den Verimi White Label Plattformen ist das EUDI-Wallet ‚as-a-Service‘ verfügbar. Verimi entwickelt und betreibt individuelle Lösungen zum Identitätsmanagement für seine Partner. Das Spektrum reicht dabei von geschlossenen Ökosystemen unternehmenseigener Anwendungen bis zur unternehmensspezifischen EUDI-Wallet als Teil des offenen Ökosystems digitaler Identitäten in Europa.

Für eine Pilotierung einzelner Bausteine oder Geschäftsprozesse können entsprechende produktive POC-Anwendungen für Pilotumsetzungen eingesetzt werden.

GRUNDLAGEN ZUM EUDI-WALLET

Hier fassen wir kurz die wesentlichen Aspekte zum EUDI-Wallet für Sie zusammen. Zu beachten ist, dass zu diversen Aspekten die konkrete Ausarbeitung und Verabschiedung durch die EU und durch nationale Gremien zum Stand Ende 2024 noch andauert, so dass einzelne Veränderungen noch möglich sind.

Was ist die Kernidentität (PID) der EUDI-Wallets?

Im Zentrum der EUDI-Wallet stehen die sogenannten Personal ID Data (PID), welche grundlegende personenbezogene Daten wie Namen, Geburtsdatum, Geburtsort, Ausstellungsmerkmale des ID-Dokuments und die Nationalität verpflichtend für alle EU-Mitgliedsstaaten umfassen. Optional, aber nicht verpflichtend können dies auch z.B. die Adresse und die ID-Nummer sein.

In Deutschland wird die Kernidentität aus der eID, also aus der Online-Ausweisfunktion, abgeleitet. Dadurch wird ein hohes Vertrauensniveau (LoA High) für die Befüllung der deutschen EUDI-Wallet gewährleistet. In anderen europäischen Ländern werden jeweils nationale Grundlagen zur Erfassung der Kernidentität in den jeweiligen EUDI-Wallets definiert. Diese Kernidentität -der verpflichtende Umfang der PID- bildet die Basis für die Identifizierung, Authentifizierung und die digitale Unterschrift innerhalb der EUDI-Wallet. Das ermöglicht Unternehmen und öffentlichen Stellen, digitale Identitäten und darauf bezogene verifizierte Attribute zuverlässig zu nutzen, wodurch Prozesse wie Onboarding und Kundenverifizierung effizienter und sicherer werden – auch grenzüberschreitend in der EU.

Welche weiteren Attribute und Nachweise können in der EUDI-Wallet gespeichert werden?

Neben den Personal ID Data (PID) können Bürger und Bürgerinnen zusätzliche Attribute und Nachweise in ihre persönliche EUDI-Wallet aufnehmen. Dazu zählen zum einen verifizierte Kontaktdaten, wie z.B. Adresse, eMail-Adresse, Mobilfunknummern. Zum anderen z.B. verifizierte Nachweise von Qualifikationen, Erlaubnissen, Merkmalen oder Rechten – wie zum Beispiel Fahrerlaubnisse, Bildungsabschlüsse, Berufszertifikate oder Zulassungen und Vollmachten. Diese und weitere verifiziert verfügbaren Attribute ermöglichen eine einfache und schnelle Nutzung vieler existierender oder neu hinzukommender digitaler Anwendungen, zum Beispiel in der öffentlichen Verwaltung, in der Bildung, bei Finanzdienstleistungen oder in der Mobilität.

Die allgemein anerkannte Verifizierung der Attribute wird im Rahmen der eIDAS-Verordnung durch die Einführung eines neuen Vertrauensdienstes ermöglicht: Für die „qualifizierte elektronische Attestierung von Attributen“ (QEAA) werden qualifizierte Vertrauensdiensteanbieter (qTSP) als ausstellende Instanz befähigt, die Echtheit der jeweiligen Attribute zu prüfen und zu bestätigen. Die „Qualifizierung“ wird insbesondere in grenzüberschreitenden Anwendungen relevant.

Was ist die eIDAS-Verordnung und wie steht sie im Zusammenhang mit der EUDI-Wallet?

Die EUDI-Wallet basiert auf der novellierten eIDAS-Verordnung (eIDAS 2.0). Diese verpflichtet alle EU-Mitgliedstaaten, bis spätestens Ende 2026 eine digitale Brieftasche einzuführen, um die digitale Identität der Bürger zu vereinheitlichen. Ab 2027 sollen Unternehmen das EUDI-Wallet akzeptieren. Ziel ist es, dass bis 2030 mindestens 80 % der EU-Bevölkerung EUDI-Wallets nutzen.

Wie werden EUDI-Wallets technisch umgesetzt?

Die EU und ihre Mitgliedstaaten haben im sogenannten Architecture and Reference Framework (ARF) technische Vorgaben definiert, die sicherstellen, dass die EUDI-Wallets in ganz Europa auf einem einheitlichen Standard basieren und somit interoperabel sind. In Deutschland wird der Entwicklungsprozess bereits aktiv vorangetrieben, wobei nationale Standards wie die eID in Deutschland als Grundlage dienen.

Welche Vorteile bieten EUDI-Wallets für die Bevölkerung?

Die EUDI-Wallet bietet Bürgerinnen und Bürgern zahlreiche Vorteile, insbesondere im Hinblick auf die Vereinfachung alltäglicher Prozesse. Durch die verifizierte digitale Ablage von Nachweisen, wie dem Personalausweis, Führerschein oder anderen Attributen, ermöglichen EUDI-Wallets sichere und schnelle Prozesse sowohl im öffentlichen als auch im privaten Sektor. Nutzende können sich europaweit online authentifizieren, ohne immer wieder dieselben Informationen zu erfassen bzw. verifizieren zu lassen. Gleichzeitig behalten sie die volle Kontrolle über ihre Daten, da sie selbst bestimmen, welche Informationen sie mit wem teilen (‚selective disclosure‘).

Darüber hinaus bietet das EUDI-Wallet die Möglichkeit, qualifizierte elektronische Signaturen (QES) direkt in der Wallet anzufertigen, was digitale Vereinbarungen, wie z.B. Verträge stark vereinfacht und rechtlich bindend macht.

Welche Vorteile bieten EUDI-Wallets für Unternehmen?

Für Unternehmen bringt die EUDI-Wallet erhebliche Effizienzsteigerungen in digitalen Geschäftsprozessen. Durch die hohe Vertrauensstufe (LoA high) und die Möglichkeit der schnellen Verifikation digitaler Identitäten können Unternehmen kostspielige und zeitaufwendige Prüfungen von Identitäten und weiteren Attribute reduzieren. Dies ist besonders relevant für Unternehmen, die regulatorischen Anforderungen zum Beispiel bei KYC-Prozessen (Know Your Customer) unterliegen.

Zusätzlich bieten EUDI-Wallets die Flexibilität, verifizierte Nachweise aller Art als Attribute einzubinden, was digitale Geschäftsprozesse effizienter gestaltet oder angesichts des gesicherten Vertrauensnetzwerks überhaupt erst möglich macht.

Müssen Unternehmen EUDI-Wallets akzeptieren?

  • Regulierte Branchen: Ja, in regulierten Sektoren sieht die eIDAS 2.0 eine verbindliche Akzeptanz der EUDI-Wallets als Ausweis- und Authentifizierungsinstrument vor.
  • Nicht-regulierte Branchen: Für sehr große Plattformen sieht die eIDAS eine verbindliche Akzeptanz der EUDI-Wallets als Ausweis- und Authentifizierungsinstrument vor. Andere Unternehmen können dies auf freiwilliger Basis tun.

Relevant ist, dass stets alle zugelassenen EUDI-Wallets aus Europa diskriminierungsfrei akzeptiert werden müssen. Akzeptanzpartner haben insofern keine Auswahl- oder Präferenzoption für einzelne EUDI-Wallets. Dies wird auch bezüglich möglicher kommerzieller Abrechnungsmodelle für verifizierte Attribute zu beachten sein.