EUDI-WALLETS – DIE WICHTIGSTEN FRAGEN & ANTWORTEN FÜR UNTERNEHMEN
Standardisierte Wallets für das Management digitaler Identitätsdaten, sogenannte EUDI-Wallets (European Digital Identity Wallet) kommen in Europa. Alle Mitgliedstaaten der EU haben sich mit der Verabschiedung der eIDAS 2.0 Verordnung am 26. März 2024 verpflichtet, ihren Bürgern und allen juristischen Personen bis zum 21. November 2026 mindestens eine solche EUDI-Wallet zur Verfügung zu stellen. Wir beantworten die 10 wichtigsten Kernfragen für die praktischen Konsequenzen in den Unternehmen in Deutschland.
10 KERNFRAGEN FÜR UNTERNEHMEN
- Was ist sind EUDI-Wallets und wann kommen sie?
Die EUDI-Wallets (European Digital Identity Wallet) werden digitale Brieftaschen als App auf dem Smartphone. Sie ermöglichen es Bürgern und Bürgerinnen, ihre Identitätsdaten und verifizierte Attribute aus wichtigen Nachweisen wie z.B. dem Personalausweis, aus dem Führerschein oder aus Zeugnissen in digitalen Anwendungen sicher einzusetzen. Zudem können Nutzende rechtsverbindliche digitale Unterschriften im EUDI-Wallet erzeugen. EUDI-Wallets werden kostenfrei nutzbar sein.
Alle EU-Staaten haben sich verpflichtet, ihren Bürgerinnen und Bürgern jeweils mindestens eine national zertifizierte und zugelassene EUDI-Wallet ab Ende November 2026 anzubieten. Eine weitere Frist der eIDAS besagt zudem, dass jeder Mitgliedstaat erst innerhalb von 24 Monaten nach Inkrafttreten benannter Durchführungsrechtsakte eine solche EUDI-Wallet bereitstellen muss – die betreffenden Durchführungsrechtsakte befinden sich Stand Oktober 2024 noch in Diskussion auf EU-Ebene.
Zur Umsetzung werden aktuell verschiedene technische Standards im Rahmen des Architectual Reference Frameworks (ARF) erarbeitet. Insgesamt werden beinahe 50 EU-Durchführungsrechtsakte erwartet, die einheitliche Umsetzungsstandards definieren, um ein europäisches und interoperables Ökosystem zu schaffen.
- Wie verändert sich das Onboarding von Kunden mit dem Start der EUDI-Wallets?
Das EUDI-Wallet in Deutschland wird auf der eID-Funktion des Personalausweises basieren, deren praktische Nutzung in der Bevölkerung laut E-Government Monitor 2024 aktuell bei lediglich 22% liegt. Bereits die Initialisierung einer deutschen EUDI-Wallet soll grundsätzlich den Einsatz der eID voraussetzen.
Das EUDI-Wallet wird somit das Angebot an Identifizierungsmethoden für das Onboarding ergänzen, bestimmte Sektoren und Unternehmen sind dabei zur Akzeptanz von EUDI-Wallets verpflichtet. Frühestens zu Ende November 2026 werden die funktionsfähigen EUDI-Wallets im Markt sichtbar, eine mögliche Marktrelevanz kann sich erst frühestens ab 2027 sukzessive entwickeln. Die etablierten Identifizierungsmethoden wie z.B. Foto-Ident, Bank-Ident oder Local-Ident werden somit weiterhin eine sehr große Bedeutung für die praktische Reichweite beim Onboarding von Kunden haben.
- Was ist bei der Akzeptanz von EUDI-Wallets zu beachten?
Mit EUDI-Wallets werden neue technische Standards und Protokolle für den Identitätsnachweis eingeführt. Gleichzeitig müssen stets alle internationalen EUDI-Wallets aus ganz Europa akzeptiert werden. Der reine Identitätsnachweis mit EUDI-Wallets ist abschließend über die PID-Attribute (‚Personal ID Data‘) abgebildet, die lediglich Name, Vorname, Geburtsdatum und Nationalität umfassen. Dies bedeutet eine Veränderung für etablierte Identifizierungs- und Geschäftsprozesse. Zudem muss der Akzeptanzpartner jeweils entscheiden, ob die neuen technischen Standards in die eigenen Geschäftsprozesse übernommen werden oder ob die Protokolle eingangs auf die etablierten Formate transformiert werden. Die Vorbereitung auf die Einführung der EUDI-Wallets sollte daher bereits frühzeitig starten.
- Welches Vertrauensniveau bedienen die EUDI-Wallets?
Die hinterlegten PID-Attribute sind auf dem Vertrauensniveau ‚hoch‘ definiert und sollen grundsätzlich alle Anforderungen regulierter Sektoren für die Identitätsfeststellung von in der EU ansässigen Bürgerinnen und Bürgern bedienen. Konkret heißt dies, dass die Attribute zur Identitätsfeststellung im Sinne des GwG (Geldwäschegesetz), TKG (Telekommunikationsgesetz) sowie im Kontext von eIDAS und z.B. innerhalb der Telematik Infrastruktur des deutschen Gesundheitssektors verwendet werden können. Die weiteren Attribute der deutschen eID werden in deutschen EUDI-Wallets ebenso auf dem Niveau „hoch“ abgelegt sein. Ob eine biometrische Authentifizierung für den Abruf von Attributen möglich sein wird und wie das entsprechende Nutzererlebnis z.B. für einen Onboarding-Prozess mit EUDI-Wallets in regulierten und nicht-regulierten Identifizierungs- oder Authentifizierungs-Prozessen aussehen kann, das ist dabei Stand Oktober 2024 noch ungeklärt.
- Wird die Nutzung und Akzeptanz von EUDI-Wallets kostenfrei sein?
Für Bürgerinnen und Bürger ist die Nutzung der EUDI-Wallets inkl. Anlage der PID (in Deutschland mittels eID-Funktion) sowie die Ausstellung von privaten Signaturen (QES) kostenfrei. Unternehmen registrieren sich als Akzeptanzpartner (‚Verifier‘ oder ‚Relying Party‘) im öffentlich administrierten Ökosystem im Zuge eines kostenpflichtigen Prozesses. Die technische Anbindung von EUDI-Wallets als eine (ggf. weitere) Identifizierungsmethode sowie der Bezug verifizierter Attribute bringt u.U. Aufwände mit sich. Die konkreten Konditionen sind mit Hinblick auf den marktrelevanten Start von EUDI-Wallets ab Ende 2026 noch in Erarbeitung.
- Wer bietet EUDI-Wallets an?
Jeder EU-Mitgliedsstaat hat sich über die eIDAS 2.0 Verordnung verpflichtet, ab Ende 2026 mindestens ein EUDI-Wallet Angebot für seine Bürgerinnen und Bürger im Markt bereitzustellen. Jede EUDI-Wallet erfordert eine entsprechende Zertifizierung.
Die Bundesregierung plant lt. BT-Drucksache 20/12796 vom 19. September 2024 zunächst eine nicht zertifizierte Vorab-Version einer deutschen EUDI-Wallet, die nur das reine Identifizieren von natürlichen Personen ermöglicht. Weitere Funktionen, wie z.B. qualifizierte elektronische Signaturen (QES) und weitere verifizierte Attribute (z. B.: Führerschein, Hochschulzeugnis, Mitgliedsausweis) sowie der Vor-Ort-Einsatz sollen später folgen. Der volle Funktionsumfang einer zertifizierten EUDI-Wallet wird erst für 24 Monate nach Inkrafttreten der entsprechenden Durchführungsrechtsakte avisiert – diese befinden sich Stand Oktober 2024 noch in Diskussion. Als Zertifizierungsstelle wird das BSI (Bundesamt für Sicherheit in der Informationstechnik) erwähnt. Welche praktische Bedeutung eine nicht-zertifizierte Vorabversion einer deutschen EUDI-Wallet für Akzeptanzpartner in Privatwirtschaft und Öffentlichem Sektor haben kann, ist derzeit unklar.
Somit ist für Deutschland zunächst ein staatliches EUDI-Wallet zu erwarten. Es gilt als wahrscheinlich, dass auch EUDI-Wallet Lösungen privater Anbieter -anschließend- über einen noch zu definierenden nationalen Zertifizierungsprozess zugelassen werden können. EU-weit wird es zum Start somit mindestens 28 verschiedene EUDI-Wallets geben, welche in jedem Land diskriminierungsfrei akzeptiert werden müssen.
- Wie wird die breite Nutzung von EUDI-Wallets in der Praxis sichergestellt?
EUDI-Wallets bilden den Kern eines Ökosystems digitaler Identitäten. Erfolgskritisch wird, dass viele Bürgerinnen und Bürger EUDI-Wallets tatsächlich im Alltag nutzen und dass es viele Akzeptanzstellen gibt. Regulierte und große Unternehmen werden zur Akzeptanz verpflichtet, was einen guten Startpunkt jedoch noch keine Alltagsrelevanz definiert. Einstiegshürde bei Bürgerinnen und Bürgern wird in Deutschland die eID über die Onlineausweisfunktion des Personalausweises bleiben, welche Stand 2024 nur eine Verbreitung von ca. 22% hat.
Ein sicherer Ausweis auf dem Smartphone bietet ohne praktische Anwendungsfälle sehr begrenzten Mehrwert. Eine Beschleunigung in Nutzung und Verbreitung könnten privatwirtschaftliche EUDI-Wallets bringen, die unmittelbar in das Nutzungserlebnis des Smartphones und von frequenzstarken Anwendungen eingebunden sind. Unter Umständen ist dabei förderlich, parallel auch für Massenanwendungen abgesenkte Vertrauensniveaus und biometrische Authentifizierungen für ein bequemes Nutzungserlebnis zu bieten.
Neben dem ‚Online-Ausweisen‘ als Kernanwendung der EUDI-Wallets muss sich das Ökosystem bezüglich der Anwendungen für weitere verifizierte Attribute noch entwickeln. Zum einen müssen sich zum Beispiel Prozesse etablieren, um die Breite relevanter Attribute zu erfassen und zu verifizieren. Hier werden als eIDAS-Rolle neu definierte qualifizierte Vertrauensdiensteanbieter (qTSP) unterstützen, um sogenannte QEAA („qualifizierte elektronisch attestierte Attribute“) zu liefern, mittels derer die Echtheit und Gültigkeit der jeweiligen Attribute bestätigt wird. Zum anderen müssen Prozesse und Anwendungen aufgebaut werden, so dass der Nutzende seine digitalen Attribute aus seinen EUDI-Wallets in der Praxis überhaupt relevant verwenden kann. Auch hier gilt, dass ein verifiziertes Attribut nur sehr wenig Mehrwert bieten würde, wenn es keine breite Anwendung findet.
Somit ist der Start der EUDI-Wallets ein sehr wichtiger Startpunkt für ein komplettes Ökosystem, welches sich dann allerdings erst über viele Jahre und Jahrzehnte in der Praxis entwickeln muss.
- Sollten Unternehmen eigene EUDI-Wallets anbieten?
Die Möglichkeit besteht. Unternehmen können entscheiden, ob sie z.B. als Herausgeber von verifizierten Attributen (‚Issuer‘), als Akzeptanzpartner (‚Verifier‘) oder auch als EUDI-Wallet Anbieter im Ökosystem agieren möchten. Dabei sind die spezifischen Aufwände bzw. die möglichen Erträge aus jeder Rolle im individuellen Kontext zu bewerten. Je EU-Mitgliedsstaat müssen ein EUDI-Wallet und seine EUDI-Wallet-Infrastruktur ein nationales Zertifizierungsverfahren durchlaufen. Für privatwirtschaftliche Angebote kann daher der Aufsatz auf einer bereits zugelassenen White Label Plattform sinnvoll sein, um initiale Entwicklungsaufwände sowie laufende Weiterentwicklungs- und Betriebsaufwände effizient zu strukturieren.
Verimi hat langjährige Erfahrung im Aufbau und Betrieb von regulierten ID-Wallets und bietet auch individuelle Lösungen für partnerspezifische Wallet-Angebote auf Basis der EUDI-Wallet-Standards bis hin zur kompletten White Label EUDI-Wallet Lösung unter der Marke des Partners für das Angebot im Markt.
- Sind die technischen EUDI-Wallet Standards für mein eigenes Identitätsmanagement relevant?
Die EUDI-Wallet führt neue technische Standards ein, welche wesentliche Fortschritte für Effizienz und Sicherheit in der Verarbeitung digitaler Identitätsdaten bringen. Diese Standards sind für unternehmenseigene Lösungen sehr relevant, um die Vorteile der vertrauensvollen Verarbeitung digitaler Identitäten in Europa für eigene Anwendungen und spezifische Geschäftsprozesse zu nutzen. Zudem wird so gesichert, dass die eigenen Attribute von Nutzenden zu einem späteren Zeitpunkt ggf. auch im offenen Ökosystem gegenüber weiteren Akzeptanzpartnern verwendet werden könnten. Verimi verfügt über langjährige Erfahrung in der Einbindung von digitalen Identitätsdaten in individuelle Anwendungsfälle und berät Sie gern dazu, welche Aspekte im Kontext Ihrer Systeme zu beachten sind.
- Was können Unternehmen aktuell tun?
EUDI-Wallets werden Ende 2026 verfügbar sein. Während sich die praktische Relevanz bei Bürgerinnen und Bürgern erst im Zeitverlauf entwickeln muss, so sind besonders regulierte und große Unternehmen verpflichtet, die EUDI-Wallets bereits zum Start für die Identifikation von Kunden (Onboarding) und als Authentifizierungskanal (2-FA) zu akzeptieren.
Die Akzeptanzverpflichtung birgt grundlegende Fragestellungen für Unternehmen, da EUDI-Wallets technisch und inhaltlich neue Standards einführen, die bedient werden müssen. Nachdem ein Grundverständnis der Implikationen in der Organisation verankert wurde, müssen daher etablierte Schnittstellen und Geschäftsprozesse auf den EUDI-Wallet-Fit validiert werden. Es werden Richtungsentscheidungen im Bezug auf Anpassungsumfänge, -Zeiten und -Prioritäten zu treffen sein und die Systeme müssen in der Folge vorbereitet werden. Ideal werden die Veränderungen anhand von ausgewählten Pilotanwendungen und Proof-of-Concept-Umsetzungen bereits deutlich vor dem produktiven Start im Markt verprobt. Daher empfiehlt sich ein frühzeitiger Start der entsprechenden Initiativen.
Verimi verfügt über umfassende Erfahrungen und know-how im Zusammenhang mit der Einbindung von ID-Wallet basierten Prozessen und unterstützt gern bei der Validierung des EUDI-Wallet-Fits.
EINORDNUNG – WELCHEN EINFLUSS HABEN DIE EUDI-WALLETS AUF DAS ANGEBOT VON VERIMI?
Die EUDI-Wallets und eIDAS Standards sind integrierter Bestandteil des Serviceangebots bei Verimi. Die Standards der ‚verified credential‘ sind bereits heute produktiver Teil des Verimi ID-Wallet.
Bei den Verimi Ident-Services stehen EUDI-Wallets und das Ausweisen mit dem EUDI-Wallet -sobald verfügbar- neben allen etablierten Ident-Verfahren für alle Verimi-Partner bereit. Nutzer können damit also das Ausweisen mit dem EUDI-Wallet sowohl bei Verimi-Partnern als auch im Verimi ID-Wallet einfach und bequem alternativ zum Foto-Ident, Bank-Ident, Video-Ident und Local-Ident verwenden. Das Verimi ID-Wallet selbst wird -sobald möglich- auf alle relevanten Vorgaben des EUDI-Wallet-Standards aktualisiert und als EUDI-Wallet zugelassen. Für Partner werden die entsprechenden Belegdaten und Protokolle erweitert, etablierte Anbindungen können natürlich weiterhin genutzt werden.
Bei den Verimi White Label Plattformen ist das EUDI-Wallet ‚as-a-Service‘ verfügbar. Verimi entwickelt und betreibt individuelle Lösungen zum Identitätsmanagement für seine Partner. Das Spektrum reicht dabei von geschlossenen Ökosystemen unternehmenseigener Anwendungen bis zur unternehmensspezifischen EUDI-Wallet als Teil des offenen Ökosystems digitaler Identitäten in Europa.
Für eine Pilotierung einzelner Bausteine oder Geschäftsprozesse können entsprechende produktive POC-Anwendungen für Pilotumsetzungen eingesetzt werden.
GRUNDLAGEN ZUM EUDI-WALLET
Hier fassen wir kurz die wesentlichen Aspekte zum EUDI-Wallet für Sie zusammen. Zu beachten ist, dass zu diversen Aspekten die konkrete Ausarbeitung und Verabschiedung durch die EU und durch nationale Gremien zum Stand Ende 2024 noch andauert, so dass einzelne Veränderungen noch möglich sind.
Was ist die Kernidentität (PID) der EUDI-Wallets?
Im Zentrum der EUDI-Wallet stehen die sogenannten Personal ID Data (PID), welche grundlegende personenbezogene Daten wie Vorname, Nachname, Geburtsdatum und Nationalität umfassen. In Deutschland wird die Kernidentität aus der eID, also aus der Online-Ausweisfunktion abgeleitet. Dadurch wird ein hohes Vertrauensniveau (LoA High) für die Befüllung der deutschen EUDI-Wallet gewährleistet. In anderen europäischen Ländern werden jeweils nationale Grundlagen zur Erfassung der Kernidentität in den jeweiligen EUDI-Wallets definiert. Diese Kernidentität bildet die Basis für die Identifizierung, Authentifizierung und die digitale Unterschrift innerhalb der EUDI-Wallet. Das ermöglicht Unternehmen und öffentlichen Stellen, digitale Identitäten und darauf bezogene verifizierte Attribute zuverlässig zu nutzen, wodurch Prozesse wie Onboarding und Kundenverifizierung effizienter und sicherer werden – auch grenzüberschreitend in der EU.
Welche weiteren Attribute und Nachweise können in der EUDI-Wallet gespeichert werden?
Neben den Personal ID Data (PID) können Bürger und Bürgerinnen zusätzliche Attribute und Nachweise in ihre persönliche EUDI-Wallet aufnehmen. Dazu zählen zum einen verifizierte Kontaktdaten, wie z.B. Adresse, eMail-Adresse, Mobilfunknummern. Zum anderen z.B. verifizierte Nachweise von Qualifikationen, Erlaubnissen, Merkmalen oder Rechten – wie zum Beispiel Fahrerlaubnisse, Bildungsabschlüsse, Berufszertifikate oder Zulassungen und Vollmachten. Diese und weitere verifiziert verfügbaren Attribute ermöglichen eine einfache und schnelle Nutzung vieler existierender oder neu hinzukommender digitaler Anwendungen, zum Beispiel in der öffentlichen Verwaltung, in der Bildung, bei Finanzdienstleistungen oder in der Mobilität.
Die allgemein anerkannte Verifizierung der Attribute wird im Rahmen der eIDAS-Verordnung durch die Einführung eines neuen Vertrauensdienstes ermöglicht: Für die „qualifizierte elektronische Attestierung von Attributen“ (QEAA) werden qualifizierte Vertrauensdiensteanbieter (qTSP) als ausstellende Instanz befähigt, die Echtheit der jeweiligen Attribute zu prüfen und zu bestätigen.
Was ist die eIDAS-Verordnung und wie steht sie im Zusammenhang mit der EUDI-Wallet?
Die EUDI-Wallet basiert auf der novellierten eIDAS-Verordnung (eIDAS 2.0). Diese verpflichtet alle EU-Mitgliedstaaten, bis spätestens Ende 2026 eine digitale Brieftasche einzuführen, um die digitale Identität der Bürger zu vereinheitlichen. Ab 2027 sollen Unternehmen das EUDI-Wallet akzeptieren. Ziel ist es, dass bis 2030 mindestens 80 % der EU-Bevölkerung EUDI-Wallets nutzen.
Wie werden EUDI-Wallets technisch umgesetzt?
Die EU und ihre Mitgliedstaaten haben im sogenannten Architecture and Reference Framework (ARF) technische Vorgaben definiert, die sicherstellen, dass die EUDI-Wallets in ganz Europa auf einem einheitlichen Standard basieren und somit interoperabel sind. In Deutschland wird der Entwicklungsprozess bereits aktiv vorangetrieben, wobei nationale Standards wie die eID in Deutschland als Grundlage dienen.
Welche Vorteile bieten EUDI-Wallets für die Bevölkerung?
Die EUDI-Wallet bietet Bürgerinnen und Bürgern zahlreiche Vorteile, insbesondere im Hinblick auf die Vereinfachung alltäglicher Prozesse. Durch die verifizierte digitale Ablage von Nachweisen, wie dem Personalausweis, Führerschein oder anderen Attributen, ermöglichen EUDI-Wallets sichere und schnelle Prozesse sowohl im öffentlichen als auch im privaten Sektor. Nutzende können sich europaweit online authentifizieren, ohne immer wieder dieselben Informationen zu erfassen bzw. verifizieren zu lassen. Gleichzeitig behalten sie die volle Kontrolle über ihre Daten, da sie selbst bestimmen, welche Informationen sie mit wem teilen (‚selective disclosure‘).
Darüber hinaus bietet das EUDI-Wallet die Möglichkeit, qualifizierte elektronische Signaturen (QES) direkt in der Wallet anzufertigen, was digitale Vereinbarungen, wie z.B. Verträge stark vereinfacht und rechtlich bindend macht.
Welche Vorteile bieten EUDI-Wallets für Unternehmen?
Für Unternehmen bringt die EUDI-Wallet erhebliche Effizienzsteigerungen in digitalen Geschäftsprozessen. Durch die hohe Vertrauensstufe (LoA high) und die Möglichkeit der schnellen Verifikation digitaler Identitäten können Unternehmen kostspielige und zeitaufwendige Prüfungen von Identitäten und weiteren Attribute reduzieren. Dies ist besonders relevant für Unternehmen, die regulatorischen Anforderungen zum Beispiel bei KYC-Prozessen (Know Your Customer) unterliegen.
Zusätzlich bieten EUDI-Wallets die Flexibilität, verifizierte Nachweise aller Art als Attribute einzubinden, was digitale Geschäftsprozesse effizienter gestaltet oder angesichts des gesicherten Vertrauensnetzwerks überhaupt erst möglich macht.
Müssen Unternehmen EUDI-Wallets akzeptieren?
- Regulierte Branchen: Ja, in regulierten Sektoren sieht die eIDAS 2.0 eine verbindliche Akzeptanz der EUDI-Wallets als Ausweis- und Authentifizierungsinstrument vor.
- Nicht-regulierte Branchen: Für sehr große Plattformen sieht die eIDAS eine verbindliche Akzeptanz der EUDI-Wallets als Ausweis- und Authentifizierungsinstrument vor. Andere Unternehmen können dies auf freiwilliger Basis tun.
Relevant ist, dass stets alle zugelassenen EUDI-Wallets aus Europa diskriminierungsfrei akzeptiert werden müssen. Akzeptanzpartner haben insofern keine Auswahl- oder Präferenzoption für einzelne EUDI-Wallets. Dies wird auch bezüglich möglicher kommerzieller Abrechnungsmodelle für verifizierte Attribute zu beachten sein.