Digitale Identitätslösungen sind in der Europäischen Union schon lange keine Seltenheit mehr, in nordischen Ländern wie Dänemark, Schweden, Norwegen und Finnland sind sie z. B. bereits weit verbreitet.
Diese Entwicklung nahm etwa um die Jahrtausendwende ihren Anfang: Vor dem Hintergrund geänderter EU-Richtlinien, die digitale Identitäten mit physischen Ausweisdokumenten gleichstellen sollten, begannen einige europäische Länder, die Möglichkeiten von eIDs zu untersuchen und entsprechende Systeme einzuführen. Diese Entwicklungen waren jedoch innerhalb nationaler Landesgrenzen begrenzt.
Mit Inkrafttreten der eIDAS-Verordnung im Jahr 2016 wurde ein gemeinsamer Rahmen für elektronische Identifizierungen und Transaktionen in den EU-Mitgliedsstaaten geschaffen, der seit 2018 auch Bestimmungen zur eID enthält. Damit sollte erreicht werden, dass die EU-Mitgliedsstaaten ihre verschiedenen eID-Systeme gegenseitig anerkennen, um eine bessere Interoperabilität über Landesgrenzen hinaus zu ermöglichen.
Verabschiedung eIDAS 2.0
Schauen Sie auch in unseren Blog „ EUDI-Wallets: Was Unternehmen jetzt wissen müssen. Die wichtigsten 10 Fragen & Antworten!“. Welche Anforderungen und Vorteile eIDAS 2.0 für Unternehmen bereithält und wie Sie sich darauf vorbereiten können, erfahren Sie hier.
Im März 2024 wurde nun die eIDAS 2.0-Verordnung verabschiedet. Sie sieht vor, dass die EU-Mitgliedstaaten allen Bürgern bis 2026 sogenannte „EUDI-Wallets“ (European Digital Identity Wallets) anbieten müssen, die auf einheitlichen technischen Standards basieren.
Die neuen Standards werden nicht nur das digitale Nutzererlebnis von Kunden beeinflussen, sondern auch digitale Geschäftsprozesse von Unternehmen. Für Unternehmen ist es deshalb essenziell, sich auf die EUDI-Wallets einzustellen – denn mit der richtigen Vorbereitung eröffnen sich nicht nur Pflichten, sondern auch Chancen.
Was ist eIDAS 2.0?
eIDAS steht für „Electronic Identification, Authentication and Trust Services“ und ist eine Verordnung der EU. Die eIDAS 2.0-Verordnung schreibt insbesondere vor, dass alle EU-Mitgliedstaaten ihren Bürgern bis 2026 sogenannte „EUDI-Wallets“ anbieten. Diese EUDI-Wallets basieren auf einheitlichen technischen Standards und beinhalten verifizierte persönliche Attribute (sogenannte „PID“ Personal Identification Data), mit denen sich BürgerInnen im digitalen Ökosystem identifizieren. Konkret bedeutet dies:
- ID-Wallets sind mittels der EU-Verordnung in Europa ab 2026 verpflichtend verankert für das Teilen, Verwalten und Nutzen verifizierter Identitätsdaten
- BürgerInnen hinterlegen ihren Personalausweis sowie in Zukunft z. B. auch Führerschein und weitere Attribute (z. B. Zeugnisse, Mitgliedsausweise, ÖPNV-Tickets) bequem in sicheren EUDI-Wallets
- Unternehmen sind verpflichtet, die EUDI-Wallets in ihren Geschäftsprozessen zu akzeptieren. Diese Pflicht trifft auf Unternehmen aus regulierten Sektoren zu, und auch nicht-regulierte dürfen die Wallets akzeptieren. Anwendungsfälle sind insbesondere das Onboarding, die starke Authentifizierung sowie das digitale Unterschreiben.
Welche Auswirkungen hat
eIDAS 2.0 auf mein Unternehmen?
Die eIDAS-Verordnung hat das Ziel, die vertrauenswürdige Interaktion in der digitalen Welt rechtssicher und nutzerfreundlich zu gestalten. Sie definiert gesetzlich bindende Umsetzungsfristen für alle EU-Mitgliedsstaaten und betroffene Organisationen.
- Regulierte Sektoren sind verpflichtet, die EUDI-Wallets einzubinden. Dazu gehören z. B. die Sektoren Gesundheit, Transport/Mobilität, Energie, Banken und Finanzen, Postdienste, Bildung, digitale Infrastruktur und Trinkwasser. Auch große Plattformen wie z. B. Apple, Google, Facebook oder auch Zalando werden als sogenannte ‚Gatekeeper‘ durch die EU-Verordnung verpflichtet, die EUDI-Wallets einzubinden.
- Die verpflichtende Einbindung von EUDI-Wallets beschleunigt das Ökosystem digitaler Identitäten enorm. Durch die verpflichtende Akzeptanz in relevanten Anwendungsfällen wird sich die Nutzung von EUDI-Wallets rasant entwickeln. Für Onboarding, Log-in und Unterschreiben werden EUDI-Wallets innerhalb kurzer Zeit beim Kunden zum Standard.
- Egal, ob Unternehmen verpflichtet sind, das EUDI-Wallet einzubinden oder ob Unternehmen die EUDI-Wallets selbstbestimmt akzeptieren: Alle Unternehmen sollten die Auswirkungen auf ihre digitalen Geschäftsprozesse identifizieren. Es gilt, die neuen Anforderungen umzusetzen und Chancen zu nutzen, sowohl bei der Interaktion mit den Kunden als auch in der Ende-zu-Ende Digitalisierung von eigenen Workflows.
Bietet eIDAS 2.0 Vorteile für Unternehmen?
Veränderte Rahmenbedingungen bringen nicht nur neue Anforderungen, sondern auch neue Chancen. Die eIDAS 2.0 hat das Potenzial, die Digitalisierung in Europa sehr schnell einen großen Schritt voranzubringen. Mit diesem Sprung in der Digitalisierung werden auch neue Standards bei Sicherheit, Effizienz und Kundenerlebnis im Umgang mit digitalen Identitätsdaten erreicht:
- Digitalisierung: Unternehmen können interne und externe Geschäftsprozesse auf Basis einheitlicher Standards für die Übermittlung und Verarbeitung vertrauenswürdiger persönlicher Attribute (z. B. ‚PID‘) effektiv und umfassend Ende-zu-Ende digitalisieren
- Effizienz: Die Transaktions- und Prozesskosten für sicheres und regulierungs-konformes Onboarding, für das sichere Log-in (‚SCA‘) und für rechtssichere digitale Unterschriften sinken mit einheitlichen europäischen Standards signifikant.
- Kundenerlebnis: Die aktuellen digitalen Zugangsbarrieren durch immer neue Identifizierungsanforderungen und individuelle Log-in-Logiken jedes einzelnen Anbieters entfallen. Fallabschließende digitale Anwendungen werden ermöglicht. Die Konversionsraten und Kundenzufriedenheit können damit neue Niveaus erreichen.
Darüber hinaus erlaubt der eIDAS 2.0-Rahmen, auch unternehmens- und sektorspezifische Attribute zu ergänzen. So können z. B. Mandate, Zugehörigkeiten und Mitgliedschaften spezifisch ergänzt und mit gleichen Sicherheits- und Vertrauensstandards verwaltet werden. Damit werden neue Potenziale in der Digitalisierung von Geschäftsprozessen von geschlossenen Nutzergruppen, z. B. innerhalb von Konzernen, Verbänden, Kammern, etc. erreicht.
eIDAS 2.0 kommt - sind Sie bereit?
Ab 2026 gelten neue Vorgaben zur digitalen Identität in Europa. Wir unterstützen Sie dabei, frühzeitig die richtigen Weichen zu stellen.
Wie kann ich mich auf die neuen
eIDAS-Anforderungen vorbereiten?
eIDAS 2.0 ist neu. Die nationale Umsetzung für Deutschland befindet sich aktuell in Umsetzung. Einige Aspekte sind noch undefiniert, Wechselwirkungen mit bestehenden Regulierungen und bereits etablierten, zertifizierten und zugelassenen Workflows sind zu weiten Teilen ungeklärt.
Neue Rahmenwerke für Zertifizierungen und Zulassungen in Deutschland sind ungewiss. Gleichzeitig ist der verpflichtende Marktstart für 2026 durch die EU sehr klar gesetzt. Wir empfehlen Unternehmen, sich aktiv mit dem Thema zu beschäftigen, um die wesentlichen Auswirkungen bereits jetzt zu erarbeiten:
- eIDAS 2.0 Verstehen:
Stellen Sie sicher, dass alle im Unternehmen betroffenen Abteilungen und Personen ein Grundverständnis von eIDAS 2.0 haben und sich bewusst werden, welche Regelungen bis 2026 für sie relevant werden können. - eIDAS 2.0 Berücksichtigen:
Ermitteln Sie, welchen Einfluss die neuen Vorgaben auf ihre Geschäftsprozesse haben werden. Wie können Sie die Vorgaben der eIDAS-Verordnung erfüllen und sich gleichzeitig an den Bedürfnissen Ihrer Kunden orientieren? - eIDAS 2.0 Anwenden:
Entwickeln Sie eine klare Roadmap bis 2026: Was existiert und was muss verändert werden, welche Chancen ergeben sich für neue Ende-zu-Ende Lösungen. Ermitteln Sie alle Ihre eIDAS-relevanten digitalen Geschäftsprozesse und starten Sie mit ersten Pilotprojekten. - eIDAS 2.0 Konkretisieren:
Testen Sie Ihre Anwendungsfälle mit den neuen technischen Standards unbedingt vor 2026. Nutzen Sie dazu z. B. die Verimi Live-Applikation, welche die kommenden eIDAS-Standards bereits weitgehend in einem POC abdeckt. Live-Testing Ihrer Use Cases, um die Anforderungen an Ihre Geschäftsprozesse nach neuen eIDAS Standards z. B. mit PID zu validieren.
Bereiten Sie Ihr Unternehmen auf die Zukunft vor. Verimi hat bereits seit mehr als 5 Jahren Erfahrungen im Live-Betrieb regulierter ID-Wallets in weit über 100 realen Anwendungsfällen in Deutschland. Wertvolle Erfahrungen, um zu wissen, was wirklich wichtig ist für ID-Wallets und für angebundene Anwendungsfälle!
Wir unterstützen Unternehmen und Organisationen, um sich zielgerichtet auf die eIDAS 2.0 und EUDI-Wallets vorzubereiten – mit eIDAS Intensiv-Workshops und EUDI-Wallet Proof-of-Concepts (POC). Mehr dazu erfahren Sie hier.
Wie starte ich von Scratch oder wo steige ich ein?
„Der Einstieg in eIDAS 2.0 hängt stark vom digitalen Reifegrad des Unternehmens ab“, sagt Susan Pinternagel, Team Lead Projects & Business Operations. Es gibt zwei grundlegende Ansätze:
Der sogenannte Greenfield-Ansatz richtet sich an Unternehmen, die neue Systeme komplett von Grund auf entwickeln. Dieser Weg bietet maximale Flexibilität, da keine Rücksicht auf bestehende IT-Strukturen genommen werden muss. So lassen sich aktuelle eIDAS-2.0-Standards und die Funktionen der European Digital Identity Wallet (EUDI-Wallet) ohne Einschränkungen integrieren.
Anders sieht es beim Redesign-/Adaptionsansatz aus: Hier wird eIDAS 2.0 schrittweise in bestehende Infrastrukturen eingebettet – etwa über APIs oder Middleware. Dieser Weg ist besonders für Organisationen mit komplexen IT-Landschaften oder Legacy-Systemen geeignet, da er bestehende Investitionen berücksichtigt und laufende Systeme nicht sofort vollständig umstellen muss.
Egal für welchen Weg man sich entscheidet, der Einstieg folgt in der Regel vier Phasen:
1.1 Verständnis aufbauen
Bevor operative Maßnahmen beginnen, sollte ein fundiertes Verständnis der eIDAS-2.0-Systematik aufgebaut werden. Es geht darum, sowohl die regulatorische Tragweite – etwa die rechtliche Gültigkeit digitaler Identitäten – als auch die technischen Grundlagen zu verstehen. Dazu gehören unter anderem Protokolle wie OpenID4VC oder der Aufbau des EUDI-Wallet-Ökosystems.
1.2 Impact-Workshop durchführen
Ein interdisziplinärer Workshop bietet eine gute Möglichkeit, alle relevanten Stakeholder – aus Business, IT und Compliance – an einen Tisch zu holen. Ziel ist es, ein gemeinsames Verständnis zu schaffen, Use Cases zu identifizieren und die Relevanz für das eigene Geschäftsmodell zu bewerten.
1.3 Pilotprojekt planen
Der Startpunkt für die eigentliche Umsetzung ist meist ein Pilotprojekt. Dieses sollte nicht zu komplex sein, um erste Erfahrungen im Umgang mit eIDAS 2.0 zu sammeln. Ideal sind Use Cases mit mittlerer Relevanz, begrenzter technischer Komplexität und klar definierbarem Projektumfang.
1.4 Roadmap entwickeln
Auf Basis der Erkenntnisse aus dem Workshop und Pilot wird eine Roadmap entwickelt. Sie verbindet die regulatorischen Entwicklungen mit den technischen Möglichkeiten und den strategischen Zielen des Unternehmens. Eine gute Roadmap berücksichtigt sowohl interne Faktoren (z. B. bestehende Systeme, Ressourcen) als auch externe Einflüsse wie den Zeitplan der EU oder technische Standards.
EUDI-Wallets - Was Unternehmen jetzt wissen müssen
In unserem Blogbeitrag beantworten wir die 10 wichtigsten Fragen und zeigen die praktischen Auswirkungen auf das Identitätsmanagement.
Welche Mitarbeiter & Mitarbeiterinnen sind involviert?
eIDAS 2.0 ist kein reines IT-Projekt – es erfordert eine enge Zusammenarbeit verschiedener Fachbereiche. Je nach Unternehmensstruktur können die Rollen variieren, doch gewisse Kernfunktionen sollten in jedem Fall eingebunden sein:
- Business Owner oder Produktverantwortliche übernehmen die strategische Führung. Sie bringen das fachliche Verständnis für den jeweiligen Use Case mit und verantworten dessen Integration ins Geschäftsmodell.
- Die IT-Abteilung ist für die technische Umsetzung zuständig – von der Architektur über die Schnittstellen bis zur Integration des EUDI-Wallets in bestehende Systeme.
- Recht und Compliance kümmern sich um Datenschutzfragen, Vertragsgestaltung und regulatorische Anforderungen. Sie spielen eine zentrale Rolle, um Konformität mit eIDAS, DSGVO und weiteren Vorgaben sicherzustellen.
- Projektmanagement sorgt für die koordinierte Umsetzung, Ressourcenplanung und Zeitsteuerung.
- Security- und Datenschutzbeauftragte stellen sicher, dass technische und organisatorische Maßnahmen den Schutz sensibler personenbezogener Daten gewährleisten.
Darüber hinaus kann es sinnvoll sein, externe Partner oder Berater mit ins Boot zu holen – insbesondere dann, wenn intern Know-how oder Ressourcen fehlen. Als Format für die Zusammenarbeit bieten sich Innovations- oder Digitalisierungslabore an, um interdisziplinär und agil zu arbeiten, ohne durch bestehende Linienprozesse ausgebremst zu werden.
Wieviel Zeit, Kapazität und Know-How muss ich einbinden?
Ein typisches eIDAS-Projekt verläuft in mehreren Etappen – von der Ideenfindung bis zum produktiven Einsatz. Die Dauer hängt vom gewählten Ansatz (Greenfield vs. Integration), von der Komplexität der Use Cases und von unternehmensinternen Faktoren ab.
Zeitlicher Rahmen & Ressourcen
Ein gut geplantes Pilotprojekt kann in der Regel innerhalb von drei bis sechs Monaten umgesetzt werden. Der vollständige Rollout – inklusive Systemintegration, Schulung, Zertifizierung und Skalierung – benötigt je nach Ausgangslage zwischen zwölf und 24 Monaten.
Bereits in der Frühphase, etwa bei Workshops zur Use Case-Auswahl, sollten zwei bis vier Wochen eingeplant werden. Für ein Pilotprojekt benötigt man in der Regel ein Kernteam von vier bis acht Personen aus unterschiedlichen Bereichen. Die vollständige Implementierung kann später zusätzliche Kapazitäten erfordern – insbesondere in der IT und im Datenschutz.
Erforderliches Know-how
Erfolgskritisch ist die Kombination aus:
- Regulatorischem Wissen zu eIDAS, DSGVO, Geldwäschegesetz (AML) oder PSD2.
- Technischem Know-how, etwa zu Identitätsstandards, Wallet-Technologien, API-Design oder Zertifikatsinfrastruktur.
- Prozessverständnis, z. B. für Onboarding-Prozesse, Authentifizierung oder elektronische Signaturen.
Gerade weil eIDAS 2.0 ein dynamisch wachsendes Regelwerk ist, empfiehlt sich ein iteratives Vorgehen – mit kurzen Feedbackzyklen, experimentellen Phasen und gegebenenfalls externer Unterstützung. Der frühe Einstieg bietet nicht nur die Möglichkeit, sich frühzeitig einen Wettbewerbsvorteil zu verschaffen, sondern auch, um eigene Prozesse zu modernisieren und regulatorische Sicherheit zu gewinnen.
