Zum Inhalt

eIDAS 2.0 und EUDI-Wallets

Am 17.09.2014 trat die "Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/ EG” - kurz eIDAS-Verordnung - in Kraft. Sie schuf EU-weit einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung nationaler elektronischer Identifizierungsmittel und Vertrauensdienste.

Was ist eIDAS 2.0?

eIDAS 2.0 stellt eine umfassende Überarbeitung der ursprünglichen eIDAS-Verordnung aus dem Jahr 2014 dar. Die novellierte Verordnung wurde am 29. Februar 2024 vom Europäischen Parlament verabschiedet und am trat am 20. Mai 2024 in Kraft. Die Anpassung wurde notwendig, da sich die digitalen Gewohnheiten der Bürgerinnen und Bürger sowie das Angebot an Online-Diensten erheblich verändert haben. Eine Evaluierung der Europäischen Kommission im Jahr 2020 zeigte, dass die ursprüngliche Verordnung nicht alle Erwartungen erfüllen konnte und der bestehende Rahmen nicht ausreichend auf die spezifischen Bedürfnisse bestimmter Branchen ausgerichtet war.

Kernstück der neuen Verordnung sind die sogenannten EUDI-Wallets. Alle EU-Mitgliedstaaten sind verpflichtet, ihren Bürgerinnen und Bürgern EUDI-Wallets bis voraussichtlich Anfang 2027 anzubieten.

Was sind EUDI-Wallets?

EUDI-Wallets sind digitale Brieftaschen (Englisch: Wallets), die Bürgerinnen und Bürgern ermöglichen werden, sich sicher digital auszuweisen und eine Vielzahl von Nachweisen wie Führerschein, Zeugnisse und die Versichertenkarte, digital zu speichern und zu verwalten. Die novellierte eIDAS-Verordnung (eIDAS 2.0) legt konkrete Anforderungen für EUDI-Wallets fest, die Mitgliedstaaten bei der Implementierung berücksichtigen müssen.

Grundlegende Anforderungen an EUDI-Wallets

  • Sichere Identifizierung: „Eine Europäische Brieftasche für die Digitale Identität ist ein elektronisches Identifizierungsmittel, das es dem Nutzer ermöglicht, Personenidentifizierungsdaten und elektronische Attributsbescheinigungen (d.h. weitere Nachweise) sicher zu speichern, zu verwalten und zu validieren, um sie vertrauenden Beteiligten (also z.B. Behörden oder Unternehmen) und anderen Nutzern von europäischen Brieftaschen für die Digitale Identität zu präsentieren und mittels qualifizierter elektronischer Signaturen zu unterzeichnen oder mittels qualifizierter elektronischer Siegel zu besiegeln“.
  • Kombinierte Nachweise: Die Wallet ermöglicht die Kombination verschiedener Nachweise und soll sowohl online als auch offline nutzbar sein.
  • Kostenlos: Die Nutzung einer EUDI-Wallet muss für Bürgerinnen und Bürger kostenlos und freiwillig sein.
  • Hohe Sicherheitsstandards: Das Onboarding und die Bereitstellung erfolgen auf dem Vertrauensniveau „Hoch”.
  • Datenschutz: Ausschluss von Tracking und Sicherstellung von Unverfolgbarkeit (Englisch: Unlinkability) von Nutzungsverhalten, auch durch Herausgebende von Nachweisen und durch die Diensteanbieter.
  • Open-Source: Für den Quellcode der Anwendungssoftwarekomponenten von europäischen Brieftaschen für die Digitale Identität muss eine Open-Source-Lizenz gelten.
  • Kostenlose QES: Eine EUDI-Wallet muss allen natürlichen Personen die Möglichkeit bieten, mittels qualifizierter elektronischer Signaturen Dokumente kostenlos zu unterzeichnen – mit der Möglichkeit einer Beschränkung der kostenlosen Signaturen auf nichtgewerbliche Zwecke.

Von staatlicher Seite sollen folgende Informationen in einer EUDI-Wallet bestätigt/bereitgestellt werden: Adresse, Alter, Geschlecht, Personenstand, Familienzusammensetzung, Staatsangehörigkeit oder Staatsbürgerschaft, Bildungsabschlüsse, Titel und Erlaubnisse.

Voraussetzungen für Diensteanbieter

  • Registrierung: Um auf eine EUDI-Wallet zugreifen zu können, muss ein Diensteanbieter sich in dem Mitgliedstaat registrieren, in dem er niedergelassen ist. Das Registrierungsverfahren muss kosteneffizient und dem Risiko angemessen sein.
  • Datenabruf: Diensteanbieter dürfen nur die Daten abrufen, für die sie sich registriert haben und müssen sich gegenüber dem Nutzenden selbst identifizieren bzw. authentifizieren, bevor sie Daten abrufen.
  • Pseudonyme: Diensteanbieter dürfen die Verwendung von Pseudonymen nicht verweigern, wenn die Identifizierung des Nutzenden nicht im Unionsrecht oder im nationalen Recht vorgeschrieben ist.
  • Datenschutz bei Vermittelnden: Vermittelnde, die im Namen von Diensteanbietern handeln, dürfen keine Daten über den Inhalt der Transaktion speichern.
  • Echtheit und Gültigkeit: Diensteanbieter müssen die Echtheit und Gültigkeit von europäischen Brieftaschen für die Digitale Identität überprüfen.

Anerkennung einer EUDI-Wallet im (grenzübergreifenden) Geschäftsverkehr

  • Öffentliche Dienste: Der Zugang zu einem von einer öffentlichen Stelle erbrachten Online-Dienst, der eine elektronische Identifizierung und Authentifizierung erfordert, muss über jede EUDI-Wallet ermöglicht werden, die in einem der Mitgliedstaaten anerkannt wurde.
  • Private Organisationen: Private Organisationen (mit Ausnahme von Kleinst- und Kleinunternehmen), die rechtlich oder vertraglich verpflichtet sind, eine (starke) Online-Identifizierung vorzunehmen, müssen auf das freiwillige Verlangen des Nutzenden eine EUDI-Wallet akzeptieren. Dies gilt z.B. für Bereiche wie Verkehr, Banken, Finanzdienstleistungen, Gesundheit, Postdienste, Bildung und Telekommunikation.
  • Große Online-Plattformen: Sehr große Onlineplattformen, die für den Zugang zu Online-Diensten eine Nutzendenauthentifizierung erfordern (z.B. Login bei Facebook, Google, Microsoft), müssen auf das freiwillige Verlangen des Nutzenden eine EUDI-Wallet akzeptieren.

Anwendungsfälle für EUDI-Wallets

EUDI-Wallets werden in einer Vielzahl von alltagsrelevanten Anwendungsfällen zum Einsatz kommen. Einige der prominentesten Anwendungsfälle werden in europaweiten sogenannten groß angelegten Pilotprojekten (Englisch: Large Scale Pilots) erprobt. Das von Deutschland und Frankreich angeführte Pilotprojekt LSP POTENTIAL erprobt die Interoperabilität von EUDI-Wallets zum Beispiel anhand von sechs Anwendungsfällen:
- eGovernment: Inanspruchnahme von Behördenleistungen (elektronische Verwaltung)
- Kontoeröffnung bei Banken
- Digitaler Führerschein
- SIM-Registrierung bei Mobilfunkanbietern
- Qualifizierte Elektronische Signatur: Digital rechtssicher signieren
- Elektronisches Rezept (eRezept): Digitale Übermittlung von ärztlichen Verschreibungen

Darüber hinaus sind viele weitere Anwendungsfälle denkbar.

Der Architektur- & Konsultationsprozess erarbeitet die Grundlage für EUDI-Wallets in Deutschland. Gleichzeitig wird auf Europäischer Ebene die Grundlage für die Arbeit auf nationaler Ebene geschaffen: Mit dem Architecture Reference Framework (ARF) und eigenen Referenzimplementierungen macht die Europäische Kommission vor, wie EUDI-Wallets aussehen könnten.

Mehr Informationen zu EUDI-Wallets gibt es auf der Website der Europäischen Kommission (Englisch): https://ec.europa.eu/digital-building-blocks/sites/display/EUDIGITALIDENTITYWALLET/EU+Digital+Identity+Wallet+Home

Die vollständige Version der verabschiedeten Novellierung der eIDAS-Verordnung finden Sie hier: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:L_202401183

Letztes Update: May 2, 2025