Alles sicher, alles drin? Wieso es beim europäischen "Ausweis to go" jetzt spannend wird
© Nina L/peopleimages.com / Adobe Stock

Ein Klick, eine Wallet, ganz Europa: Die EUDI-Wallet verspricht ab Ende des Jahres sichere digitale Identitäten – und bringt neue Pflichten für Unternehmen. Welche rechtlichen Fragen dies aufwirft und wieso die Akzeptanz bei den Nutzern nicht unterschätzt werden darf, erläutert Hans Markus Wulf.

Ab November 2026 müssen alle EU-Länder ihren Bürgerinnen und Bürgern sowie juristischen Personen eine digitale Brieftasche, die European Digital Identity Wallet (EUDI-Wallet) zur Verfügung stellen. Das ergibt sich aus der Neufassung der eIDAS-Verordnung aus dem März 2024. Damit einher gehen auch neue Pflichten für Unternehmen, die digitale Identifizierungs- oder Authentifizierungsverfahren einsetzen.

In Deutschland ist die Umsetzung der EUDI-Wallet ein zentraler Baustein der Verwaltungsdigitalisierung und des sogenannten Deutschland-Stacks. Zugleich zeigen aktuelle Debatten etwa zu Sicherheitsarchitektur, Transparenz und gesellschaftlicher Akzeptanz sowie internationale Erfahrungen, dass die Einführung digitaler Identitätsinfrastrukturen nicht allein eine technische, sondern auch eine rechtliche und organisatorische Herausforderung darstellt.

Ein Klick, alles drin

Die EUDI-Wallet ist als unionsweit einheitliches digitales Identifizierungsinstrument konzipiert. Sie ermöglicht es natürlichen und juristischen Personen, Identitätsdaten sowie weitere elektronische Nachweise in digitaler Form zu speichern und gegenüber öffentlichen wie privaten Stellen zu verwenden. Ziel der Neuregelung ist es, eine vertrauenswürdige digitale Identitätsinfrastruktur zu schaffen, die grenzüberschreitend einsetzbar ist und online sowie offline genutzt werden kann. Dabei muss die EUDI-Wallet mindestens das Sicherheitsniveau "hoch" im Sinne der eIDAS-Verordnung erfüllen und eine verlässliche Authentifizierung der Nutzerinnen und Nutzer gewährleisten.

Über die reine Identitätsfeststellung hinaus soll die digitale Brieftasche auch Attributsbescheinigungen aufnehmen können. Hierzu zählen etwa Angaben zum Wohnsitz, zu beruflichen Qualifikationen, Vertretungs- oder Zeichnungsbefugnissen sowie perspektivisch auch Zahlungsinformationen. Zudem sieht die Verordnung vor, dass qualifizierte elektronische Signaturen und Siegel direkt über die Wallet ausgelöst werden können. Die Nutzerinnen und Nutzer sollen dabei die Kontrolle über ihre Daten behalten, insbesondere soll es die Funktion geben, mit denen nur einzelne Attribute offengelegt werden. Zudem soll die Nutzung transparent protokolliert werden.

Staatliche und private Anbieter

Dabei sollen nicht nur die Mitgliedstaaten Wallets bereitstellen können. Die eIDAS-Verordnung räumt den Mitgliedstaaten vielmehr die Möglichkeit ein, EUDI-Wallets auch durch private, anerkannte Anbieter bereitstellen zu lassen. Für Deutschland hat sich die Bundesregierung inzwischen für ein solches Mischmodell entschieden. Neben der Entwicklung einer kostenlosen staatlichen Wallet sollen auch die rechtlichen und technischen Voraussetzungen geschaffen werden, damit nicht-staatliche Anbieter eigene EUDI-Wallets bereitstellen können. 

Die staatliche Lösung sieht vor, dass Bürgerinnen und Bürger sich künftig EU-weit per Smartphone ausweisen und amtliche Dokumente digital vorhalten können. Dabei betont die Bundesregierung, dass hohe Sicherheitsstandards und der Schutz der Privatsphäre zentrale Leitlinien der Umsetzung darstellen sollen. Nach den aktuellen Planungen soll die EUDI-Wallet in Deutschland Ende 2026, spätestens Anfang 2027 verfügbar sein, wobei die Bundesregierung den Markteintritt ausdrücklich als iterativen Prozess gestaltet, bei dem weitere Funktionen nach und nach ergänzt werden. 

Die EUDI-Wallet ist in Deutschland zugleich ein zentrales Element des sogenannten Deutschland-Stacks. Darunter versteht man den politischen und administrativen Ansatz, zentrale digitale Basisinfrastrukturen der öffentlichen Verwaltung wie digitale Identitäten, Register, Schnittstellen, Cloud- und Zahlungsdienste zu bündeln, zu standardisieren und bundesweit interoperabel bereitzustellen. Damit will die Bundesregierung die bislang fragmentierte IT-Landschaft von Bund, Ländern und Kommunen vereinheitlichen. Innerhalb dieses Rahmens kommt der Wallet eine Schlüsselrolle zu, insbesondere als Instrument der digitalen Legitimation sowie als Schnittstelle für weitere Verwaltungs- und Vertrauensdienste.

Besonders regulierte Unternehmen und Online-Plattformen betroffen

Die EUDI-Verordnung richtet sich in erster Linie an Unternehmen, die öffentliche oder private Dienstleistungen erbringen und dabei elektronische Identifizierungs- oder Authentifizierungsverfahren einsetzen. Erfasst sind insbesondere sogenannte "vertrauende Beteiligte", also natürliche oder juristische Personen, die auf elektronische Identifizierungsmittel, EUDI-Wallets oder Vertrauensdienste zurückgreifen (Art. 3 Nr. 6). Wer die Nutzung der Wallet als Identifizierungsmittel auch nur beabsichtigt, löst eine Registrierungspflicht bei der zuständigen nationalen Stelle aus (Art. 5b Abs. 1). 

Eine Pflicht, die EUDI-Wallet zu akzeptieren, besteht nur für Unternehmen, die gesetzlich oder vertraglich zu einer Online-Identifizierung mit starker Authentifizierung verpflichtet sind. Diese Annahmepflicht betrifft insbesondere regulierte Sektoren wie Finanzdienstleistungen, Energie, Verkehr, Telekommunikation, Gesundheit, soziale Sicherheit, digitale Infrastrukturen und Bildung; ausgenommen sind lediglich Kleinst- und kleine Unternehmen. Diese Unternehmen müssen Nutzerinnen und Nutzern spätestens ab Ende 2027 die Identifizierung über eine digitale Brieftasche ermöglichen (Art. 5f Abs. 2).

Darüber hinaus sind Anbieter sehr großer Online-Plattformen im Sinne des Digital Services Act verpflichtet, die EUDI-Wallet für Authentifizierungszwecke zu unterstützen, sofern Nutzerinnen und Nutzer dies wünschen (Art. 5f Abs. 3). Unmittelbar betroffen sind ferner Vertrauensdiensteanbieter, deren Leistungen – insbesondere Signaturen und Attributsnachweise – künftig technisch mit der EUDI-Wallet interoperabel ausgestaltet sein müssen.

Funktionsfähig, sicher, akzeptiert?

Die EUDI-Wallet wirft neben technischen Fragen eine Reihe rechtlicher und organisatorischer Herausforderungen auf, damit die digitale Brieftasche in der Praxis funktioniert und von Bevölkerung und Unternehmen akzeptiert wird. Im Vordergrund stehen dabei insbesondere Fragen der IT-Sicherheit, des Datenschutzes, der Governance sowie der Ausgestaltung der Identifizierungs- und Onboarding-Verfahren. Gerade das initiale Onboarding der Nutzerinnen und Nutzer, also die erstmalige Übernahme und Verifikation personenbezogener Identifikationsdaten in der Wallet, gilt als sicherheitskritischer Prozess. Zeigen sich hier Schwachstellen, beeinträchtigen diese das Vertrauen in das Gesamtsystem nachhaltig.

Darüber hinaus zeigt der internationale Vergleich, dass die rechtliche Verankerung einer digitalen Identität allein nicht ausreicht, damit die EUDI-Wallet in der breiten Bevölkerung genutzt wird. Erfahrungen aus dem Vereinigten Königreich verdeutlichen, dass digitale Identitätsprojekte trotz technischer Leistungsfähigkeit und politischer Unterstützung an mangelnder gesellschaftlicher Akzeptanz scheitern können. Als zentrale Ursachen werden dort insbesondere unklare Kommunikationsstrategien, Datenschutzbedenken sowie die Sorge vor staatlicher Überwachung genannt. Zugleich legen die britischen Erfahrungen nahe, dass eine schrittweise, an konkreten Anwendungsszenarien orientierte Einführung eher geeignet ist, Vertrauen aufzubauen als umfassende, zentralisierte Lösungen.

Auch auf nationaler Ebene wird die EUDI-Wallet kritisch begleitet. So warnt beispielsweise der Chaos Computer Club vor strukturellen Risiken staatlicher Digitalinfrastrukturen. Expertinnen und Experten kritisieren vor allem fehlende Transparenz in der Entwicklung, eine unzureichende Einbindung externer Expertise sowie die Gefahr, bekannte Probleme aus anderen Großprojekten, etwa der elektronischen Patientenakte, zu wiederholen. Die Kritik zielt dabei weniger auf die technische Machbarkeit als vielmehr auf die rechtlichen und organisatorischen Rahmenbedingungen, die Sicherheit, Kontrolle und Nachvollziehbarkeit gewährleisten sollen.

Die Wallet kommt und …

 … ihre praktische Umsetzung wird in den kommenden Jahren viele Akteure beschäftigen. Spätestens ab Ende 2027 müssen die betroffenen Unternehmen in der Lage sein, die Wallet als Identifizierungs- und Authentifizierungsmittel zu akzeptieren und in bestehende Prozesse zu integrieren. Damit rücken konkrete Fragen der technischen Anbindung, der Prozessgestaltung sowie der datenschutz- und sicherheitsrechtlichen Absicherung in den Vordergrund.

Gleichzeitig zeigt sich bereits jetzt, dass die erfolgreiche Einführung der EUDI-Wallet nicht allein davon abhängt, formale Vorgaben der eIDAS-Verordnung einzuhalten. Erfahrungen aus anderen Staaten sowie die nationale Fachdiskussion verdeutlichen, dass vor allem transparente Verfahren, robuste Onboarding-Prozesse und eine klare Kommunikation gegenüber Nutzerinnen und Nutzern entscheidend sind, damit die digitale Brieftasche auf weite Akzeptanz stößt.

 

Dr. Hans Markus Wulf ist Fachanwalt für Informationstechnologierecht bei Heuking in Hamburg und unter anderem Mitglied der Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI).

Redaktion beck-aktuell, Gastbeitrag von Dr. Hans Markus Wulf, 9. Januar 2026.

Mehr zum Thema

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.