Digitale Souveränität mit der EU Digital Identity Wallet

ZD 2026, 1   „Einloggen“ oder „Konto erstellen“ ist eine immer häufiger werdende Aufforderung öffentlicher und privater Anbieter. Als Alternative wird oft angeboten, sich mit dem bei einem der Big-Tech-Unternehmen (Alphabet, Amazon, Apple, Meta und Microsoft) bestehenden Konto anzumelden. Will man sich diesen Plattformanbietern und ihren jeweiligen Ökosystemen nicht vollständig ausliefern, sondern seine digitale Souveränität bewahren, kann man sich bald mit der EU Digital Identity Wallet (EUDI-Wallet) anmelden. Anfang 2026 startet die Pilotphase der deutschen EUDI-Wallet, Ende 2026 soll allen Bürgern der EU zumindest eine sichere elektronische Identität mit der elektronischen Brieftasche zur Verfügung stehen.

Nutzung öffentlicher und privater Dienste

Eine zentrale Aufgabe der EUDI-Wallet ist, die Nutzung öffentlicher und privater Dienste auf einfache und sichere Weise unter Gewährleistung eines hohen Datenschutzes zu ermöglichen. „Know your customer“ ist das Motto, wenn private Anbieter ihre Interessenten und Vertragspartner kennen wollen. Das kann unter verschiedenen Aspekten sinnvoll oder sogar gesetzlich vorgeschrieben sein. Meist benötigt man die genauen Daten zum Zweck der Abrechnung. Häufig besteht auch der Wunsch nach Kundenbindung und Werbung für weitere Produkte oder Dienstleistungen. Für die Anwaltschaft besteht die berufsrechtliche Pflicht zur Identifizierung, um die Vertretung widerstreitender Interessen verhindern zu können. Verpflichtungen können sich auch aus dem Geldwäschegesetz ergeben. Zahlungsdienstleister sind nach § 55 Zahlungsdiensteaufsichtsgesetz (ZAG) zu starker Kundenauthentifizierung verpflichtet. Dies bedeutet nach § 1 Abs. 24 ZAG in Umsetzung von Art. 4 Nr. 29 Zahlungsdienste-RL eine Authentifizierung auf Basis von zwei voneinander unabhängigen Elementen. Unabhängig bedeutet, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit des anderen nicht in Frage stellt. Die Elemente können aus der Kategorie Wissen - also etwas, das nur der Nutzer weiß -, der Kategorie Besitz - also etwas, das nur der Nutzer besitzt - oder der Kategorie Inhärenz - also etwas, das der Nutzer ist - stammen.

Eröffnung eines Bankkontos

Die Eröffnung eines Bankkontos ist iRe von der EU-Kommission geförderten Pilotprojekts (Large Scale Pilot) POTENTIAL, an dem Deutschland beteiligt war, als Anwendungsfall getestet worden. Hat ein Nutzer einer EUDI-Wallet seinen Personalausweis (neuer Personalausweis - NPA) in seiner EUDI-Wallet hochgeladen, kann er damit das Konto mit seinem Smartphone einrichten. Die Bank muss als „vertrauende Beteiligte“ nach Art. 3 Nr. 6 eIDAS-VO registriert sein. Bei der Registrierung ist nach Art. 5b eIDAS-VO anzugeben, für welchen Zweck die EUDI-Wallet verwendet werden soll und welche Daten vom Nutzer angefordert werden müssen. Bei der Nutzung wird geprüft, ob die vertrauende Beteiligte registriert ist und nicht zu viele Daten anfordert, und es wird angezeigt, welche Daten angefragt werden. IdR ist dies nur ein Teil der vom NPA gespeicherten Daten. Die Übertragung erfolgt dann nach Zustimmung unter Angabe der PIN. IRv POTENTIAL wurden zudem der Zugang zu Angeboten von Behörden, die Registrierung einer SIM-Karte, ein mobiler Führerschein, qualifizierte elektronische Signaturen und die elektronische Verschreibung digitaler Gesundheitsdienstleistungen getestet.

Attributsbescheinigungen

Die EUDI-Wallet dient nach Art. 5a Abs. 4 eIDAS-VO auch zur Verwaltung elektronischer Attributsbescheinigungen. Attribute kannte man bereits bei den Zertifikaten für qualifizierte elektronische Signaturen nach dem Signaturgesetz. Hierbei ist insbesondere an die Mitgliedschaft in der Rechtsanwaltskammer gedacht worden, was allerdings von der Justiz nicht ausgelesen und nicht beachtet wurde. Attribut ist nach Art. 3 Nr. 43 eIDAS-VO ein Merkmal, eine Qualität, ein Recht oder die Erlaubnis einer natürlichen oder juristischen Person oder eines Objekts.

Man unterscheidet elektronische Attributsbescheinigungen nach Art. 3 Nr. 44 eIDAS-VO und qualifizierte elektronische Attributsbescheinigungen nach Art. 3 Nr. 45 eIDAS-VO, die von einem qualifizierten Vertrauensdiensteanbieter ausgestellt sein müssen. Attributsbescheinigungen könnten zB ein Studierendenausweis, eine Mitgliedskarte, eine Bibliothekskarte, eine Eintrittskarte oder eine Mitarbeiterkarte sein.

Anhang VI eIDAS-VO nennt einige besonders wichtige elektronische Attributsbescheinigungen, nämlich Adresse, Alter, Geschlecht, Personenstand, Familienstand, Staatsangehörigkeit oder Staatsbürgerschaft, Bildungsabschlüsse, Titel und Erlaubnisse, Berufsqualifikationen, Titel und Berechtigungen, Vollmachten und Mandate, eine natürliche oder juristische Person zu vertreten, behördliche Genehmigungen und Lizenzen, für juristische Personen Finanzdaten und Unternehmensdaten. Die Mitgliedstaaten sind dazu verpflichtet, dafür zu sorgen, dass zumindest für diese in Anhang VI eIDAS-VO genannten Attributsbescheinigungen die Möglichkeit der Überprüfung anhand authentischer Quellen nach Art. 45e eIDAS-VO geschaffen wird. Authentische Quellen sind dabei die jeweiligen öffentlichen Register, wie etwa das Ordnungsamt für den NPA oder die Führerscheinstelle für die Fahrerlaubnis.

Prinzip der selektiven Offenlegung

Aus der Fülle der verschiedenen in der EUDI-Wallet enthaltenen Attributsbescheinigungen (credentials) sollen im Einzelfall nur die Attributsbescheinigungen an die vertrauenden Beteiligten weitergegeben bzw. diesen mitgeteilt werden, die für die konkrete Anwendung relevant sind. Sind zB in einer EUDI-Wallet die Daten des NPA hinterlegt und will der Nutzer einen kostenlosen Streamingdienst mit Altersbeschränkung ab 18 Jahre in Anspruch nehmen, sind Namen und Anschrift sowie Geburtsdatum nicht relevant, wichtig ist allein die Volljährigkeit. ISd Grundsätze von Datensparsamkeit und Datenvermeidung besteht nun die Möglichkeit, lediglich die Volljährigkeit zu bestätigen. Bei anderen Angeboten könnte bestätigt werden, dass der Nutzer über 14 bzw. 16 Jahre alt ist.

Bei Anmietung von Fahrzeugen wird heute in Online-Portalen häufig die Kopie der Fahrerlaubnis genutzt. Mit der EUDI-Wallet kann dies auf die Bestätigung reduziert werden, dass der Nutzer über die zur Anmietung und Nutzung des Fahrzeugs erforderliche Fahrerlaubnis verfügt, ohne das Dokument kopieren zu müssen.

Authentifizierung und Identifizierung

Verstärkt ist festzustellen, dass elektronische Rechnungen „abgefangen“ und verfälscht weitergegeben oder eine verfälschte Rechnung unmittelbar danach gesendet wird. Verfälscht wird dabei insbesondere die Bankverbindung des Ausstellers der Rechnung. Das OLG Schleswig ZD 2025, 284 mAnm Veeck = MMR 2025, 369 mAnm Schwarz hat dazu die Auffassung vertreten, dass wichtige Nachrichten, insbesondere Rechnungen, Ende-zu-Ende-verschlüsselt übermittelt werden müssten. Es ist zwar richtig, dass Ende-zu-Ende-Verschlüsselung (E2EE) eine Verfälschung der Rechnung nach der Verschlüsselung verhindern kann. Verschlüsselung dient allerdings nur der Vertraulichkeit und gewährleistet weder Authentizität noch Integrität. Der Empfänger kann bei E2EE nur feststellen, dass das Dokument mit seinem öffentlichen Schlüssel verschlüsselt und seither nicht verändert wurde. Wer das Dokument verschlüsselt hat, ist für den Empfänger nicht erkennbar. Authentizität und Integrität von Erklärungen wird ausschließlich durch die fortgeschrittene bzw. qualifizierte elektronische Signatur (qeS) sichergestellt. § 14 Abs. 3 UStG schreibt vor, dass der Aussteller von Rechnungen die Echtheit der Herkunft (Authentizität) und die Unversehrtheit (Integrität) gewährleisten muss und schrieb ursprünglich u.a. die qeS ausdrücklich vor. Im Zuge der (vermeintlichen) Entbürokratisierung wurde diese Verpflichtung aufgegeben, die qeS ist heute nur noch als mögliche Variante genannt. Eine Funktion der EUDI-Wallet ist auch die qeS, im Privatbereich soll diese sogar kostenlos zur Verfügung gestellt werden. Die neu eingeführte Prüfung, ob bei Überweisungen Kontoinhaber und Kontonummer übereinstimmen, hilft auch gegen Zahlung auf falsche Konten. Allerdings stimmt die bei der Bank hinterlegte Bezeichnung des Kontoinhabers oft nicht mit der in der Praxis verwendeten Firma überein und Nutzer werden deshalb so häufig mit Fehlermeldungen konfrontiert, dass diese kaum noch beachtet werden. Zudem war im Fall des OLG Karlsruhe MMR 2023, 761 mAnm Ziegler/Schröder in der gefälschten Rechnung ein von der Rechnungsausstellerin abweichender Kontoinhaber - eine natürliche Person und keine GmbH - genannt und es wurde trotzdem überwiesen. Wahrscheinlich war die Person auch bei der Bank als Kontoinhaber geführt und es hätte keine Fehlermeldung gegeben. Nachhaltig helfen wird die qeS erst dann, wenn auch vertraglich vereinbart wird, dass nur mit qeS versehene Rechnungen wirksam sind und zudem die Vertragspartner im Hinblick auf die Rechnungen informiert und sensibilisiert werden. Angesichts von Fernsignaturen und qeS als Angebot der EUDI-Wallet auf dem Smartphone kann man nicht mehr vertreten, dass qeS in der Anwendung zu umständlich seien.

Nutzungspflicht

Öffentliche Stellen, die Authentifizierung verlangen, sind nach Art. 5f Abs. 1 eIDAS-VO künftig verpflichtet, auch die EUDI-Wallet zu akzeptieren. Private Anbieter, denen starke Nutzerauthentifizierung gesetzlich oder nach den eigenen Verträgen vorgeschrieben ist, müssen nach Art. 5f Abs. 2 eIDAS-VO die EUDI-Wallet akzeptieren. Insbesondere für die Nutzer ist die EUDI-Wallet ein freiwilliges Angebot, mit dem sie ihre digitale Souveränität wahren können. Möglicherweise werden in Deutschland zwei oder mehr EUDI-Wallets zur Verfügung stehen.

Chancen und Herausforderungen

Die EUDI-Wallet bietet die Chance, bequem und einfach mit dem Smartphone öffentliche und private Angebote zu nutzen, ohne auf Wallets von Apple, Google oder anderen Big-Tech-Unternehmen zurückgreifen zu müssen. Die Verwaltung der Identitäten und Ermöglichung des Zugangs zu öffentlichen und privaten Angeboten ist für die Big-Tech-Unternehmen von großer wirtschaftlicher Bedeutung und es wird sicher erheblichen Widerstand gegen die flächendeckende Einführung der EUDI-Wallet geben.

Der Datenschutz als Teil der EUDI-Wallet kann als Qualitätsmerkmal „Made in Europe“ herausgestellt werden und dazu beitragen, digitale Souveränität und digitale Mündigkeit der Bürger zu gewährleisten. Kein Nutzer wird verpflichtet, ausschließlich darauf zu setzen - niemandem wird die Nutzung anderer Wallets verboten.

Die verpflichtende oder freiwillige Anerkennung der EUDI-Wallet durch öffentliche und private Anbieter bietet erhebliches Beratungspotenzial, genauso wie der Einsatz durch die Nutzer.

Anfang 2026 startet die Pilotphase der EUDI-Wallet, Ende 2026 soll sie im Echtbetrieb zur Verfügung stehen. Mit der EUDI-Wallet wird ein Ökosystem geschaffen, das zu einem neuen Nutzererlebnis von öffentlichen und privaten Angeboten führen wird. Wir können auf die aktuell noch erforderliche Vielzahl von Benutzernamen und Passwörtern verzichten. Die EUDI-Wallet wäre auch geeignet, einen sicheren elektronischen Rechtsverkehr mit Gerichten und Behörden unter Verzicht auf das fehleranfällige und wenig nutzerfreundliche besondere elektronische Anwaltspostfach (beA) zu ermöglichen. Die „sicheren Übermittlungswege“ waren zur Einführung des elektronischen Rechtsverkehrs hilfreich, langfristig ist eine Umstellung auf gängige und im elektronischen Rechtsverkehr weltweit genutzte Kommunikationswege sinnvoll.