eIDAS 2: Die neue europäische Verordnung 2026 erklärt

Einleitung: Warum eIDAS 2 für europäische Unternehmen alles verändert

Mit Wirkung zum 20. Mai 2024, nach langer Legislativgestation, stellt die Verordnung eIDAS 2 – offiziell bezeichnet als Verordnung (EU) 2024/1183 – die ehrgeizigste Reform dar, die je im Bereich der elektronischen Identifizierung und Vertrauensdienste in Europa unternommen wurde. Sie hebt die ursprüngliche eIDAS-Verordnung von 2014 (Nr. 910/2014) auf und ersetzt sie teilweise, während sie die aufwärtskompatibilität mit der vorhandenen Infrastruktur aufrechterhält. Für Unternehmen, die eIDAS-konforme elektronische Signaturen nutzen, führt diese Überholung neue Verpflichtungen, beispiellose Möglichkeiten und einen straffen Compliance-Zeitplan bis 2026 und darüber hinaus ein. Dieser Artikel entschlüsselt die Schlüsselbestimmungen des Textes, deren operative Auswirkungen und wie sich Ihre Organisation darauf vorbereiten kann.

---

Was die Verordnung eIDAS 2 grundlegend ändert

Von der Verordnung von 2014 zur Version 2024: Eine strukturelle Überholung

Die ursprüngliche eIDAS-Verordnung von 2014 legte die Grundlagen für die gegenseitige Anerkennung elektronischer Identifizierungsschemen zwischen Mitgliedstaaten und schuf einen einheitlichen Rechtsrahmen für Vertrauensdienste (Signatur, Siegel, Zeitstempel usw.). Aber zehn Jahre später waren die Grenzen offensichtlich: Niedriges Akzeptanzquoten bei gemeldeten eID, Fragmentierung der nationalen Lösungen, Fehlen einer universellen digitalen Geldbörse für Bürger und vor allem Unangepasstheit an Webnutzung (GAFAM ausgeschlossen vom Vertrauensrahmen).

eIDAS 2 korrigiert diese Lücken auf drei Hauptachsen:

1. Die europäische Geldbörse für digitale Identität (EUDI Wallet) – Jeder Mitgliedstaat muss spätestens November 2026 eine Anwendung für digitale Geldbörsen bereitstellen, die es jedem europäischen Bürger oder Bewohner ermöglicht, seine Identitätsattribute (Personalausweis, Führerschein, Diplome usw.) sicher zu speichern und vorzulegen.
2. Erweiterung der qualifizierten Vertrauensdienste – Der Text fügt neue qualifizierte Dienste hinzu: Verwaltung qualifizierter elektronischer Archive (QESAP), Berichte über qualifizierte Identitätsattribute (QEAA), qualifizierte elektronische Geschäftsbücher (QLED) und Verwaltung von Geräten zur Fernerschaffung von Signaturen (QRCD).
3. Verpflichtung für große Plattformen – Anbieter großer Online-Dienste (Soziale Medien, Marktplätze) müssen das EUDI-Portefeuille zur Authentifizierung der Benutzer akzeptieren.

Die EUDI Wallet: Architektur und Funktionsweise

Die EUDI Wallet ist das Herzstück von eIDAS 2. Konkret handelt es sich um eine Softwareanwendung – bereitgestellt oder zertifiziert durch jeden Mitgliedstaat – die auf einem dezentralen Modell der selektiven Attributpräsentation basiert. Der Benutzer überträgt nur die für die Transaktion unbedingt erforderlichen Daten (Minimierungsprinzip, konform mit der DSGVO).

Aus technischer Sicht basiert die Architektur auf den Spezifikationen des Architecture Reference Framework (ARF), veröffentlicht durch die Europäische Kommission und regelmäßig aktualisiert durch die Large Scale Pilot (LSP), die vier Pilot-Konsortien umfasst (DC4EU, EWC, POTENTIAL, NOBID). Die gewählten Datenformate sind hauptsächlich ISO/IEC 18013-5 (mDL/mDocs) und W3C Verifiable Credentials, was grenzüberschreitende Interoperabilität garantiert.

Für Unternehmen bedeutet dies, dass sie langfristig die Identität ihrer Kunden oder Partner über das Portefeuille überprüfen können, ohne die Erfassung von Nachweisdokumenten selbst zu verwalten – wodurch erheblich Reibungsverluste bei der KYC (Kundenkenntnis) und Risiken von Dokumentenbetrug reduziert werden.

---

Die Vertrauensstufen und die Signaturhierarchie: Was sich ändert

Beibehaltung der QES / AdES / SES Hierarchie

Das System der elektronischen Signaturen bleibt um drei in Artikel 3 von eIDAS 2 definierte Ebenen strukturiert (Terminologie von 2014 wiederaufgenommen, aber technische Anforderungen präzisiert):

• Einfache elektronische Signatur (SES): Minimale Beweiswirkung, geeignet für alltägliche Urkunden.
• Fortgeschrittene elektronische Signatur (AdES): Ausschließliche Verbindung zum Unterzeichner, Möglichkeit, später vorgenommene Änderungen zu erkennen.
• Qualifizierte elektronische Signatur (QES): Rechtliche Gleichwertigkeit mit der handschriftlichen Signatur in der gesamten EU (Artikel 25 Abs. 2), ausgestellt über ein qualifiziertes Signaturerstellungsgerät (QSCD) auf der Grundlage eines qualifizierten Zertifikats.

Die Neuerung liegt in der Art, wie die QES nun über qualifizierte Dienste für Fernunterschrift (QRCD) bereitgestellt werden kann, deren Anerkennungsbedingungen in den Artikeln 29a und 29b des überarbeiteten Textes präzisiert werden. Dies öffnet den Weg zu 100 % digitalen Flüssen für die anspruchsvollsten Urkunden – notarielle Verträge, beglaubigt elektronische Urkunden – ohne physische Smartcard erforderlich zu machen.

Die Auswirkungen auf Anbieter qualifizierter Vertrauensdienste (QTSP)

Anbieter wie Certyneo, die unter Verlass auf zertifizierte QTSP tätig werden, müssen die neuen Auditanforderungen von eIDAS 2 antizipieren. Artikel 24 verlangt nunmehr verstärkte Kontrollen der Unterauftragnehmer-Kette, und die Anforderungen zur Meldung von Sicherheitsvorfällen stimmen explizit mit denen der NIS2-Richtlinie überein (Meldefrist 24 Stunden). Für tiefere Einsichten in die Funktionsweise der verschiedenen Signaturebenen im B2B-Kontext, konsultieren Sie unseren umfassenden Leitfaden zur elektronischen Signatur in Unternehmen.

---

Ausrollungsfahrplan und Verpflichtungen für Unternehmen 2025-2026

Die Schlüsseltermine der Ausrollung

Die Verordnung (EU) 2024/1183 wurde im Amtsblatt der EU am 30. April 2024 veröffentlicht und trat am 20. Mai 2024 in Kraft. Die Durchführungs- und Delegierungsakte – essentiell zur Präzisierung der technischen Anforderungen – werden schrittweise veröffentlicht:

| Frist | Verpflichtung | |---|---| | Mai 2024 | Inkrafttreten der Verordnung | | Ende 2024 | Veröffentlichung der Durchführungsakte zum ARF v2.0 | | Mitte 2025 | Zertifizierung der ersten EUDI Wallet Piloten | | November 2026 | Obligatorische Verfügbarkeit einer EUDI Wallet in jedem Mitgliedstaat | | 2027 | Obligatorische Akzeptanz durch große Online-Plattformen |

Das müssen B2B-Unternehmen jetzt tun

Für Unternehmen, die Lösungen zur elektronischen Signatur verwenden, ergeben sich drei Prioritäten 2025-2026:

1. Überprüfung ihrer Vertrauenskette: Überprüfung, ob ihr Signaturanbieter tatsächlich auf der Liste der QTSP (Trusted List) ihres Mitgliedstaats eingetragen ist, und dass die verwendeten Zertifikate den neuen Spezifikationen ETSI EN 319 401 und EN 319 411-1 überarbeitet entsprechen.

2. Antizipation der EUDI Wallet Integration: Unternehmen in regulierten Sektoren (Banking, Versicherung, Gesundheit, Immobilien) werden zu den Ersten gehören, die von Identitätsprüfungsflüssen über Portefeuille betroffen sind. Vorbereitung der API-Integration schon 2025 wird empfohlen.

3. Überprüfung ihrer Aufbewahrungsrichtlinien: Der neue qualifizierte elektronische Archivierungsdienst (QESAP) führt Standards für die Langzeitaufbewahrung ein, die in bestimmten Sektoren zwingend werden können (öffentliche Märkte, Pharmabereich). Unser ROI-Rechner für elektronische Signaturen ermöglicht es Ihnen, die finanziellen Auswirkungen einer Modernisierung Ihrer dokumentarischen Infrastruktur zu bewerten.

---

Interoperabilität, DSGVO und Herausforderungen der digitalen Souveränität

eIDAS 2 und DSGVO: Verstärkte Komplementarität

Eine der großen Fortschritte von eIDAS 2 ist die ausdrückliche Integration von Datenschutzprinzipien von Anfang an (privacy by design) in die Architektur des EUDI-Porterfeuilles. Artikel 5a Abs. 14 bestimmt, dass das Portefeuille es den Anbietern nicht ermöglicht, das Verhalten des Benutzers während der Transaktionen zu verfolgen. Aussteller von qualifizierten Identitätsattributen (QEAA) werden nicht über die Nutzung der ausgestellten Attestationen informiert – was einen großen Bruch mit den derzeit zentralisierten Modellen darstellt.

Diese Architektur wird als unlinkability (Nicht-Korrelierbarkeit) bezeichnet: Zwei unterschiedliche Transaktionen desselben Benutzers können ohne sein Einverständnis nicht verknüpft werden. Diese Garantie übersteigt die Mindestanforderungen der DSGVO, während sie sich perfekt damit artikuliert.

Die geopolitische Dimension: Kontrolle über Online-Identität zurückgewinnen

eIDAS 2 antwortet auch auf eine Frage der Souveränität. Heute beruht Online-Authentifizierung massiv auf den Schaltflächen „Mit Google/Facebook/Apple verbinden", was den amerikanischen Tech-Giganten eine dominante Position bei der Verwaltung europäischer digitaler Identitäten verleiht. Indem eIDAS 2 sehr großen Plattformen (im Sinne des Digital Services Act) aufzwingt, das EUDI-Portefeuille als Authentifizierungsmittel zu akzeptieren, schafft es eine interoperable und souveräne Alternative.

Für B2B-Unternehmen bedeutet dies auch, dass die eIDAS 2 Konformität ein Auswahlkriterium für Lieferanten in öffentlichen und privaten Ausschreibungen werden kann – ähnlich wie das heute die ISO 27001 Zertifizierung in Kaufprozessen darstellt. Falls Ihre Organisation die Änderung ihrer aktuellen Lösung in Betracht zieht, detailliert unser Leitfaden zur Migration von DocuSign oder YouSign zu Certyneo die Schritte eines kontrollierten Übergangs.

Auf eIDAS 2 und elektronische Signatur anwendbarer Rechtsrahmen

Referenztexte

Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024, zur Änderung der Verordnung (EU) Nr. 910/2014 bezüglich der Schaffung des europäischen Rahmens für eine digitale Identität (eIDAS 2). Veröffentlicht im ABl. der EU am 30. April 2024, in Kraft getreten am 20. Mai 2024.

Verordnung (EU) Nr. 910/2014 (eIDAS 1): bleibt in Kraft für ihre nicht geänderten Bestimmungen, insbesondere die Artikel zu den Vertrauensstufen „niedrig", „substantiell" und „hoch" für die angemeldeten Identifizierungsschemen.

Französischer Code civil, Artikel 1366 und 1367: Die elektronische Urkunde hat dieselbe Beweiswirkung wie die Papiererklärung, sofern die Person, von der sie ausgeht, ordnungsgemäß identifiziert ist und die Urkunde unter Bedingungen erstellt wurde, die ihre Integrität gewährleisten. Die qualifizierte elektronische Signatur (QES) im Sinne von eIDAS 2 erfüllt diese Anforderungen von Rechts wegen.

Verordnung (EU) 2016/679 (DSGVO): Die Verarbeitung von Identitätsdaten im Rahmen des EUDI-Porterfeuilles unterliegt den Prinzipien der Datenminimierung (Art. 5 Abs. 1 c), der Zweckbegrenzung (Art. 5 Abs. 1 b) und dem Datenschutz durch Systemgestaltung (Art. 25). Qualifizierte Dienstleister sind als unterschiedliche Verantwortliche für Prüfungsvorgänge tätig.

Richtlinie (EU) 2022/2555 (NIS2): Umgesetzt in französisches Recht durch die Verordnung Nr. 2024-528 vom 12. Juni 2024, verlangt sie von qualifizierten Vertrauensdienstanbietern Verpflichtungen zur Cyber-Risikobewirtschaftung und zur Meldung von Vorfällen innerhalb von 24 Stunden.

ETSI-Standards:

• EN 319 132 (XAdES) und EN 319 122 (CAdES): Fortgeschrittene Formate elektronischer Signaturen.
• EN 319 401: Allgemeine Anforderungen an Vertrauensdienste-Anbieter.
• EN 319 411-1 und 411-2: Politik und Sicherheitsanforderungen für CA, die qualifizierte Zertifikate ausstellen.
• EN 319 521: Anforderungen für qualifizierte Dienste zur Signaturbewahrung (QESAP).

Verpflichtungen und Rechtsrisiken für Unternehmen

Jedes Unternehmen, das elektronische Signaturen in einem vertraglichen Kontext nutzt, muss sicherstellen, dass die gewählte Signaturstufe dem Wert und der Art der Urkunde angepasst ist. Für Urkunden, die einer gesetzlichen Signaturanforderung unterliegen (Verkaufsversprechen, Arbeitsverträge, Bestellungen über bestimmten Schwellenwerten), bietet nur die QES oder AdES basierend auf einem qualifizierten Zertifikat die in Artikel 26 von eIDAS 2 angestrebte Zuverlässigkeitsvermutung.

Im Streitfall kehrt sich die Beweislast um: Wenn die Signatur qualifiziert ist, muss die Partei, die das Dokument anficht, dessen Änderung beweisen; wenn sie einfach oder fortgeschritten ohne qualifiziertes Zertifikat ist, liegt die Beweislast auf dem Unterzeichner, der sie geltend macht. Die Nichtbeachtung von Nachverfolgungs- und Integritätsanforderungen kann zur Nichtigkeit der Urkunde oder zur Nicht-Entgegensetzbarkeit der Signatur gegenüber Dritten führen.

Anwendungsszenarien: eIDAS 2 angewendet auf B2B-Unternehmen

Szenario 1 – Ein Beratungsunternehmen für digitale Transformation (etwa 80 Berater)

Ein Beratungsunternehmen, das seine Mitarbeiter bei Kunden in mehreren Mitgliedstaaten einsetzt (Frankreich, Deutschland, Niederlande), muss monatlich Auftragsschreiben, Vertragsanpassungen und Inspektionsprotokolle unterzeichnen lassen. Vor eIDAS 2 führte die Verwaltung grenzüberschreitender Identitäten zu Reibungen: Ablehnung durch bestimmte deutsche Kunden, Zertifikate, die von einem französischen QTSP ausgestellt wurden, zu erkennen, doppelte per E-Mail durchgeführte Authentifizierung, unzureichend für sensible Urkunden.

Mit der Ausrollung des EUDI-Porterfeuilles 2026 können Berater von ihrem nationalen Portefeuille aus unterzeichnen – uneingeschränkt in allen Mitgliedstaaten anerkannt – ohne jegliche Reibung. Das Beratungsunternehmen schätzt eine Reduktion von 60 bis 70 % der für die vorherige Dokumentprüfung vor der Unterzeichnung aufgewendeten Zeit, etwa 3 bis 4 Stunden pro Berater und Monat nach den Branchenbenchmarks, die McKinsey Digital (2024) veröffentlicht hat.

Szenario 2 – Ein mittelständisches Industrieunternehmen, das 350 Lieferantenverträge pro Jahr verwaltet

Ein mittelständisches Unternehmen des Industrieausrüstungssektors, das mit etwa hundert europäischen und asiatischen Lieferanten arbeitet, muss Bestellungen, Vertraulichkeitsvereinbarungen (NDAs) und Rahmenverträge abschließen. Bislang kamen 30 % dieser Dokumente ohne gültige Signatur oder mit Verzögerungen über 10 Arbeitstagen zurück.

Durch Übernahme einer eIDAS 2-konformen elektronischen Signaturlösung mit Identitätsverifizierung über qualifizierte Attribute (QEAA) kann das mittelständische Unternehmen einen Signaturfluss durchsetzen, in dem die Identität des bevollmächtigten Vertreters des Lieferanten automatisch über das EUDI-Portefeuille überprüft wird, ohne manuelle Eingabe. Erwartetes Ergebnis: Reduktion der durchschnittlichen Unterzeichnungszeit von 10 Tagen auf unter 48 Stunden, und Reduktion um 40 % der Streitigkeiten bezüglich nicht konformer Signaturen, auf der Grundlage von in ELENIUS 2025 Berichten über B2B-Digitalisierung beobachteten Spannweiten.

Szenario 3 – Ein Immobiliengruppe, die in mehreren Ländern Kaufversprechen verwaltet

Ein Netzwerk von Immobilienmaklern, das in Frankreich, Spanien und Portugal tätig ist, muss regelmäßig Vorverträge zwischen Verkäufern und Käufern verschiedener Nationalitäten unterzeichnen lassen. Die QES wird in bestimmten Kontexten verlangt, um die Gleichwertigkeit mit der handschriftlichen Signatur vor dem Notar zu sichern.

Dank eIDAS 2 und der Interoperabilität von EUDI-Porterfeuilles kann ein portugiesischer Käufer einen dem französischen Recht unterlegenen Kaufvertrag mit seinem nationalen Portefeuille unterzeichnen, mit einer „hohen" Vertrauensstufe, automatisch von der Signaturplattform anerkannt. Die Gruppe senkt ihre Reise- und Beglaubigungsgebühren um etwa 800 bis 1.200 Euro pro grenzüberschreitendem Fall, während sie den Abschluss-Zeitrahmen von Vorverträgen von durchschnittlich 3 Wochen auf 5 Tage reduziert. Für bereichsspezifische Einsätze, detailliert unsere Seite zur elektronischen Signatur im Immobiliensektor die angepassten Workflows.

Fazit

eIDAS 2 ist nicht nur eine bloße Compliance-Aktualisierung: Es ist eine tiefgreifende Überholung der Funktionsweise von digitaler Identität und elektronischem Vertrauen in Europa. Das EUDI Wallet, die neuen qualifizierten Dienste, die Interoperabilitätsverpflichtung und die Angleichung an NIS2 und die DSGVO bilden ein kohärentes Ökosystem, das die vertraglichen und Authentifizierungsprozesse von Unternehmen bis Ende 2026 transformieren wird.

Um konform und wettbewerbsfähig zu bleiben, müssen Organisationen im B2B-Bereich jetzt handeln: ihre Vertrauenskette überprüfen, einen Anbieter wählen, der mit den neuen Anforderungen übereinstimmt, und ihre dokumentarischen Flüsse auf die Integration des europäischen digitalen Porterfeuilles vorbereiten.

Certyneo begleitet Sie bei diesem Übergang mit elektronischen Signaturen, die eIDAS 2 konform sind und bereit für 2026. Fordern Sie eine Demo an oder erstellen Sie Ihr Konto auf Certyneo, um Ihre Verträge heute schon zu sichern.