eIDAS 2 Digitale Identitätsbörse: Anleitung 2026

Das Inkrafttreten der eIDAS-2-Verordnung markiert einen historischen Wendepunkt in der Verwaltung der digitalen Identität in Europa. Mit der EUDI Wallet – European Digital Identity Wallet – haben bald alle Bürger und Unternehmen eine souveräne, interoperable und in allen 27 Mitgliedstaaten anerkannte digitale Brieftasche. Für Rechtsabteilungen, Personalwesen, Compliance und IT-Leitung bietet dieses regulatorische Projekt sowohl Chancen als auch operative Herausforderungen. Dieser Artikel erläutert die technische und rechtliche Funktionsweise der EUDI Wallet, ihre konkreten Auswirkungen auf Unternehmen und wie sie mit bestehenden Lösungen zur qualifizierten elektronischen Signatur zusammenhängt.

Was sind eIDAS 2 und die EUDI Wallet?

Von der eIDAS-1.0-Verordnung zur eIDAS-2.0-Verordnung: eine strukturelle Entwicklung

Die 2014 verabschiedete eIDAS-Verordnung Nr. 910/2014 schuf die Grundlagen des digitalen Vertrauens in Europa: qualifizierte elektronische Signaturen, Siegel, Zeitstempel und Authentifizierungsdienste. Doch eine Dekade später wurden ihre Grenzen deutlich: unzureichende Interoperabilität zwischen Mitgliedstaaten, ungleichmäßige Einführung nationaler digitaler Identitäten, fehlende einheitliche Brieftasche. Die Verordnung (EU) 2024/1183, die sogenannte eIDAS 2, offiziell am 11. April 2024 im Amtsblatt der EU verabschiedet, behebt diese Lücken durch ein einheitliches Rahmenwerk für souveräne digitale Identität.

Für ein tieferes Verständnis des gesamten neuen Regelungsrahmens konsultieren Sie unseren vollständigen Leitfaden zur eIDAS-2.0-Verordnung.

Die EUDI Wallet: Architektur und Grundprinzipien

Die EUDI Wallet (European Digital Identity Wallet) ist eine Mobile- und/oder Software-Anwendung, die jeder Mitgliedstaat seinen Bürgern und Bewohnern spätestens 2026 zur Verfügung stellen muss, wie in Artikel 5a der überarbeiteten Verordnung festgelegt. Konkret ermöglicht diese digitale Brieftasche:

• Speicherung und Vorlage verifizierter Identitätsattribute: Ausweisdokument, Führerschein, Diplome, berufliche Berechtigungen, UMSID-Nummern für juristische Personen.
• Authentifizierung des Nutzers bei öffentlichen und privaten Diensten auf hohen Sicherheitsstufen (LoA High gemäß Anlage I der Verordnung).
• Elektronische Signatur von Dokumenten mit qualifiziertem Niveau, gestützt auf zertifizierte Qualified Electronic Signature Creation Devices (QSCD).
• Selektive Datenfreigabe (Prinzip der selective disclosure) ohne Offenlegung von mehr Informationen als notwendig – ein wesentlicher Beitrag zur DSGVO-Konformität.

Die Architektur basiert auf technischen Spezifikationen, die von der Europäischen Kommission über das Architecture and Reference Framework (ARF) veröffentlicht wurden, das vom Konsortium EUDIW (European Digital Identity Wallet) gepflegt wird. Die angenommenen Präsentationsformate sind insbesondere ISO/IEC 18013-5 (mDL – mobile Driver's Licence) und SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), zwei offene Standards, die Portabilität gewährleisten.

Wer ist betroffen? Unternehmen als Relying Parties

Die eIDAS-2-Verordnung führt das Konzept der Relying Party (Vertrauensparteien) ein. Jede Organisation – privates Unternehmen, Behörde, Online-Plattform – die Identitätsattribute von der EUDI Wallet akzeptiert, muss sich bei ihrem Mitgliedstaat registrieren und ein Set technischer und Sicherheitsverpflichtungen erfüllen. Artikel 5b der Verordnung legt fest, dass große Plattformen (im Sinne des DSA) und bestimmte Sektoren (Bank, Gesundheit, Energie) die EUDI Wallet ab dem Produktionsstart im nationalen Bereich akzeptieren müssen.

Technische Funktionsweise der EUDI Wallet für Unternehmen

Der Authentifizierungs- und Signaturfluss Schritt für Schritt

Das Verständnis des technischen Flusses ist unerlässlich, um die Integration in Informationssysteme vorauszusehen. Ein typisches Szenario zur Vertragsunterzeichnung via EUDI Wallet verläuft wie folgt:

1. Initialisierung: Die Relying Party (z. B. Ihre SaaS-Plattform) generiert eine Presentationanfrage, die dem OpenID4VP-Protokoll (OpenID for Verifiable Presentations) entspricht.
2. Benachrichtigung: Der Nutzer erhält eine Benachrichtigung auf seiner mobilen EUDI Wallet.
3. Zustimmung und Auswahl: Der Nutzer wählt die freizugebenden Attribute (Name, Vorname, Geburtsdatum) über die Oberfläche für selective disclosure.
4. Überprüfbare Präsentation: Die Wallet generiert einen kryptographischen Nachweis, der vom Trusted Issuer (dem Mitgliedstaat oder einem akkreditierten Dienstleister) unterzeichnet ist.
5. Überprüfung: Die Relying Party überprüft den Nachweis über das europäische Vertrauensregister (Trust Framework), ohne überflüssige Daten zu speichern.
6. Qualifizierte Signatur: Wenn eine Unterzeichnungshandlung erforderlich ist, erzeugt das in der Wallet eingebettete oder in der Cloud gehostete QSCD (QSign) eine qualifizierte Signatur, die der ETSI EN 319 132 entspricht.

Dieser Fluss garantiert eine LoA-High-Sicherheitsstufe, die höchste im Regelwerk vorgesehene, gleichbedeutend mit einer persönlichen Überprüfung.

Integration mit bestehenden Plattformen für elektronische Signaturen

Herausgeber von Lösungen für elektronische Signaturen müssen die Protokolle OpenID4VCI (Ausstellung) und OpenID4VP (Präsentation) integrieren, um sich mit dem EUDI-Ökosystem zu verbinden. Für Unternehmen, die bereits eine eIDAS-1.0-konforme Plattform nutzen, bedeutet der Übergang zu eIDAS 2 eine technische Versionsaktualisierung, bewahrt aber den rechtlichen Wert bereits geleisteter Signaturen. Es ist daher strategisch wichtig, die Roadmap Ihres aktuellen Anbieters zu evaluieren, besonders wenn Sie eine Migration von DocuSign oder YouSign zu einer konformeren Lösung erwägen.

Digitale Identität von Unternehmern: die Geschäftsfrage

EIDAS 2 beschränkt sich nicht auf natürliche Personen. Artikel 5a Absatz 3 sieht ausdrücklich Wallets für juristische Personen vor und ermöglicht es Unternehmen,:

• Ihre rechtliche Existenz nachzuweisen (Äquivalent zu einem überprüfbaren digitalen Handelsregisterauszug).
• Unterzeichnungsvollmachten an ihre Mitarbeiter auf nachprüfbare und widerrufbare Weise zu delegieren.
• Die KYB-Überprüfung (Know Your Business) in B2B-Vertragsprozessen zu automatisieren.

Diese Dimension ist besonders transformativ für die Prozesse elektronischer Signaturen im Unternehmen, besonders in den Bereichen Personalwesen, Rechtswesen und Finanzen.

Bereitstellungsplan und regulatorische Verpflichtungen 2024-2026

Phasen der Umsetzung nach der Verordnung

Die Verordnung (EU) 2024/1183 setzt einen verbindlichen Zeitplan fest:

• April 2024: Veröffentlichung im Amtsblatt, Inkrafttreten 20 Tage später.
• Ende 2024: Veröffentlichung der Durchführungsmaßnahmen (Implementing Acts), die verbindliche technische Spezifikationen definieren.
• 2025: Bereitstellung nationaler Pilot-Wallets (Large-Scale-Pilot-Projekte: EU Digital Identity Wallet Large Scale Pilots, von der Kommission mit 46 Millionen Euro finanziert).
• Ende 2026: Verpflichtende Bereitstellung durch alle Mitgliedstaaten von mindestens einer operativen EUDI Wallet. Große Plattformen und regulierte Sektoren müssen diese akzeptieren.

Für französische Unternehmen basiert die Bereitstellung auf der digitalen Identität von La Poste und den Arbeiten der ANSSI zur Zertifizierung nationaler Trusted Issuers.

Verpflichtungen für Relying Parties

Unternehmen, die die EUDI Wallet akzeptieren möchten oder müssen, unterliegen mehreren Verpflichtungen:

1. Registrierung bei der zuständigen nationalen Behörde (in Frankreich ANSSI und CNIL je nach Fall).
2. Technische Konformität mit den Spezifikationen der ARF v2.x, veröffentlicht auf GitHub durch die Europäische Kommission.
3. Transparenz: Veröffentlichung in einem öffentlichen Register der angeforderten Attribute und des Verarbeitungszwecks.
4. Datenminimierung: Nur absolut notwendige Attribute anfordern – verstärkte DSGVO-Verpflichtung.
5. Protokollierung: Speichern von Logs der überprüfbaren Präsentationen für Audits, ohne rohe Identitätsdaten zu speichern.

Unternehmen, die die EUDI Wallet in ihre elektronischen Signaturflüsse für Anwaltskanzleien oder für HR-Management integrieren, genießen ab 2026 einen erheblichen Wettbewerbsvorteil.

Strategische Herausforderungen und Chancen für Unternehmen

Abbau von Reibungspunkten in KYC/KYB-Prozessen

Einer der unmittelbarsten Vorteile der EUDI Wallet ist die Beseitigung manueller Identitätsüberprüfungen. Heute erfordert das Onboarding eines neuen Kunden oder Partners das Versenden von Dokumenten per E-Mail, eine manuelle Überprüfung durch den Sachbearbeiter und Verarbeitungsverzögerungen. Mit der EUDI Wallet wird die Überprüfung sofort, kryptographisch zertifiziert und nachprüfbar. Banken-, Immobilien- und Versicherungssektoren – unterworfen LCB-FT-Verpflichtungen – sehen hier eine Hauptchance für automatisierte Konformität. Der Sektor der elektronischen Signatur in der Immobilie ist besonders betroffen, mit Identitätsüberprüfungsprozessen, die heute bis zu 40 % der administrativen Zeit darstellen.

Digitale Souveränität und Reduktion der GAFAM-Abhängigkeit

Die EUDI Wallet antwortet auf eine starke politische Ambition: Reduktion der europäischen Abhängigkeit von Identitätssystemen, die von nicht-europäischen Akteuren betrieben werden (Google, Apple, Meta). Für Unternehmen bedeutet dies eine interoperable, offene und nicht captive Authentifizierungsinfrastruktur, basierend auf ISO- und W3C-Standards statt auf proprietären SDKs. Diese Souveränität ist auch ein kommerzielles Unterscheidungsargument in öffentlichen Ausschreibungen, die zunehmend für Datenlokalisierungsklauseln sensibilisiert werden.

Auswirkungen auf qualifizierte elektronische Signatur und QTSPs

Qualified Trust Service Providers (QTSP) sehen ihre Rolle entwickeln. Mit der EUDI Wallet können QSCDs direkt in der Wallet gehostet oder an einen Cloud-QTSP delegiert werden (Remote Qualified Signature). Für Unternehmen bedeutet dies, dass qualifizierte Signaturen – bisher wegen ihrer Komplexität kritischen Fällen vorbehalten – zugänglich und skalierbar werden. Unser Vergleich von Lösungen zur elektronischen Signatur berücksichtigt nun dieses EUDI-Wallet-Kompatibilitätskriterium in seiner Analyse.

Auf die EUDI Wallet und Unternehmen anwendbarer Rechtsrahmen

Verordnung eIDAS 2: (EU) 2024/1183

Der Grundlagentext ist die Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024, die die eIDAS-Verordnung Nr. 910/2014 ändert. Sie ist unmittelbar in allen Mitgliedstaaten ohne nationale Umsetzungsgesetzgebung anwendbar, was rechtliche Einheitlichkeit in Europa garantiert. Die Artikel 5a bis 5c definieren Verpflichtungen bezüglich der EUDI Wallet, Sicherheitsstufen und Nutzerrechte. Artikel 46f führt spezifische Verpflichtungen für Relying Parties in reglementierten Sektoren ein.

Französischer Code civil: Artikel 1366 und 1367

Im französischen Recht genießt eine über eine EUDI Wallet erzeugte qualifizierte elektronische Signatur die Zuverlässigkeitsvermutung des Artikels 1367 des Code civil: „Die elektronische Signatur besteht in der Verwendung eines zuverlässigen Identifikationsverfahrens, das die Verbindung zur Handlung garantiert." Die Zuverlässigkeit wird vermutet, wenn die Signatur im eIDAS-Sinne qualifiziert ist. Artikel 1366 gleichgestellt die elektronische Schrift mit schriftlichem Dokument unter der Bedingung, dass der Verfasser identifiziert wird und die Integrität garantiert ist – zwei Bedingungen, die die EUDI Wallet nativ erfüllt.

DSGVO Nr. 2016/679: Zusammenhang mit Datenminimierung

Die Verordnung (EU) 2016/679 (DSGVO) gilt vollumfänglich für Relying Parties, die Identitätsattribute von der EUDI Wallet verarbeiten. Die Grundsätze Datenminimierung (Art. 5 Abs. 1c), Zweckbindung (Art. 5 Abs. 1b) und Datenschutz durch Design (Art. 25) müssen von Anfang an in die technische Integration einbezogen werden. Die native selective disclosure der EUDI Wallet erleichtert technisch die Konformität, das Unternehmen bleibt jedoch verantwortlich (Art. 24), seine rechtlichen Grundlagen für die Verarbeitung zu dokumentieren.

ETSI-Normen und technische Standards

Die über EUDI Wallet erzeugte qualifizierte Signatur muss die Normen ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) und ETSI EN 319 162 (PAdES) für erweiterte und qualifizierte elektronische Signaturformate erfüllen. Zertifizierungsrichtlinien werden in ETSI EN 319 401 (General Policy Requirements for Trust Service Providers) definiert. Durchführungsmaßnahmen der Kommission präzisieren die Zertifizierungsanforderungen für Trusted Issuers (Norm ISO/IEC 27001 und Common Criteria EAL 4+).

Richtlinie NIS2: (EU) 2022/2555

Betreiber von EUDI-Wallet-Infrastruktur (Mitgliedstaaten, Trusted Issuers, QTSP) unterliegen Verpflichtungen der Richtlinie NIS2 (EU) 2022/2555, in Frankreich durch Gesetz Nr. 2023-703 umgesetzt. Für Unternehmen als Nutzer setzt NIS2 Anforderungen für das Risikomanagement Drittanbieter fest (Art. 21 Abs. 2d), einschließlich Lieferanten von Lösungen, die EUDI Wallet integrieren. Eine Analyse der Risiken der digitalen Lieferkette wird vor jeder Bereitstellung empfohlen.

Nutzungsszenarien der EUDI Wallet im Unternehmen

Szenario 1: Anwaltskanzlei – Identitätsverifizierung und Mandatsunterzeichnung

Eine Wirtschaftsanwaltskanzlei mit etwa 20 Mitarbeitern behandelt monatlich Hunderte von Mandaten, Auftragsschreiben und Vollmachten. Heute erfordert die Identitätsverifizierung von Mandanten das Versenden von Nachweisen per E-Mail, manuelle Überprüfung durch die Rechtsassistentin und einen durchschnittlichen Verzug von 48 Stunden. Mit der Integration der EUDI Wallet als Authentifizierungsmechanismus präsentiert der Mandant seinen digitalen Ausweis von seiner Wallet in weniger als 90 Sekunden. Die qualifizierte Signatur wird unmittelbar danach ohne weitere Reibung erzeugt. Nach Rückmeldungen von Large-Scale-Piloten zwischen 2023 und 2025 reduziert dieser Fluss die Verarbeitungszeit des Mandanten-Onboardings um 60 bis 75 % und eliminiert Risiken von Eingabefehlern oder abgelaufenen Dokumenten. Die Kanzlei gewinnt auch an LCB-FT-Konformität, da Identitätsattribute kryptographisch von einem Mitgliedstaat zertifiziert sind.

Szenario 2: KMU-Industrie – Verwaltung von Lieferantenverträgen und Unterzeichnungsvollmachten

Ein Industrie-KMU mit etwa 100 Mitarbeitern verwaltet etwa 300 Lieferantenverträge pro Jahr, an denen Einkaufsverantwortliche an drei Standorten beteiligt sind. Die Verwaltung von Unterzeichnungsvollmachten ist heute auf Papier dokumentiert und schwer nachzuvollziehen. Mit der EUDI Wallet für Unternehmungen (juristische Person) kann die Geschäftsleitung überprüfbare Vollmachtsattribute jedem Einkaufsverantwortlichen zuweisen: Engagementplafond, geografischer Umfang, Gültigkeitsdauer. Diese Attribute werden in der Wallet des Mitarbeiters gespeichert und bei jeder Unterzeichnungshandlung automatisch präsentiert. Im Fall von Kündigung oder Positionswechsel ist der Widerruf sofort und nachprüfbar. Dieser Mechanismus reduziert Risiken vertraglicher Streitigkeiten wegen nicht berechtigter Unterschriften und verbessert die Nachverfolgung für interne Audits. Finanzabteilungen beobachten üblicherweise eine Reduktion um 30 bis 40 % der Zeit für die Verwaltung und Überprüfung von Unterzeichnungsvollmachten.

Szenario 3: Krankenhausgruppe – Patienteneinwilligung und Zugang zu Gesundheitsdaten

Eine Krankenhausgruppe mit mehreren Einrichtungen und etwa 1 500 Gesundheitsmitarbeitern steht vor zunehmend komplexen Fragen der Patienteneinwilligung, besonders für den Zugang zu gemeinsamen Krankenakten über Mon Espace Santé. Die Integration der EUDI Wallet als Mechanismus für informierte Einwilligung ermöglicht es dem Patienten, von seinem Smartphone aus den Zugriff auf seine Daten durch einen Facharzt zu validieren, mit Angabe von Dauer und Umfang des Zugriffs. Die selective disclosure garantiert, dass nur relevante medizinische Attribute freigegeben werden. Für Gesundheitsmitarbeiter stellt die Wallet ihre RPPS-Nummer (Shared Repository of Healthcare Professionals) als überprüfbares Attribut bereit, was manuelle Verifizierungsprozesse obsolet macht. Diese Art der Bereitstellung, konsistent mit dem Rahmen des Europäischen Gesundheitsdatenraums (EHDS), kann Verzögerungen beim Zugriff auf autorisierte Gesundheitsdaten um mehrere Stunden auf wenige Sekunden reduzieren. Für weitere Informationen zu sektorspezifischen Themen erläutert unser Leitfaden zur elektronischen Signatur im Gesundheitswesen die anwendbaren regulatorischen Bedingungen.

Fazit

Die EUDI Wallet und die eIDAS-2-Verordnung bilden die bedeutsamste Transformation der europäischen digitalen Identität seit einem Jahrzehnt. Für Unternehmen geht es nicht nur darum, sich an neuer Reglementierung zu konformieren, sondern eine Chance zu nutzen, ihre Signatur-, Onboarding- und Vollmachtsverwaltungsprozesse grundlegend zu modernisieren. Die Sektoren Jura, Personalwesen, Gesundheit und Industrie stehen in vorderster Linie. Der Erfolgsfaktor liegt in der Vorausplanung: Evaluieren Sie jetzt die Kompatibilität Ihrer aktuellen Tools, schulen Sie Ihre Teams und wählen Sie Partner, deren Roadmap auf eIDAS 2 ausgerichtet ist.

Certyneo unterstützt Unternehmen bei dieser Transformation mit einer elektronischen Signaturplattform, die ab ihrer Bereitstellung EUDI-Wallet-kompatibel konzipiert ist. Entdecken Sie unsere Angebote und beginnen Sie kostenlos, um 2026 beruhigt vorauszuplanen.