eIDAS 2: Die neue europäische Verordnung 2026 erklärt

Einführung: Warum eIDAS 2 alles für europäische Unternehmen ändert

Die am 20. Mai 2024 nach einer langen Gesetzgebungsphase in Kraft getretene Verordnung eIDAS 2 — offiziell als Verordnung (EU) 2024/1183 bezeichnet — stellt die ehrgeizigste Reformmaßnahme dar, die jemals auf dem Gebiet der elektronischen Identifizierung und vertrauenswürdigen Dienste in Europa durchgeführt wurde. Sie hebt die ursprüngliche eIDAS-Verordnung von 2014 (Nr. 910/2014) teilweise auf und ersetzt sie, erhält aber gleichzeitig die Rückwärtskompatibilität mit der bestehenden Infrastruktur. Für Unternehmen, die eIDAS-konforme elektronische Signaturen nutzen, führt diese Umgestaltung neue Verpflichtungen, beispiellose Chancen und einen straffen Compliance-Plan bis 2026 und darüber hinaus ein. Dieser Artikel entschlüsselt die wesentlichen Bestimmungen des Textes, ihre operativen Auswirkungen und wie sich Ihre Organisation darauf vorbereiten kann.

---

Was die Verordnung eIDAS 2 grundlegend verändert

Von der Verordnung von 2014 zur Version 2024: Eine strukturelle Überholung

Die ursprüngliche eIDAS-Verordnung von 2014 hatte die Grundlagen für die gegenseitige Anerkennung elektronischer Identifizierungsschemata zwischen den Mitgliedstaaten geschaffen und einen einheitlichen Rechtsrahmen für vertrauenswürdige Dienste (Signatur, Siegel, Zeitstempel usw.) etabliert. Aber zehn Jahre später waren die Grenzen offensichtlich: geringe Quote der Übernahme von gemeldeten eID, Fragmentierung nationaler Lösungen, Fehlen einer universellen digitalen Geldbörse für Bürger und vor allem Unzulänglichkeit in Bezug auf die Nutzung im Web (GAFAM ausgeschlossen aus dem Vertrauensrahmen).

eIDAS 2 behebt diese Mängel auf drei Hauptachsen:

1. Die europäische digitale Identitätsgeldbörse (EUDI Wallet) — jeder Mitgliedstaat muss spätestens im November 2026 eine digitale Geldbörsenanwendung bereitstellen, die es jedem europäischen Bürger oder Einwohner ermöglicht, seine Identitätsattribute (Personalausweis, Führerschein, Diplome usw.) sicher zu speichern und vorzulegen.
2. Die Erweiterung qualifizierter vertrauenswürdiger Dienste — der Text fügt neue qualifizierte Dienste hinzu: Verwaltung qualifizierten elektronischen Archivierungsspeichernden (QESAP), Berichte qualifizierter Identitätsattribute (QEAA), qualifizierte elektronische Geschäftsbücher (QLED) und Verwaltung von Ferngeräten zur Signaturgenerierung (QRCD).
3. Die Verpflichtung für große Plattformen — Anbieter großer Online-Dienste (soziale Netzwerke, Marktplätze) müssen die EUDI-Geldbörse zur Authentifizierung von Nutzern akzeptieren.

Die EUDI Wallet: Architektur und Funktionsweise

Die EUDI Wallet ist das Herzstück von eIDAS 2. Konkret handelt es sich um eine Softwareanwendung — bereitgestellt oder zertifiziert von jedem Mitgliedstaat — die auf einem dezentralen Modell der selektiven Attributpräsentation basiert. Der Benutzer überträgt nur die Daten, die für die Transaktion absolut notwendig sind (Prinzip der Minimierung, konform mit der DSGVO).

Aus technischer Sicht basiert die Architektur auf den Spezifikationen des Architecture Reference Framework (ARF), veröffentlicht von der Europäischen Kommission und regelmäßig aktualisiert durch das Large Scale Pilot (LSP), das vier Piloten-Konsortien (DC4EU, EWC, POTENTIAL, NOBID) zusammenbringt. Die gewählten Datenformate sind hauptsächlich ISO/IEC 18013-5 (mDL/mDocs) und W3C Verifiable Credentials, die grenzüberschreitende Interoperabilität gewährleisten.

Für Unternehmen bedeutet dies, dass sie langfristig die Identität ihrer Kunden oder Partner über die Geldbörse überprüfen können, ohne selbst die Erfassung von Nachweisdokumenten zu verwalten — wodurch die KYC-Reibungsverluste (Know Your Customer) und das Risiko von Dokumentenbetrügereien erheblich verringert werden.

---

Die Garantiestufen und die Hierarchie der Signaturen: Was sich ändert

Beibehaltung der Hierarchie QES / AdES / SES

Das Regime der elektronischen Signaturen bleibt strukturiert um drei Stufen, die in Artikel 3 von eIDAS 2 definiert sind (Übernahme der Terminologie von 2014, aber Präzisierung der technischen Anforderungen):

• Einfache elektronische Signatur (SES): minimale Beweiskraft, geeignet für übliche Handlungen.
• Fortgeschrittene elektronische Signatur (AdES): ausschließliche Verbindung zum Unterzeichner, Möglichkeit, spätere Änderungen zu erkennen.
• Qualifizierte elektronische Signatur (QES): rechtliche Entsprechung der handschriftlichen Signatur in der gesamten EU (Artikel 25§2), ausgestellt über ein qualifiziertes Signaturgenerierungsgerät (QSCD) auf Basis eines qualifizierten Zertifikats.

Die Neuerung besteht darin, dass die QES nun über qualifizierte Fernsignatur-Dienste (QRCD) bereitgestellt werden kann, dessen Genehmigungsbedingungen in den überarbeiteten Artikeln 29a und 29b näher erläutert werden. Dies öffnet die Tür zu 100 % digitalen Abläufen für die anspruchsvollsten Handlungen — notariell beurkundete Verträge, elektronische öffentliche Urkunden — ohne dass ein physisches Smartcard-Gerät erforderlich ist.

Der Einfluss auf qualifizierte Vertrauensdienstanbieter (QTSP)

Anbieter wie Certyneo, die auf zertifizierten QTSP basieren, müssen die neuen Audit-Anforderungen antizipieren, die eIDAS 2 einführt. Artikel 24 schreibt nun verstärkte Kontrollen über die Subunternehmer-Kette vor, und die Anforderungen zur Benachrichtigung von Sicherheitsvorfällen sind explizit an die der NIS2-Richtlinie angepasst (24-Stunden-Frist für die Erstbenachrichtigung). Um die Funktionsweise der verschiedenen Signaturstufen in einem B2B-Kontext zu vertiefen, konsultieren Sie unseren umfassenden Leitfaden zur elektronischen Signatur im Unternehmen.

---

Bereitstellungsplan und Verpflichtungen für Unternehmen in 2025-2026

Die wichtigsten Meilensteine der Bereitstellung

Die Verordnung (EU) 2024/1183 wurde am 30. April 2024 im Amtsblatt der EU veröffentlicht und ist am 20. Mai 2024 in Kraft getreten. Die Durchführungs- und Delegierte Akte — wesentlich für die Präzisierung der technischen Anforderungen — werden schrittweise veröffentlicht:

| Frist | Verpflichtung | |---|---| | Mai 2024 | Inkrafttreten der Verordnung | | Ende 2024 | Veröffentlichung der Durchführungsakte zum ARF v2.0 | | Mitte 2025 | Zertifizierung der ersten EUDI-Geldbörsen-Piloten | | November 2026 | Obligatorische Verfügbarkeit einer EUDI Wallet in jedem Mitgliedstaat | | 2027 | Obligatorische Annahme durch große Online-Plattformen |

Was B2B-Unternehmen jetzt tun müssen

Für Unternehmen, die Lösungen für elektronische Signaturen nutzen, sind drei Prioritäten in 2025-2026 unumgänglich:

1. Die Vertrauenskette auditieren: überprüfen, dass ihr Signaturanbieter tatsächlich in der QTSP-Liste (Trusted List) ihres Mitgliedstaates aufgeführt ist, und dass die verwendeten Zertifikate den überarbeiteten ETSI EN 319 401 und EN 319 411-1 Spezifikationen entsprechen.

2. Die Integration der EUDI Wallet antizipieren: Unternehmen, die in regulierten Sektoren tätig sind (Banken, Versicherungen, Gesundheitswesen, Immobilien), werden zu den ersten gehören, die von Identitätsverifizierungsabläufen über Geldbörse betroffen sind. Die Vorbereitung von API-Integrationen ab 2025 wird empfohlen.

3. Die Aufbewahrungsrichtlinien überprüfen: Der neue qualifizierte elektronische Archivierungsdienst (QESAP) führt Standards für die Langzeitbewahrung ein, die sich in bestimmten Sektoren durchsetzen können (öffentliche Aufträge, Pharmasektor). Unser ROI-Rechner für elektronische Signaturen ermöglicht es Ihnen, die finanziellen Auswirkungen einer Aufrüstung Ihrer Dokumenteninfrastruktur zu bewerten.

---

Interoperabilität, DSGVO und Herausforderungen der digitalen Souveränität

eIDAS 2 und DSGVO: Verstärkte Komplementarität

Eines der großen Fortschritte von eIDAS 2 ist die ausdrückliche Integration von Datenschutzgrundsätzen bei der Gestaltung (privacy by design) in die Architektur der EUDI-Geldbörse. Artikel 5a§14 sieht vor, dass die Geldbörse es Anbietern nicht ermöglicht, das Verhalten des Benutzers bei Transaktionen zu verfolgen. Aussteller qualifizierter Identitätsattribute (QEAA) werden nicht informiert, wie die ausgestellten Nachweise verwendet werden — was eine erhebliche Abkehr von aktuellen zentralisierten Modellen darstellt.

Diese Architektur wird als Unlinkability (Nicht-Korrelierbarkeit) bezeichnet: Zwei verschiedene Transaktionen desselben Benutzers können nicht ohne Zustimmung miteinander verbunden werden. Diese Garantie übertrifft die minimalen Anforderungen der DSGVO, während sie sich gleichzeitig perfekt in diese einfügt.

Die geopolitische Dimension: Kontrolle über Online-Identität zurückgewinnen

eIDAS 2 antwortet auch auf ein Souveränitätsproblem. Heute beruht die Online-Authentifizierung stark auf die Schaltflächen „Mit Google/Facebook/Apple verbinden", was US-amerikanischen Technologiegiganten eine dominante Position in der Verwaltung europäischer digitaler Identitäten gibt. Indem eIDAS 2 sehr großen Plattformen (im Sinne des Digital Services Act) auferlegt, die EUDI Wallet als Authentifizierungsmittel zu akzeptieren, schafft es eine interoperable und souveräne Alternative.

Für B2B-Unternehmen bedeutet dies auch, dass die Konformität mit eIDAS 2 zum Lieferantenauswahlkriterium in öffentlichen und privaten Ausschreibungen werden kann — ähnlich wie heute die ISO 27001-Zertifizierung in Beschaffungsprozessen. Wenn Ihre Organisation ihre aktuelle Lösung weiterentwickeln möchte, erläutert unser Leitfaden zur Migration von DocuSign oder YouSign zu Certyneo die Schritte eines kontrollierten Übergangs.

Anwendbares Rechtliche Rahmen für eIDAS 2 und elektronische Signatur

Referenztexte

Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 bezüglich der Errichtung eines Rahmens der Europäischen Union für eine digitale Identität (eIDAS 2). Veröffentlicht im Amtsblatt der EU am 30. April 2024, in Kraft getreten am 20. Mai 2024.

Verordnung (EU) Nr. 910/2014 (eIDAS 1): bleibt in Kraft für ihre nicht geänderten Bestimmungen, insbesondere für die Artikel zu den Garantiestufen „niedrig", „erheblich" und „hoch" für gemeldete Identifizierungsschemata.

Französisches Bürgerliches Gesetzbuch, Artikel 1366 und 1367: Das elektronische Schriftstück hat die gleiche Beweiskraft wie das Papierschriftstück, sofern die Person, von der es stammt, ordnungsgemäß identifiziert ist und das Dokument unter Bedingungen erstellt wurde, die seine Unversehrtheit gewährleisten. Die qualifizierte elektronische Signatur (QES) im Sinne von eIDAS 2 erfüllt diese Anforderungen von Gesetzes wegen.

Verordnung (EU) 2016/679 (DSGVO): Die Verarbeitung von Identitätsdaten im Rahmen der EUDI-Geldbörse unterliegt den Grundsätzen der Minimierung (Art. 5§1c), der Zweckbegrenzung (Art. 5§1b) und des Schutzes von Daten durch Gestaltung (Art. 25). Qualifizierte Anbieter sind unterschiedliche Verantwortliche für Verarbeitungsvorgänge bei Verifizierungsvorgängen.

Richtlinie (EU) 2022/2555 (NIS2): Umgesetzt in französisches Recht durch die Verordnung Nr. 2024-528 vom 12. Juni 2024, sie erkennt Anbietern von qualifizierten Vertrauensdiensten Verpflichtungen zum Cyber-Risikomanagement und zur Benachrichtigung von Vorfällen innerhalb von 24 Stunden an.

ETSI-Normen:

• EN 319 132 (XAdES) und EN 319 122 (CAdES): Erweiterte Formate für elektronische Signaturen.
• EN 319 401: Allgemeine Anforderungen an Anbieter von Vertrauensdiensten.
• EN 319 411-1 und 411-2: Richtlinie und Sicherheitsanforderungen für Zertifizierungsstellen, die qualifizierte Zertifikate ausstellen.
• EN 319 521: Anforderungen für qualifizierte Signaturerhaltungsdienste (QESAP).

Verpflichtungen und rechtliche Risiken für Unternehmen

Jedes Unternehmen, das elektronische Signaturen im vertraglichen Kontext verwendet, muss sicherstellen, dass die gewählte Signaturstufe für den Wert und die Art der Handlung geeignet ist. Für Handlungen, die unter eine gesetzliche Signaturforderung fallen (Kaufversprechungen, Arbeitsverträge, Bestellungen über bestimmte Schwellen), bietet nur die QES oder AdES basierend auf einem qualifizierten Zertifikat die in Artikel 26 von eIDAS 2 vorgesehene Zuverlässigkeitsvermutung.

Im Streitfall kehrt sich die Beweislast um: Wenn die Signatur qualifiziert ist, obliegt es der Partei, die das Dokument anficht, die Verfälschung zu beweisen; wenn sie einfach oder fortgeschritten ohne qualifiziertes Zertifikat ist, liegt die Beweislast auf dem Unterzeichner, der sich darauf beruft. Die Nichteinhaltung der Anforderungen an Rückverfolgbarkeit und Unversehrtheit kann zur Ungültigkeit der Handlung oder zur Unentgeltlichkeit der Signatur gegen einen Dritten führen.

Anwendungsszenarien: eIDAS 2 angewendet auf B2B-Unternehmen

Szenario 1 — Eine digitale Transformationsberatung (etwa 80 Berater)

Eine Beratungsstruktur, die ihre Mitarbeiter in Kunden in mehreren Mitgliedstaaten (Frankreich, Deutschland, Niederlande) einsetzt, muss monatlich Aufträge, Vertragsänderungen und Abnahmeverträge unterzeichnen lassen. Vor eIDAS 2 erzeugte die Verwaltung grenzüberschreitender Identitäten Reibungen: Ablehnung durch bestimmte deutsche Kunden, Zertifikate anzuerkennen, die von einem französischen QTSP ausgegeben wurden, unzureichende doppelte Authentifizierung per E-Mail für sensible Handlungen.

Mit der Bereitstellung der EUDI Wallet 2026 können Berater von ihrer nationalen Geldbörse aus unterzeichnen — in allen Mitgliedstaaten automatisch anerkannt — ohne Reibungsverluste. Das Beratungsbüro geht von einer Reduzierung um 60 bis 70 % der Zeit aus, die für Dokumentverifizierungsaustausche vor der Unterzeichnung aufgewendet wird, was etwa 3 bis 4 Stunden pro Berater und Monat nach Branchenindizes von McKinsey Digital (2024) entspricht.

Szenario 2 — Ein Industrieunternehmen mit 350 Lieferantenverträgen pro Jahr

Ein Industrieunternehmen im Bereich Industrieausrüstungen, das mit etwa hundert europäischen und asiatischen Lieferanten arbeitet, muss Bestellungen, Vertraulichkeitsvereinbarungen (NDAs) und Rahmenverträge abschließen. Bisher kamen 30 % dieser Dokumente ohne gültige Signatur oder mit Verzögerungen über 10 Werktage zurück.

Durch die Übernahme einer eIDAS 2-konformen elektronischen Signatuurlösung mit Identitätsverifizierung über qualifizierte Attribute (QEAA) kann das Unternehmen einen Signaturfluss durchsetzen, bei dem die Identität des Bevollmächtigten des Lieferanten automatisch über die EUDI-Geldbörse verifiziert wird, ohne manuelle Eingabe. Erwartetes Ergebnis: Reduzierung der durchschnittlichen Signaturfrist von 10 Tagen auf unter 48 Stunden, und Senkung von 40 % der Streitigkeiten über nicht konforme Signaturen, auf Basis der Spannweiten, die in den ELENIUS 2025-Berichten über B2B-Digitalisierung beobachtet werden.

Szenario 3 — Ein Immobilienkonsortium mit Kaufzusammenfassungen in mehreren Ländern

Ein Netzwerk von Maklerinnen und Maklern, das in Frankreich, Spanien und Portugal tätig ist, muss regelmäßig Vorkontakte zwischen Verkäufern und Käufern verschiedener Nationalitäten unterzeichnen lassen. Die QES ist in bestimmten Kontexten erforderlich, um die Gleichwertigkeit mit einer handschriftlichen Signatur vor einem Notar zu gewährleisten.

Dank eIDAS 2 und der Interoperabilität der EUDI-Geldbörsen kann ein portugiesischer Käufer einen dem französischen Recht unterstellten Kaufzusammenfassung mit seiner nationalen Geldbörse mit einer „hohen" Vertrauensstufe unterzeichnen, die automatisch von der Signaturplattform anerkannt wird. Das Konsortium reduziert seine Fahrt- und Legalisierungsgebühren um etwa 800 bis 1 200 Euro pro grenzüberschreitendem Dossier, während es die Abschlussfrist der Vorkontakte von 3 Wochen auf durchschnittlich 5 Tage verkürzt. Für spezifische Nutzungen des Sektors erläutert unsere dedizierte Seite zur elektronischen Signatur in der Immobilienwirtschaft die angepassten Workflows.

Schlussfolgerung

eIDAS 2 ist keine einfache regulatorische Aktualisierung: Es handelt sich um eine tiefe Überholung der Art und Weise, wie digitale Identität und elektronisches Vertrauen in Europa funktioniert. Die EUDI Wallet, die neuen qualifizierten Dienste, die Interoperabilitätsverpflichtung und die Ausrichtung mit NIS2 und der DSGVO bilden ein kohärentes Ökosystem, das die Vertrags- und Authentifizierungsprozesse von Unternehmen bis Ende 2026 umgestalten wird.

Um konform und wettbewerbsfähig zu bleiben, müssen Organisationen jetzt handeln: ihre Vertrauenskette überprüfen, einen Anbieter wählen, der mit den neuen Anforderungen ausgerichtet ist, und ihre Dokumentenflüsse zur Integration der europäischen digitalen Geldbörse vorbereiten.

Certyneo begleitet Sie in diesem Übergang mit eIDAS 2-konformen Lösungen für qualifizierte elektronische Signaturen, bereit für 2026. Fordern Sie eine Demo an oder erstellen Sie Ihr Konto auf Certyneo, um Ihre Verträge schon heute zu schützen.