eIDAS 2 Wallet für digitale Identität: Leitfaden 2026

Das Inkrafttreten der Verordnung eIDAS 2 markiert einen historischen Wendepunkt für die Verwaltung digitaler Identitäten in Europa. Mit dem EUDI Wallet – European Digital Identity Wallet – verfügt bald jeder Bürger und jedes Unternehmen über eine souveräne, interoperable und in allen 27 Mitgliedstaaten anerkannte digitale Geldbörse. Für Rechts-, Personal-, Compliance- und IT-Leiter eröffnet dieses regulatorische Projekt sowohl Chancen als auch operative Herausforderungen. Dieser Artikel entschlüsselt die technische und rechtliche Funktionsweise des EUDI Wallet, seine konkreten Auswirkungen auf Unternehmen und wie es sich mit bereits vorhandenen Lösungen für qualifizierte elektronische Signaturen vereinbaren lässt.

Was ist eIDAS 2 und das EUDI Wallet?

Von der Verordnung eIDAS 1.0 zur Verordnung eIDAS 2.0: eine strukturelle Weiterentwicklung

Die 2014 angenommene Verordnung eIDAS Nr. 910/2014 legte die Grundlagen für digitales Vertrauen in Europa: qualifizierte elektronische Signaturen, Siegel, Zeitstempel und Authentifizierungsdienste. Doch ein Jahrzehnt später wurden ihre Grenzen deutlich: unzureichende Interoperabilität zwischen Mitgliedstaaten, ungleiche Einführung nationaler digitaler Identitäten, Fehlen einer einheitlichen Geldbörse. Die Verordnung (EU) 2024/1183, sogenannte eIDAS 2, die am 11. April 2024 offiziell im Amtsblatt der EU veröffentlicht wurde, behebt diese Lücken durch ein gemeinsames Rahmenwerk für souveräne digitale Identität.

Um das gesamte neue regulatorische Rahmenwerk zu vertiefen, lesen Sie unseren umfassenden Leitfaden zur Verordnung eIDAS 2.0.

Das EUDI Wallet: Architektur und grundlegende Prinzipien

Das EUDI Wallet (European Digital Identity Wallet) ist eine mobile und/oder Softwareanwendung, die jeder Mitgliedstaat seinen Bürgern und Bewohnern spätestens 2026 zur Verfügung stellen muss, gemäß Artikel 5a der überarbeiteten Verordnung. Konkret ermöglicht dieses digitale Wallet:

• Speicherung und Präsentation verifizierbarer Identitätsattribute: Personalausweis, Führerschein, Diplome, berufliche Akkreditierungen, innergemeinschaftliche Umsatzsteuer-Identifikationsnummer für juristische Personen.
• Authentifizierung des Nutzers bei öffentlichen und privaten Diensten auf hohen Assurance-Ebenen (LoA High gemäß Anlage I der Verordnung).
• Elektronische Unterzeichnung von Dokumenten mit qualifiziertem Niveau, gestützt auf zertifizierte Qualified Electronic Signature Creation Devices (QSCD).
• Selektive Datenfreigabe (Prinzip der selective disclosure), ohne mehr Informationen als nötig preiszugeben – ein großer Gewinn für die DSGVO-Konformität.

Die Architektur stützt sich auf technische Spezifikationen, die von der Europäischen Kommission über das Architecture and Reference Framework (ARF) veröffentlicht werden und vom EUDIW-Konsortium (European Digital Identity Wallet) gepflegt werden. Die angenommenen Präsentationsformate umfassen insbesondere ISO/IEC 18013-5 (mDL – mobile Driver's Licence) und SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), zwei offene Standards, die Portabilität garantieren.

Wer ist betroffen? Unternehmensakteure (Relying Parties)

Die Verordnung eIDAS 2 führt das Konzept der Relying Party (nutzende Partei) ein. Jede Organisation – privates Unternehmen, Behörde, Online-Plattform – die Identitätsattribute aus dem EUDI Wallet akzeptiert, muss sich bei ihrem Mitgliedstaat registrieren und eine Reihe technischer und sicherheitstechnischer Verpflichtungen erfüllen. Artikel 5b der Verordnung präzisiert, dass große Plattformen (im Sinne des DSA) und bestimmte Sektoren (Banken, Gesundheit, Energie) verpflichtet sind, das EUDI Wallet ab dem Inbetriebnahmedatum auf nationaler Ebene zu akzeptieren.

Technische Funktionsweise des EUDI Wallet für Unternehmen

Der Authentifizierungs- und Signatur-Workflow Schritt für Schritt

Das Verständnis des technischen Workflows ist unerlässlich, um die Integration in Informationssysteme vorauszusehen. Ein typisches Szenario der Unterzeichnung eines Vertrags via EUDI Wallet läuft folgendermaßen ab:

1. Initialisierung: Die Relying Party (z. B. Ihre SaaS-Plattform) generiert eine Anfrage zur Präsentation, die dem OpenID4VP-Protokoll (OpenID for Verifiable Presentations) entspricht.
2. Benachrichtigung: Der Nutzer erhält eine Benachrichtigung auf sein mobiles EUDI Wallet.
3. Zustimmung und Auswahl: Der Nutzer wählt die freizugebenden Attribute (Name, Vorname, Geburtsdatum) über die selective disclosure-Schnittstelle.
4. Verifiable Presentation: Das Wallet generiert einen kryptographisch signierten Nachweis des Trusted Issuer (des Mitgliedstaats oder eines akkreditierten Anbieter).
5. Verifikation: Die Relying Party verifiziert den Nachweis über das europäische Vertrauensregister (Trust Framework), ohne überflüssige Daten zu speichern.
6. Qualifizierte Signatur: Wenn ein Signaturakt erforderlich ist, erzeugt das QSCD, das direkt im Wallet oder in der Cloud gehostet ist (QSign), eine gemäß ETSI EN 319 132 qualifizierte Signatur.

Dieser Workflow garantiert ein LoA High Assurance-Niveau, das höchste in der Verordnung vorgesehene, äquivalent zu einer Verifizierung von Angesicht zu Angesicht.

Integration mit bestehenden Plattformen für elektronische Signaturen

Herausgeber von Lösungen für elektronische Signaturen müssen die Protokolle OpenID4VCI (Ausstellung) und OpenID4VP (Präsentation) integrieren, um sich mit dem EUDI-Ökosystem zu verbinden. Für Unternehmen, die bereits eine eIDAS 1.0-konforme Plattform nutzen, bedeutet der Wechsel zu eIDAS 2 eine technische Versionsaktualisierung, bewahrt aber die rechtliche Gültigkeit bereits erstellter Signaturen. Es ist daher strategisch sinnvoll, die Roadmap Ihres aktuellen Anbieters zu bewerten, besonders wenn Sie erwägen, von DocuSign oder YouSign zu einer konformeren Lösung zu migrieren.

Digitale Identität von Unternehmen: die Unternehmensaufgabe

EIDAS 2 beschränkt sich nicht auf natürliche Personen. Artikel 5a §3 sieht ausdrücklich Wallets für juristische Personen vor, die es Unternehmen ermöglichen:

• Ihre rechtliche Existenz zu nachzuweisen (Äquivalent eines digital verifizierbaren Handelsregisterauszugs).
• Unterzeichnungsvollmachten an ihre Mitarbeiter auf nachvollziehbare und widerrufbare Weise zu delegieren.
• Die KYB-Verifizierung (Know Your Business) in B2B-Vertragsprozessen zu automatisieren.

Diese Dimension ist besonders transformativ für elektronische Signaturprozesse in Unternehmen, besonders in den Bereichen Personalwesen, Jura und Finanzen.

Bereitstellungsplan und regulatorische Verpflichtungen 2024-2026

Phasen der Implementierung gemäß der Verordnung

Die Verordnung (EU) 2024/1183 legt einen verbindlichen Zeitplan fest:

• April 2024: Veröffentlichung im Amtsblatt, Inkrafttreten 20 Tage später.
• Ende 2024: Veröffentlichung der Durchführungsakte (Implementing Acts), die die verbindlichen technischen Spezifikationen definieren.
• 2025: Bereitstellung von Pilot-Wallets auf nationaler Ebene (Large-Scale-Pilot-Projekte: EU Digital Identity Wallet Large Scale Pilots, mit 46 Millionen Euro durch die Kommission finanziert).
• Ende 2026: Obligatorische Bereitstellung durch alle Mitgliedstaaten von mindestens einem operativen EUDI Wallet. Große Plattformen und regulierte Sektoren müssen diesen akzeptieren.

Für französische Unternehmen stützt sich die Bereitstellung auf die digitale Identität von La Poste und die Arbeiten der ANSSI bezüglich der Zertifizierung nationaler Trusted Issuer.

Verpflichtungen für Relying Parties

Unternehmen, die das EUDI Wallet akzeptieren möchten oder müssen, unterliegen mehreren Verpflichtungen:

1. Registrierung bei der zuständigen nationalen Behörde (in Frankreich ANSSI und CNIL je nach Fall).
2. Technische Konformität mit den ARF v2.x-Spezifikationen, die von der Europäischen Kommission auf GitHub veröffentlicht werden.
3. Transparenz: Veröffentlichung in einem öffentlichen Register der angeforderten Attribute und des Verarbeitungszwecks.
4. Minimierung der Daten: Anförderung nur der streng erforderlichen Attribute – Verpflichtung, die durch die DSGVO verstärkt wird.
5. Protokollierung: Beibehaltung der Logs verifizierbarer Präsentationen für Audits, ohne Speicherung von rohen Identitätsdaten.

Unternehmen, die das EUDI Wallet in ihre Workflows für elektronische Signaturen für Anwaltskanzleien oder für Personalverwaltung integrieren, werden ab 2026 einen erheblichen Wettbewerbsvorteil haben.

Strategische Herausforderungen und Chancen für Unternehmen

Reduzierung von Friktionen in KYC/KYB-Prozessen

Einer der unmittelbarsten Vorteile des EUDI Wallet ist die Beseitigung manueller Identitätsprüfungen. Heute erfordert das Onboarding eines neuen Kunden oder Partners das Senden von Dokumentennachweisen, manuelle Überprüfung durch Personal und Verarbeitungsverzögerungen. Mit dem EUDI Wallet wird die Verifizierung augenblicklich, kryptographisch zertifiziert und auditiert. Die Bank-, Immobilien- und Versicherungssektoren – unterworfen Geldwäschebekämpfungs- und Terrorismusfinanzierungsverpflichtungen – sehen hierin eine große Gelegenheit zur automatisierten Konformität. Der Sektor elektronische Signaturen im Immobiliensektor ist besonders betroffen, wobei Identitätsprüfungsprozesse heute bis zu 40 % der Verwaltungszeit ausmachen.

Digitale Souveränität und Verringerung der Abhängigkeit von GAFAM

Das EUDI Wallet antwortet auf eine starke politische Ambition: Die Abhängigkeit der Europäer von Identitätssystemen, die von nicht-europäischen Akteuren betrieben werden (Google, Apple, Meta), zu verringern. Für Unternehmen bedeutet dies eine interoperable, offene und nicht gefesselte Authentifizierungsinfrastruktur, basierend auf ISO- und W3C-Standards anstelle von proprietären SDKs. Diese Souveränität ist auch ein Vermarktungsargument zur Differenzierung in öffentlichen Ausschreibungen, die zunehmend empfindlich gegenüber Datenlokaliserungsklauseln sind.

Auswirkungen auf qualifizierte elektronische Signaturen und QTSP

Qualified Trust Service Provider (QTSP) erleben eine Wandlung ihrer Rolle. Mit dem EUDI Wallet können QSCDs direkt im Wallet gehostet oder an eine Cloud-QTSP delegiert werden (Remote Qualified Signature). Für Unternehmen bedeutet dies, dass qualifizierte Signatur – bislang kritischen Fällen vorbehalten wegen ihrer Komplexität – zugänglich und skalierbar wird. Unser Vergleich der Lösungen für elektronische Signaturen berücksichtigt nunmehr dieses Kriterium der EUDI Wallet-Kompatibilität in seiner Analyse.

Anwendbarer Rechtsrahmen für EUDI Wallet und Unternehmen

Verordnung eIDAS 2: (EU) 2024/1183

Der Gründungstext ist die Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024, die die Verordnung eIDAS Nr. 910/2014 ändert. Sie ist in allen Mitgliedstaaten direkt anwendbar, ohne nationale Umsetzungsgesetze, was rechtliche Einheitlichkeit auf europäischer Ebene garantiert. Die Artikel 5a bis 5c definieren die Verpflichtungen bezüglich des EUDI Wallet, Assurance-Levels und Nutzerrechte. Artikel 46f führt spezifische Verpflichtungen für Relying Parties in regulierten Sektoren ein.

Französisches Bürgerliches Gesetzbuch: Artikel 1366 und 1367

Im französischen Recht profitiert eine qualifizierte elektronische Signatur, die über ein EUDI Wallet erzeugt wird, von der Zuverlässigkeitsvermutung, die durch Artikel 1367 des Zivilgesetzbuches vorgesehen ist: „Die elektronische Signatur besteht in der Verwendung eines zuverlässigen Verfahrens zur Identifizierung, das ihre Verbindung mit dem Dokument gewährleistet, auf das sie angewendet wird." Zuverlässigkeit wird vermutet, wenn die Signatur im eIDAS-Sinne qualifiziert ist. Artikel 1366 behandelt das elektronische Dokument wie ein Papierdokument, sofern sein Verfasser identifiziert ist und die Integrität gewährleistet ist – zwei Bedingungen, die das EUDI Wallet nativ erfüllt.

DSGVO Nr. 2016/679: Zusammenspiel mit Dateminimierung

Die Verordnung (EU) 2016/679 (DSGVO) gilt vollumfänglich für Relying Parties, die Identitätsattribute aus dem EUDI Wallet verarbeiten. Die Prinzipien der Dataminimierung (Art. 5 §1c), der Zweckbegrenzung (Art. 5 §1b) und des Datenschutzes durch Technik (Art. 25) müssen ab der Entwurfsphase der technischen Integration berücksichtigt werden. Die native selective disclosure des EUDI Wallet erleichtert technisch die Konformität, bleibt aber die Verantwortung des Unternehmens (Art. 24) in der Dokumentation seiner Rechtsgrundlagen der Verarbeitung.

ETSI-Normen und technische Standards

Die qualifizierte Signatur, die über das EUDI Wallet erzeugt wird, muss den Normen ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) und ETSI EN 319 162 (PAdES) für die Formate erweiterte und qualifizierte elektronische Signaturen entsprechen. Zertifizierungsrichtlinien werden in ETSI EN 319 401 (General Policy Requirements for Trust Service Providers) definiert. Die Durchführungsakte der Kommission präzisieren die Zertifizierungsanforderungen für Trusted Issuers (Norm ISO/IEC 27001 und Common Criteria EAL 4+).

Richtlinie NIS2: (EU) 2022/2555

Betreiber der EUDI Wallet-Infrastruktur (Mitgliedstaaten, Trusted Issuers, QTSP) unterliegen den Verpflichtungen der Richtlinie NIS2 (EU) 2022/2555, in Frankreich durch das Gesetz Nr. 2023-703 umgesetzt. Für nutzende Unternehmen begründet NIS2 Risikomanagementverpflichtungen für Drittleister (Art. 21 §2d), einschließlich von Anbietern von Lösungen, die das EUDI Wallet integrieren. Eine Risikofolgenabschätzung für die digitale Lieferkette wird daher vor jedem Bereitstellungsvorhaben empfohlen.

Anwendungsfälle des EUDI Wallet in Unternehmensumgebungen

Szenario 1: Anwaltskanzlei – Identitätsprüfung und Unterzeichnung von Vollmachten

Eine Anwaltskanzlei für Wirtschaftsrecht mit etwa zwanzig Mitarbeitern bearbeitet monatlich mehrere hundert Vollmachten, Auftragsbestätigungen und Vertretungsvollmachten. Heute erfordert die Identitätsprüfung der Klienten das Versenden von Dokumentennachweisen per E-Mail, manuelle Überprüfung durch die Assistentin und eine durchschnittliche Bearbeitungszeit von 48 Stunden. Mit der Integration des EUDI Wallet als Authentifizierungsmechanismus präsentiert der Klient seinen digitalen Personalausweis aus seinem Wallet in weniger als 90 Sekunden. Die qualifizierte Signatur wird anschließend ohne weitere Reibungspunkte erzeugt. Nach Rückmeldungen aus zwischen 2023 und 2025 durchgeführten Large-Scale-Piloten reduziert dieser Workflow die Bearbeitungszeit des Kundeonboardings um 60 bis 75 % und beseitigt Risiken von Eingabefehlern oder abgelaufenen Dokumenten. Die Kanzlei gewinnt auch an Geldwäschebekämpfungs-Konformität, da Identitätsattribute kryptographisch von einem Mitgliedstaat zertifiziert sind.

Szenario 2: KMU in der Industrie – Verwaltung von Lieferantenverträgen und Signaturvollmachten

Ein industrielles KMU mit etwa hundert Mitarbeitern verwaltet jährlich etwa 300 Lieferantenverträge mit Einkaufsverantwortlichen, die über drei Standorte verteilt sind. Die Verwaltung von Signaturvollmachten ist heute auf Papier dokumentiert und schwer zu prüfen. Mit dem EUDI Wallet für Unternehmen (juristische Person) kann die Geschäftsführung jedem Einkaufsverantwortlichen verifiable Delegationsattribute zuordnen: Verbindlichkeitslimit, geografisches Geltungsgebiet, Gültigkeitsdauer. Diese Attribute werden im Wallet des Mitarbeiters gespeichert und automatisch bei jedem Signaturakt präsentiert. Bei Ausscheiden oder Positionswechsel ist die Widerrufung augenblicklich und auditierbar. Dieses Verfahren reduziert die Risiken von Vertragslitigen, die mit nicht befugten Unterzeichnern verbunden sind, und verbessert die Nachvollziehbarkeit für interne Audits. Finanzabteilungen beobachten in der Regel eine Reduzierung der für Verwaltung und Überprüfung von Unterzeichnungsvollmachten erforderlichen Zeit um 30 bis 40 %.

Szenario 3: Krankenhausgruppe – Patienteneinwilligung und Zugang zu Gesundheitsdaten

Eine Krankenhausgruppe, die mehrere Einrichtungen vereinigt und etwa 1 500 Gesundheitspersonal beschäftigt, sieht sich zunehmend komplexeren Patienteneinwilligungsfragen gegenüber, besonders beim Zugang zu geteilten elektronischen Patientenakten über Mein Gesundheitsraum. Die Integration des EUDI Wallet als Mechanismus der informierten Einwilligung ermöglicht dem Patienten, von seinem Smartphone aus den Zugang zu seinen Daten durch einen Facharzt zu genehmigen, wobei Dauer und Umfang des Zugriffs präzisiert werden. Die selective disclosure garantiert, dass nur relevant medizinische Attribute gemeinsam genutzt werden. Für Gesundheitspersonal stellt das Wallet die RPPS-Nummer (Gemeinsames Verzeichnis von Angehörigen der Heilberufe) als verifiable Attribut bereit, was manuelle Verifizierungsprozesse überflüssig macht. Diese Art der Bereitstellung, im Einklang mit dem Rahmen des Europäischen Gesundheitsdatenraums (EHDS), kann die Zugriffsverzögerungen auf autorisierte Gesundheitsdaten von mehreren Stunden auf Sekunden reduzieren. Für weitere Informationen zu sektorspezifischen Herausforderungen lesen Sie unseren Leitfaden zur elektronischen Signatur im Gesundheitswesen, der die geltenden Besonderheiten der Regulierung detailliert.

Fazit

Das EUDI Wallet und die Verordnung eIDAS 2 stellen die bedeutendste Transformation der europäischen digitalen Identität seit einem Jahrzehnt dar. Für Unternehmen geht es nicht nur darum, eine neue Regelwerk einzuhalten, sondern auch die Gelegenheit zu nutzen, ihre Signatur-, Onboarding- und Delegationsverwaltungsprozesse tiefgreifend zu modernisieren. Die Sektoren Jura, Personal, Gesundheit und Industrie sind an vorderster Front. Der Schlüssel zum Erfolg liegt in Vorbereitung: bewerten Sie ab sofort die Kompatibilität Ihrer derzeitigen Instrumente, schulen Sie Ihre Teams und wählen Sie Partner, deren Roadmap auf eIDAS 2 ausgerichtet ist.

Certyneo begleitet Unternehmen bei diesem Übergang mit einer Signatur-Elektronik-Plattform, die von Beginn an EUDI Wallet-kompatibel konzipiert ist. Entdecken Sie unsere Angebote und starten Sie kostenlos, um sich 2026 mit Ruhe vorzubereiten.