Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Compliance11 min Lesezeit

eIDAS 2.0: Die EU-Brieftasche für digitale Identität

eIDAS 2.0 schreibt eine EU-Brieftasche für digitale Identität bis Ende 2026 vor. Wie die EUDI-Wallet KYC, Dokumentenprüfung und Identitäts-Workflows transformiert.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for eIDAS 2.0: Die EU-Brieftasche für digitale Identität — Compliance

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Eine Compliance-Beauftragte bei einer mittelgroßen deutschen Bank öffnet am Montagmorgen ihren Posteingang. Drei neue Firmenkunden müssen diese Woche ongeboardet werden. Jeder erfordert beglaubigte Kopien von Personalausweisen, Meldebescheinigungen, Gesellschaftsverträgen, Gesellschafterlisten und Transparenzregister-Auszügen – gescannt, per E-Mail geschickt, manuell gegen Datenbanken geprüft und in einer Akte abgelegt, die bis zur nächsten Prüfung unberührt bleibt. Der Prozess kostet ihr Team durchschnittlich vier Stunden pro Mandant. Am Donnerstag erfährt sie, dass ein Personalausweis abgelaufen war, eine Meldebescheinigung älter als drei Monate war und ein Gesellschafterregister einen wirtschaftlich Berechtigten aufführte, der zwei Tage nach Einreichung auf die EU-Sanktionsliste gesetzt worden war. Die Woche ist verloren. Das Risiko ist real.

Dieses Szenario – das sich täglich tausendfach in europäischen Finanzinstituten, Kanzleien, Immobilienagenturen und Versicherungsunternehmen wiederholt – ist genau das, was die Europäische Union mit eIDAS 2.0 und der Europäischen Brieftasche für digitale Identität (EUDI-Wallet) beseitigen will. Die Verordnung digitalisiert nicht einfach bestehende Prozesse. Sie ersetzt das gesamte Paradigma der dokumentenbasierten Identitätsprüfung durch Echtzeit-, kryptografisch signierte, nutzergesteuerte Nachweisübermittlung.

Was ist eIDAS 2.0?

eIDAS 2.0 bezeichnet die Verordnung (EU) 2024/1183, die am 11. April 2024 unterzeichnet und am 30. April 2024 im Amtsblatt der Europäischen Union veröffentlicht wurde. Sie ändert die ursprüngliche eIDAS-Verordnung (EU) Nr. 910/2014, die den ersten EU-weiten Rahmen für elektronische Identifizierung und Vertrauensdienste geschaffen hatte.

Die ursprüngliche eIDAS-Verordnung erzielte bedeutende Ergebnisse – gegenseitige Anerkennung nationaler eIDs, Rechtswirksamkeit elektronischer Signaturen –, doch die Adoption blieb fragmentiert. Nur 14 % der öffentlichen Dienste in den Mitgliedstaaten akzeptierten bis 2023 grenzüberschreitende eIDs, und die Adoption im privaten Sektor war vernachlässigbar. eIDAS 2.0 adressiert diese Lücken durch die Einführung eines transformativen Elements: der EUDI-Wallet.

Zentrale Gesetzesänderungen

Aspekt eIDAS 1.0 (2014) eIDAS 2.0 (2024)
Geltungsbereich Fokus auf öffentlichen Sektor Öffentlicher und privater Sektor
Wallet-Anforderung Keine Pflicht: jeder Mitgliedstaat muss mindestens eine anbieten
Nachweistypen Nationale eIDs Verifizierbare Nachweise (Diplome, Führerscheine, Gesundheitsdaten, Unternehmensdokumente)
Nutzerkontrolle Begrenzt Volle Nutzereinwilligung pro geteiltem Attribut
Grenzüberschreitende Nutzung Theoretisch Verpflichtende gegenseitige Anerkennung
Akzeptanz durch Privatsektor Freiwillig Verpflichtend für bestimmte Branchen bis Ende 2027
Sicherheitszertifizierung Nationale Systeme EU-Cybersicherheitszertifizierung (ENISA)

Die Verordnung trat am 20. Mai 2024 in Kraft. Die ersten Durchführungsrechtsakte wurden am 4. Dezember 2024 veröffentlicht und traten 20 Tage später in Kraft. Dies löst einen 24-monatigen Countdown aus: Jeder Mitgliedstaat muss seinen Bürgern, Unternehmen und Einwohnern bis Ende 2026 mindestens eine EUDI-Wallet bereitstellen.

Die EUDI-Wallet: Funktionsweise

Die EUDI-Wallet ist eine mobile Anwendung – von einem Mitgliedstaat herausgegeben oder unterstützt –, die verifizierbare Nachweise auf dem Gerät des Nutzers speichert. Sie ist keine zentrale Datenbank. Die Wallet enthält kryptografische Belege für Identitätsattribute (Name, Geburtsdatum, Staatsangehörigkeit, Adresse) sowie qualifizierte elektronische Bescheinigungen von Attributen (Führerscheine, Berufsqualifikationen, Handelsregisterdaten, Gesundheitszertifikate).

Der Verifizierungsablauf

Eine typische EUDI-Wallet-Interaktion folgt vier Schritten:

  1. QR-Code-Scan. Eine vertrauende Partei (Bank, Arbeitgeber, Vermieter, Online-Dienst) präsentiert einen QR-Code oder Deep-Link mit Angabe der benötigten Nachweise.
  2. Authentifizierung. Der Wallet-Nutzer authentifiziert sich lokal – per Biometrie, PIN oder Geräteentsperrung – zum Nachweis des Wallet-Besitzes.
  3. Datenauswahl. Der Nutzer prüft genau, welche Attribute geteilt werden, und erteilt explizite Einwilligung. Die Wallet unterstützt selektive Offenlegung: Wenn ein Dienst nur bestätigen muss, dass der Nutzer über 18 ist, wird nur dieses boolesche Attribut geteilt – nicht das vollständige Geburtsdatum, nicht der Name, nicht die Adresse.
  4. Sofortige Übermittlung. Der signierte Nachweis wird direkt an die vertrauende Partei übermittelt. Diese kann seine Authentizität und Integrität in Echtzeit kryptografisch verifizieren – ohne Anrufe bei ausstellenden Behörden, ohne Warten auf Datenbankabfragen.

Dieser Ablauf ersetzt das traditionelle Modell des Dokumentenkopierens, E-Mail-Versands von Scans und manueller Echtheitsprüfung – ein Prozess, der langsam, fehleranfällig und grundsätzlich unsicher ist.

Welche Nachweise kann die Wallet speichern?

Die Verordnung und ihre Durchführungsrechtsakte definieren mehrere Kategorien von Bescheinigungen:

  • Personenidentifizierungsdaten (PID): Name, Geburtsdatum, Staatsangehörigkeit, eindeutige Kennung
  • Qualifizierte elektronische Attributbescheinigungen (QEAAs): Führerscheine, Bildungsdiplome, Berufsqualifikationen, Krankenversicherungskarten
  • Elektronische Attributbescheinigungen (EAAs): Kundenkarten, Mitgliedsnachweise, Arbeitgeberbescheinigungen
  • Unternehmensnachweise: Handelsregisterdaten, Vertretungsbefugnis, Struktur der wirtschaftlich Berechtigten

Für Unternehmen, die KYC-Sorgfaltspflichten durchführen, bedeutet dies, dass eine einzige Wallet-Interaktion einen ganzen Stapel beglaubigter Dokumente ersetzen kann.

Umsetzungszeitplan

Die Einführung folgt einem phasenweisen Ansatz:

Meilenstein Zieldatum Status
Verordnung tritt in Kraft 20. Mai 2024 Abgeschlossen
Erste Durchführungsrechtsakte veröffentlicht 4. Dezember 2024 Abgeschlossen
Groß angelegte Pilotprogramme (LSPs) abgeschlossen Mitte 2025 Abgeschlossen
Mitgliedstaaten müssen mind. eine Wallet anbieten Ende 2026 In Umsetzung
Verpflichtende Akzeptanz durch bestimmte privatwirtschaftliche Stellen Ende 2027 Ausstehend
EU Digital Decade Ziel: 80 % Bürgeradoption 2030 Zielvorgabe

Die Digitalstrategie-Seite der Europäischen Kommission verfolgt den Fortschritt in den Mitgliedstaaten. Stand Anfang 2026 variiert die Umsetzungsreife erheblich. Deutschland ist mit seiner Smart-eID-Initiative und der Weiterentwicklung der AusweisApp weit fortgeschritten, ebenso wie Frankreich und Estland, während andere Länder – darunter die Niederlande und Bulgarien – signalisiert haben, dass die Einhaltung der Frist Ende 2026 eine Herausforderung darstellt.

Das Digital-Decade-Programm der EU setzt ein ambitioniertes Adoptionsziel: 80 % der EU-Bürger sollen bis 2030 eine digitale Identitätslösung nutzen, wobei die EUDI-Wallet das primäre Instrument ist. Branchenanalysten halten dieses Ziel für ambitioniert; einige prognostizieren, dass die 80-%-Marke erst 2032 erreicht werden könnte.

Auswirkungen auf KYC und Dokumentenprüfung

Die EUDI-Wallet verändert grundlegend, wie verpflichtete Unternehmen die Identitätsprüfung durchführen. Der Wandel von dokumentenbasiertem KYC zu nachweisbasiertem KYC hat Auswirkungen auf die gesamte Compliance-Kette.

Von Fotokopien zu kryptografischen Nachweisen

Beim aktuellen Modell übermittelt ein Kunde, der ein Identitätsdokument vorlegt, eine Kopie – eine Fotografie oder einen Scan eines physischen Dokuments. Das verpflichtete Unternehmen muss dann feststellen, ob die Kopie authentisch ist, ob das Dokument selbst gültig ist und ob die vorlegende Person der rechtmäßige Inhaber ist. Dieser Prozess ist naturgemäß anfällig für Fälschung, Ablauf und menschliche Fehler.

Mit der EUDI-Wallet ist der Nachweis kryptografisch von der ausstellenden Behörde signiert. Die vertrauende Partei erhält einen verifizierbaren Beweis – nicht eine Kopie eines Dokuments, sondern eine signierte Bestätigung der Regierung, dass der Name der Person X, das Geburtsdatum Y und die Staatsangehörigkeit Z ist. Fälschung wird rechnerisch undurchführbar – ein entscheidender Vorteil, da Deepfakes und KI-generierte synthetische Dokumente traditionelle Dokumentenfälschung einfacher denn je machen. Ablaufdaten sind in den Nachweis-Metadaten eingebettet und werden automatisch geprüft. Die Kontrolle der Person über die Wallet wird durch lokale biometrische Authentifizierung verifiziert.

Für Unternehmen, die bereits den erweiterten Umfang der AMLD6-Compliance bewältigen, bietet die EUDI-Wallet einen Weg, verstärkte Sorgfaltspflichten mit deutlich geringerer Reibung und höherer Sicherheit zu erfüllen.

Echtzeit-Verifizierung vs. Stapelverarbeitung

Traditionelle Dokumentenprüfung arbeitet im Stapelmodus: Dokumente werden gesammelt, in eine Warteschlange eingereiht, von einem Compliance-Team geprüft und Ergebnisse Stunden oder Tage später kommuniziert. Die EUDI-Wallet ermöglicht Echtzeit-Verifizierung. Ein Kunde, der einen QR-Code in einer Bankfiliale oder auf einer Website scannt, erhält innerhalb von Sekunden eine sofortige Bestätigung – oder Ablehnung.

Diese Verschiebung hat direkte Auswirkungen auf Onboarding-Konversionsraten, Kundenerfahrung und Betriebskosten. Finanzinstitute, die derzeit 4–6 Stunden pro KYB-Akte aufwenden, können mit einer Reduzierung der Verifizierungszeit um 70–80 % für die Identitätskomponente rechnen.

Sicherheitsrisiken: Wenn die Wallet zum Ziel wird

Die Konzentration von Identitätsattributen in einer einzigen mobilen Anwendung schafft ein hochwertiges Ziel für Cyberkriminelle. Eine kompromittierte EUDI-Wallet legt nicht nur ein einzelnes Dokument offen – sie gewährt potenziell Zugang zur gesamten digitalen Identität einer Person: Name, Adresse, finanzielle Nachweise, Gesundheitsdaten, Berufsqualifikationen.

Bedrohungsvektoren

Die Hauptrisiken umfassen:

  • Gerätekompromittierung. Malware oder physischer Diebstahl des Geräts, das die Wallet hostet.
  • Social Engineering. Phishing-Angriffe, die Nutzer dazu verleiten, sich bei bösartigen vertrauenden Parteien zu authentifizieren und Nachweise zu teilen, die sie nicht beabsichtigten.
  • Übermittlung zu vieler Daten durch Dark Patterns. Vertrauende Parteien, die Einwilligungsabläufe gestalten, die Nutzer zur Weitergabe von mehr Daten als notwendig verleiten – eine Sorge, die von Datenschutzforschern auf der European Identity Conference geäußert wurde.
  • Supply-Chain-Angriffe. Kompromittierte Wallet-Implementierungen oder Vertrauensdiensteanbieter.

Die Verordnung schreibt vor, dass Wallet-Lösungen nach dem Rahmen des EU-Cybersicherheitsgesetzes zertifiziert werden müssen, wobei ENISA die Zertifizierungsanforderungen definiert. Die Definition von „voller Nutzerkontrolle" bleibt jedoch in den Mitgliedstaaten mehrdeutig, was zu potenziellen Disparitäten bei den Sicherheitsgewährleistungsstufen führt.

Mitigationsanforderungen

Verpflichtete Unternehmen, die EUDI-Wallet-Nachweise akzeptieren, müssen eigene Kontrollen implementieren: Überprüfung des Zertifizierungsstatus der Wallet, Abfrage von Widerrufslisten für Nachweise und Protokollierung aller Verifizierungsereignisse für Prüfzwecke. Die DORA-Verordnung stellt zusätzliche IKT-Risikomanagement-Pflichten für Finanzunternehmen auf, einschließlich für Systeme, die digitale Identitätsnachweise verarbeiten.

DSGVO-Konformität: Datenminimierung by Design

Die Architektur der EUDI-Wallet ist explizit darauf ausgelegt, mit den DSGVO-Grundsätzen übereinzustimmen. Mehrere Funktionen setzen direkt Kernanforderungen des Datenschutzes um:

Selektive Offenlegung. Die Wallet ermöglicht Nutzern, nur die für eine Transaktion erforderlichen spezifischen Attribute zu teilen. Ein Autovermietungsunternehmen muss einen gültigen Führerschein und ein Mindestalter bestätigen – nicht die Privatadresse oder das Geburtsdatum des Kunden. Die Wallet kann ein boolesches Ergebnis teilen („ist über 25: ja"), ohne die zugrunde liegenden Daten offenzulegen.

Keine zentrale Datenbank. Nachweise werden auf dem Gerät des Nutzers gespeichert, nicht in einem staatlich betriebenen zentralen Repository. Dies eliminiert das Single-Point-of-Failure-Risiko zentralisierter Identitätsdatenbanken.

Recht auf Löschung. Nutzer können Nachweise jederzeit aus ihrer Wallet löschen. Die Verordnung verlangt zudem, dass vertrauende Parteien nicht mehr Daten als notwendig speichern und Datenminimierungsgrundsätze einhalten.

Einwilligung pro Transaktion. Jede Datenweitergabe erfordert explizite Nutzereinwilligung mit klarer Darstellung, welche Attribute an welche Partei für welchen Zweck übermittelt werden.

Unverknüpfbarkeit. Die Architektur zielt darauf ab, zu verhindern, dass vertrauende Parteien die Transaktionen eines Nutzers über verschiedene Dienste hinweg korrelieren – wobei die praktische Umsetzung dieses Prinzips Gegenstand aktiver technischer Diskussion bleibt.

Für Organisationen, die Identitätsdokumente unter der DSGVO verarbeiten, reduziert das Wallet-Modell die Compliance-Last erheblich. Statt Kopien von Personalausweisen und Meldebescheinigungen zu speichern – mit allen verbundenen Datenschutzpflichten für sichere Aufbewahrung, Zugriffskontrolle, Aufbewahrungsfristen und Meldung bei Datenschutzverletzungen – speichert die Organisation nur das Verifizierungsergebnis und einen kryptografischen Nachweis der Transaktion.

Wie CheckFile die EUDI-Wallet-Verifizierung integriert

Der Übergang von dokumentenbasierter zu nachweisbasierter Verifizierung wird nicht über Nacht stattfinden. Auf absehbare Zeit werden Unternehmen in einer hybriden Umgebung operieren: Einige Kunden präsentieren EUDI-Wallet-Nachweise, andere reichen traditionelle Dokumente ein (gescannte Personalausweise, Meldebescheinigungen, Handelsregisterauszüge).

CheckFile ist genau für diese hybride Realität konzipiert. Die Plattform automatisiert bereits die Validierung traditioneller Dokumente – Echtheitsprüfung, Datenextraktion, Kreuzreferenzierung gegen Datenbanken und Markierung von Anomalien. Mit zunehmender EUDI-Wallet-Adoption in den Mitgliedstaaten wird CheckFile seine Verifizierungs-Workflows erweitern, um Wallet-basierte Nachweise neben traditionellen Dokumenteneinreichungen zu akzeptieren und zu validieren.

Das bedeutet einen einzigen Integrationspunkt für Compliance-Teams: Ob ein Kunde einen kryptografisch signierten Nachweis aus seiner EUDI-Wallet teilt oder eine gescannte Kopie seines Personalausweises hochlädt – CheckFile verarbeitet beides über denselben Workflow, wendet dieselben Compliance-Regeln an und erzeugt einen einheitlichen Audit-Trail.

Das Ergebnis ist Kontinuität. Organisationen müssen während der Übergangsphase keine zwei separaten Verifizierungssysteme aufbauen und pflegen. Sie müssen Compliance-Teams nicht in völlig neuen Tools schulen. Sie erhalten eine einzige Plattform, die sich mit der regulatorischen Landschaft weiterentwickelt.

FAQ

Wann wird die EUDI-Wallet in meinem Land verfügbar sein?

Jeder EU-Mitgliedstaat muss bis Ende 2026 mindestens eine EUDI-Wallet bereitstellen, gemäß der 24-monatigen Umsetzungsfrist, die durch die Durchführungsrechtsakte vom Dezember 2024 ausgelöst wurde. Die Bereitschaft variiert jedoch erheblich. Deutschland ist mit der Weiterentwicklung des elektronischen Personalausweises (eID-Funktion) und der AusweisApp weit fortgeschritten, ebenso wie Frankreich und Estland. Andere, darunter die Niederlande, haben angedeutet, dass sie die Frist möglicherweise nicht einhalten. Informieren Sie sich bei Ihrer nationalen Digitalbehörde über landesspezifische Zeitpläne.

Wird die EUDI-Wallet physische Ausweisdokumente ersetzen?

Nicht sofort. Die EUDI-Wallet ist als Ergänzung zu physischen Dokumenten konzipiert, nicht als Ersatz. Auf absehbare Zeit werden Bürger beides mit sich führen. Da die privatwirtschaftliche Akzeptanz jedoch verpflichtend wird (voraussichtlich Ende 2027 für bestimmte Branchen), wird die Wallet zunehmend zur bevorzugten – und in manchen Fällen erforderlichen – Methode der Identitätsprüfung für Online- und Vor-Ort-Transaktionen.

Wie beeinflusst die EUDI-Wallet meine bestehenden KYC-Prozesse?

Die Wallet führt einen neuen Verifizierungskanal neben der traditionellen Dokumenteneinreichung ein. Verpflichtete Unternehmen müssen ihre Onboarding-Workflows aktualisieren, um Wallet-basierte Nachweise zu akzeptieren, deren kryptografische Signaturen zu verifizieren und die Verifizierungsereignisse zu protokollieren. Bestehende Dokumentenprüfungsprozesse bleiben für Kunden notwendig, die noch keine Wallet besitzen. Plattformen wie CheckFile ermöglichen beide Kanäle über eine einzige Integration.

Ist die EUDI-Wallet vor Betrug sicher?

Die Wallet bietet deutlich stärkere Betrugsschutzgarantien als traditionelle Dokumentenprüfung. Nachweise werden von ausstellenden Behörden kryptografisch signiert und können ohne Brechen der zugrunde liegenden kryptografischen Algorithmen nicht gefälscht werden. Risiken bestehen jedoch auf Nutzerebene (Gerätediebstahl, Social Engineering) und auf Implementierungsebene (Unterschiede in der Sicherheitszertifizierung zwischen Mitgliedstaaten). Organisationen sollten Defense-in-Depth-Strategien implementieren, die Wallet-Verifizierung mit zusätzlichen Betrugserkennungsmaßnahmen kombinieren.

Die regulatorische Landschaft für die Identitätsprüfung in Europa verschiebt sich von Dokumenten zu Nachweisen, von Stapelverarbeitung zu Echtzeit-Verifizierung und von zentralisierten Datenbanken zu nutzergesteuerten Wallets. Ob Ihre Organisation sich auf die eIDAS-2.0-Compliance vorbereitet oder bestehende KYC-Workflows optimiert – CheckFile bietet die Dokumentenvalidierungs-Infrastruktur, um sowohl traditionelle als auch nachweisbasierte Verifizierung in einer einzigen Plattform zu handhaben. Entdecken Sie unsere Preise, um den passenden Plan für Ihre Compliance-Anforderungen zu finden.

Thema vertiefen

Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.

Verwandte Artikel

Compliance9 min

Third-Party Risk Management (TPRM): Leitfaden 2026

Vollständiger Leitfaden zum Third-Party Risk Management (TPRM): DORA-Pflichten, BaFin-Anforderungen, Lieferantenbewertung, kontinuierliches Monitoring und GwG-Compliance in Deutschland 2026.

Lesen
Compliance11 min

Compliance-Risikobewertung: Leitfaden für deutsche Unternehmen 2026

Wie Sie regulatorische Risiken identifizieren, bewerten und minimieren. Praxisleitfaden zum Compliance-Risikomanagement nach BaFin-Anforderungen und GwG § 5.

Lesen
Compliance8 min

GRC: Governance, Risikomanagement und Compliance — Leitfaden 2026

Was ist Governance Risk Management Compliance (GRC)? Die drei Säulen, BaFin-Anforderungen in Deutschland und wie Sie ein effektives GRC-Framework aufbauen.

Lesen