eIDAS 2.0-Konformität: Zeitpläne und was Unternehmen vorbereiten müssen (DE)

eIDAS 2.0 – die überarbeitete EU-Verordnung über elektronische Identifizierung, Authentifizierung und Vertrauensdienste – verpflichtet jeden EU-Mitgliedstaat, seinen Bürgern und juristischen Personen eine EUDI (EU Digital Identity) Wallet zur Verfügung zu stellen. Es ist die größte strukturelle Änderung der digitalen Identität in Europa seit der ursprünglichen eIDAS-Verordnung im Jahr 2014 und schafft echte Akzeptanzpflichten für Dienste des privaten Sektors im gesamten Block.

Die Einführung erfolgt phasenweise und ist präzise auf den jeweiligen Umsetzungsfortschritt der Mitgliedstaaten abgestimmt, der variiert. Eindeutig ist die Richtung: EUDI Wallets kommen, die Akzeptanz wird für bestimmte Dienstleistungskategorien obligatorisch sein, und Unternehmen, die das Framework jetzt verstehen, werden sich reibungsloser integrieren als diejenigen, die warten.

Wichtige Erkenntnisse

• eIDAS 2.0 verpflichtet alle 27 EU-Mitgliedstaaten, EUDI Wallets Bürgern und juristischen Personen zur Verfügung zu stellen, um die elektronische Identifizierung und die Vorlage von Anmeldeinformationen grenzüberschreitend zu ermöglichen.
• Drei LoA (Level of Assurance)-Stufen – Niedrig, Erheblich und Hoch – definieren, wie rigoros eine Anmeldeinformationen erstellt wurde; das geeignete Niveau hängt vom Risiko des Dienstes ab, der sich darauf stützt.
• Akzeptanzpflichten für Dienste des privaten Sektors werden schrittweise eingeführt, wobei Banken, Telekommunikationsunternehmen und große Online-Plattformen zu den Sektoren gehören, für die eine obligatorische Akzeptanz vorgesehen ist.
• Um 2026 wird erwartet, dass die Mitgliedstaaten EUDI Wallets in Betrieb haben, wobei danach schrittweise umfassende Akzeptanzpflichten für den privaten Sektor eingeführt werden – obwohl die Bereitstellungszeitpläne je nach Mitgliedstaat variieren.
• Didit ist der einzige Identitätsanbieter, der von einer Regierung eines EU-Mitgliedstaates – dem spanischen Tesoro / BdE / SEPBLAC / CNMV – formell als sicherer als die persönliche Verifizierung attestiert wurde, und bietet eine konformitätsbereite Grundlage, die dem hohen Sicherheitsstandard von eIDAS 2.0 entspricht.

Was eIDAS 2.0 ist

Die ursprüngliche eIDAS-Verordnung von 2014 schuf einen Rahmen für die gegenseitige Anerkennung nationaler elektronischer Identifizierungssysteme in den EU-Mitgliedstaaten. Sie funktionierte für große nationale eID-Programme – Deutschlands Online-Ausweis, Belgiens eID-Karte – ließ aber erhebliche Lücken: kein gemeinsames Wallet-Format, begrenzte Abdeckung von Diensten des privaten Sektors und grenzüberschreitende Interoperabilität, die in der Theorie besser funktionierte als in der Praxis.

eIDAS 2.0 – formell Verordnung (EU) 2024/1183, die die ursprüngliche ändert – ersetzt dieses fragmentierte nationale Systemmodell durch einen einzigen europäischen Ansatz. Jeder Mitgliedstaat muss jedem Bürger und jeder juristischen Person, die eine möchte, eine EUDI Wallet zur Verfügung stellen. Jede Wallet muss gemeinsame technische Standards erfüllen. Und entscheidend ist, dass bestimmte Dienstleister Wallet-Vorlagen von jedem EU-Bürger akzeptieren müssen, unabhängig davon, welcher Mitgliedstaat die Wallet ausgestellt hat.

Die Wallet enthält überprüfbare Anmeldeinformationen: von der Regierung ausgestellte Ausweisdokumente, Bildungsabschlüsse, Berufs Lizenzen, Bankkontonachweise – jedes Attribut, das von einem Vertrauensdienstleister formell ausgestellt und elektronisch vorzeigbar und überprüfbar ist. Ein deutscher Bürger, der seine EUDI Wallet einer spanischen Bank vorlegt, oder ein polnischer Freiberufler, der einem französischen Marktplatz berufliche Qualifikationen vorlegt, sollte so nahtlos funktionieren wie eine nationale Vorlage.

Sicherheitsniveaus: Niedrig, Erheblich und Hoch

eIDAS 2.0 übernimmt das LoA-Framework aus der ursprünglichen Verordnung und erweitert es auf den Wallet-Kontext. Drei Stufen definieren, wie sicher eine Anmeldeinformationen erstellt wurde:

Niedrig – die Anmeldeinformationen wurde durch einen Prozess erstellt, der nur begrenztes Vertrauen in die beanspruchte Identität bietet. Geeignet für risikoarme Dienste, bei denen die Fehlerkosten minimal sind und die Reibung so gering wie möglich sein sollte.

Erheblich – die Anmeldeinformationen wurde durch einen Prozess erstellt, der das Risiko des Identitätsmissbrauchs erheblich reduziert. Dokumentenbasierte Verifizierung mit automatisierten Prüfungen erfüllt typischerweise dieses Niveau. Die meisten KYC (Know Your Customer)-Prüfungen sind für eine erhebliche Sicherheit ausgelegt.

Hoch – die Anmeldeinformationen wurde durch einen Prozess erstellt, der Missbrauch mit sehr hoher Sicherheit verhindert. Dokumentenprüfung in Kombination mit biometrischer Lebenderkennung auf iBeta Level 1 oder höher – das Äquivalent einer persönlichen Verifizierung oder nachweislich überlegen – erfüllt dieses Niveau.

Das LoA-Framework ist für Unternehmen wichtig, da es das von einem Dienst benötigte Sicherungsniveau der Verifizierungsmethode zuordnet, die es erfüllt. Eine Kontoeröffnung kann erheblich erfordern; der Zugang zu einem regulierten Finanzprodukt kann hoch erfordern. eIDAS 2.0 kodifiziert diese Erwartungen und macht sie EU-weit portabel.

Was die EUDI Wallet für Unternehmen bedeutet

Heute legt ein Benutzer seine Identität Ihrer Plattform vor, indem er ein Dokumentenbild hochlädt und ein Selfie aufnimmt – und Ihre Plattform verifiziert es in Echtzeit. Mit der EUDI Wallet ändert sich das Modell: Der Benutzer besitzt eine vorab verifizierte Anmeldeinformationen, die von einem Vertrauensdienstleister eines Mitgliedstaats ausgestellt wurde, und legt diese Anmeldeinformationen Ihnen vor. Sie überprüfen die kryptografische Signatur der Anmeldeinformationen und die Vertrauenswürdigkeit des Ausstellers – nicht das zugrunde liegende Dokument von Grund auf neu.

Für regulierte Unternehmen bietet das Wallet-Präsentationsmodell konkrete Vorteile. Die Identität des Benutzers wurde bereits von einem vertrauenswürdigen Aussteller auf einem bekannten Sicherungsniveau verifiziert, wodurch der Verifizierungsaufwand auf Ihrer Seite reduziert wird. Die Anmeldeinformationen des Benutzers trägt ein spezifisches LoA, das Sie direkt Ihren Risikobedingungen zuordnen können. Und wiederverwendbare Anmeldeinformationen bedeuten, dass Benutzer nicht jedes Mal Dokumente hochladen müssen, wenn sie mit einem Dienst interagieren – was die Onboarding-Reibung für legitime Benutzer reduziert.

Die Verpflichtungsseite ist ebenso konkret: Bestimmte Dienstleistungskategorien können Wallet-vorgelegte Anmeldeinformationen nicht ablehnen, sobald die Akzeptanzpflichten in Kraft treten. Eine Bank oder eine große Online-Plattform, die in die Kategorien der obligatorischen Akzeptanz fällt, muss in der Lage sein, EUDI Wallet-Präsentationen zu akzeptieren – was eine API-Integration mit dem Wallet-Ökosystem und eine LoA-Mapping-Logik in Ihrer Identitätspipeline erfordert.

Akzeptanzpflichten und der Phasenzeitplan

eIDAS 2.0 identifiziert Kategorien von Dienstleistern, die der obligatorischen Akzeptanz von EUDI Wallet-Präsentationen unterliegen: sehr große Online-Plattformen gemäß dem Gesetz über digitale Dienste, Anbieter von Bank- und Zahlungsdiensten, Anbieter von elektronischen Kommunikationsdiensten, Anbieter von Transport- und Energiediensten sowie Anbieter von Dienstleistungen im Bereich beruflicher Qualifikationen.

Die Akzeptanzpflicht tritt in Kraft, wenn die Mitgliedstaaten ihre Wallets bereitstellen. Groß angelegte Pilotprojekte – Testprogramme mehrerer Mitgliedstaaten in den Bereichen Gesundheitswesen, Bildung, Reisen, Finanzen und Regierungsdienste – laufen seit 2023 und erzeugen produktionsreife technische Spezifikationen. Es wird erwartet, dass die Mitgliedstaaten EUDI Wallets im Zeitraum um 2026 in Betrieb haben werden, wobei die obligatorischen Akzeptanzpflichten für den privaten Sektor mit der Reifung der Infrastruktur schrittweise eingeführt werden.

Der genaue monatliche Kalender hängt vom Implementierungsfortschritt jedes Mitgliedstaats und den von der Europäischen Kommission erlassenen Durchführungsrechtsakten ab. Klar ist, dass die Richtung feststeht und die technische Architektur real ist – die Erkenntnisse aus den Pilotprogrammen werden jetzt in die endgültigen technischen Spezifikationen eingearbeitet.

Was Unternehmen vorbereiten sollten

Ermitteln Sie Ihre Anforderungen an das Sicherheitsniveau. Identifizieren Sie für jeden von Ihnen angebotenen Dienst das LoA, das eine vorgelegte Anmeldeinformationen erfüllen muss. Ein risikoarmer Inhaltsdienst benötigt möglicherweise „Niedrig“; ein reguliertes Finanzkonto erfordert „Hoch“. Diese Zuordnung bestimmt, welche Anmeldeinformationen Sie akzeptieren müssen und wie Sie diese validieren.

Bewerten Sie Ihr Risiko der obligatorischen Akzeptanz. Wenn Ihr Dienst in die genannten Kategorien fällt – Banken, Telekommunikationsunternehmen, große Online-Plattformen – ist Ihre Verpflichtung zur Annahme von EUDI Wallet-Präsentationen regulatorisch und nicht optional. Beginnen Sie mit der technischen Bewertung, bevor die Verpflichtung in Kraft tritt, nicht danach.

Überprüfen Sie Ihre Architektur zur Identitätsprüfung. Die Akzeptanz von eIDAS 2.0 bedeutet nicht, dass Sie Ihre bestehende Verifizierungspipeline entfernen müssen – es bedeutet, sie zu erweitern. Benutzer, die eine EUDI Wallet haben, legen diese vor; Benutzer, die keine haben, absolvieren den Standard-Dokumenten- und Biometrie-Flow. Beide Pfade müssen im selben Compliance-Datensatz und derselben LoA-Klassifizierung zusammenlaufen.

Bauen Sie auf bereits attestierter Infrastruktur auf. Anmeldeinformationen, die mit hoher Sicherheit ausgestellt wurden, erfordern eine Verifizierungspipeline, die dem hohen LoA-Standard entspricht – einschließlich biometrischer Verifizierung, die einer persönlichen Identifizierung vergleichbar oder überlegen ist. Das Aufbauen auf einem Anbieter mit bestehender aufsichtsrechtlicher Attestierung reduziert Ihre Compliance-Oberfläche und vereinfacht den Dialog mit den Aufsichtsbehörden.

Was eIDAS 2.0 für Identitätsüberprüfungsanbieter bedeutet

Die EUDI Wallet verdrängt nicht die traditionelle Dokumenten- und Biometrie-Verifizierung – sie fügt einen neuen Präsentationspfad hinzu. Kurzfristig werden die meisten Benutzer keine EUDI Wallets haben. Mittelfristig wird die Akzeptanz von Wallets zunehmen, wenn die Mitgliedstaaten ihre Implementierungen einführen und die Benutzererfahrung reifer wird. Langfristig werden wiederverwendbare Wallet-Anmeldeinformationen den Verifizierungsaufwand pro Onboarding für Benutzer reduzieren, während das LoA-Framework standardisiert, wie Unternehmen verstehen und kommunizieren, was sie verifiziert haben.

Für Identitätsüberprüfungsanbieter entsteht dadurch eine zweigleisige Landschaft: traditionelle On-Demand-Verifizierung für Benutzer ohne Wallets und Infrastruktur zur Akzeptanz von Anmeldeinformationen für Benutzer, die EUDI Wallet-Anmeldeinformationen vorlegen. Das LoA-Framework ist die Brücke zwischen den beiden Spuren – ein Unternehmen mit einer hohen Sicherheitsanforderung kann diese über beide Pfade erfüllen.

Anwendungsfälle

Banken und Zahlungsinstitute – von Anfang an im obligatorischen Akzeptanzbereich genannt. Die Integration der EUDI Wallet neben bestehenden KYC-Pipelines ermöglicht ein nahtloses Onboarding für Wallet-Inhaber, während der bestehende Flow Nicht-Wallet-Benutzer abdeckt. Die LoA-Zuordnung ersetzt die Verifizierungsentscheidung pro Onboarding für hochsichere Wallet-Anmeldeinformationen.

Telekommunikationsanbieter – in den Kategorien der obligatorischen Akzeptanz genannt. Die Überprüfung der Abonnentenidentität über die EUDI Wallet mit hoher Sicherheit ist die Richtung für die regulierte SIM-Registrierung in der EU.

Große Online-Plattformen und regulierte Marktplätze – sehr große Online-Plattformen gemäß dem DSA sind obligatorischen Akzeptanzpflichten ausgesetzt. Die Verifizierung von Verkäufern und Benutzern mit erheblicher Sicherheit unter Verwendung von Wallet-Anmeldeinformationen ist ein konkreter Anwendungsfall von eIDAS 2.0.

Grenzüberschreitende Finanzdienstleistungen – ein spanischer Benutzer, der sich heute bei einer niederländischen Neobank anmeldet, durchläuft einen vollständigen Dokumenten- und Biometrie-Flow. Mit EUDI Wallets werden seine vorab verifizierten, von der spanischen Regierung ausgestellten Anmeldeinformationen direkt auf dem entsprechenden Sicherheitsniveau übertragen, wodurch die Reibung für einen legitimen Benutzer reduziert und der Compliance-Datensatz erhalten bleibt.

Wie Didit hilft

Didit ist der einzige Identitätsanbieter, der von einer Regierung eines EU-Mitgliedstaates – dem spanischen Tesoro / BdE / SEPBLAC / CNMV – formell als sicherer als die persönliche Verifizierung attestiert wurde. Diese Attestierung ist der hohe Sicherheitsstandard in der Praxis: Dokumentenprüfung plus passive oder aktive Lebenderkennung, bewertet und genehmigt von einer nationalen Finanzaufsichtsbehörde, keine Selbstzertifizierung.

Für Unternehmen, die auf eIDAS 2.0-Konformität hinarbeiten, bedeutet das:

• ID-Verifizierung nach hohem LoA-Standard über Didit ID-Verifizierung – Dokumentenprüfung plus passive oder aktive Lebenderkennung plus Gesichtsabgleich, alles iBeta Level 1 PAD-zertifiziert und von der EU-Regierung attestiert.
• Wiederverwendbares KYC (kostenlos) – sobald ein Benutzer von Didit verifiziert wurde, ist diese Verifizierung portabel. Der Benutzer muss sich nicht für jeden Dienst erneut verifizieren; die Anmeldeinformationen und ihr Sicherheitsniveau werden nachgelagert vertraut.
• EU-attestierte Infrastruktur – der Aufbau Ihrer eIDAS 2.0-Compliance-Haltung auf einem Anbieter mit bestehender nationaler aufsichtsrechtlicher Attestierung reduziert sowohl Ihre Compliance-Belastung als auch Ihre Erklärungsbelastung gegenüber den Aufsichtsbehörden.

Während die Akzeptanzpflichten für die EUDI Wallet schrittweise eingeführt werden, dient Didits Verifizierungspipeline als Ergänzung: Nicht-Wallet-Benutzer verifizieren sich über den Standard-Dokumenten- und Biometrie-Flow; Wallet-präsentierende Benutzer absolvieren den Wallet-Akzeptanzpfad; beide laufen im selben Compliance-Datensatz in Ihrer Business Console zusammen.

Häufig gestellte Fragen

Wann genau müssen Unternehmen EUDI Wallets akzeptieren?

Die Verordnung gibt eine Richtung vor und benennt Kategorien, für die eine obligatorische Annahme gilt; genaue Fristen variieren je nach Mitgliedstaat, Dienstleistungskategorie und den von der Kommission erlassenen Durchführungsrechtsakten. Es wird erwartet, dass die Mitgliedstaaten die Wallets um 2026 in Betrieb haben werden, wobei die Akzeptanzpflichten für den privaten Sektor mit der Reifung der Wallet-Bereitstellung schrittweise eingeführt werden. Verfolgen Sie Ihre nationale Implementierungsbehörde und die relevanten EU-Durchführungsrechtsakte für den verbindlichen Zeitplan.

Was ist der Unterschied zwischen eIDAS 1.0 und eIDAS 2.0?

eIDAS 1.0 (2014) schuf einen grenzüberschreitenden Rahmen für die gegenseitige Anerkennung nationaler eID-Systeme. eIDAS 2.0 fügt ein gemeinsames EUDI Wallet-Format hinzu, das jedem EU-Bürger und jeder juristischen Person zur Verfügung steht, erweitert die Abdeckung auf den privaten Sektor mit obligatorischen Akzeptanzpflichten, führt qualifizierte elektronische Attestierungen von Attributen (QEAAs) als neuen portablen Anmeldeinformationstyp ein und erweitert den Anwendungsbereich der regulierten Vertrauensdienste.

Ersetzt die Akzeptanz von EUDI Wallets die KYC-Verifizierung?

Nein. Die Akzeptanz einer über die Wallet vorgelegten Anmeldeinformationen ist ein Input für Ihr Identitätsprogramm. Das Sicherheitsniveau der Anmeldeinformationen sagt Ihnen, wie zuverlässig die Identität festgestellt wurde. Ihr Compliance-Programm bestimmt weiterhin, welches Niveau für jeden Dienst ausreichend ist, und andere Prüfungen – AML (Anti-Geldwäsche)-Screening, laufende Überwachung, Transaktionsüberwachung – gelten weiterhin.

Wie viel kostet die Didit ID-Verifizierung?

Der Kern-Flow – ID-Dokument (0,15 $) + passive Lebenderkennung (0,10 $) + Gesichtsabgleich (0,05 $) + IP-Analyse (0,03 $) – kostet 0,33 $ pro Verifizierung. 500 kostenlose Prüfungen pro Monat. Keine Mindestmengen, Bezahlung pro Anruf.

Was ist die Didit EU-Regierungsattestierung?

Das spanische Tesoro (Finanzministerium), BdE (Bank von Spanien), SEPBLAC (Aufsichtsbehörde für Geldwäschebekämpfung) und CNMV (Wertpapieraufsichtsbehörde) haben formell attestiert, dass der Verifizierungsprozess von Didit sicherer ist als die persönliche Identifizierung. Dies ist eine Bewertung durch eine nationale Aufsichtsbehörde – keine Selbstzertifizierung oder Branchenauszeichnung. Vollständige Details finden Sie im Trust Hub.

Bereit zum Start?

Lesen Sie die ID-Verifizierungsdokumentation, um die Verifizierungspipeline zu verstehen, sehen Sie sich das vollständige Produkt auf der Produktseite zur ID-Verifizierung an und überprüfen Sie die Kosten pro Anruf auf der Preisseite. Wenn Sie bereit sind, starten Sie kostenlos – 500 kostenlose Verifizierungen pro Monat, kein Vertrag, keine Mindestmengen.