eIDAS 2.0: Die Vertrauensniveaus erklärt – Was Unternehmen wissen müssen (DE)

Grundlage für digitales VertraueneIDAS 2.0 schafft einen robusten Rahmen für digitale Identitäten in der gesamten EU und gewährleistet sichere und interoperable elektronische Identifizierungs- und Vertrauensdienste.

Drei VertrauensniveausDie Verordnung definiert die Vertrauensniveaus „niedrig“, „substanziell“ und „hoch“, die jeweils die Stärke der für verschiedene digitale Dienste erforderlichen Identitätsprüfung festlegen.

Auswirkungen auf UnternehmenUnternehmen, die in der EU tätig sind, müssen ihre Identitätsprüfungsverfahren an eIDAS 2.0 anpassen, um die Compliance zu gewährleisten, Betrug zu reduzieren und nahtlose grenzüberschreitende Transaktionen zu ermöglichen.

Die Rolle von DiditDidit bietet eine umfassende Identitätsplattform, die den Anforderungen von eIDAS 2.0 entspricht und modulare Lösungen für Identitätsprüfung, Biometrie und Workflow-Orchestrierung zur Erreichung der erforderlichen Vertrauensniveaus bereitstellt.

eIDAS 2.0 und ihr Kernzweck verstehen

Die ursprüngliche eIDAS-Verordnung (electronic IDentification, Authentication and trust Services) aus dem Jahr 2014 legte den Grundstein für digitales Vertrauen innerhalb der Europäischen Union. Ihr primäres Ziel war es, einen gemeinsamen Rahmen für elektronische Identifizierungs- und Vertrauensdienste zu schaffen, der sichere und nahtlose grenzüberschreitende digitale Interaktionen ermöglicht. Da sich die digitale Landschaft jedoch weiterentwickelte, insbesondere mit dem Aufkommen von KI-generierten Identitäten, Deepfakes und der Nachfrage nach fortschrittlicheren digitalen Geldbörsen, wurde ein Update notwendig. Dies führte zu eIDAS 2.0, einer bedeutenden Weiterentwicklung, die darauf abzielt, moderne Herausforderungen zu bewältigen und das Konzept der Europäischen Digitalen Identitäts-Wallets (EUDI-Wallets) einzuführen.

eIDAS 2.0 soll EU-Bürgern mehr Kontrolle über ihre digitalen Identitäten geben, indem sie ihre Identität nachweisen und Anmeldeinformationen sicher über verschiedene Online-Dienste hinweg teilen können. Für Unternehmen bedeutet dies, dass sie sich an neue Standards für die Überprüfung von Kunden und Partnern anpassen, die Compliance sicherstellen und die verbesserte Sicherheit und Effizienz nutzen müssen, die eIDAS 2.0 verspricht. Der Schwerpunkt der Verordnung auf Interoperabilität und Datenschutz durch Design wird die Art und Weise, wie digitale Transaktionen durchgeführt werden, verändern, weshalb es für Unternehmen unerlässlich ist, ihre Nuancen zu verstehen.

Die drei Vertrauensniveaus: Niedrig, Substanziell und Hoch

Zentral für eIDAS 2.0 sind die drei definierten Vertrauensniveaus (LoA) für elektronische Identifizierungssysteme. Diese Niveaus geben den Grad des Vertrauens in die behauptete Identität einer Person an, basierend auf der Robustheit des Identitätsprüfungsverfahrens. Jedes Niveau spezifiziert die technischen und prozeduralen Anforderungen für die Identitätsprüfung, Authentifizierung und Verwaltung.

Niedriges Vertrauensniveau

Das „niedrige“ Vertrauensniveau bietet ein grundlegendes Maß an Vertrauen in die behauptete Identität einer Person. Es umfasst typischerweise einfache Verifizierungsmethoden, bei denen das Risiko von Identitätsdiebstahl oder Missbrauch als minimal angesehen wird. Dies kann beispielsweise die Verifizierung einer E-Mail-Adresse oder Telefonnummer über ein Einmalpasswort (OTP) umfassen. Diese Methoden eignen sich für Dienste, bei denen die potenziellen Auswirkungen eines Identitätskompromisses gering sind, wie der Zugriff auf nicht-sensible Online-Inhalte oder die Teilnahme an öffentlichen Konsultationen, die keine starke Identitätsbindung erfordern. Obwohl bequem, müssen Unternehmen sich bewusst sein, dass dieses Niveau nur begrenzten Schutz vor ausgeklügeltem Betrug bietet.

Substanzielles Vertrauensniveau

Das „substanzielle“ Niveau bietet ein höheres Maß an Vertrauen, was darauf hindeutet, dass ausreichende Schutzmaßnahmen vorhanden sind, um das Risiko des Missbrauchs oder der Änderung der Identität zu verringern. Dieses Niveau beinhaltet oft einen strengeren Überprüfungsprozess, wie die Verifizierung eines amtlichen Ausweisdokuments in Kombination mit einer grundlegenden Lebenderkennung (z. B. ein passiver Selfie-Scan). Dieses Niveau ist für Dienste geeignet, bei denen das Risiko eines Identitätskompromisses moderat ist, wie das Eröffnen eines einfachen Online-Bankkontos, der Zugriff auf bestimmte Regierungsdienste oder Online-Einkäufe oberhalb eines bestimmten Schwellenwerts. Die meisten KYC-Prozesse (Know Your Customer) zielen heute typischerweise auf dieses Niveau ab.

Praktisches Beispiel: Ein Fintech-Unternehmen, das Peer-to-Peer-Kredite anbietet, könnte ein „substanzielles“ Vertrauensniveau verlangen. Dies würde bedeuten, dass Benutzer ein Foto ihres amtlichen Ausweises (wie Reisepass oder Führerschein) einreichen müssen, gefolgt von einer Live-Selfie-Aufnahme, um sicherzustellen, dass die Person, die den Ausweis präsentiert, dessen rechtmäßiger Eigentümer ist. Die Module zur ID-Dokumentenprüfung und passiven Lebenderkennung von Didit sind perfekt geeignet, um dies zu erreichen und robuste Prüfungen in Sekundenschnelle zu liefern.

Hohes Vertrauensniveau

Das „hohe“ Niveau bietet das höchste Maß an Vertrauen in die Identität einer Person und stellt sicher, dass das Risiko eines Identitätskompromisses erheblich reduziert wird. Dieses Niveau erfordert die strengsten Verifizierungsmethoden, die oft fortschrittliche Biometrie, NFC-Chip-Lesen von E-Pässen und möglicherweise eine Datenbankvalidierung gegen offizielle Register kombinieren. Es ist für Dienste reserviert, bei denen ein Identitätskompromiss schwerwiegende Auswirkungen hätte, wie der Zugriff auf hochsensible medizinische Daten, die Durchführung von Finanztransaktionen mit hohem Wert oder die digitale Unterzeichnung rechtsverbindlicher Verträge. Das Erreichen dieses Niveaus erfordert oft eine Multi-Faktor-Authentifizierung und kontinuierliche Überwachung.

Praktisches Beispiel: Eine Digitalbank, die hochwertige Anlagekonten anbietet, oder ein Notar, der digitale Signaturdienste bereitstellt, würde ein „hohes“ Vertrauensniveau erfordern. Dies bedeutet nicht nur die Überprüfung eines Ausweisdokuments mit einer Lebenderkennung, sondern auch das Auslesen des NFC-Chips eines E-Passes zur kryptografischen Validierung und möglicherweise die Durchführung einer laufenden AML-Prüfung. Die Module von Didit für NFC-Dokumentenlesen, aktive Lebenderkennung (iBeta Level 1 zertifiziert) und AML-Screening sind darauf ausgelegt, diese strengen Anforderungen zu erfüllen und eine komplette Lösung für hohe Sicherheitsanforderungen zu bieten.

Auswirkungen auf Unternehmen und Compliance

Für Unternehmen, die innerhalb der EU tätig sind oder mit EU-Bürgern interagieren, haben eIDAS 2.0 und ihre Vertrauensniveaus tiefgreifende Auswirkungen. Compliance bedeutet nicht nur die Vermeidung von Strafen; es geht darum, Vertrauen aufzubauen, die Sicherheit zu erhöhen und Abläufe zu optimieren. Unternehmen müssen:

• Aktuelle Identitätsprozesse bewerten: Bestehende Identitätsüberprüfungsmethoden anhand der eIDAS 2.0 LoA-Anforderungen bewerten, um Lücken zu identifizieren.
• Workflows anpassen: Onboarding- und Authentifizierungs-Workflows entwerfen oder anpassen, um das entsprechende LoA für jeden Dienst oder Transaktionstyp zu erreichen.
• Technologie nutzen: Fortschrittliche Identitätsüberprüfungstechnologien implementieren, die die technischen Spezifikationen für substanzielle und hohe Vertrauensniveaus zuverlässig erfüllen können, wie biometrische Verifizierung und NFC-Lesen.
• Interoperabilität sicherstellen: Sich auf die Integration mit EUDI-Wallets vorbereiten, die ein primäres Mittel für Bürger sein werden, um verifizierte Identitätsattribute zu teilen.
• Datenschutz und Sicherheit aufrechterhalten: Die GDPR- und eIDAS 2.0-Anforderungen für Datenverarbeitung, -speicherung und -schutz einhalten.

Die Nichteinhaltung kann zu erheblichen Bußgeldern, Rufschädigung und Vertrauensverlust bei Kunden führen. Umgekehrt kann eine frühzeitige Einführung und strategische Umsetzung einen Wettbewerbsvorteil bieten und Nutzer anziehen, die Wert auf Sicherheit und Datenschutz legen.

Wie Didit bei der Erfüllung der eIDAS 2.0-Compliance hilft

Didits All-in-One-Identitätsplattform wurde speziell entwickelt, um Unternehmen bei der Bewältigung der Komplexität von eIDAS 2.0 zu unterstützen und ihnen zu ermöglichen, die erforderlichen Vertrauensniveaus einfach und effizient zu erreichen. Didit konsolidiert Identitätsprüfung, Biometrie, Betrugserkennung und Compliance-Tools in einem einzigen, leistungsstarken System.

• Modulare Verifizierungsfunktionen: Didit bietet 18 zusammensetzbare Module, darunter KI-gestützte ID-Dokumentenprüfung (unterstützt über 14.000 Dokumententypen), passive und aktive Lebenderkennung (iBeta Level 1 zertifiziert), Gesichtsabgleich 1:1, NFC-Dokumentenlesen und AML-Screening. Diese Module können kombiniert werden, um Workflows zu erstellen, die auf spezifische LoA-Anforderungen zugeschnitten sind.
• Workflow-Orchestrierung: Der visuelle Workflow-Builder ermöglicht es Unternehmen, Module per Drag-and-Drop zu verschieben, um benutzerdefinierte Identitätsflüsse zu erstellen. Das bedeutet, dass Sie ganz einfach einen „substanziellen“ LoA-Fluss (z. B. ID-Verifizierung + passive Lebenderkennung) oder einen „hohen“ LoA-Fluss (z. B. ID-Verifizierung + NFC-Lesen + aktive Lebenderkennung + AML-Screening) konfigurieren können, ohne eine einzige Codezeile schreiben zu müssen.
• Wiederverwendbare KYC- und EUDI-Wallet-Kompatibilität: Didit ist eIDAS2-kompatibel und unterstützt wiederverwendbares KYC. Dies ermöglicht es Benutzern, sich einmal zu verifizieren und ihre Identität über mehrere Plattformen hinweg mit biometrischer Re-Authentifizierung wiederzuverwenden, was perfekt zur Vision der EUDI-Wallet passt und die Benutzererfahrung verbessert.
• Robuste Sicherheit und Compliance: Didit ist SOC 2 Typ II und ISO 27001 zertifiziert, DSGVO-konform und hält sich an die Prinzipien des Datenschutzes durch Design. Unsere Infrastruktur gewährleistet EU-Datenresidenz und sichere Verarbeitung, was für eIDAS 2.0 entscheidend ist.
• Kostengünstige Lösungen: Mit einem transparenten Pay-per-Success-Preismodell und einem großzügigen kostenlosen Tarif macht Didit die erweiterte Identitätsprüfung zugänglich und ermöglicht es Unternehmen, die Compliance ohne prohibitive Kosten zu erfüllen.

Durch die Nutzung von Didit können Unternehmen nicht nur die Anforderungen von eIDAS 2.0 erfüllen, sondern auch ihre Onboarding-Konversionsraten erheblich verbessern, manuelle Überprüfungszeiten reduzieren und Betrug effektiver erkennen.

Bereit zum Start?

Die Navigation in der neuen Landschaft von eIDAS 2.0 kann entmutigend wirken, aber mit den richtigen Tools wird sie zu einer Chance, sicherere, effizientere und benutzerfreundlichere digitale Dienste aufzubauen. Didit bietet die umfassende Plattform, die Sie benötigen, um diese Herausforderungen direkt anzugehen.

Erfahren Sie, wie Didit Ihrem Unternehmen helfen kann, die eIDAS 2.0-Compliance zu erreichen und Ihre digitale Identitätsstrategie zu transformieren. Besuchen Sie unsere Preisseite für transparente Kosten oder sehen Sie sich unsere technische Dokumentation an, um mit dem Aufbau zu beginnen. Für einen tieferen Einblick fordern Sie eine Produktdemo an oder nutzen Sie unseren ROI-Rechner, um die potenziellen Einsparungen zu sehen.

Wie Didit die eIDAS 2.0-Sicherheitsstufen unterstützt

Die Prüfungen von Didit – Dokumentenprüfung, NFC-Chip-Lesung, aktive und passive Lebenderkennung sowie biometrischer Gesichtsvergleich – entsprechen höheren eIDAS 2.0-Sicherheitsstufen, und Didit ist der einzige Anbieter, der von einer EU-Mitgliedsregierung (Spaniens Tesoro / SEPBLAC / CNMV) formell als sicherer als die persönliche Verifizierung bestätigt wurde.

Sehen Sie sich Didits Sicherheit & Compliance an, erkunden Sie die Produkte, prüfen Sie die Preise und starten Sie kostenlos – 500 kostenlose KYC-Prüfungen jeden Monat.