Zurück zur Übersicht
21.07.2025 Fachbeitrag

Das neue Digitale Wallet der EU (EUDI)

Update Datenschutz Nr. 218

Die neue European Digital Identity Wallet (EUDI) markiert einen bedeutenden Schritt in der Entwicklung des europäischen Rechtsrahmens für digitale Identitäten. Mit der im April 2024 in Kraft getretenen Verordnung (EU) 2024/1183 wird die bisherige eIDAS-Verordnung (EU) Nr. 910/2014 umfassend überarbeitet. Die Verordnung verpflichtet alle EU-Mitgliedstaaten ihren Bürgern bis November 2026 Zugang zu einer interoperablen, vertrauenswürdigen digitalen Brieftasche zu ermöglichen. Für Unternehmen ergeben sich daraus rechtliche und technische Anforderungen, insbesondere wenn sie elektronische Identifizierung oder Authentifizierung in ihren Prozessen nutzen. Im Folgenden soll ein Überblick darüber gegeben werden, welche Punkte Unternehmen jetzt beachten sollten.

I. Konzept und Funktion der EUDI-Brieftasche

Die EUDI ist als digitales Identifizierungsmittel konzipiert, das künftig in allen EU-Mitgliedstaaten verfügbar sein soll. Ziel ist es, natürlichen und juristischen Personen eine standardisierte, sichere Möglichkeit zu bieten, ihre Identität sowie weitere digitale Nachweise, sogenannte Attributsbescheinigungen, in elektronischer Form zu speichern und gegenüber Dritten nachzuweisen. Die Wallet soll dabei nicht nur für Online-Dienste, sondern auch im Offline-Kontext einsetzbar sein und insbesondere das Sicherheitsniveau „hoch“ erfüllen.

Geplant ist, dass Nutzer über die Wallet etwa ihren Wohnsitz, berufliche Qualifikationen, Vertretungsbefugnisse oder Zahlungsinformationen digital nachweisen können. Auch die Nutzung qualifizierter elektronischer Signaturen soll direkt über die Wallet ermöglicht werden. Die EUDI soll datenschutzfreundlich ausgestaltet sein und Funktionen zur selektiven Datenoffenlegung und zur Protokollierung von Transaktionen beinhalten. Diese Wallets können sowohl von staatlichen Stellen als auch von anerkannten privaten Einrichtungen ausgegeben werden.

In Deutschland hat die Bundesregierung bereits die Entwicklung einer staatlichen Wallet angestoßen. Diese soll schrittweise bis 2027 eingeführt werden und Bürgerinnen und Bürgern zunächst ermöglichen, sich per Smartphone sicher digital auszuweisen. Der Funktionsumfang soll dann kontinuierlich ergänzt werden. Auch private Anbieter können künftig EUDI-Wallets entwickeln und in Deutschland anerkennen lassen.

Für Unternehmen ist die Einführung der EUDI insbesondere dann relevant, wenn sie digitale Identitätsprüfungen oder Authentifizierungen vornehmen, zum Beispiel bei der Kontoeröffnung, dem Vertragsabschluss oder der Bereitstellung sensibler digitaler Dienstleistungen. In bestimmten Fällen werden Unternehmen verpflichtet sein, die Wallet als Identitätsnachweis zu akzeptieren.

Eine gemeinsame Analyse des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der französischen ANSSI unterstreicht in diesem Zusammenhang die sicherheitstechnische Relevanz des Wallet-Onboardings. Dabei handelt es sich um den Prozess, in dem Nutzer ihre persönlichen Identifikationsdaten (PID) erstmals verifizieren und in die EUDI-Wallet übernehmen. Besonders kritisch sehen die Behörden dabei videobasierte Fernidentifikationsverfahren, die biometrische Daten und Ausweisdokumente über Kamera und Mikrofon erfassen. Solche Verfahren gelten zwar als zugänglich und nutzerfreundlich, sind aber anfällig für skalierbare Angriffsformen wie Präsentations- (z. B. mit Fotos, Masken oder Deepfakes) und Injektionsangriffe (z. B. manipulierte Video- oder Datenströme).

Das Papier warnt, dass viele dieser Angriffe schwer erkennbar sind und in der Praxis eine zuverlässige Validierung der Echtheit von Personen und Dokumenten erheblich erschweren. Zugleich kritisiert es bestehende Schwächen in der Standardisierung, insbesondere die noch unvollständige Zuordnung der Prüfverfahren zu den eIDAS-Vertrauensniveaus. BSI und ANSSI fordern daher einen europaweit harmonisierten Ansatz mit klaren technischen Anforderungen, verpflichtenden Testverfahren und der bevorzugten Nutzung sicherer Technologien wie dem Auslesen von Chipdaten statt optischer Zeichenerkennung (OCR). Nur durch robuste und einheitlich geprüfte Onboarding-Verfahren könne das hohe Sicherheitsniveau der EUDI gewährleistet und dauerhaftes Vertrauen bei Nutzern und Dienstleistern geschaffen werden.

II. Betroffene Unternehmen  

Der persönliche Anwendungsbereich der EUDI-Verordnung erstreckt sich zum einen auf Unternehmen, die im Sinne der Verordnung als „vertrauende Beteiligte“ gelten. Sogenannte „vertrauende Beteiligte“ sind natürliche oder juristische Personen, „die auf eine elektronische Identifizierung, europäische Brieftaschen für die Digitale Identität oder andere Mittel zur elektronischen Identifizierung oder einen Vertrauensdienst“ vertrauen (Art. 3 Nr. 6).

Bereits die Absicht, auf die Wallet als Identifizierungsmittel für die Bereitstellung von öffentlichen oder privaten Diensten zurückzugreifen, löst gemäß Art. 5b Abs. 1 die Pflicht zur vorherigen Registrierung bei der zuständigen Stelle im jeweiligen Mitgliedstaat aus.

Eine rechtliche Verpflichtung zur Akzeptanz der EUDI besteht für Unternehmen wiederum, wenn diese zur Durchführung einer Online-Identifizierung mit starker Authentifizierung gesetzlich oder vertraglich verpflichtet sind. Nach Art. 5f Abs. 2 muss Nutzern auf deren freiwilliges Verlangen ermöglicht werden, die europäische Brieftasche spätestens bis Ende 2027 zu ihrer Identifizierung zu nutzen. Diese Annahmepflicht gilt insbesondere in regulierten Bereichen wie Verkehr, Energie, Bankenwesen, Finanzdienstleistungen, soziale Sicherheit, Gesundheit, Trinkwasserversorgung, Postdienste, digitale Infrastrukturen, Bildung und Telekommunikation. Ausgenommen davon sind lediglich Kleinst- und kleine Unternehmen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 10 Millionen Euro nicht übersteigt.

Zusätzlich sind Anbieter sehr großer Online-Plattformen im Sinne des Digital Services Act (Verordnung (EU) 2022/2065) nach Art. 5f Abs. 3 dazu verpflichtet, die Nutzung der EUDI-Brieftasche für Authentifizierungszwecke zu ermöglichen, sofern der Nutzer dies wünscht (weitere Informationen zum DSA finden Sie hier). Damit entsteht auch für digital besonders sichtbare Akteure des Plattformmarktes eine Pflicht zur Integration der Wallet in ihre Login- und Identifizierungsprozesse.

Zum anderen sind auch Vertrauensdiensteanbieter vom Anwendungsbereich der EUDI-Verordnung unmittelbar betroffen. Diese Anbieter erbringen elektronische Dienste wie die Ausstellung, Erstellung, Validierung, Bewahrung oder Archivierung elektronischer Signaturen, Siegel, Zeitstempel, Attributsbescheinigungen, Website-Zertifikate oder Einschreiben und übernehmen damit eine zentrale Rolle in der digitalen Vertrauensinfrastruktur der EU. Die Verordnung unterscheidet zwischen qualifizierten und nichtqualifizierten Vertrauensdiensteanbietern.

Für qualifizierte Vertrauensdiensteanbieter bleiben die bereits unter der ursprünglichen eIDAS-Verordnung geltenden Anforderungen weitgehend bestehen. Nach Art. 19 sind sie weiterhin verpflichtet, technische und organisatorische Maßnahmen zu treffen, um Sicherheitsrisiken angemessen zu beherrschen, insbesondere zur Vermeidung oder Minimierung der Auswirkungen von Sicherheitsvorfällen. Solche Vorfälle müssen binnen 24 Stunden an die zuständige Aufsichtsstelle sowie gegebenenfalls an betroffene Personen und andere relevante Stellen gemeldet werden.

Neu eingeführt wurden durch Art. 19a der Verordnung abweichende Anforderungen für nichtqualifizierte Vertrauensdiensteanbieter. Diese müssen nun geeignete Konzepte und Verfahren vorhalten, insbesondere für Registrierungs- und Einbindungsverfahren, administrative Kontrollen sowie das Management des Vertrauensdienstes selbst. Zudem sind auch sie verpflichtet, erhebliche Sicherheitsverletzungen oder Störungen innerhalb von 24 Stunden zu melden, sofern personenbezogene Daten oder die Dienstverfügbarkeit betroffen sind.

Relevanz entfaltet die EUDI-Verordnung für Vertrauensdiensteanbieter zudem in Bezug auf die künftige Rolle der EUDI-Brieftasche selbst. Diese wird nicht nur ein Identifizierungsmittel sein, sondern auch für die Erbringung und Nutzung von Vertrauensdiensten, insbesondere Signaturen und Attributsbescheinigungen, eine zentrale technische Schnittstelle darstellen. Vertrauensdienste müssen daher künftig so gestaltet werden, dass sie mit der Infrastruktur der EUDI interoperabel sind und sich nahtlos in die Wallets integrieren lassen. Anbieter solcher Dienste sollten daher frühzeitig prüfen, ob und in welcher Weise ihre Systeme technisch und organisatorisch an die Anforderungen der Wallet-Nutzung angepasst werden müssen.

III. Interne Maßnahmen zur Umsetzung

Unternehmen, die als vertrauende Beteiligte gelten, sollten frühzeitig mit der internen Vorbereitung auf die Integration der EUDI-Brieftasche beginnen. Die Verordnung macht deutlich, dass bis Ende 2027 betroffene Unternehmen die Wallet als Mittel der digitalen Identifikation technisch und organisatorisch einbinden müssen, sofern sie gesetzlich oder vertraglich zu starker Nutzerauthentifizierung verpflichtet sind und der Nutzer die Wallet aktiv einsetzt.

Ein erster Schritt besteht in der Registrierung als vertrauender Beteiligter gemäß Art. 5b Abs. 1. Die Registrierung erfolgt beim Mitgliedstaat der Niederlassung und ist an bestimmte Informationspflichten geknüpft, darunter Angaben zum Unternehmen, zur Art des Dienstes und zur vorgesehenen Verarbeitung personenbezogener Daten im Zusammenhang mit der Wallet-Nutzung.

Darüber hinaus sind technische Vorkehrungen zu treffen, um die Wallet in bestehende Authentifizierungs- und Zugriffsprozesse zu integrieren. Dazu gehören etwa die Einrichtung kompatibler Schnittstellen für die Wallet-Kommunikation sowie die Anbindung an die Infrastruktur für qualifizierte Vertrauensdienste, sofern diese im Prozess erforderlich sind (z. B. bei Signatur- oder Nachweisfunktionen). Die technische Anbindung muss den Anforderungen an Interoperabilität, Sicherheit und Verfügbarkeit genügen, die im Rahmen der erlassenen Durchführungsakte präzisiert wurden.

Datenschutzrechtlich sind vertrauende Beteiligte verpflichtet, die Datenverarbeitung im Zusammenhang mit der Wallet-Nutzung an die Vorgaben der DSGVO und der EUDI-Verordnung selbst anzupassen. Dazu gehören u. a. eine präzise Festlegung des Verarbeitungszwecks, das Prinzip der Datenminimierung sowie die Pflicht zur Informationsbereitstellung gegenüber den Nutzern. In vielen Fällen wird auch eine Datenschutz-Folgenabschätzung erforderlich sein, insbesondere wenn sensible Datenkategorien verarbeitet werden.

Schließlich sollte auch die organisatorische Einbettung nicht vernachlässigt werden. Prozesse zur Validierung und Aufbewahrung von Nachweisen, zur Protokollierung von Authentifizierungsvorgängen sowie zur Reaktion auf technische Störungen oder Sicherheitsvorfälle müssen dokumentiert, überprüfbar und im Unternehmen verankert sein. Darüber hinaus empfiehlt sich eine gezielte Schulung der Mitarbeitenden, die mit Identitätsprüfungen oder digitalen Onboarding-Prozessen befasst sind, um einen rechtssicheren und ordnungsgemäßen Umgang mit der neuen Identitätsinfrastruktur sicherzustellen.

Vor diesem Hintergrund sind auch Vertrauensdiensteanbieter gefordert, ihre Systeme frühzeitig auf die künftige Integration mit der EUDI-Wallet auszurichten. Da die Wallet künftig als zentrale Schnittstelle für die Nutzung von Vertrauensdiensten, etwa Signaturen, Siegel oder Attributsbescheinigungen, fungieren soll, müssen diese Dienste technisch so gestaltet sein, dass sie sich nahtlos in die Wallet-Infrastruktur einfügen. Dazu gehört insbesondere die Bereitstellung interoperabler Schnittstellen, über die Nutzer Vertrauensdienste direkt aus der Wallet heraus in Anspruch nehmen können.

Neben der technischen Anbindung sind bestehende Sicherheits- und Meldeprozesse zu überprüfen und gegebenenfalls an die neuen Anforderungen anzupassen. Dies gilt insbesondere im Hinblick auf die Verpflichtung zur Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden sowie die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Risikobeherrschung. Auch die künftig verbindlichen Vorgaben für die Verwaltung und Durchführung von Vertrauensdiensten erfordern eine strukturelle und dokumentierte Verankerung entsprechender Verfahren. Anbieter sollten daher frühzeitig bewerten, welche operativen und technischen Anpassungen erforderlich sind, um die Interoperabilität mit der EUDI und die Einhaltung der regulatorischen Vorgaben sicherzustellen.

IV. Fazit

Mit der Einführung der EUDI-Brieftasche setzt die EU einen einheitlichen, verpflichtenden Rahmen für die digitale Identifizierung über Länder- und Sektorgrenzen hinweg. Die Verordnung erweitert den bisherigen eIDAS-Rahmen erheblich und schafft erstmals verbindliche Anforderungen für eine breite Gruppe von Unternehmen. Diese müssen sich darauf einstellen, EUDI-Wallets spätestens bis Ende 2027 technisch und organisatorisch zu integrieren, sofern sie in regulierten Bereichen tätig sind oder zur starken Authentifizierung verpflichtet werden.

Die damit verbundenen Anforderungen betreffen nicht nur technische Schnittstellen und IT-Sicherheit, sondern auch Prozesse zur Registrierung, Datenverarbeitung, Nachweisführung und Meldung von Vorfällen. Unternehmen sind gut beraten, die Umsetzung nicht aufzuschieben: Die notwendigen Anpassungen sind komplex, greifen in bestehende Systeme ein und bedürfen eines abgestimmten Zusammenspiels technischer, organisatorischer und rechtlicher Maßnahmen. Die EUDI bringt nicht nur Pflichten mit sich, sondern sie schafft auch die Grundlage für eine einheitliche, rechtsverbindliche und nutzerzentrierte Identitätsinfrastruktur im europäischen Binnenmarkt.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
Digital Omnibus: EU-Kommission legt Entwurf vor
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.