Einführung in eIDAS
Die eIDAS-Verordnung bildet den europäischen Rechtsrahmen für elektronische Identifizierung, elektronische Signaturen und Vertrauensdienste im digitalen Binnenmarkt. Ziel der Verordnung ist es, grenzüberschreitende digitale Interaktionen rechtssicher und interoperabel zu machen – sowohl zwischen Bürgern, Unternehmen als auch Behörden. Der Name „eIDAS“ steht für „electronic IDentification, Authentication and trust Services“ und umfasst damit zwei Kernbereiche:
- die digitale Identität
- die rechtlich verbindlichen Vertrauensdienste
Die ursprüngliche Fassung, heute als eIDAS 1.0 bezeichnet, legte vor allem die rechtliche Gleichstellung der qualifizierten elektronischen Signatur mit der handschriftlichen Unterschrift fest. Zudem definierte sie, wie elektronische Siegel, Zeitstempel und Zustelldienste EU-weit anerkannt werden. Allerdings blieb der Bereich der elektronischen Identitäten fragmentiert, da die Mitgliedsstaaten zwar ihre jeweiligen nationalen eID-Systeme bereitstellten, die Nutzung jedoch nicht durchgängig erfolgte.
Mit eIDAS 2.0 verfolgt die EU nun eine weitergehende Vision: eine universelle digitale Identitätsinfrastruktur auf Basis der EUDI-Wallet, kombiniert mit verifizierbaren Attributen und deutlich strengeren technischen Anforderungen. Damit wird der europäische Identitätsraum nicht nur harmonisiert, sondern auf ein neues Niveau gehoben, das den wachsenden Anforderungen an Sicherheit, Mobilität und digitale Souveränität gerecht wird.
Vergleich eIDAS 1.0 und eIDAS 2.0
Die nachfolgende Tabelle verdeutlicht die wichtigsten Unterschiede:
| Aspekt |
eIDAS 1.0 |
eIDAS 2.0 |
| Fokus |
Signaturen, Siegel, Vertrauensdienste |
Digitale Identität, Wallet, verifizierbare Attribute |
| Digitale Identität |
Optionale nationale eID-Systeme, geringe Interoperabilität |
EU-weite EUDI Wallet, verpflichtende Bereitstellung |
| Verifizierbare Attribute |
nicht geregelt |
zentraler Bestandteil (z. B. Alter, Berufsberechtigungen) |
| Sicherheitsanforderungen |
grundlegende Vorgaben |
deutlich verschärft, inkl. starker Kryptographie und Gerätebindung |
| Anwendungsfälle |
Unterschriftenprozesse, Behördenkommunikation |
Login, KYC, Signatur, Altersnachweis, Berufsnachweis, Reiseunterlagen |
| Vertrauensniveau |
niedrig, mittel, hoch |
stärker harmonisierte Assurance-Level mit Wallet-Nachweisen |
| Strategische Ausrichtung |
digitaler Binnenmarkt |
digitale Souveränität der EU, interoperable Identitätsökosysteme |
Die EU Digital Identity Wallet (EUDI-Wallet) im Überblick
Die EUDI-Wallet bildet das Herzstück von eIDAS 2.0. Sie ist eine mobile, staatlich anerkannte digitale Brieftasche, mit der Bürger Identität, Attribute, Credentials und Signaturen sicher verwalten können. Technisch basiert die Wallet auf kryptografisch abgesicherten Schlüsseln, einer Gerätebindung sowie der Möglichkeit, sog. «Selective Disclosure» einzusetzen – also nur ausgewählte Attribute freizugeben.
Die Wallet soll unter anderem folgende Prozesse ermöglichen:
- Identitätsnachweis gegenüber Diensten und Behörden
- Alters- und Wohnsitznachweise
- Führerschein- und Ausbildungsnachweis
- berufliche Startberechtigung wie Arzt, Apothekerin oder Notar
- elektronische Signatur und Siegel
- sichere Authentisierung bei öffentlichen und privaten Diensten
Damit wird die Wallet zu einem universellen Identitätswerkzeug, das weit über heutige nationale Systeme hinausgeht.
Elektronische Signaturen nach eIDAS
eIDAS 2.0 definiert die schon aus Version 1.0 bekannten drei Signaturarten:
- Einfache elektronische Signatur (SES) – geringe Sicherheit, kaum Identitätsprüfung
- Fortgeschrittene elektronische Signatur (AES) – eindeutige Zuordnung zum Unterzeichner
- Qualifizierte elektronische Signatur (QES) – rechtlich der handschriftlichen Unterschrift gleichgestellt
Qualifizierte Signaturen basieren auf zertifizierten Vertrauensdiensteanbietern (QTSP). Der Standard eIDAS 2.0 erweitert diese Mechanismen und bringt die Signaturfunktion in die EUDI-Wallet, was einen signifikanten Schub für Benutzerfreundlichkeit und Verbreitung bedeuten wird. Signaturen werden künftig nahtlos in digitale Identitätsprozesse integriert.
Erprobungsphase der EUDI-Wallets
Wichtige Anwendungsfälle werden EU-weit in vier großen Pilotprojekten (Large-Scale Pilots) verprobt. Deutschland und Frankreich führen das Pilotprojekt POTENTIAL an, das die Funktion und Interoperabilität der folgenden sechs Anwendungsfälle prüfen soll:
- eGovernment: Inanspruchnahme von Behördenleistungen (elektronische Verwaltung)
- Kontoeröffnung bei Banken
- Digitaler Führerschein
- SIM-Registrierung bei Mobilfunkanbietern
- Qualifizierte Elektronische Signatur: Digital rechtssicher signieren
- Elektronisches Rezept (eRezept): Digitale Übermittlung von ärztlichen Verschreibungen
Das POTENTIAL-Projekt wurde im September 2025 abgeschlossen.
Im Abschlussbericht erwarten die Autoren, dass die Mitgliedsstaaten zwischen 2026 und 2027 nationale EUDI-Wallets ausrollen werden. Die Autoren machen vier Erfolgsfaktoren aus:
- Weiter gehende Angleichung des technischen «Architecture and Reference Frameworks» (EUDI-ARF) und eIDAS 2.0
- Aufbau starker Governance-Strukturen
- Erarbeiten von Konformitätstests und
- Priorisierung einer bürgernahen Gestaltung und Kommunikation.
In Deutschland haben im November 2025 der Digitalverband Bitkom und das Bundesministerium für Digitalisierung und Staatsmodernisierung zusammen mit mehr als 75 Unternehmen ein „Memorandum of Understanding zur erfolgreichen Einführung der EUDI-Wallet“ unterzeichnet. In ihm verpflichten sie sich dazu, per Bestandaufnahme im Q3/2026 festzustellen, in welchem Maße die EUDI-Wallet bereits ab 2027 für Bürger:innen und Unternehmen gut nutzbar sein wird.
eIDAS vs. Schweiz: E-ID, Swiyu und Unterschiede
Da die Schweiz nicht Teil der EU ist, gilt eIDAS hier nicht direkt. Dennoch besteht ein enger technischer und konzeptioneller Bezug.
Die Schweiz arbeitet mit der neuen staatlichen E-ID und der privaten Wallet „Swiyu“ an einer eigenen Identitätslösung. Diese basiert auf modernen Prinzipien der Self-Sovereign Identity, nutzt Verifiable Credentials und bringt ähnliche Sicherheitsmechanismen mit wie eIDAS 2.0.
Die Unterschiede sind jedoch substanziell:
- Rechtsraum: eIDAS gilt EU-weit; die Schweizer E-ID bleibt national.
- Verpflichtung: Die EUDI-Wallet ist von allen EU-Mitgliedsländern verpflichtend bereitzustellen; die Schweizer E-ID ist freiwillig.
- Interoperabilität: Die Schweiz muss bei EU-Diensten separate Anerkennungsmechanismen entwickeln.
- Signaturen: EU-QES ist nur mit QTSPs anerkannt; Schweizer Signaturen folgen ZertES.
- Attribute: EU-Attribute sind harmonisiert und interoperabel; Schweizer Attribute richten sich nach nationalen Vorgaben.
Insgesamt weist die Schweiz moderne Technologien auf, erreicht aber nicht automatisch eIDAS-Konformität.
Verifizierbare Attribute und Nachweise (Attestationen)
Verifizierbare Attribute bilden die eigentliche Revolution von eIDAS 2.0. Neben der Identität können nun folgende kryptografisch signierte Nachweise bereitgestellt werden:
- berufliche Qualifikationen
- Zertifizierungen
- Altersnachweise
- Zulassungen für geschützte Tätigkeiten
- Ausbildungsabschlüsse
- Unternehmenszugehörigkeiten
Diese Attribute ermöglichen völlig neue digitale Anwendungsfälle. Anstatt vollständige Ausweise oder Dokumente herauszugeben, kann die Wallet präzise und datensparsam nur das relevante Attribut offenlegen – etwa „über 18“ oder „ärztliche Lizenz gültig“.
Was Unternehmen im Workforce IAM und Customer IAM berücksichtigen müssen
Für das klassische Identity- und Access-Management (IAM) für Mitarbeitende (Workforce) führt eIDAS 2.0 zu einem Wandel hin zu mehr attributbasierten Identitäts- und Berechtigungsmodellen. Unternehmen müssen Wallet-basierte Authentisierung unterstützen, verifizierte berufliche Attribute im HR System erfassen, im IAM hinterlegen und entsprechend auswerten können und starke Mehr-Faktor-Authentifizierung (MFA) oder FIDO2 als Standard etablieren. Das klassische Role-Based Access Control (RBAC) wird noch weiter bestehen, aber vorwiegend für die grobe Autorisierung verwendet werden. Die Auditierbarkeit erhält einen höheren Stellenwert: Jede Identitätsprüfung und jeder Zugriff müssen nachvollziehbar, prüfbar und regulatorisch belastbar sein. Im Gesundheitsumfeld verstärkt der Europäische Gesundheitsdatenraum (European Health Data Space, EHDS) diese Anforderungen, da berufliche Berechtigungen, Identitätsprüfung und starke Authentisierung zwingende Voraussetzung für jeden Zugriff auf Gesundheitsdaten werden.
Im Customer IAM (C-IAM) verändern sich vor allem Onboarding, Know-Your-Customer (KYC) und das digitale Kundenerlebnis. Die EUDI-Wallet ermöglicht eine schnelle, verifizierbare und medienbruchfreie Identitätsprüfung, die sowohl Sicherheit als auch Conversion verbessert. Unternehmen müssen ihre Systeme so ausrichten, dass sie attributbasierte Nachweise korrekt prüfen und verarbeiten können – vom Altersnachweis bis zur qualifizierten Signatur. Statt passwortzentrierter Login-Modelle dominieren künftig sichere Wallet-Interaktionen sowie auditierbare Nachweisprozesse. eIDAS 2.0 führt damit zu einem C-IAM, das weniger auf Rollen und mehr auf verifizierten Attributen, Kontext und juristisch belastbaren Identitätsnachweisen beruht.
Kann eine KI eine qualifizierte elektronische Signatur (QES) nach eIDAS nutzen?
Nein, eine KI kann keine eigene qualifizierte elektronische Signatur (QES) nach der eIDAS-Verordnung (EU) Nr. 910/2014 erstellen. Eine QES ist rechtlich zwingend einer natürlichen Person zugeordnet und basiert auf einem qualifizierten Zertifikat. KI-Systeme sind keine Rechtssubjekte und können daher keine eigene Willenserklärung abgeben. Technisch kann eine KI jedoch einen Signaturprozess vorbereiten oder auslösen, sofern die Kontrolle beim Signaturinhaber verbleibt. Entscheidend sind dabei klare Autorisierung, Governance und Haftungsregelungen im Unternehmen.
Herausforderungen & Risiken der Umsetzung
Die Einführung von eIDAS 2.0 bringt erhebliche technische und organisatorische Herausforderungen mit sich. Wallet-basierte Identitäten, verifizierbare Attribute und qualifizierte Signaturen lassen sich nicht ohne Weiteres in bestehende IAM-Landschaften integrieren, die oft noch auf Passwörtern, starren Rollenmodellen und uneinheitlichen Schnittstellen beruhen. Der Übergang zu attributorientierten, kryptografisch abgesicherten Prozessen erfordert neue Technologien, neue Protokolle und neue Kompetenzprofile. Insbesondere hybride Umgebungen mit Legacy-Systemen bergen das Risiko von Integrationslücken, Sicherheitsproblemen oder inkonsistenten Nachweisen.
Zudem verändert eIDAS 2.0 interne Abläufe und Zuständigkeiten. Belegschaften und Personalvertretungen müssen neue Authentisierungsmechanismen akzeptieren, während Kundinnen und Kunden nahtlose, verständliche Prozesse erwarten. Auch die Abhängigkeit von Wallet-Infrastrukturen und qualifizierten Vertrauensdiensteanbietern verlangt stabile Governance und klare Verantwortlichkeiten. Unternehmen stehen somit vor der doppelten Herausforderung, technische Komplexität zu meistern und gleichzeitig eine hohe Benutzerfreundlichkeit sicherzustellen.
Fazit: Warum Unternehmen jetzt aktiv werden müssen
Die eIDAS-2.0-Verordnung markiert einen strukturellen Wandel im digitalen Identitätsmanagement Europas – und Unternehmen profitieren, wenn sie frühzeitig handeln. Wer seine IAM-Architektur jetzt in Richtung Wallet-Fähigkeit, starker Authentisierung und verifizierbarer Attribute weiterentwickelt, schafft ein tragfähiges Fundament und vermeidet spätere, teure Umbauten. Gleichzeitig eröffnen sich Chancen: effizientere Onboarding-Prozesse, höhere Sicherheit, geringere Betrugsraten und bessere Auditierbarkeit.
Dieser Wandel ist anspruchsvoll, aber strategisch unvermeidlich. Unternehmen, die rechtzeitig starten und ihre Systeme schrittweise modernisieren, sichern sich technologische Zukunftsfähigkeit und Wettbewerbsvorteile. eIDAS 2.0 wird zum neuen digitalen Standard – und die Weichen dafür müssen heute gestellt werden.
