Digitale Identität: Europas neues elektronisches Wallet wird die Finanzwelt verändern

Europa baut gerade an dem digitalen Projekt dieses Jahrzehnts: einer gemeinsamen Infrastruktur für die elektronische Identität. Mit der EU Digital Identity Wallet, kurz EUDIW, sollen sich die Menschen im europäischen Wirtschaftsraum ab 2026 sicher und grenzüberschreitend über ihr Smartphone ausweisen können, zum Beispiel bei der Kontoeröffnung, bei Behördengängen oder bei digitalen Vertragsabschlüssen.

Die EUDIW ist dabei mehr als nur ein digitales Ausweisprojekt, sie ist eine Art europäischer Befreiungsschlag: Die Wallet soll Unabhängigkeit von Plattformen wie Apple oder Google ermöglichen, die immer häufiger zur sicheren digitalen Identifikation genutzt werden. Deren Systeme werden aber außerhalb der EU betrieben und unterliegen dort politischen, staatlichen und wirtschaftlichen Interessen anderer Staaten. Ein Blick in Trumps Amerika genügt, um zu verstehen, wieso der europäische Anspruch auf technologische Souveränität wichtiger denn je ist und auch sie jetzt handeln müssen.

Gerade für Banken hat die EUDIW-Einführung hohe Relevanz, denn sie sind keine Zuschauer. Ab Ende 2027 sind die Institute mit der neuen Verordnung dazu verpflichtet, die Wallet als offizielle Identifikationsmethode zu akzeptieren. Es wird also höchste Zeit, sich damit zu beschäftigen, wenn die Banken nicht wieder einmal von den jüngeren Playern abgehängt werden wollen.

Bevor Institute jedoch ihre eigenen Strategien entwickeln, lohnt ein Blick auf die regulatorischen Grundlagen, die diese Entwicklung antreiben: die angepasste eIDAS-Verordnung von 2024. Sie besagt, dass alle Staaten im europäischen Wirtschaftsraum – also EU plus Island, Liechtenstein und Norwegen – ihren Bürger:innen bis spätestens Ende 2026 eine EU Digital Identity Wallet anbieten müssen.

Dabei ist wichtig zu verstehen: Es gibt nicht die eine EUDI-Wallet. Jedes Land stellt eine oder mehrere Wallets, die auf denselben europäischen Standards basieren, jedoch die unterschiedlichen bestehenden Identitätssysteme berücksichtigen. Ihre Nutzung bleibt für die Verbraucher:innen freiwillig, sie können sich auch weiterhin wie gewohnt mit ihrem gültigen Personalausweis identifizieren.

Doch für Behörden, Verwaltungen und Finanzinstitute wird eine Akzeptanzpflicht für eiDAS gelten; für öffentliche Stellen schon ab dem kommenden Jahr, für die Finanzinstitute ab Dezember 2027.

Diese Verpflichtung wirkt bereits heute als Innovationsmotor: Anders als bei der Einführung der deutschen eID vor 15 Jahren sorgt sie dafür, dass schon jetzt viele Unternehmen konkrete Use Cases entwickeln. Außerdem wird die Bundesregierung noch in diesem Jahr eine Sandbox, also eine Testumgebung, einführen, in der Finanzinstitute und andere private Unternehmen mit der EUDIW experimentieren können. Wenn die europäische Wallet im kommenden Jahr verfügbar ist, wird es auf der Supply-Seite bereits zahlreiche Nutzungsmöglichkeiten geben.

Die eID wird laut der Max-Planck-Gesellschaft bis heute von gerade mal einem Drittel der Bevölkerung genutzt. Andere EU-Länder sind hingegen schon enorm weit: In Belgien gib es seit 2019 itsme, Schweden startete mit seiner BankID schon 2003, und in beiden Ländern wird die digitale Identität mehrmals täglich von Bürger:innen genutzt. Auch international sind Identitätswallets auf dem Vormarsch.

Nun hat auch die EU den Fuß auf dem Gaspedal und das Timing könnte nicht besser sein in diesen Zeiten: Mit KI können Deepfakes erstellt werden, und Identitäten lassen sich so einfacher denn je manipulieren. Dazu kommt eine lange Reihe von Anwendungsfällen im öffentlichen und privaten Sektor, für die eine zuverlässige Identifizierung wichtig ist: zum Beispiel bei Behördengängen, für den Alkoholverkauf im stationären Handel oder bei altersbeschränkten Online-Inhalten bei Gaming, Streaming oder Social Media.

Klar ist auch: Wenn Finanzinstitute warten, bis sie ab Dezember 2027 zur EUDIW gezwungen werden, dann wird es Fintech-Wettbewerber geben, die ihnen zu der Zeit schon weit voraus sind.

Wenn der Wettbewerbsvorteil als Argument für eine Beschäftigung mit dem Thema nicht ausreicht, dann schauen wir uns einmal an, was die EUDIW für Banken überhaupt bedeutet. Zunächst einmal wird sie primär zur Validierung von Ausweisungen im Rahmen von Know Your Customer (KYC) genutzt. Sie dient aber beispielsweise auch zur Authentifizierung im Online-Banking oder bei Vertragsabschlüssen und Signaturen. Eine Kontoeröffnung ist durch die sofortige, nahtlose Identitätsprüfung wesentlich schneller möglich bei gleichzeitig deutlich geringeren Kosten. Eine Identifikation mit der Wallet ist um ein Vielfaches billiger als beispielsweise ein VideoIdent.

Gleichzeitig ermöglicht die EUDI-Wallet die elektronische Abfrage weiterer Nachweise (z.B. Steuerbescheinigungen, Melderegisterauskünfte) in einem interoperablen EU-weiten System. Für Banken vereinfacht das Onboarding-Prozesse enorm. Wenn perspektivisch auch das Bezahlen über die Wallet möglich ist – was derzeit ebenfalls verprobt wird –, dann wird das die Kundenbindung zusätzlich steigern.

Zudem bietet die EUDI-Wallet eine mögliche Lösung eines für Banken immer schwerer wiegenden Problems: Es gibt immer mehr Betrugsfälle, Datenbank-Hacks, Deepfake-Fraud. In Identitätssystemen entwickelt es sich in Richtung sogenannter Zero-Trust-Systeme: Um Betrug zu meiden, vertraut man niemandem mehr, nicht mal den eigenen Datenbanken. Kund:innen müssen sich schon jetzt immer wieder authentifizieren, häufig über einen Gesichts-Scan, doch dem können Institute in Zeiten von Deepfakes auch nicht mehr trauen. Hier kommt nun die EUDIW ins Spiel, denn mit Hilfe der Wallets funktioniert die Authentifizierung mit moderner Kryptographie.

Und zu guter Letzt sollten Banken in puncto Compliance aufhorchen: Wenn sie nicht rechtzeitig vorbereitet sind für die verpflichtende Einbindung der EUDI-Wallet, dann sind sie schlicht und ergreifend ab Ende 2027 non-compliant.

Wir sind bei dem Thema sehr leidenschaftlich, schließlich hat neosfer eine besondere Beziehung zur EUDI-Wallet: Im Rahmen unserer Innovationsarbeit entstand 2019 das Produkt Lissi – 2023 wurde die Lissi GmbH dann ausgegründet mit der Vision, der führende Softwareanbieter für vertrauenswürdige Interaktionen zwischen Organisationen und EUDI-Wallet-Nutzer:innen zu werden. Lissi leitete auch das vom Bundeswirtschaftsministerium geförderte Forschungsprojekt IDunion, in dem wichtige Grundlagen für die Protokolle und Vertrauensmechanismen der EUDI-Wallet gelegt wurden. Heute unterstützt das Team Banken, Unternehmen und Behörden dabei, die Wallet frühzeitig in ihre Systeme zu integrieren und so den Schritt in die Praxis zu schaffen.

Deutschland spielt in dem Forschungsprozess rund um die EUDIW eine zentrale Rolle: Viele technische Konzepte der Wallet wurden hierzulande entwickelt und in Pilotprojekten mit Partnern wie Bosch, Siemens, der TU Berlin und der Bundesdruckerei erprobt. Um hohe Sicherheitsstandards bei den Wallets zu gewährleisten, ist auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktiv in die Entwicklung der Wallet eingebunden und prägt dadurch die Sicherheitsstandards für ganz Europa mit. Damit gehört die deutsche Forschungslandschaft ganz klar zu den Wegbereitern einer sicheren, europaweiten digitalen Identität.

Nach der Entwicklungs- und Forschungsphase beginnt nun die eigentliche Umsetzung unter Einbeziehung der drei Stakeholder-Gruppen: den Ausstellern wie Behörden oder Banken, die digitale Nachweise bereitstellen, Bürger:innen, die diese Nachweise in ihrer Wallet speichern, und Akzeptanzstellen – etwa Unternehmen oder Verwaltungen –, die sie prüfen und für ihre Prozesse verwenden.

Damit das reibungslos funktioniert, müssen bestehende IT-Systeme angepasst werden, damit sie mit dem Wallet-Ökosystem kommunizieren können. Gleichzeitig müssen der Schutz sensibler Daten, sichere Kommunikation, Verschlüsselung, kryptographische Verfahren und Angriffsschutz sichergestellt werden. Da die Wallets nationale Spezifikationen aufweisen, ist auch eine individuelle Anpassung an die jeweiligen länderspezifischen Wallets erforderlich. Rund um die EUDIW entsteht ein neues Ökosystem spezialisierter Anbieter, darunter Lissi, das die technische Anbindung für Unternehmen erheblich vereinfacht: Mit fertigen Schnittstellen und Connectoren können Banken und Behörden die Wallet ohne großen Entwicklungsaufwand einbinden.

Neben den rein technischen Herausforderungen gibt es dann noch die organisatorischen: Die internen Geschäftsprozesse und Anwendungsfälle müssen neu gedacht werden, zum Beispiel wie das Onboarding über Wallet funktioniert oder wie Datenübermittlung und Verifikationen ablaufen sollen.

Die EUDIW ist das Herzstück der digitalen Agenda der EU. Das zeigt sich auch in den Digitalzielen für die ganze Dekade, die 2021 für die Dekade vorgestellt wurden: Darin steht, dass 100 Prozent der Bürger:innen bis 2030 eine digitale ID haben sollen. Die Voraussetzungen hierfür werden gerade geschaffen, die Tragweite des Projekts EUDIW ist dabei mit der Einführung des Euros vergleichbar.

Mittelfristig will die EU die Wallet zu einer Art Schweizer Taschenmesser machen, das weit über den klassischen Identitätsnachweis hinausgeht. Auch der Führerschein oder Universitätsabschlüsse sollen in der Wallet gespeichert werden (sowie viele weitere Anwendungsfälle), und es gibt bereits erste Pilotprojekte, die EUDIW auch für den Zahlungsverkehr zu verwenden. Und langfristig hat die EU die Vision, dass die EUDIW irgendwann auch über die Grenzen der EU hinaus genutzt werden kann.

Zunächst aber muss die digitale Identität bis zu einer 100 Prozent Durchdringung noch einige Hürden überwinden. Zum jetzigen Zeitpunkt sind die private Wirtschaft und der Finanzsektor zwar offen und motiviert, öffentlichen Verwaltungen und Kommunen fehlen jedoch oft Ressourcen, klare Vorgaben und eine zentrale Plattform. Hier gibt es dann im kommenden  Jahr dringenden Unterstützungsbedarf durch das Digitalministerium.

Während der öffentliche Sektor noch Strukturen schaffen muss, könnten Banken schon jetzt zeigen, dass sie die Zeichen der Zeit erkannt haben. Es ist nicht ihre erste große technische Umstellung in diesem Jahrhundert, PSD2 lässt grüßen. Hoffentlich verstehen die deutschen Institute bald endlich die Tragweite der europäischen digitalen Identität: Wer das Thema jetzt noch auf die lange Bank schiebt, riskiert nicht nur Wettbewerbsnachteile, sondern schlicht Non-Compliance. Spätestens ab 2027 müssen alle Banken die Wallet unterstützen – und sie sollten sich nicht erst damit beschäftigen, wenn die Aufsicht schon anklopft. Kurzum: Es ist höchste Eisenbahn.