Die Einführung von eIDAS 2.0: Die Zeit des EUDI Wallets bricht an

Ein zentraler Bestandteil von eIDAS 2.0 ist die European Digital Identity (EUDI) Wallet, eine mobile App, die allen EU-Bürgerinnen und -Bürgern rund zwei Jahre nach der Ratifizierung der überarbeiteten Verordnung zur Verfügung gestellt werden soll. Das Hauptziel der vorgeschlagenen EUDI Wallet ist es, allen Europäerinnen und Europäern Zugang zu vertrauenswürdigen digitalen Identitäten zu gewähren, damit die Nutzer:innen die Kontrolle über ihre eigenen Online-Interaktionen und -Präsenz behalten können. Mit anderen Worten: Die EUDI Wallet ermöglicht es den Nutzer:innen, ihre digitalen Identitäten in ganz Europa sicher zu speichern, zu nutzen und dabei die volle sowie alleinige Kontrolle über ihre Daten zu behalten. Sie können dann Dienstleistungen von öffentlichen Einrichtungen in allen Mitgliedstaaten in Anspruch nehmen, ohne dass sie zusätzliche physische Dokumente benötigen. Die EUDI Wallet wird zudem Bescheinigungen von Attributen wie Führerscheine, Universitätsdiplome und persönliche Informationen wie Bankkarten und Dienstleistungen umfassen. Die EUDI Wallet soll auch ermöglichen, auf eine Vielzahl privater und öffentlicher Online-Dienste zuzugreifen und Dokumente mit qualifizierten elektronischen Signaturen und Siegeln (QES) zu unterschreiben.

Die EUDI Wallet kann direkt von einer Regierungsbehörde oder einem von der Regierung beauftragten privaten Anbieter ausgegeben werden. Die Pilot-Implementierung lässt darauf schließen, dass verschiedene Sektoren wie das Gesundheitswesen, Finanzdienstleistungen, Bildung und Verkehr abgedeckt werden. Ausgehend von diesen Aussichten können die zukünftigen Nutzer:innen erwarten, dass der Digital Wallet Service von Banken, Telekommunikationsunternehmen und Versorgungsbetrieben integriert wird.

Es gibt mehrere Emittenten von Identitätsinformationen, wie die Abbildung oben zeigt. Die EUDI Wallet ist in der Lage, diese Daten zu empfangen, zu speichern und darzustellen. Öffentliche Einrichtungen, ihre Vertreter:innen oder kommerzielle Unternehmen wie Banken oder Fluggesellschaften, die gesetzlich verpflichtet sind, ihre Kund:innen zu identifizieren, können die Bürger:innen auffordern, diese Daten anzugeben.

Kurz gesagt, die EUDI-Wallet ermöglicht Folgendes:

• sowohl die Identifizierung als auch die Authentifizierung
• die Überprüfung von Dritten
• die Speicherung und Darstellung von überprüfbaren Identitätsdaten
• die Erstellung von qualifizierten elektronischen Signaturen

Da digitale Identitäts-Wallets ein integraler Bestandteil der neuen eIDAS 2.0 sind, ist klar, dass sich die Verordnung nicht mehr in erster Linie auf G2B (Government-to-Business) konzentriert, sondern einen stärkeren Schwerpunkt auf den privaten Sektor legt. Derzeit besteht das Ziel von EUDI darin, ein „hohes“ Maß an Sicherheit (LoA) zu erreichen. Das LoA gibt an, wie viel Vertrauen der Anbieter eines Ausweises in die Gültigkeit und Zuverlässigkeit eben dieses hat.

Der neueste eIDAS 2.0-Entwurf wurde am 7. Dezember 2022 veröffentlicht, um die Mängel der früheren Version zu beheben und ein Verfahren einzuführen, das die Erstellung einer anerkannten digitalen Identität wesentlich einfacher macht. Die offizielle Fassung sowie die Umsetzung der neuen Verordnung steht noch aus. Dann sind alle EU-Mitgliedstaaten direkt an die Verordnung gebunden und müssen sie einhalten, um sicherzustellen, dass eine digitale Identitäts-Wallet für alle EU-Bürger:innen, Einwohner:innen und Unternehmen zur Verfügung steht. Schon jetzt gibt es einige Dinge zu beachten, wie unsere Grafik zeigt (Hinweis: Die eIDAS 2.0 Timeline baut – um einige Aspekte ergänzt – auf der Übersicht von Namirial auf).

Eine der größten Herausforderungen von eIDAS 2.0 ist die Notwendigkeit, sicherzustellen, dass die Verordnung in allen EU-Mitgliedstaaten einheitlich umgesetzt wird. Die ursprüngliche eIDAS-Umsetzung war in den einzelnen Mitgliedstaaten unterschiedlich, was zu Unstimmigkeiten und Schwierigkeiten bei der Nutzung elektronischer Identifizierungs- und Vertrauensdienste führte. Wenn es um grenzüberschreitende Geschäftsmöglichkeiten geht, bietet eIDAS 2.0 mehr Effizienz und Sicherheit sowie eine verbesserte Benutzerfreundlichkeit. Da die Verordnung die Interoperabilität zwischen den 27 EU-Mitgliedstaaten fördert, umfasst die Liste der zusätzlichen Vorteile, die für Unternehmen von Interesse sein könnten, die folgenden Gruppen:

• Bei der elektronischen Abwicklung von Geschäften mit anderen Unternehmen, Kund:innen und Aufsichtsbehörden ist ein geringerer Verwaltungsaufwand erforderlich.
• Außerdem werden die Geschäftsprozesse effizienter, was zu erheblichen Kosteneinsparungen und höheren Gewinnen führt.
• Sichere elektronische Transaktionen stärken das Vertrauen der Verbraucher:innen und erweitern den potenziellen Kund:innen-Stamm.

Sowohl große als auch kleine Unternehmen können eIDAS-Systeme nutzen, um Business-to-Business- (B2B) und Business-to-Consumer (B2C)-Transaktionen zu erleichtern. Unternehmen haben dank der verschärften Verordnung die Möglichkeit, Kund:innen und andere Unternehmen zuverlässiger auf ihre Unterlagen zu prüfen.

Dies ist besonders vorteilhaft beim Handel mit eingeschränkten Waren wie Alkohol, bei hochwertigen Transaktionen wie dem Verkauf von Kunstwerken und bei der Überweisung hoher Geldbeträge. Außerdem können Kund:innen und Unternehmen somit in anderen EU-Ländern zuverlässig identifiziert werden, was den Unternehmen den Zugang zu neuen Märkten und die Vergrößerung ihres Kund:innen-Bestands ermöglicht.

Wir haben bereits die allgemeinen Vorteile der Einführung elektronischer Identifizierungs- und Vertrauensdienste in Unternehmen dargelegt. Diese liegen in einer besseren Nutzer:innen-Erfahrung und einer daraus resultierenden stärkeren Kund:innen-Bindung, in verbesserten Sicherheits- und Haftungsstandards sowie in größeren Effizienzgewinnen durch kürzere Prozesszyklen und weitgehende Automatisierung. Die nächste Frage, die sich stellt, ist, welche eID- und Trust-Service-Lösungen am besten zu den Anforderungen des jeweiligen Unternehmens passen. Zu diesem Zweck findest du im Folgenden eine Checkliste, die sich an dem offiziellen Dokument der Europäischen Kommission orientiert und die wichtigsten Kriterien aufzeigt, die du bei der Bewertung deines Unternehmens berücksichtigen müssen.

Die folgenden Definitionen der wichtigsten Vertrauensdienste, die von eIDAS 2.0 abgedeckt werden, könnten für eine bessere Interpretation der Infografik hilfreich sein:

• Die eID wird für eine vertrauenswürdige Überprüfung der Identität von Kund:innen verwendet, um eine vertragliche Beziehung zu etablieren und die Anforderungen von Know Your Customer (KYC) zu erfüllen.
• eS (Elektronische Signatur) hält die Absicht des Unterschreibenden fest, durch das unterzeichnete Dokument rechtlich gebunden zu sein.
• eT (Elektronischer Zeitstempel) hilft dabei, andere elektronische Daten an einen bestimmten Zeitpunkt zu binden und damit zu beweisen, dass diese Daten zu diesem Zeitpunkt existierten; sowohl eSignature als auch eTimestamp ermöglichen es Anwält:innen, digitale vertragliche Vereinbarungen zu treffen, die rechtsverbindlich sind.
• eSe (Elektronisches Siegel) wird in der Regel an andere Daten in elektronischer Form angehängt oder logisch mit ihnen verknüpft, um die Herkunft und Integrität der Daten zu gewährleisten
• ERDS (Electronic Registered Delivery Service) überträgt Daten elektronisch zwischen Dritten und hinterlässt Beweisspuren über den Umgang mit diesen Daten; ermöglicht es jedem Berufstätigen, wichtige Dokumente mit minimiertem Risiko von Verlust, Diebstahl, Beschädigung oder Veränderung weiterzugeben.
• QWAC (Qualifiziertes Web-Authentifizierungs-Zertifikat) ist eine Bescheinigung, die die Authentifizierung einer Website ermöglicht und sie mit der natürlichen oder juristischen Person verknüpft, für die das Zertifikat ausgestellt wurde; „qualifiziert“ bedeutet in diesem Zusammenhang, dass der Dienst die geltenden Anforderungen der eIDAS-Verordnung erfüllt.

Von elektronischen Attribut-Nachweisen (EAAs) bis hin zu dem Login ohne Passwort – die EUDI Wallet ist bereit, die Art und Weise zu verändern, wie Unternehmen digitale Nachweise und das Zugangsmanagement verwalten. Um die wichtigsten Vorteile und Funktionen der zukünftigen EUDI Wallet näher zu beleuchten, werfen wir einen Blick auf ein solches Software-Tool, welches es Organisation ermöglicht, verifizierbare Informationen in ein solches ID-Wallet auszustellen und abzufragen.

Lissi bietet Softwareanwendungen für Unternehmen und Organisationen, mit denen sie verifizierbare Nachweise erhalten, organisieren und ausstellen können. Dazu gehören Anwendungen für Organisationen und die Lissi-Wallet für Endnutzer:innen.

Durch die Bereitstellung einer vertrauenswürdigen und standardisierten Methode zur Ausstellung von Attribute-Nachweisen stellt die Software sicher, dass Organisationen die gesetzlichen Vorschriften einhalten und gleichzeitig von verbesserter Prozesseffizienz, geringerem Papieraufwand und höherer Datenqualität profitieren, was zu erheblichen Zeit- und Kosteneinsparungen führt.

Die Anwendung kann als Cloud-Variante (SaaS) getestet werden und ist für den Betrieb im eigenen Rechenzentrum (on-premise) ausgelegt. Zu den Anwendungsfällen zählen Mitarbeiter:innen-Ausweise, Kund:innen-Karten, Zugangsmanagement und vieles mehr. Da es sich um eine generische Anwendung handelt können die Anforderungen an einzelne Nachweise individuell gestaltet werden.

Mit 35 erfolgreichen Pilotprojekten hat die Lissi Software bereits große Erfolge erzielt. In naher Zukunft wird Lissi eine leistungsstarke Software anbieten, die mit dem aktuellen eIDAS Architecture Reference Framework (ARF) übereinstimmt und deren produktive Verfügbarkeit für das zweite Quartal 2024 geplant ist. Dabei hat das Lissi-Team zu Kern-Standards des aktuellen Technischen Rahmenwerks im Rahmen des IDunion Forschungsprojekts elementar mit beigetragen und war die erste Wallet, welche den OpenID4VC Standard unterstützte.

Lissi leitet das IDunion Forschungsprojekt und wird vom Ministerium für Wirtschaft und Klimaschutz gefördert. Bei Interesse könnt ihr direkt Kontakt aufnehmen.

Wenn eIDAS 2.0 richtig umgesetzt wird, bietet es eine Fülle von Möglichkeiten für digitale Wallets und elektronische Attribut-Bescheinigungen, die die Architektur des digitalen Vertrauens weiter ausbauen werden.

• Umsatzpotenzial

Die EG-Verordnungen werden oft als einschüchternd empfunden, weil sie kostspielig und zeitaufwendig sind. Im Fall von eIDAS 2.0 muss das nicht unbedingt der Fall sein. Unternehmen haben jetzt die Chance, ihre Online-Benutzer:innen-Oberflächen völlig neu zu gestalten und vom mehrstufigen Ausfüllen von Formularen zu einem Ein-Schritt-Onboarding überzugehen. Das bedeutet, dass die Zahl der abgebrochenen Kaufvorgänge zurückgehen wird und die Kosten für das Onboarding sinken werden. Es ist zu erwarten, dass auch die Anzahl von Betrugsfällen sinken wird. Unternehmen, die diese neuen Funktionen einsetzen, haben natürlich einen erheblichen Vorteil gegenüber ihren Konkurrenten.

• Verifizierung von Person zu Person

eIDAS 2.0 soll nicht nur für Behörden und Organisationen gelten, sondern zudem das Vertrauen zwischen Menschen stärken. Die Technologie und die Protokolle, die eIDAS 2.0 ermöglichen, können für die Verifizierung von Mensch zu Mensch genauso gut eingesetzt werden wie für die Verifizierung von Mensch zu Organisation. Das Vertrauen zwischen Einzelpersonen könnte gestärkt werden, da man die Identität eines Dienstleisters überprüfen kannst , wenn es an der Tür klopft, und man gleichzeitig bestätigen kann , dass sie ordnungsgemäß beschäftigt und ausgebildet ist. Es ist wichtig zu wissen, dass es zum jetzigen Zeitpunkt noch keine genaue Spezifikation für die in den eIDAS enthaltenen Person-to-Person-Anwendungsfälle gibt.

• Sichere Kommunikation

Die sicheren, gegenseitig verifizierten Beziehungen, die die Technologien zwischen zwei Parteien herstellen, ermöglichen viel mehr als nur den Austausch von Informationen. Ohne eine dritte Partei wie WhatsApp, Google oder Apple in der Mitte, können die jeweiligen Parteien Nachrichten über verschlüsselte Peer-to-Peer-Verbindungen austauschen. Außerdem hat man die Kontrolle darüber, wer eine Nachricht schicken darf, und kann sofort feststellen, ob die Gefahr besteht, Opfer einer Betrugsmasche zu werden.

Betrachtet man die globalen Konsequenzen, die durch die Einführung der Datenschutz-Grundverordnung (DSGVO) ausgelöst wurden, ist zu  erwarten, dass der eIDAS-Trust-Framework einen noch größeren Einfluss auf das tägliche Leben der europäischen Bürgerinnen und Bürger haben wird. Da die Veröffentlichung der Toolbox bereits die technischen Schlüsselelemente sowie die rechtlichen und geschäftlichen Bedingungen dargelegt hat, ist eines offensichtlich: EUDI Wallets sind der Weg der Zukunft. Ähnlich wie die DSGVO das Internet gezwungen hat, die Datenschutzrechte der Nutzer:innen anzuerkennen, wird die eIDAS-Verordnung die Grundlage für digitale Identitäten und Identitäts-Wallets auf globaler Ebene schaffen.

Während die Mehrheit der Bürger:innen in einigen europäischen Mitgliedstaaten, darunter Schweden und Estland, bereits einen fortschrittlichen Rahmen für digitale Ausweise nutzt, spiegelt dies nicht die Realität in allen EU-Mitgliedsstaaten wider. Dank eIDAS 2.0 haben diejenigen, die im Rückstand sind, die Möglichkeit, zu den aktuellen Strukturen aufzuschließen. Zusätzlich zu den öffentlichen Stakeholdern werden auch viele Anbieter aus der Privatwirtschaft verpflichtet, das EUDI-Wallet zu unterstützen – so z.B. Große Plattform Anbieter. Das Gesetz über digitale Märkte stuft eine Plattform als solche ein, wenn sie 45 Millionen monatlich aktive Nutzer:innen in der Europäischen Union erreicht, was 10 Prozent der europäischen Bürger:innen entspricht. Damit wird die grundlegende Herausforderung eines zweiseitigen Marktes gelöst, auf dem sowohl Emittent:innen als auch Verbraucher:innen die Präsenz der anderen Partei suchen, bevor sie ihn betreten.

Wie in der überarbeiteten eIDAS-Verordnung vorgeschrieben, wird die Akzeptanz von EUDI Wallet in einer Reihe von Großpiloten getestet, die alle wichtigen Sektoren abdecken, darunter das Gesundheitswesen, Finanzdienstleistungen, Bildung und Verkehr.

Darüber hinaus besteht für Europa als Ganzes ein immenses Potenzial, nutzer:innenzentrierte Identifizierungs- und Authentifizierungsverfahren zu standardisieren und gleichzeitig den Datenschutz und die Kontrolle der Bürger:innen zu wahren. Dadurch wird es sowohl für den öffentlichen als auch für den privaten Sektor einfacher, von digitalen Dienstleistungen zu profitieren. Öffentliche Organisationen und kommerzielle Marktteilnehmer:innen werden durch die europaweite Harmonisierung von Gesetzgebung und Technologie in der Lage sein, besser mit ihren Kund:innen in Kontakt zu treten.

Durch Automatisierung, überprüfbare Daten, Anpassungsfähigkeit und die Verfügbarkeit einer gemeinsamen Infrastruktur hat die Gesetzgebung das Potenzial, Prozesse erheblich zu verbessern. Insgesamt ist die Europäische Kommission mit ihrer ganzheitlichen Lösung für den eIDAS-Rahmen eine globale Vorreiterin bei der Schaffung vertrauenswürdiger Interaktionen zwischen allen Akteur:innen, während gleichzeitig die Privatsphäre, die Sicherheit und die Transparenz für die Bürger:innen  gewahrt bleiben.

Trotz der positiven Fortschritte, die die Überarbeitung der eIDAS-Verordnung mit sich gebracht hat, müssen wir uns darüber im Klaren sein, dass es immer noch einige Unklarheiten gibt. Obwohl die Verordnung darauf abzielt, digitale Identitätsdienste in der gesamten Europäischen Union zu verbessern, müssen bestimmte Einschränkungen und Herausforderungen sorgfältig geprüft werden. Dazu gehören Bedenken über mögliche Monopol-Praktiken eines Mitgliedstaates, die den Wettbewerb und die Innovation behindern könnten, indem sie es privaten Unternehmen nicht ermöglichen, EUDI Wallet-Dienste anzubieten.

Darüber hinaus gibt es Bedenken hinsichtlich des regulatorischen Aufwands für Organisationen, die sich an dem Ökosystem beteiligen wollen, insbesondere als vertrauenswürdige Parteien. Ein weiterer Kritikpunkt ist die Flexibilität des Rahmens zur Anpassung an sich schnell ändernde Marktanforderungen.

Der Aufbau und die Aufrechterhaltung von Vertrauen in die Regierung und den eIDAS-Rahmen als Ganzes bleibt ebenfalls eine entscheidende Herausforderung, da das Vertrauen der Öffentlichkeit für die erfolgreiche Einführung und Nutzung dieser digitalen Identitätsdienste von größter Bedeutung ist. Die Bewältigung dieser Probleme wird entscheidend dafür sein, dass die eIDAS-Verordnung die beabsichtigten Vorteile für Nutzer:innen und Unternehmen in der EU erzielt.

Schließlich wird eIDAS 2.0 auf die gleichen Schwierigkeiten stoßen wie sein Vorgänger, wenn den Anwendungsfällen des Privatsektors ständig Hindernisse in den Weg gelegt werden. Die Realität ist, dass die Menschen nur selten mit den Behörden interagieren.  Und wenn sie es tun, dann meist aus einem Grund, den sie nicht unbedingt mögen, wie das Bezahlen von Steuern, Bußgeldern oder anderen administrativen Pflichten. Trotz ihrer unbestreitbaren Bedeutung sind viele Anwendungsfälle von Behörden für den Einzelnen weder aufregend noch interessant. Deshalb wird die Europäische Kommission aufgefordert, den privaten Sektor als weiteren zentralen Akteur in den eIDAS-Rahmen einzubeziehen und diese neuartige, äußerst befreiende Perspektive zu nutzen. Etwas, das es den Menschen ermöglicht, auf sichere und effektive Weise digital zu arbeiten.

Du möchtest mir über eiDAS 2.0 und EUDI-Wallets erfahren? Dann besuch unser Portfolio-Unternehmen Lissi! Oder wird einen Blick auf unseren Blogbeitrag „Der Impact von eIDAS 2.0: Das Potential von EUDI-Wallets und ihre Rolle für digitale Identitäten“.