Die EUDI-Wallet ist mehr als eine App – sie ist ein politisches Infrastrukturprojekt, das neu definiert, wem digitale Identität gehört.
Transparenz
Text und Bild(er) mit KI-Unterstützung erarbeitet.
Um einzuschätzen, was das bedeutet, braucht es kein Informatikstudium, aber ein paar Schlüsselbegriffe: Was ist eIDAS 2.0? Was sind Verifiable Credentials? Und was unterscheidet Privacy by Design von einem gut gemeinten Versprechen? Dieser Beitrag gibt den Überblick – und benennt, wo die entscheidenden Fragen noch offen sind.
Was ist eIDAS 2.0 – die rechtliche Grundlage
Die Abkürzung steht für „Electronic Identification, Authentication and Trust Services” – auf Deutsch: elektronische Identifizierung und Vertrauensdienste. Die überarbeitete Verordnung (EU) 2024/1183, allgemein als eIDAS 2.0 bezeichnet, wurde am 29. Februar 2024 vom Europäischen Parlament verabschiedet und trat am 20. Mai 2024 in Kraft. Sie ist keine freiwillige Empfehlung, sondern unmittelbar geltendes EU-Recht in allen Mitgliedstaaten.
Was sie konkret vorschreibt: Bis Ende 2026 müssen alle EU-Mitgliedstaaten eine EUDI-Wallet bereitstellen. Ab 2027 sind bestimmte Unternehmen – Finanzdienstleister, Telekommunikationsanbieter, große Online-Plattformen – verpflichtet, die Wallet zu akzeptieren. Bis 2030 lautet die Zielmarke: mindestens 80% der EU-Bürgerinnen und Bürger sollen die Wallet nutzen können.
Zentrale Begriffe – und was sie bedeuten
eIDAS 2.0
Die rechtliche Grundlage (siehe oben). Das Besondere gegenüber der Vorgängerversion von 2014: Die neue Verordnung schafft erstmals einen einheitlichen technischen Rahmen für die gesamte EU und verpflichtet nicht nur Staaten, sondern auch Unternehmen zur Teilnahme.
Verifiable Credentials (Überprüfbare Nachweise)
Kryptografisch gesicherte, digital ausgestellte Belege – das digitale Äquivalent zu Ausweis, Führerschein oder Zeugnis. Sie werden von autorisierten Stellen (Behörden, Krankenversicherungen, Universitäten) ausgestellt, in der Wallet gespeichert und können bei Bedarf vorgezeigt werden – ohne dass das Original weitergegeben wird. Zwei technische Formate sind vorgesehen: ISO/IEC 18013-5 (mDoc/mDL-Format) und SD-JWT (Selective Disclosure JSON Web Token).
Selektive Offenlegung und Datensparsamkeit
Das ist das eigentliche Innovationsprinzip. Wer sein Alter nachweisen muss, gibt nicht Geburtsdatum, Adresse und Ausweisnummer preis – sondern nur die Bestätigung „über 18″. Wer beim Hotel eincheckt, übermittelt nur Name und Buchungsbestätigung. Wer einen Kreditantrag stellt, kann nachweisen, dass das Einkommen über einem Schwellenwert liegt – ohne Arbeitgeber oder vollständige Kontoauszüge zu zeigen. Das Konzept heißt technisch „Selective Disclosure” und ist in eIDAS 2.0 gesetzlich vorgeschrieben.
Zero-Knowledge Proofs (ZKP)
Die technisch ambitionierteste Variante: Ein mathematisches Verfahren, das beweist, dass eine Tatsache wahr ist, ohne die zugrundeliegenden Daten preiszugeben. Vergleichbar mit einem Türsteher, der per grünem Licht bestätigt „über 18″ – ohne das Geburtsdatum zu kennen. Die vollständige Implementierung von ZKPs in der EUDI-Wallet ist technisch noch nicht abgeschlossen und Gegenstand wissenschaftlicher Debatte.
Privacy by Design / Privacy by Default
eIDAS 2.0 schreibt beide Prinzipien verbindlich vor. Ob die technische Umsetzung im Regelwerk (ARF) diesem gesetzlichen Versprechen entspricht, ist derzeit der zentrale Streitpunkt zwischen Behörden, Kryptographinnen und Zivilgesellschaft.
Privacy by Design bedeutet: Datenschutz wird von Anfang an in die Architektur eines Systems eingebaut. Die Frage „Wie schützen wir die Daten?” wird nicht nach der Entwicklung gestellt, sondern ist von der ersten Zeile Code an Bestandteil des Entwurfs.
Privacy by Default geht einen Schritt weiter: Die datenschutzfreundlichste Einstellung ist automatisch aktiv – ohne dass Nutzende aktiv etwas einstellen müssen. Nicht „Datenweitergabe ist Standard, außer man schaltet sie ab”, sondern umgekehrt: „Datensparsamkeit ist Standard, und wer mehr teilen will, entscheidet das bewusst.”
Self-Sovereign Identity (SSI)
Das politische Leitbild hinter der Wallet-Architektur: Digitale Identität soll nicht von Plattformkonzernen kontrolliert werden, sondern von den Inhaberinnen selbst. SSI bedeutet: Ich entscheide, wem ich welche Daten zeige – und ich kann diese Entscheidung widerrufen. Das ist der konzeptuelle Gegenentwurf zum zentralisierten Identitätsmodell eines Google- oder Apple-Kontos.
EUDI-Wallet vs. „Login mit Google” – der souveränitätspolitische Unterschied
„Weiter mit Google” oder „Weiter mit Apple” ist für viele der bequemste Weg, sich bei Dutzenden Diensten anzumelden. Was dabei strukturell passiert, unterscheidet sich grundlegend vom Wallet-Modell:
| Login mit Google/Apple | EUDI-Wallet | |
| Kontrolle | Plattformkonzern, US-amerikanisch | Inhaberin selbst, staatlich verantwortet |
| Datenweitergabe | Plattform erhält Nutzungsdaten | Nur geprüfte Daten, keine Sammlung strukturell |
| Profiling | Möglich, für Werbung genutzt | Strukturell untersagt |
| Abschaltrisiko | Anbieter kann Account sperren | Staatliche Infrastruktur, geregelte Verfahren |
| Datensparsamkeit | Keine Pflicht | Selektive Offenlegung gesetzlich vorgeschrieben |
Der politische Rahmen: Mit eIDAS 2.0 versucht die EU, globale Standards für digitale Identität zu setzen. Wenn europäische Normen zu Datenminimierung und Bürgerkontrolle durch die Marktgröße der EU zum de-facto-Standard werden, hätte das Implikationen weit über Europa hinaus.
Was wird diskutiert – und wer passt auf?
Die Verordnung formuliert ambitionierte Versprechen. Ob und wie sie realisiert werden können, entscheiden technische Durchführungsrechtsakte, die zum Zeitpunkt dieses Beitrags noch nicht final verabschiedet sind. Das ist kein Randthema – es ist der eigentliche Schauplatz.
Konkret diskutiert wird:
- Kryptografische Standards: Kryptographinnen der Universität Münster und des Hasso-Plattner-Instituts Potsdam haben Ende 2024/Dezember 2025 veröffentlicht, dass das der damals vorliegende Stand des technischen Regelwerks (ARF) die Datenschutzversprechen der Verordnung in seiner derzeitigen Form nicht erfüllen kann. Empfohlen wird insbesondere der Einsatz der BBS-Signaturenfamilie für echte Unverknüpfbarkeit.
- Unverknüpfbarkeit: Kann die Wallet verhindern, dass verschiedene Nutzungsvorgänge miteinander verknüpft und zu Profilen zusammengesetzt werden? Das ist technisch noch offen.
- Offline-Alternativen: Ein gemeinsames Positionspapier von Bitkom, CCC, Digitalcourage und epicenter.works (Juli 2025) fordert verbindliche Offline-Äquivalente – weil Freiwilligkeit faktisch unter Druck gerät, wenn Unternehmen die Wallet zum Standard machen.
Teilerfolge sind dokumentiert: Registrierungszertifikate für alle Relying Parties (also alle, die Wallet-Daten abfragen) sind inzwischen verpflichtend. Das ARF wird laufend überarbeitet – aktuell liegt Version 2.8 vor (März 2026). Der Prozess ist offen, die Debatte läuft – und das ist, anders als es klingt, kein Zeichen von Schwäche, sondern von funktionierender zivilgesellschaftlicher Kontrolle