Digitale Identitäten und Vertrauensdienste: eIDAS und die EUDI-Wallet
Die Novellierung der „Electronic Identification, Authentication and Trust Services“-Verordnung (eIDAS 2.0) wurde im Mai 2024 im Amtsblatt veröffentlicht und ist damit im Juni in Kraft getreten. Die Umsetzung wird etwa 47 Durchführungsrechtsakte nach sich ziehen. Die neue eIDAS-Verordnung soll die Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste in der EU fördern. Sie ermöglicht online eine sichere Identifizierung und die Nutzung elektronischer Signaturen, Siegel und Zeitstempel. Ziel ist es, die grenzüberschreitende Interoperabilität zu verbessern und das Vertrauen in digitale Transaktionen zu stärken.
Die Mitgliedstaaten sind mit dem Abschluss der eIDAS-Novellierung binnen Zweijahresfrist, also bis Anfang 2027, verpflichtet, ihren Bürgern mindestens ein Angebot zur europäischen digitalen Identität in Form der EUDI-Wallet zur Verfügung zu stellen. Der Bund hat das Bundesministerium des Innern und für Heimat (BMI) mit der nationalen Umsetzung beauftragt, das sich im September 2024 bereits für ein hybrides Angebot aus staatlichen und privaten EUDI-Wallets ausgesprochen hat. Die EUDI-Wallet hat das Potenzial, das digitale Kundenerlebnis erheblich zu verbessern und gleichzeitig ein hohes Maß an digitaler Sicherheit zu gewährleisten.
Einige der prominentesten Anwendungsfälle werden in europaweiten Pilotprojekten (englisch: Large Scale Pilots) erprobt, deren Zeitrahmen gerade um ein weiteres halbes Jahr verschoben wurde. Mit dem Architecture Reference Framework (ARF) möchte die Europäische Kommission darüber hinaus aufzeigen, wie EUDI-Wallets europäisch interoperabel aussehen können.
Einige wichtige technische und haftungsrechtliche Herausforderungen, insbesondere im Zahlungsverkehr mit einer vollgültigen Starken Kundenauthentifizierung (SCA), sollten dabei nicht außer Acht gelassen werden. Auch die Kompatibilität nationaler eID-Systeme muss dringend geklärt werden, um eine reibungslose Integration zu gewährleisten. Das BMI hat allerdings bereits erklärt, dass die staatliche EUDI-Wallet mit Ziel 2027 nicht alle Funktionalitäten unterstützen kann, mindestens aber die Ausweis-ID. In der ersten Ausbaustufe wird die staatliche EUDI-Wallet zunächst cloud-basiert sein, später auf die E-SIM übertragen.
Unsere Positionen
Wir begrüßen die Verordnung zur EUDI-Wallet als notwendige Rahmenbedingungen für die Digitalisierung von öffentlichen und privaten Dienstleistungen sowie Geschäftsprozessen in der EU.
Wir stellen kritisch fest, dass die bereits vorliegenden Durchführungsrechtsakte in Konsultation insgesamt zu allgemein gehalten sind. Die Entwürfe sind erkennbar unfertig. Sie müssen konkreter werden und wesentliche Vorgaben direkt enthalten; so könnten z.B. Teile des Architecture and Reference Framework (ARF) in die Durchführungsrechtsakte überführt werden.
Wir weisen darauf hin, dass die rasche Klärung der länderübergreifenden Kompatibilität der verschiedenen nationalen Wallet-Lösungen, und zwar aus technischer und ebenso aus haftungsrechtlicher Sicht, ein vordringlicher Punkt ist. Denn für eine europaweite Akzeptanz sind nicht nur die Schnittstellen und die technische Verlässlichkeit der Pilotimplementierung der EU-Brieftasche für digitale Identität (EUDIW), sondern auch deren zuverlässiger Rollout und die rechtlich belastbare Identifikation mit denselben erforderlich. Hierfür sind technische Mindeststandards und Haftungsregimes europaweit festzulegen.
Wir beobachten, dass sich hinsichtlich der Verpflichtung zur Akzeptanz der EUDI-Wallet durch Anbieter von Finanzdienstleistungen bereits jetzt schon Schwierigkeiten bei der Festlegung der technischen Anforderungen in den verschiedenen EU-Staaten ergeben (z.B. sind einheitliche, rechtssichere SCA immer noch in Diskussion). Dies ist auch im Hinblick auf die mögliche Einbindung in die App für den digitalen Euro von großer Bedeutung.
Wir appellieren, dass die Haftung zwischen den EUDI-Wallet-Ausstellern und den Zahlungsdienstleistern in Übereinstimmung mit sektorspezifischen Rechtsvorschriften geregelt sein muss (z.B. Zahlungsdiensterichtlinie [PSD2] bei Banken).