Zum Inhalt springen

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

Conformi/Knowledge Base/eIDAS/eIDAS
🪪Digitale Identität

eIDAS-Verordnung (EU) Nr. 910/2014 — elektronische Identifizierung, Vertrauensdienste und Europäische Brieftasche für die Digitale Identität

Analyse vom 10. Mai 20263 Quellenkonsolidierte Fassung vom 18.10.2024 (zuletzt geändert durch Verordnung (EU) 2024/1183)EUR-Lex Original

Welches eIDAS-Risiko trifft uns zuerst — die laufenden Bußgelder für Vertrauensdienste oder die EUDI-Wallet-Akzeptanzpflicht für regulierte Branchen?

eIDAS 2.0 ist seit 20. Mai 2024 anwendbar, droht Vertrauensdiensteanbietern Geldbußen mit einem Höchstmaß von mindestens 5 Mio. EUR oder 1 % weltweitem Konzernumsatz [Art. 16 Abs. 2] und zwingt private Betreiber starker Authentifizierung (Banken, Energie, Telekom, sehr große Plattformen) spätestens 36 Monate nach Inkrafttreten der zentralen Durchführungsrechtsakte zur Akzeptanz der EUDI-Brieftasche [Art. 5f Abs. 2 und Abs. 3] — Compliance und Product müssen jetzt die Roadmap aufsetzen.

Kurzantwort

Die eIDAS-Verordnung regelt elektronische Identifizierung, Vertrauensdienste (qualifizierte und nichtqualifizierte elektronische Signaturen, Siegel, Zeitstempel, Einschreiben, Website-Authentifizierung, Attributsbescheinigungen, Archivierung) und seit der Änderungsverordnung (EU) 2024/1183 die Europäische Brieftasche für die Digitale Identität (EUDI Wallet) [Art. 1, Art. 3 Nr. 16]. Bei qualifizierten Vertrauensdiensteanbietern wird Vorsatz oder Fahrlässigkeit vermutet — die Beweislastumkehr trifft den Anbieter [Art. 13 Abs. 1]. Die Mitgliedstaaten stellen sicher, dass für Verstöße qualifizierter und nichtqualifizierter Vertrauensdiensteanbieter Geldbußen mit einem Höchstmaß von mindestens 5 Mio. EUR oder 1 % des weltweiten Konzernumsatzes verhängt werden [Art. 16 Abs. 2]. Sicherheitsverletzungen bei nichtqualifizierten Vertrauensdiensten sind binnen 24 Stunden zu melden [Art. 19a Abs. 1].

Betroffen

Drei Adressatengruppen: (1) qualifizierte und nichtqualifizierte Vertrauensdiensteanbieter mit Niederlassung in der EU [Art. 3 Nr. 19, Art. 3 Nr. 20]; (2) Mitgliedstaaten als Aussteller der EUDI-Brieftasche und Anbieter notifizierter elektronischer Identifizierungssysteme [Art. 5a Abs. 1, Art. 9]; (3) vertrauende Beteiligte (Relying Parties), die elektronische Identifizierungsmittel oder die EUDI-Brieftasche für eigene Online-Dienste nutzen — sie müssen sich im Niederlassungsstaat registrieren [Art. 5b Abs. 1, Abs. 2]. Akzeptanzpflichtig nach Art. 5f Abs. 2 sind private Anbieter mit Pflicht zu starker Nutzerauthentifizierung in den Bereichen Verkehr, Energie, Bankenwesen, Finanzdienstleistungen, soziale Sicherheit, Gesundheit, Trinkwasser, Postdienste, digitale Infrastrukturen, Bildung und Telekommunikation; Kleinst- und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG sind ausgenommen. Sehr große Online-Plattformen (VLOPs) im Sinne von Art. 33 der Verordnung (EU) 2022/2065 fallen separat unter Art. 5f Abs. 3.

Frist

Sanktions- und Aufsichtsregime ist seit 20. Mai 2024 laufend durchsetzbar [Art. 16, Art. 20]. Nächste konkrete Fristen relativ zu heute (10.5.2026): Mitgliedstaaten stellen mindestens eine EUDI-Brieftasche innerhalb von 24 Monaten nach Inkrafttreten der Durchführungsrechtsakte gemäß Art. 5a Abs. 23 und Art. 5c Abs. 6 bereit — die zentralen Durchführungsrechtsakte sind im Zeitraum November/Dezember 2024 in Kraft getreten, der Stichtag fällt damit Ende 2026 [Art. 5a Abs. 1]. 36 Monate nach Inkrafttreten derselben Durchführungsrechtsakte — also Ende 2027 — müssen private vertrauende Beteiligte mit Pflicht zu starker Nutzerauthentifizierung sowie VLOPs die EUDI-Brieftasche akzeptieren [Art. 5f Abs. 2 und Abs. 3]. Die 24-Stunden-Meldepflicht für nichtqualifizierte Vertrauensdiensteanbieter [Art. 19a Abs. 1] und der zweijährliche Konformitätsbewertungsbericht qualifizierter Anbieter [Art. 20 Abs. 1] sind permanent.

Risiko

Die Mitgliedstaaten stellen ein Höchstmaß der Geldbußen von mindestens 5 Mio. EUR (natürliche Personen) bzw. mindestens 5 Mio. EUR oder 1 % des gesamten weltweiten Konzernumsatzes des vorausgegangenen Geschäftsjahres (juristische Personen) sicher, je nachdem welcher Betrag höher ist [Art. 16 Abs. 2]; höhere nationale Sanktionen sind zulässig. Hinzu kommen Schadensersatzansprüche aus Art. 13: Bei qualifizierten Vertrauensdiensteanbietern wird Vorsatz oder Fahrlässigkeit vermutet — die Beweislast liegt beim Anbieter [Art. 13 Abs. 1]. Die Aufsichtsstelle entzieht den Qualifikationsstatus bei nicht behobenen Verstößen [Art. 20 Abs. 3]; ein Entzug bedeutet faktisches Marktverbot, weil die Aufnahme in die nationale Vertrauensliste nach Art. 22 Abs. 1 Voraussetzung für den Beginn der Erbringung qualifizierter Vertrauensdienste ist [Art. 21 Abs. 3]. Bei Sicherheitsverletzungen einer EUDI-Brieftasche entzieht der bereitstellende Mitgliedstaat die Brieftasche, wenn nicht binnen drei Monaten Abhilfe geschaffen wird [Art. 5e Abs. 2].

Belege

Rechtsstand

  • In Kraft
  • Stand 2026-05-10
  • konsolidierte Fassung vom 18.10.2024 (zuletzt geändert durch Verordnung (EU) 2024/1183)

Primärquellen

Was jetzt zu tun ist

Legal / DPO

  • Haftungsmodell überprüfen: Bei qualifizierten Vertrauensdiensten gilt Beweislastumkehr — vertraglich kommunizierte Nutzungsbeschränkungen müssen für dritte Beteiligte ersichtlich sein, sonst greift die Haftungsentlastung für Verwendung außerhalb der Beschränkungen nicht [Art. 13 Abs. 1, Art. 13 Abs. 2].
  • Sanktionsexposure im Risikoregister abbilden: Höchstmaß 5 Mio. EUR oder 1 % weltweiter Konzernumsatz, je nachdem welcher Betrag höher ist; je nach nationalem Rechtssystem leitet die Aufsichtsstelle die Geldbuße in die Wege und nationale Gerichte verhängen sie [Art. 16 Abs. 2, Art. 16 Abs. 3].
  • Registrierungspflicht als vertrauender Beteiligter prüfen, sobald die EUDI-Brieftasche im Niederlassungsstaat verfügbar ist — Registrierung umfasst beabsichtigte Verwendung und angeforderte Datenkategorien; andere als die registrierten Daten dürfen vom Nutzer nicht verlangt werden [Art. 5b Abs. 1, Abs. 2 lit. c, Abs. 3].

Compliance

  • Aufsichtspflichten gegenüber der zuständigen Aufsichtsstelle einrichten: Vorabmeldung jeder Änderung bei der Erbringung mindestens einen Monat vorher, bei beabsichtigter Einstellung mindestens drei Monate vorher [Art. 24 Abs. 2 lit. a]; Konformitätsbewertungsbericht mindestens alle 24 Monate auf eigene Kosten vorlegen [Art. 20 Abs. 1].
  • 24-Stunden-Meldekette für Sicherheitsverletzungen aufsetzen — gilt für nichtqualifizierte Vertrauensdienste bei Sicherheitsverletzungen oder Störungen mit erheblichen Auswirkungen auf den Dienst oder gespeicherte personenbezogene Daten; Adressaten sind Aufsichtsstelle, identifizierbare betroffene Personen und gegebenenfalls die Öffentlichkeit [Art. 19a Abs. 1 lit. b].
  • Vertrauenslisten-Status laufend kontrollieren: Aufnahme in die nationale Vertrauensliste nach Art. 22 Abs. 1 ist Voraussetzung für den Beginn der Erbringung qualifizierter Vertrauensdienste; ein Entzug des Qualifikationsstatus durch die Aufsichtsstelle führt zur Streichung aus der Liste [Art. 21 Abs. 3, Art. 20 Abs. 3].

IT / Security

  • Identitätsprüfung qualifizierter Vertrauensdienste auf eine der vier zugelassenen Methoden umstellen: EUDI-Brieftasche oder notifiziertes eID-Mittel auf Sicherheitsniveau hoch, qualifiziertes Signatur-/Siegelzertifikat, andere Methoden mit Konformitätsbestätigung oder physische Anwesenheit — Referenzstandards der Kommission sind seit 21. Mai 2025 verbindlich [Art. 24 Abs. 1a, Abs. 1c].
  • Cybersicherheits-Vorsorgemaßnahmen nach Art. 45a umsetzen: technische und organisatorische Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme, abgestimmt mit den Pflichten aus Art. 21 Richtlinie (EU) 2022/2555 (NIS2) [Art. 45a, Art. 19a Abs. 1 lit. a].
  • Validierungsprozess für qualifizierte elektronische Signaturen gemäß Art. 32 implementieren: Prüfung der Zertifikatsgültigkeit zum Signaturzeitpunkt, Anforderungen des Anhangs I, Integrität der signierten Daten und korrekte Zuordnung des Unterzeichners [Art. 32 Abs. 1, Art. 29].

Product / Engineering

  • EUDI-Brieftaschen-Akzeptanz in die Roadmap aufnehmen: private vertrauende Beteiligte mit Pflicht zu starker Nutzerauthentifizierung (Verkehr, Energie, Bankenwesen, Finanzdienstleistungen, soziale Sicherheit, Gesundheit, Trinkwasser, Postdienste, digitale Infrastrukturen, Bildung, Telekommunikation) sowie VLOPs müssen die Brieftasche spätestens 36 Monate nach Inkrafttreten der Durchführungsrechtsakte akzeptieren [Art. 5f Abs. 2, Abs. 3].
  • Datenminimierung im Authentifizierungsfluss einbauen: Vertrauende Beteiligte dürfen ausschließlich die Daten anfordern, die sie bei der Registrierung als beabsichtigte Verwendung angegeben haben — die Brieftasche unterstützt selektive Offenlegung [Art. 5b Abs. 2 lit. c, Art. 5b Abs. 3].
  • Pseudonyme akzeptieren, wo keine Identifizierungspflicht besteht: vertrauende Beteiligte dürfen die Verwendung von Pseudonymen nicht verweigern, wenn die Identifizierung des Nutzers nicht im Unionsrecht oder im nationalen Recht vorgeschrieben ist [Art. 5b Abs. 9, Art. 5].

Wichtige Begriffe

Vertrauensdienst
Elektronischer Dienst, der das Erstellen, Überprüfen und Validieren von elektronischen Signaturen, Siegeln oder Zeitstempeln, Diensten für die Zustellung elektronischer Einschreiben sowie Zertifikaten, deren Validierung, Bewahrung oder Website-Authentifizierung sowie elektronische Attributsbescheinigungen, Archivierung und Journale umfasst [Art. 3 Nr. 16].
Qualifizierter Vertrauensdiensteanbieter (QTSP)
Vertrauensdiensteanbieter, der einen oder mehrere qualifizierte Vertrauensdienste erbringt und dem die Aufsichtsstelle den Qualifikationsstatus zuerkannt hat — Voraussetzung für den Beginn der Erbringung ist die Aufnahme in die nationale Vertrauensliste nach Art. 22 Abs. 1 [Art. 3 Nr. 20, Art. 21 Abs. 3].
Europäische Brieftasche für die Digitale Identität (EUDI Wallet)
Elektronisches Identifizierungsmittel, das es Nutzern ermöglicht, Personenidentifizierungsdaten und elektronische Attributsbescheinigungen zu speichern, zu verwalten und gegenüber vertrauenden Beteiligten unter alleiniger Kontrolle des Nutzers — auch durch selektive Offenlegung — vorzulegen [Art. 5a Abs. 4].
Vertrauender Beteiligter (Relying Party)
Natürliche oder juristische Person, die auf eine elektronische Identifizierung, eine Europäische Brieftasche für die Digitale Identität, andere Mittel zur elektronischen Identifizierung oder einen Vertrauensdienst vertraut — bei Nutzung der EUDI-Brieftasche besteht eine Registrierungspflicht im Niederlassungsstaat [Art. 3 Nr. 6, Art. 5b Abs. 1].
Qualifizierte elektronische Signatur
Fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurde und auf einem qualifizierten Zertifikat für elektronische Signaturen beruht — sie hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift [Art. 3 Nr. 12, Art. 25 Abs. 2].
Sicherheitsniveau (assurance level)
Vertrauensgrad eines elektronischen Identifizierungsmittels in Bezug auf die beanspruchte oder behauptete Identität einer Person — die Verordnung kennt drei Niveaus: niedrig, substanziell und hoch, mit jeweils zunehmenden Anforderungen an technische Spezifikationen und Verfahren [Art. 8 Abs. 1, Abs. 2].
Vertrauensliste
Vom Mitgliedstaat aufgestellte, geführte und veröffentlichte Liste mit Angaben zu den qualifizierten Vertrauensdiensteanbietern, für die er verantwortlich ist, und zu den von ihnen erbrachten qualifizierten Vertrauensdiensten — Aufnahme ist Voraussetzung für den Beginn der Erbringung qualifizierter Vertrauensdienste [Art. 22 Abs. 1, Art. 21 Abs. 3].
Elektronische Attributsbescheinigung
Elektronische Bescheinigung, die es ermöglicht, Attribute einer natürlichen oder juristischen Person zu authentifizieren — qualifizierte Bescheinigungen erfüllen die zusätzlichen Anforderungen nach Art. 45d und entfalten dieselbe Rechtswirkung wie auf Papier ausgestellte rechtmäßige Bescheinigungen [Art. 45b].
?

Häufige Fragen

Sind wir als Online-Shop verpflichtet, die EUDI-Brieftasche zu akzeptieren?
Nicht automatisch. Die Akzeptanzpflicht aus Art. 5f Abs. 2 trifft nur private vertrauende Beteiligte, die nach Unionsrecht, nationalem Recht oder vertraglich zu starker Nutzerauthentifizierung verpflichtet sind und in einem der gelisteten Sektoren tätig sind (u. a. Bankenwesen, Energie, Telekommunikation, Gesundheit). Reine E-Commerce-Anbieter ohne starke Authentifizierungspflicht sind nicht erfasst. Sehr große Online-Plattformen nach Art. 33 der Verordnung (EU) 2022/2065 fallen separat unter Art. 5f Abs. 3, sobald sie eine Nutzerauthentifizierung verlangen. Kleinst- und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG sind von der Pflicht aus Art. 5f Abs. 2 ausdrücklich ausgenommen.
Was ändert sich für nichtqualifizierte Vertrauensdiensteanbieter durch eIDAS 2.0?
Erstmals existieren explizite Anforderungen: angemessene Konzepte und Maßnahmen zur Beherrschung rechtlicher, geschäftlicher und betrieblicher Risiken bei Registrierung, Verwaltung und Bereitstellung sowie eine 24-Stunden-Meldepflicht für Sicherheitsverletzungen mit erheblichen Auswirkungen auf den Dienst oder gespeicherte personenbezogene Daten [Art. 19a Abs. 1]. Die Kommission erstellt bis 21. Mai 2025 im Wege von Durchführungsrechtsakten eine Liste von Referenzstandards; bei deren Einhaltung wird die Konformität vermutet [Art. 19a Abs. 2]. Die Sanktionen aus Art. 16 gelten ausdrücklich auch für nichtqualifizierte Anbieter.
Wie hoch sind die maximalen Geldbußen unter eIDAS 2.0?
Die Mitgliedstaaten stellen sicher, dass für Verstöße von Vertrauensdiensteanbietern Geldbußen mit einem Höchstmaß von mindestens 5 Mio. EUR (natürliche Personen) bzw. mindestens 5 Mio. EUR oder 1 % des gesamten weltweiten Konzernumsatzes des vorausgegangenen Geschäftsjahres (juristische Personen) verhängt werden, je nachdem welcher Betrag höher ist [Art. 16 Abs. 2]. Mitgliedstaaten dürfen höhere Sanktionen festlegen, das Höchstmaß ist eine Untergrenze. Parallel können Sanktionen nach Art. 31 Richtlinie (EU) 2022/2555 (NIS2) zusätzlich verhängt werden, wenn der Anbieter zugleich wesentliche oder wichtige Einrichtung ist.
Welche Beweislastregel gilt bei Schadensersatzansprüchen gegen einen qualifizierten Vertrauensdiensteanbieter?
Es greift eine Beweislastumkehr: Bei einem qualifizierten Vertrauensdiensteanbieter wird Vorsatz oder Fahrlässigkeit vermutet, es sei denn, der Anbieter weist nach, dass der Schaden ohne sein vorsätzliches oder fahrlässiges Handeln entstanden ist [Art. 13 Abs. 1]. Bei nichtqualifizierten Anbietern liegt die Beweislast beim Anspruchsteller. Vertraglich im Voraus hinreichend kommunizierte und für dritte Beteiligte ersichtliche Nutzungsbeschränkungen schließen Haftung außerhalb des angegebenen Verwendungsbereichs aus [Art. 13 Abs. 2].
Was passiert bei einer Sicherheitsverletzung der EUDI-Brieftasche?
Der bereitstellende Mitgliedstaat setzt die Bereitstellung und Nutzung der betroffenen Brieftasche unverzüglich aus und unterrichtet betroffene Nutzer, einheitliche Anlaufstellen, vertrauende Beteiligte und die Kommission [Art. 5e Abs. 1]. Wird die Sicherheitsverletzung nicht innerhalb von drei Monaten nach der Aussetzung behoben, so entzieht der Mitgliedstaat die Brieftasche und widerruft deren Gültigkeit [Art. 5e Abs. 2]. Erst nach Behebung wird die Bereitstellung wiederhergestellt [Art. 5e Abs. 3].
Welche elektronische Signatur hat dieselbe Rechtswirkung wie eine handschriftliche Unterschrift?
Nur die qualifizierte elektronische Signatur — sie hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift [Art. 25 Abs. 2]. Einer einfachen oder fortgeschrittenen elektronischen Signatur darf die Rechtswirkung und Zulässigkeit als Beweismittel nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder die Anforderungen an qualifizierte Signaturen nicht erfüllt — die Beweiskraft im Einzelfall richtet sich aber nach dem nationalen Verfahrensrecht [Art. 25 Abs. 1].
Müssen sich vertrauende Beteiligte registrieren, bevor sie die EUDI-Brieftasche nutzen?
Ja. Vertrauende Beteiligte, die für die Bereitstellung öffentlicher oder privater Dienste auf die EUDI-Brieftasche zurückgreifen wollen, registrieren sich im Mitgliedstaat ihrer Niederlassung [Art. 5b Abs. 1]. Die Registrierung umfasst mindestens den Mitgliedstaat der Niederlassung, Name und gegebenenfalls Registernummer, Kontaktangaben sowie die beabsichtigte Verwendung einschließlich der vom Nutzer angeforderten Datenkategorien [Art. 5b Abs. 2]. Andere als die registrierten Daten dürfen vom Nutzer nicht verlangt werden [Art. 5b Abs. 3].
3

Prüfungsfaktoren & Checkliste

Premium
7 Tage kostenlos testen
4

Fragen für Ihren Anwalt

Premium
7 Tage kostenlos testen
5

Fazit & Zusammenfassung

Premium
7 Tage kostenlos testen

Detaillierte Analyse mit Quellenlinks.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

7 Tage kostenlos testen

Keine Kreditkarte heute. Kündigung jederzeit.

Quellenverzeichnis