Zum Inhalt springen

KI-generierte Inhalte: Antworten werden von einer KI erstellt, automatisch zusammengestellt und können Fehler enthalten. Conformi ist ein Recherche-Tool und ersetzt keine Rechtsberatung oder rechtliche Prüfung im Einzelfall. Alle Antworten sind anhand der verlinkten Originalquellen zu verifizieren.

Conformi/Knowledge Base/eIDAS/eIDAS 2.0
🪪Digitale Identität

Verordnung (EU) 2024/1183 zur Änderung der eIDAS-Verordnung — Europäischer Rahmen für eine digitale Identität (eIDAS 2)

Analyse vom 12. Mai 20263 QuellenOriginalfassung der Verordnung (EU) 2024/1183; Anwendung der Akzeptanz- und Bereitstellungspflichten hängt am Inkrafttreten der Durchführungsrechtsakte.EUR-Lex Original

Welche Pflichten treffen mein Unternehmen unter eIDAS-2 — Akzeptanz der EUDI-Wallet, Registrierung als vertrauender Beteiligter oder Sanktionen als Vertrauensdiensteanbieter?

eIDAS-2 trennt drei Adressatengruppen: vertrauensdiensteanbietende Unternehmen unterliegen EU-weiten Mindesthöchstbeträgen von 5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes [Art. 16 Abs. 2]; private vertrauende Beteiligte in zwölf regulierten Sektoren (u.a. Banken, Gesundheit, Telekom) müssen die EUDI-Wallet binnen 36 Monaten nach Inkrafttreten der Durchführungsrechtsakte auf freiwilligen Nutzerwunsch akzeptieren [Art. 5f Abs. 2], Verstöße werden national sanktioniert [Art. 16 Abs. 1]; vertrauende Beteiligte registrieren sich im Niederlassungs-Mitgliedstaat [Art. 5b].

Kurzantwort

Die Verordnung (EU) 2024/1183 ändert die eIDAS-Verordnung 910/2014 und führt die European Digital Identity Wallet (EUDI-Wallet) ein. Drei Pflichtenkreise sind sauber zu trennen: (1) Die Mitgliedstaaten stellen mindestens eine EUDI-Wallet bereit, innerhalb von 24 Monaten nach Inkrafttreten der Durchführungsrechtsakte [Art. 5a]. (2) Wer als vertrauender Beteiligter (Relying Party) die Wallet einsetzen will, registriert sich im Mitgliedstaat seiner Niederlassung mit Angabe von intended use und Datenkategorien [Art. 5b]; private vertrauende Beteiligte (außer Mikro- und Kleinunternehmen) in zwölf regulierten Sektoren und Anbieter sehr großer Online-Plattformen müssen die Wallet auf freiwilligen Nutzerwunsch akzeptieren [Art. 5f Abs. 2 und Abs. 3]. (3) Qualifizierte und nicht qualifizierte Vertrauensdiensteanbieter unterliegen den spezifischen EU-Mindesthöchstbeträgen des Art. 16 Abs. 2 sowie der Aufsicht nach Art. 20.

Betroffen

Drei klar abgegrenzte Adressatengruppen: (a) Mitgliedstaaten — Bereitstellung der Wallet [Art. 5a]. (b) Vertrauende Beteiligte (Relying Parties) — Registrierung im Niederlassungs-Mitgliedstaat [Art. 5b]; Pflicht zur Akzeptanz (i) für öffentliche Stellen mit Identifikationsanforderung [Art. 5f Abs. 1], (ii) für private vertrauende Beteiligte (außer Mikro-/Kleinunternehmen) in den zwölf Sektoren Verkehr, Energie, Banken, Finanzdienstleistungen, soziale Sicherheit, Gesundheit, Trinkwasser, Post, digitale Infrastruktur, Bildung und Telekommunikation, sofern starke Nutzerauthentifizierung gesetzlich oder vertraglich verlangt wird [Art. 5f Abs. 2], (iii) für Anbieter sehr großer Online-Plattformen im Sinne des Art. 33 DSA [Art. 5f Abs. 3]. (c) Vertrauensdiensteanbieter (qualifizierte und nicht qualifizierte) — spezifische Sanktionsregelung mit EU-Mindesthöchstbeträgen [Art. 16 Abs. 2].

Frist

Die zentrale Akzeptanzfrist für private vertrauende Beteiligte in den zwölf regulierten Sektoren läuft bis 36 Monate nach Inkrafttreten der Durchführungsrechtsakte zu Art. 5a Abs. 23 und Art. 5c Abs. 6 [Art. 5f Abs. 2]; die Mitgliedstaaten stellen die Wallet binnen 24 Monaten nach Inkrafttreten derselben Durchführungsrechtsakte bereit [Art. 5a]. Die Verordnung ist seit 20 Tagen nach ihrer Veröffentlichung in Kraft; der Geltungsbeginn der Akzeptanz- und Bereitstellungspflichten hängt am Inkrafttreten der noch ausstehenden Durchführungsrechtsakte.

Risiko

Die Sanktionen sind nach Adressatengruppe unterschiedlich geregelt. Für qualifizierte und nicht qualifizierte Vertrauensdiensteanbieter setzt Art. 16 Abs. 2 EU-Mindesthöchstbeträge: bei natürlichen Personen höchstens mindestens 5 Mio. EUR; bei juristischen Personen höchstens mindestens 5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes des Unternehmens des Vertrauensdiensteanbieters im Geschäftsjahr vor dem Verstoß, je nachdem welcher Betrag höher ist. Qualifizierte Vertrauensdiensteanbieter können nach Aufsichtsverfahren den Qualifikationsstatus verlieren [Art. 20]. Für alle übrigen Adressaten der Verordnung — insbesondere private vertrauende Beteiligte und Anbieter sehr großer Online-Plattformen — gilt die allgemeine Sanktionsklausel des Art. 16 Abs. 1: Mitgliedstaaten legen Sanktionen fest, die wirksam, verhältnismäßig und abschreckend sind, ergänzt durch sektorale Durchsetzung (z.B. nach DSA, nationaler Telekom-/Bankenaufsicht). Die VO sieht hier keine EU-weiten Mindesthöchstbeträge vor.

Belege

Rechtsstand

  • In Kraft
  • Stand 2026-05-12
  • Originalfassung der Verordnung (EU) 2024/1183; Anwendung der Akzeptanz- und Bereitstellungspflichten hängt am Inkrafttreten der Durchführungsrechtsakte.

Primärquellen

Was jetzt zu tun ist

Legal / DPO

  • Prüfen, ob Ihr Unternehmen unter die Akzeptanzpflicht für die EUDI-Wallet fällt — maßgeblich sind die Schwellen aus Art. 5f Abs. 2 (starke Authentifizierungspflicht, keine Kleinst-/Kleinunternehmen) und Art. 5f Abs. 3 (sehr große Online-Plattformen i.S.d. DSA) [Art. 5f Abs. 2-3].
  • Registrierungspflicht als vertrauender Beteiligter im Niederlassungsmitgliedstaat vorbereiten: Datenkatalog der vom Nutzer angeforderten Attribute dokumentieren und auf das Minimum beschränken, das für den jeweiligen Dienst erforderlich ist [Art. 5b Abs. 1-3].
  • Bestehende Vertrauensdiensteanbieter-Verträge auf Konformität mit den neuen Anforderungen an Konformitätsbewertungsberichte prüfen — Frist für Vorlage bei der Aufsichtsstelle: 21. Mai 2026 [Art. 51 Abs. 4].

Compliance

  • Konformitätsbewertung für bestehende qualifizierte Vertrauensdienste einleiten: Nachweis der Einhaltung von Art. 24 Abs. 1, 1a und 1b gegenüber der nationalen Aufsichtsstelle bis spätestens 21. Mai 2026 sicherstellen [Art. 51 Abs. 4].
  • Datenschutz-Folgenabschätzung für die EUDI-Wallet-Integration durchführen: Die Verordnung verlangt selektive Offenlegung, Pseudonymisierung und Datenminimierung — prüfen Sie, ob Ihre Systeme das unterstützen [Art. 5a Abs. 4-5].
  • Schwachstellenbeurteilungen für zertifizierte Wallet-Lösungen alle zwei Jahre einplanen; bei nicht fristgerechter Behebung festgestellter Schwachstellen droht der Entzug der Zertifizierung [Art. 5c Abs. 4].

IT / Security

  • Schnittstellen für die EUDI-Wallet-Authentifizierung implementieren: Die Wallet muss gemeinsame Protokolle für Ausstellung, Validierung und Vorweisung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen unterstützen [Art. 5a Abs. 5 lit. a].
  • Validierungsmechanismen für die Echtheit und Gültigkeit der Wallet sowie die Identität vertrauender Beteiligter gemäß Art. 5a Abs. 8 und Art. 5b Abs. 7 anbinden — die Mitgliedstaaten stellen diese kostenlos bereit [Art. 5a Abs. 8].
  • Cybersicherheitszertifizierung der Wallet-Komponenten nach Verordnung (EU) 2019/881 (Cybersecurity Act) vorbereiten — die Zertifizierung ist Voraussetzung für den Betrieb und gilt maximal fünf Jahre [Art. 5c Abs. 1-2, Abs. 4].

Product / Engineering

  • EUDI-Wallet-Akzeptanz als Login-Option in die Produkt-Roadmap aufnehmen: Nutzer müssen sich freiwillig per Wallet authentifizieren können, ohne dass Pseudonyme verweigert werden, solange keine gesetzliche Identifizierungspflicht besteht [Art. 5b Abs. 9, Art. 5f Abs. 2-3].
  • Open-Source-Anforderung für Wallet-Anwendungssoftware beachten: Der Quellcode der auf Nutzergeräten installierten Komponenten muss unter einer Open-Source-Lizenz stehen [Art. 5a Abs. 3].
  • Barrierefreiheit der Wallet-Integration sicherstellen: Elektronische Identifizierungsmittel und Vertrauensdienste müssen gemäß Richtlinie (EU) 2019/882 (European Accessibility Act) zugänglich sein [Art. 15, Art. 5a Abs. 21].

Wichtige Begriffe

Europäische Brieftasche für die Digitale Identität (EUDI-Wallet)
Von einem Mitgliedstaat bereitgestelltes elektronisches Identifizierungsmittel, das Nutzern die sichere Speicherung und selektive Vorweisung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen ermöglicht [Art. 5a].
Vertrauender Beteiligter
Natürliche oder juristische Person, die auf eine elektronische Identifizierung, die EUDI-Wallet oder einen Vertrauensdienst vertraut und diese zur Erbringung ihrer Dienste nutzt [Art. 3 Nr. 6 geändert].
Qualifizierter Vertrauensdiensteanbieter
Vertrauensdiensteanbieter, der einen oder mehrere qualifizierte Vertrauensdienste erbringt und dem von der Aufsichtsstelle der Qualifikationsstatus zuerkannt wurde [Art. 3 Nr. 20 der Stammverordnung].
Elektronische Attributsbescheinigung
Bescheinigung in elektronischer Form, die die Authentifizierung von Attributen (z.B. Qualifikationen, Berechtigungen) ermöglicht und über die Wallet vorgewiesen werden kann [Art. 3 Nr. 45 neu].
Selektive Offenlegung
Technisches Konzept, das dem Nutzer ermöglicht, gegenüber vertrauenden Beteiligten nur diejenigen Attribute oder Datenteile offenzulegen, die für den konkreten Dienst erforderlich sind — Kernprinzip der Datenminimierung in der EUDI-Wallet [Erwägungsgrund 59, Art. 5a Abs. 4 lit. a].
Konformitätsbewertung
Zertifizierungsverfahren durch benannte Konformitätsbewertungsstellen, das die Übereinstimmung der EUDI-Wallet mit den Sicherheits- und Funktionsanforderungen der Verordnung nachweist; gültig maximal fünf Jahre [Art. 5c Abs. 1, Abs. 4].
Qualifizierte elektronische Signatur
Fortgeschrittene elektronische Signatur, die von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wird und auf einem qualifizierten Zertifikat beruht; natürliche Personen können sie über die EUDI-Wallet kostenlos nutzen [Art. 5a Abs. 5 lit. g].
?

Häufige Fragen

Was ist die europäische Brieftasche für die Digitale Identität (EUDI-Wallet)?
Die EUDI-Wallet ist ein elektronisches Identifizierungsmittel, das jeder Mitgliedstaat bereitstellen muss und das natürlichen und juristischen Personen die sichere Speicherung, Verwaltung und Vorweisung von Personenidentifizierungsdaten und elektronischen Attributsbescheinigungen ermöglicht — online wie offline, unter alleiniger Kontrolle des Nutzers [Art. 5a Abs. 1, Abs. 4].
Welche Unternehmen müssen die EUDI-Wallet als Authentifizierungsmittel akzeptieren?
Drei Gruppen: (1) Öffentliche Stellen, die elektronische Identifizierung für Online-Dienste verlangen [Art. 5f Abs. 1]; (2) Anbieter sehr großer Online-Plattformen (ab 45 Mio. monatlich aktive Nutzer in der EU) [Art. 5f Abs. 3]; (3) private Diensteanbieter ab mittlerer Unternehmensgröße, die gesetzlich oder vertraglich zu starker Nutzerauthentifizierung verpflichtet sind — insbesondere in Banken, Energie, Gesundheit, Telekommunikation und weiteren Sektoren [Art. 5f Abs. 2]. Kleinst- und Kleinunternehmen i.S.d. Empfehlung 2003/361/EG sind ausgenommen.
Bis wann müssen private Diensteanbieter die Wallet akzeptieren?
Private Diensteanbieter, die unter Art. 5f Abs. 2 fallen, müssen die EUDI-Wallet spätestens 36 Monate nach Inkrafttreten der Durchführungsrechtsakte gemäß Art. 5a Abs. 23 und Art. 5c Abs. 6 akzeptieren. Die Durchführungsrechtsakte waren bis zum 21. November 2024 vorgesehen [Art. 5a Abs. 23].
Welche Sanktionen drohen bei Verstößen gegen die eIDAS-2-Verordnung?
Für Vertrauensdiensteanbieter drohen Geldbußen von mindestens bis zu 5 Mio. EUR (natürliche Personen) oder 5 Mio. EUR bzw. 1 % des weltweiten Vorjahresumsatzes (juristische Personen), je nachdem welcher Betrag höher ist [Art. 16 Abs. 2]. Qualifizierte Vertrauensdiensteanbieter riskieren zusätzlich den Entzug ihres Qualifikationsstatus [Art. 20 Abs. 3].
Müssen Nutzer die EUDI-Wallet verwenden?
Nein. Die Nutzung der Wallet ist für natürliche und juristische Personen stets freiwillig. Nutzer dürfen in ihrem Zugang zu Diensten nicht eingeschränkt werden, weil sie keine Wallet nutzen [Erwägungsgrund 57]. Die Wallet muss zudem Pseudonyme unterstützen, sofern keine gesetzliche Identifizierungspflicht besteht [Art. 5b Abs. 9].
Was bedeutet die Open-Source-Pflicht für die Wallet-Software?
Für den Quellcode der Anwendungssoftwarekomponenten der EUDI-Wallet muss eine Open-Source-Lizenz gelten. Mitgliedstaaten können in begründeten Fällen den Quellcode bestimmter Backend-Komponenten, die nicht auf den Geräten des Nutzers installiert sind, von der Offenlegung ausnehmen [Art. 5a Abs. 3].
Was müssen vertrauende Beteiligte bei der Registrierung angeben?
Sie müssen im Niederlassungsmitgliedstaat mindestens die folgenden Informationen bereitstellen: den Mitgliedstaat der Niederlassung, den Namen und ggf. die Registrierungsnummer, Kontaktangaben sowie die beabsichtigte Verwendung der Wallet einschließlich der vom Nutzer angeforderten Daten [Art. 5b Abs. 2]. Anschließend dürfen nur die registrierten Daten angefordert werden [Art. 5b Abs. 3].

Werkzeuge & Vorlagen

KI-generierte Compliance-Hilfen

Vorschau
13
Gap-Checks
2
SOPs
2
Vorlagen
Entscheidungen

1. Gap-Analyse Checkliste

!

Sind Sie als privater Anbieter von Diensten (z.B. in den Bereichen Verkehr, Energie, Banken, Gesundheit, Telekommunikation) verpflichtet, eine starke Nutzerauthentifizierung durchzuführen und sind Sie kein Kleinst-/Kleinunternehmen?

Art. 5f Abs. 2|Akzeptanzpflichten für Vertrauende Beteiligte
!

Sind Sie eine 'sehr große Online-Plattform' (VLOP) gemäß DSA und verlangen eine Nutzerauthentifizierung?

Art. 5f Abs. 3|Akzeptanzpflichten für Vertrauende Beteiligte
!

Haben Sie sich als 'Vertrauender Beteiligter' registriert, falls Sie beabsichtigen, die EUDI-Wallet zu nutzen?

Art. 5b Abs. 1|Pflichten als Vertrauender Beteiligter

2. SOP-Vorlagen

SOP: Registrierung als Vertrauender Beteiligter für die EUDI-WalletArt. 5b

Zweck: Diese SOP beschreibt den standardisierten Prozess für die Registrierung des Unternehmens als 'Vertrauender Beteiligter' (Relying Party), um die EUDI-Wallet für die Nutzerauthentifizierung akzeptieren zu dürfen.

Geltungsbereich: Diese SOP gilt für alle Abteilungen, die Online-Dienste mit Nutzerauthentifizierung anbieten und die EUDI-Wallet integrieren möchten.

Schritte:
  1. 1

    Bedarfsanalyse und Festlegung des Anwendungsfalls durchführen. Bestimmen, für welche Dienste die EUDI-Wallet genutzt werden soll.

    Verantwortlich: Fachabteilung, Compliance Officer | Output: Dokumentierter Anwendungsfall

  2. 2

    Notwendige Datenattribute definieren, die für den Dienst angefordert werden müssen (Grundsatz der Datenminimierung beachten).

    Verantwortlich: Fachabteilung, Datenschutzbeauftragter | Output: Liste der erforderlichen Attribute mit Begründung

  3. 3

    Alle für die Registrierung erforderlichen Informationen gemäß Art. 5b Abs. 2 zusammenstellen (Unternehmensdaten, Kontaktdaten, beabsichtigte Verwendung, angeforderte Daten).

    Verantwortlich: Compliance Officer | Output: Vollständiger Registrierungsantrag

  4. 4

    Antrag bei der zuständigen nationalen Registrierungsstelle des Niederlassungsstaates einreichen.

    Verantwortlich: Compliance Officer | Output: Eingangsbestätigung der Registrierungsstelle

  5. 5

    Prozess zur unverzüglichen Meldung von Änderungen der Registrierungsinformationen gemäß Art. 5b Abs. 6 etablieren.

    Verantwortlich: Compliance Officer | Output: Interner Prozess zur Aktualisierung der Registrierung dokumentiert

  6. 6

    Nach erfolgreicher Registrierung die technische Implementierung zur Identifizierung gegenüber dem Wallet-Nutzer (gem. Art. 5b Abs. 8) sicherstellen.

    Verantwortlich: IT-Abteilung | Output: Technische Implementierung abgeschlossen und getestet

Prüffrequenz: Jährlich sowie bei Änderungen der relevanten Dienste.

3. Textbausteine

Datenschutzerklärung: Nutzung der Europäischen Digitalen Identitäts-Brieftasche (EUDI-Wallet)Art. 5b, Verordnung (EU) 2016/679 (DSGVO)

Anwendungsfall: Zur Integration in die Datenschutzerklärung von Diensten, die eine Authentifizierung per EUDI-Wallet anbieten.

Nutzung der Europäischen Digitalen Identitäts-Brieftasche (EUDI-Wallet) Sie haben die Möglichkeit, sich für unseren Dienst [Name des Dienstes] mittels Ihrer EUDI-Wallet zu authentifizieren. Diese Funktion wird auf freiwilliger Basis angeboten. Die Nutzung ist für Sie nicht verpflichtend; alternative Anmeldeverfahren stehen Ihnen zur Verfügung. Wenn Sie sich für die Nutzung der EUDI-Wallet entscheiden, fragen wir über die Wallet-Schnittstelle die folgenden Daten (Attribute) bei Ihnen an: [Liste der angeforderten Attribute, z.B. Vorname, Nachname, Geburtsdatum, Anschrift]. Diese Daten sind für die Erbringung unseres Dienstes zu folgendem Zweck erforderlich: [Konkreter Zweck, z.B. zur Altersverifikation, zur Vertragserfüllung, zur Erstellung Ihres Nutzerkontos]. Die Rechtsgrundlage für diese Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie durch die Bestätigung der Datenfreigabe in Ihrer EUDI-Wallet erteilen. Wir fordern ausschließlich die Daten an, die für den genannten Zweck zwingend notwendig sind (Grundsatz der Datenminimierung). Wir als vertrauender Beteiligter ([Name des Unternehmens]) sind bei der zuständigen nationalen Stelle unter der Registrierungsnummer [Ihre Registrierungsnummer] registriert. Wir speichern keine Daten über den Inhalt der Transaktion, die über die zur Diensterbringung notwendigen Attribute hinausgehen. Ihre Rechte, insbesondere das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, bleiben unberührt. Sie können Ihre Einwilligung jederzeit widerrufen. Weitere Informationen zur Datenverarbeitung finden Sie in unserer allgemeinen Datenschutzerklärung.

Platzhalter: Name des Dienstes, Liste der angeforderten Attribute, z.B. Vorname, Nachname, Geburtsdatum, Anschrift, Konkreter Zweck, z.B. zur Altersverifikation, zur Vertragserfüllung, zur Erstellung Ihres Nutzerkontos, Name des Unternehmens, Ihre Registrierungsnummer

+10 Gap-Checks, 1 SOPs, 1 Vorlagen warten auf Sie

7 Tage kostenlos testen

KI-generierte Compliance-Hilfen. Keine Rechtsberatung. Bitte mit Rechtsabteilung abstimmen.

3

Prüfungsfaktoren & Checkliste

Premium
7 Tage kostenlos testen
4

Fragen für Ihren Anwalt

Premium
7 Tage kostenlos testen
5

Fazit & Zusammenfassung

Premium
7 Tage kostenlos testen

Detaillierte Analyse mit Quellenlinks.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

7 Tage kostenlos testen

Keine Kreditkarte heute. Kündigung jederzeit.