eIDAS 2.0 und EUDI-Wallet: (Datenschutz)rechtliche 
Relevanz für Unternehmen

Mit der eIDAS-2.0-Verordnung schafft die Europäische Union den Rechtsrahmen für eine europaweit nutzbare digitale Identität, die es ermöglicht, die Identität einer Person digital, sicher und überprüfbar nachzuweisen, wichtige Dokumente digital zu verwalten und selbstbestimmt über die eigenen Daten zu verfügen. Zentrales Element ist die European Digital Identity Wallet (EUDIWallet). Der Beitrag ordnet ein, wann die eIDAS-2.0-Verordnung für Unternehmen relevant wird, wer betroffen ist und was datenschutzrechtlich zu beachten ist.

Einordnung der Reform und Zielsetzung

Mit der im Mai 2024 in Kraft getretenen Verordnung (EU) 2024/1183 (eIDAS-2.0-Verordnung) wurde die bisherige eIDAS-Verordnung EU 910/2014 umfassend geändert. Die Umsetzung der neuen Vorgaben erfolgt stufenweise.

Die eIDAS-2.0-Verordnung verpflichtet die EU-Mitgliedstaaten bis zum 31.12.2026, mindestens eine EUDI-Wallet bereitzustellen. Die EUDI-Wallet soll es natürlichen Personen ermöglichen, Identitätsdaten und elektronische Nachweise, etwa Führerschein, Ausbildungszeugnis oder Versichertennachweise, digital zu speichern und gegenüber Dritten kontrolliert offenzulegen. Ziel ist es, Identifizierungs- und Nachweisprozesse europaweit nutzbar und rechtssicher auszugestalten.

Den Mitgliedstaaten steht es frei, selbst eine staatliche Wallet zur Verfügung zu stellen, private Organisationen mit der Bereitstellung zu beauftragen oder private Wallets anzuerkennen (Art. 5a Abs. 1 eIDAS-Verordnung). In Deutschland wird es neben einer staatlichen Wallet-Lösung auch Wallets geben, die von privaten Anbietern entwickelt werden, sofern diese die europäischen Standards einhalten (Bundesministerium für Digitales und Staatsmodernisierung, Die eIDAS-Verordnung, EUDI-Wallets und ihre Bedeutung für europäische digitale Identitäten).

Die EUDI-Wallet soll bestehende nationale elektronische Identifizierungsmittel – in Deutschland insbesondere die bestehende Online-Ausweisfunktion (eID) des Personalausweises – nicht ersetzen, sondern Identitätsmerkmale und digitale Nachweise in einem unionsweit anerkannten Format bündeln und ergänzen. Zur Gewährleistung der europaweiten Einsatzfähigkeit enthält die eIDAS-2.0-Verordnung Vorgaben zur Interoperabilität, Sicherheit und Verifizierung digitaler Attribute. Attribute sind dabei „Merkmale, Qualitäten, Rechte oder die Erlaubnis einer natürlichen oder juristischen Person oder eines Objekts“ (Art. 3 Nr. 43 eIDAS-Verordnung). Beispiele für solche Attribute sind etwa berufliche oder akademische Nachweise wie ein Hochschulabschluss (Merkmal), Führerscheine (Erlaubnis), eine Arztzulassung (Recht) oder ein Gütesiegel (Qualität).

Von der EUDI-Wallet zu unterscheiden ist die im November 2025 von der Europäischen Kommission vorgeschlagene European Business Wallet (EBW), die derzeit als Verordnungsentwurf vorliegt und sich ausschließlich an Unternehmen und öffentliche Stellen richtet. Ziel der EBW ist insbesondere die Erleichterung des Datenaustauschs zwischen Unternehmen sowie zwischen Unternehmen und öffentlichen Stellen und damit die Reduzierung des Verwaltungsaufwands.

Bei der EUDI-Wallet werden erhöhte Anforderungen an Sicherheit, Transparenz und Datenschutz bereits auf der Ebene der Systemarchitektur verankert. Datenschutzrechtliche Prinzipien sind damit nicht nachgelagert, sondern integraler Bestandteil des neuen europäischen Rahmens für digitale Identitäten.

Kein Nutzungszwang – aber Akzeptanzpflicht in bestimmten Fällen

Für Unternehmen bedeutet die Einführung der EUDI-Wallet keine allgemeine Nutzungspflicht. Vielmehr ist zwischen der freiwilligen Nutzung der EUDI-Wallet und einer Pflicht zur Akzeptanz in bestimmten Konstellationen zu unterscheiden.

Die eIDAS‑2.0‑Verordnung begründet grundsätzlich keine Pflicht für Bürgerinnen und Bürger oder Unternehmen, die EUDI‑Wallet zu nutzen. Die Entscheidung, ob die EUDI-Wallet eingesetzt wird, bleibt freiwillig (Art. 5a Abs. 15 eIDAS-Verordnung).

Davon zu unterscheiden ist jedoch die Pflicht zur Akzeptanz der EUDI‑Wallet in bestimmten Fällen. Öffentliche Stellen sind ab Ende 2026 verpflichtet, eine Identifizierung über die EUDI‑Wallet zu ermöglichen.

Eine entsprechende Verpflichtung gilt ab dem 31.12.2027 unter bestimmten Voraussetzungen auch für private Unternehmen. Maßgeblich ist hierbei die Rolle als vertrauender Beteiligter. Hierunter fallen, mit Ausnahme von Kleinst- und kleinen Unternehmen, auch private Unternehmen, die Dienstleistungen erbringen, bei denen nach Unionsrecht oder nationalem Recht eine Online-Identifizierung mit starker Nutzerauthentifizierung vorgeschrieben ist oder eine solche Authentifizierung vertraglich vorgesehen wird (Art. 5f Abs. 2 eIDAS-Verordnung). Eine starke Nutzerauthentifizierung liegt vor, wenn sich ein Nutzer mit mindestens zwei unabhängigen Faktoren aus den Kategorien Wissen (z. B. Passwort), Besitz (z. B. Smartphone) oder Inhärenz (z. B. Fingerabdruck) authentifiziert (Art. 3 Nr. 51 eIDAS-Verordnung).

In diesen Konstellationen sind die betroffenen Unternehmen verpflichtet, auf Verlangen des Nutzers auch die EUDI-Wallet als zulässiges Identifizierungsmittel zu akzeptieren. Die Akzeptanzpflicht betrifft insbesondere regulierte oder sicherheitsrelevante Sektoren, etwa in den Bereichen Energie, Verkehr, Bank- und Finanzdienstleistungen, Telekommunikation, digitale Infrastrukturen, Gesundheit oder soziale Sicherheit (Art. 5f Abs. 2 eIDAS-Verordnung).

Zeitliche Einordnung der eIDAS-2.0-Verordnung

• 20.05.2024: Inkrafttreten der eIDAS‑2.0‑Verordnung
• Ende 2024: Start der nationalen Umsetzungsschritte und Aufbau der technischen Infrastruktur, Festlegung von Zuständigkeiten und Verfahren
• 21.05.2025: Aktualisierung nationaler Umsetzungsschritte (Erstellung erster Durchführungsakte)
• 31.12.2026: Verpflichtung der Mitgliedstaaten, mindestens eine EUDI‑Wallet zur Verfügung zu stellen
• 01.01.2027: Beginn der verpflichtenden Akzeptanz der EUDI‑Wallet durch öffentliche Stellen
• 31.12.2027: Verpflichtende Akzeptanz der EUDI‑Wallet auch durch private Unternehmen, soweit diese als vertrauende Beteiligte auftreten

Praktisch relevante und funktionale Bausteine sowie Einsatzkonstellationen im Unternehmenskontext

Die EUDI-Wallet ist als zentrale digitale Identitätsanwendung konzipiert, die mehrere Funktionen bündelt. Für Unternehmen sind insbesondere die folgenden Funktionsbereiche relevant:

• digitale Identifizierung und Authentifizierung
• qualifizierte elektronische Signatur
• Speicherung und kontrollierte Weitergabe von Nachweisen

Die EUDI-Wallet kann für Unternehmen insbesondere dort an Bedeutung gewinnen, wo digitale Geschäftsprozesse eine zuverlässige Identifizierung oder den Einsatz elektronischer Nachweise erfordern.

In diesen Fällen können Unternehmen als sogenannte vertrauende Beteiligte auftreten, also als Stellen, die elektronische Identifizierungen oder Nachweise im Rahmen ihrer Dienste nutzen oder auf Daten aus der EUDI-Wallet vertrauen (Art. 3 Nr. 6 eIDAS-Verordnung).

Praxisbeispiele (Projekt POTENTIAL der EU-Kommission)

Im Rahmen des von der Europäischen Kommission geförderten Large-Scale-Pilotprojekts POTENTIAL, an dem auch Deutschland beteiligt war, wurden folgende sechs Anwendungsfälle der EUDI-Wallet erprobt:

• Eröffnung eines Bankkontos
• Zugang zu digitalen Verwaltungsleistungen
• Registrierung von SIM-Karten
• Nutzung digitaler Führerscheine
• qualifizierte elektronische Signaturen
• ausgewählte Anwendungsfälle im Gesundheitswesen

Die Beispiele verdeutlichen, dass die EUDI-Wallet nicht auf einzelne Branchen beschränkt ist, sondern als sektorenübergreifende Identitäts- und Nachweislösung konzipiert ist.

Weitere Beispiele (Vorschläge SPRIN-D)

Weitere Anwendungsfälle wurden von der Bundesagentur für Sprunginnovation (SPRIN-D) genannt und werden noch geprüft:

• Fahrzeuganmietung
• Ummeldung des Wohnsitzes
• Anmeldung eines Gewerbes
• Beantragung behördlicher Dokumente
• Authentifizierung von Kundinnen und Kunden beim digitalen Vertragsabschluss einer Versicherung sowie bei der Bereitstellung elektronischer Versicherungsnachweise

Registrierung und Rollenverständnis

Unternehmen werden nicht automatisch Teil des EUDI-Ökosystems. Unternehmen, die beabsichtigen, als vertrauende Beteiligte Daten oder Nachweise aus der EUDI-Wallet zu verarbeiten, müssen sich zuvor registrieren (Art. 5b Abs. 1 eIDAS-Verordnung). Im Rahmen der Registrierung muss der vertrauende Beteiligte offenlegen, zu welchen Zwecken und in welchem Datenumfang eine Verarbeitung erfolgen soll (Art. 5b Abs. 2 lit. c eIDAS-Verordnung).

Die Durchführungsverordnung (EU) Nr. 2025/848 legt den verbindlichen Rahmen für die Registrierung fest: Sie regelt den Aufbau nationaler Register, die Bereitstellung von Schnittstellen sowie die Ausstellung der erforderlichen Registrierungs- und Zugriffszertifikate. In der praktischen Umsetzung erfolgt dieser Registrierungs- und Zertifikatsprozess über zentral bereitgestellte nationale Managementportale. 

Hinweise zur praktischen Umsetzung

Zur Vorbereitung auf die Nutzung der EUDI‑Wallet hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Handlungsleitfaden veröffentlicht, der Rollen im Wallet‑Ökosystem und grundlegende Aspekte der technischen Anbindung beschreibt.

Datenschutzrechtliche Anforderungen bei der Nutzung der Wallet

Datenminimierung, Zweckbindung und Rechtsgrundlagen

Die eIDAS-2.0-Verordnung lässt die Anwendung der Datenschutz-Grundverordnung (DSGVO) unberührt. Die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der EUDI-Wallet unterliegt daher weiterhin den Vorgaben der DSGVO (Art. 2 Abs. 4 eIDAS-Verordnung).

Die EUDI-Wallet ist technisch darauf ausgelegt, das Prinzip der Datenminimierung zu unterstützen. Übermittelt werden sollen nicht vollständige Dokumente, sondern nur die jeweils erforderlichen Attribute. Unternehmen dürfen daher ausschließlich solche personenbezogenen Daten verarbeiten, die für den konkreten Zweck notwendig sind. Eine eigenständige datenschutzrechtliche Prüfung bleibt gleichwohl erforderlich.

Datenschutzrechtlich müssen vertrauende Beteiligte die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung der EUDI-Wallet an den Vorgaben der DSGVO und der eIDAS-2.0-Verordnung ausrichten. Dies setzt insbesondere voraus, dass der jeweilige Verarbeitungszweck eindeutig festgelegt, nur die für diesen Zweck erforderlichen Daten verarbeitet und die betroffenen Personen transparent über die Datenverarbeitung informiert werden.

Die eIDAS-2.0-Verordnung schafft dabei auch keine eigene datenschutzrechtliche Rechtsgrundlage. Maßgeblich bleiben die Rechtsgrundlagen nach Art. 6 DSGVO oder anderen nationalen Vorschriften. Die technische Freigabe durch den Nutzer stellt keine datenschutzrechtliche Einwilligung dar, sondern ermöglicht lediglich die technisch kontrollierte Übermittlung der Daten.

Ergänzend empfiehlt es sich, Mitarbeitende, die mit Identitätsprüfungen oder entsprechenden Prozessen betraut sind, gezielt zu schulen, um einen rechtssicheren und sachgerechten Umgang mit der neuen digitalen Identitätsinfrastruktur sicherzustellen.

Datenschutz-Folgenabschätzung frühzeitig einplanen

Die Verarbeitung von Identitätsdaten, wie sie bei der EUDI-Wallet gegeben sein wird, ist regelmäßig mit erhöhten Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Entsprechend hoch sind die Anforderungen an technische und organisatorische Maßnahmen, insbesondere im Hinblick auf Zugriffsschutz, Verschlüsselung und Nachvollziehbarkeit.

In vielen Konstellationen wird zudem eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein, insbesondere bei systematischer oder umfangreicher Verarbeitung personenbezogener Daten im Zusammenhang mit der EUDI-Wallet. Eine frühzeitige datenschutzrechtliche Einordnung ist daher empfehlenswert.