Die EU Digital Identity Wallet ist eine von der Europäischen Kommission initiierte digitale Brieftasche für elektronische Identitäten. Sie soll Bürgern, Verbrauchern und Unternehmen in der EU eine sichere und datenschutzfreundliche Möglichkeit zur digitalen Identifizierung bieten. Jede Wallet wird als persönliche App bereitgestellt, die es ermöglicht, offizielle Identitätsnachweise und andere wichtige digitale Dokumente sicher zu speichern, zu verwalten und bei Bedarf vorzuzeigen. Auch können damit elektronische Dokumente rechtsverbindlich unterzeichnet werden.
Ziel und Zweck der EU Digital Identity Wallet
Wesentliches Ziel der EU Digital Identity Wallet ist es, die Kontrolle über personenbezogene Daten in die Hände der Nutzer zu legen. Nutzer sollen selbst bestimmen, welche Identitätsdaten sie online preisgeben und zu welchem Zweck. Die Wallet erlaubt z.B., gegenüber öffentlichen oder privaten Diensten nachzuweisen, wer man ist, ohne mehr persönliche Informationen preiszugeben als nötig.
Dieser Ansatz folgt dem Leitprinzip der EU-Kommission, dass jeder stets die Hoheit über die eigene digitale Identität behalten soll. Entsprechend steht das Projekt in Einklang mit europäischen Werten wie Datenschutz und dem „Once-Only“-Prinzip (Daten nur einmal erfassen) und unterstützt das Ziel der Digitalen Dekade, bis 2030 allen EU-Bürgern einen Zugang zu digitalen Identitäten zu ermöglichen.
Die Wallet wird von jedem EU-Mitgliedstaat mindestens in einer Version angeboten und soll grenzüberschreitend einsetzbar sein. Ab 2026 müssen alle Mitgliedstaaten ein Wallet-System bereitstellen, das einheitlichen EU-Standards entspricht. Damit können Bürger und Unternehmen ihre digitale Identität EU-weit nahtlos verwenden. Beispielsweise um online Dienste im Ausland zu nutzen, ein Bankkonto zu eröffnen oder sich für eine Stelle in einem anderen EU-Land zu bewerben.
Gesetzliche Grundlage: eIDAS 2.0 (European Digital Identity Framework)
Rechtsgrundlage für die EU Digital Identity Wallet ist die überarbeitete eIDAS-Verordnung, auch bekannt als eIDAS 2.0 oder European Digital Identity Framework. Die ursprüngliche eIDAS-Verordnung (Regulation (EU) No. 910/2014) hat 2014 einen Rechtsrahmen für grenzüberschreitende elektronische Identifizierung und Vertrauensdienste geschaffen. Sie hat ermöglicht, dass national anerkannte elektronische Identitätssysteme auch in anderen Mitgliedstaaten für den Zugang zu öffentlichen Diensten genutzt werden können. Allerdings reicht laut der EU-Kommission diese Regelung im digitalen Zeitalter nicht mehr aus, da immer mehr private Online-Dienste Identifizierungen erfordern und Bedenken hinsichtlich Profiling und Überwachung laut wurden.
Im Juni 2021 schlug die Europäische Kommission daher eine umfassende Revision der eIDAS-Verordnung vor. Dieser Vorschlag sah die Schaffung eines europäischen Rahmens für digitale Identitäten vor. Mit der EU Digital Identity Wallet als zentralem Instrument, um das Prinzip umzusetzen, dass Nutzer vollständige Kontrolle über ihre digitalen Identitätsdaten behalten. Nach den EU-Gesetzgebungsverfahren wurde die neue Verordnung schließlich vom Europäischen Parlament am 29. Februar 2024 angenommen und im Mai 2024 im Amtsblatt veröffentlicht. Sie trat am 20. Mai 2024 als Verordnung (EU) 2024/1183 in Kraft. Diese Verordnung ändert und ergänzt eIDAS (2014), indem sie den Europäischen Digitalen Identitätsrahmen festschreibt und insbesondere die Einrichtung der EU Digital Identity Wallets vorschreibt.
Kerninhalte der eIDAS-2.0-Verordnung
Die neue Verordnung verpflichtet alle Mitgliedstaaten, unter staatlicher Verantwortung EU Digital Identity Wallets bereitzustellen. Das kann auch in Zusammenarbeit mit beauftragten privaten Anbietern erfolgen. Die Wallets müssen bestimmten gemeinsamen technischen Spezifikationen entsprechen, um EU-weit interoperabel zu sein. Zudem stärkt eIDAS 2.0 die Nutzung elektronischer Identitäten im privaten Sektor. Erstmals wird geregelt, dass auch private Diensteanbieter die Wallet als Identifizierungsmittel akzeptieren können oder in bestimmten Fällen akzeptieren müssen. Insbesondere sehr große Online-Plattformen (gemäß Definition der Digital Services Act, z.B. große soziale Netzwerke) sind künftig verpflichtet, die EU-Wallet als Login- oder Identifikationsmöglichkeit zu unterstützen, sofern sie von Nutzern verlangt wird. Damit soll verhindert werden, dass wenige private Login-Dienste den Markt dominieren, und Nutzern eine neutrale, öffentlich bereitgestellte Alternative zur Verfügung steht.
Wichtig ist, dass elektronische Nachweise und digitale Zertifikate, die über die Wallet bereitgestellt werden (sogenannte elektronische Attributsbescheinigungen), rechtlich anerkannt sind. Die Verordnung stellt klar, dass ein digital erteilter Nachweis nicht allein deshalb zurückgewiesen werden darf, weil er elektronisch ist oder bestimmte Qualifizierungsanforderungen nicht erfüllt. Für qualifizierte elektronische Attributsbescheinigungen werden gemeinsame Mindestanforderungen festgelegt, sodass sie dem rechtlichen Wert eines amtlichen Nachweises auf Papier entsprechen. Auf diese Weise sollen digital in der Wallet gespeicherte Dokumente (z.B. ein digitaler Führerschein oder ein Uni-Diplom) unionsweit eine verlässliche Rechtswirkung erhalten.
Datenschutzrechtlicher Rahmen der Identity Wallet
Die Identity Wallet-Lösung ist von Grund auf so konzipiert, dass zentrale DSGVO-Prinzipien wie Datenminimierung, Einwilligung, Zweckbindung sowie die Betroffenenrechte gewahrt und technisch unterstützt werden. Dies wird sowohl durch gesetzliche Vorgaben der eIDAS-2.0-Verordnung als auch durch die Architektur der Wallet selbst sichergestellt.
Wichtige datenschutzrechtliche Aspekte im Überblick:
- Zweckbindung und Verbot der Weiterverarbeitung: Die Verordnung schreibt vor, dass personenbezogene Daten, die im Zusammenhang mit der Wallet verarbeitet werden, ausschließlich für die Bereitstellung der Wallet-Dienste verwendet werden dürfen. Eine Verarbeitung zu anderen Zwecken – etwa die kommerzielle Auswertung der Nutzungsdaten – ist untersagt. Wallet-Anbieter dürfen keine Einsicht in die konkreten Transaktionen der Nutzer nehmen („Unbeobachtbarkeit“) und keine Profile über das Nutzungsverhalten erstellen. Damit wird einer missbräuchlichen Weiterverwendung (z.B. Profilbildung) ein Riegel vorgeschoben. Sollte in Ausnahmefällen ein Zugriff des Wallet-Betreibers auf bestimmte Informationen nötig sein (etwa für Support-Zwecke), darf dies nur mit vorheriger ausdrücklicher Einwilligung des Nutzers im Einzelfall geschehen und muss voll im Einklang mit der DSGVO erfolgen.
- Datenminimierung und selektive Datenteilung: So wenig Daten wie möglich, so viel wie nötig. Dieser Grundsatz der DSGVO (Art. 5 Abs. 1 lit. c) wird durch die Wallet technisch umgesetzt. Standardmäßig werden nur die minimal erforderlichen Attribute geteilt. Die Wallet verfügt über Privacy-by-Design-Funktionen wie selektive Offenlegung und Zero-Knowledge-Nachweise. Selektive Offenlegung bedeutet, dass der Nutzer bei einer Anfrage gezielt nur die spezifischen Informationen freigibt, die ein Dienstleister verlangt, ohne zusätzliche Details preiszugeben. Ein Beispiel: Statt den kompletten Personalausweis zu übermitteln, kann die Wallet bestätigen, dass der Nutzer über 18 ist, ohne Geburtsdatum oder genaue Adresse offenzulegen. Zero-Knowledge-Proofs gehen noch einen Schritt weiter, indem sie die Verifizierung eines Merkmals ohne Preisgabe der zugrundeliegenden Daten erlauben. So könnte etwa bewiesen werden, dass ein Bankkonto einen Mindestkontostand aufweist, ohne den exakten Betrag zu nennen. Durch solche kryptographischen Methoden soll ein Höchstmaß an Datenschutz gewährleistet werden.
Privacy Dashboard: Transparenz und Betroffenenrechte
Die aktive Einwilligung der Nutzer zieht sich als Grundprinzip durch das gesamte System der Identity Wallet. Nutzer entscheiden selbstbestimmt, wem sie welche Informationen aus ihrer Wallet bereitstellen. Jede Datenfreigabe erfordert eine bewusste Aktion im Wallet (z.B. Bestätigung per App), sodass keine unbeabsichtigte Weitergabe stattfinden kann. Dies entspricht dem DSGVO-Erfordernis einer informierten, freiwilligen und spezifischen Einwilligung, wo sie als Rechtsgrundlage nötig ist. Die eIDAS-2.0-Verordnung betont explizit, dass Zugriffe auf Wallet-Daten nur mit vorheriger Zustimmung des Users und DSGVO-konform erfolgen dürfen. In vielen Fällen wird die Datenübermittlung zwar auch auf vertraglicher Notwendigkeit oder gesetzlichen Pflichten (z.B. im Bankensektor) beruhen; dennoch stellt die Wallet sicher, dass der Betroffene immer die Kontrolle behält und den Transfer autorisiert.
Um den Überblick über die eigenen Daten zu wahren, sollen die Wallet-Apps über ein eingebautes Datenschutz-Dashboard verfügen. Dieses fungiert als Transaktionsprotokoll und zeigt dem Nutzer verständlich an, welche Stelle zu welchem Zeitpunkt welche Daten abgefragt oder erhalten hat. Sämtliche Datentransaktionen über die Wallet werden hier dokumentiert und können vom Nutzer eingesehen werden, selbst wenn ein Vorgang abgebrochen wurde. Dadurch soll eine hohe Transparenz geschaffen und nicht nachvollziehbare Datennutzungen verhindert werden.
Zudem ermöglicht das Dashboard es den Nutzern, ihre Betroffenenrechte gemäß DSGVO einfacher auszuüben. Insbesondere kann direkt über die Wallet für jede Transaktion eine Löschung der geteilten Daten beim Diensteanbieter angefordert werden. Die Verordnung verlangt, dass eine solche Löschanfrage (basierend auf Art. 17 DSGVO, Recht auf Vergessenwerden) mit wenigen Klicks gestellt werden kann. Ebenso soll es möglich sein, einen Diensteanbieter, der unrechtmäßig oder auffällig Daten verlangt, direkt an die nationale Datenschutzaufsichtsbehörde zu melden.
Privacy by Design/Default und Sicherheitsvorkehrungen
Die Datenschutzkonformität ist technisch verankert. Die eIDAS-2.0-Verordnung verpflichtet Anbieter der Identity Wallet dazu, den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umzusetzen. Schon die Architektur trennt personenbezogene Wallet-Daten logisch von anderen Datenverarbeitungen des Anbieters, um jede Vermischung zu verhindern.
Alle Wallet-Daten werden lokal auf dem Gerät des Nutzers gespeichert und nicht in einer zentralen Cloud, was die Kontrolle und Datensicherheit erhöhen soll. Der Zugriff auf die Wallet ist durch die Sicherheitsmerkmale des Endgeräts geschützt (PIN, biometrische Sicherung usw.), sodass nur der Berechtigte die Inhalte nutzen kann. Außerdem sind Open-Source-Code und Sicherheitsaudits vorgesehen, um Transparenz herzustellen und Schwachstellen frühzeitig zu finden. Sollte dennoch ein gravierendes Sicherheitsrisiko auftreten, kann die betreffende Wallet-Lösung ausgesetzt vom Markt genommen werden, bis das Problem behoben ist. All diese Maßnahmen sollen dafür sorgen, dass die Wallet den strengen Anforderungen der DSGVO gerecht wird und Vertrauen bei den Nutzern schafft.
Lese-Tipp: Pseudonymisierung – EDSA veröffentlicht neue Leitlinien
Identity Wallet-Anbieter und Aussteller
Die EU Digital Identity Wallet basiert auf einem gemeinsamen technischen Rahmen und klar definierten Rollen, um ihren grenzüberschreitenden Einsatz zu ermöglichen. Sowohl technisch als auch rechtlich ist ein ganzes Ökosystem von Akteuren und Infrastrukturen vorgesehen, damit die Wallets zuverlässig funktionieren:
- Wallet-Anbieter (Wallet Providers): Dies sind die Stellen, die im Auftrag eines Mitgliedstaates die Wallet entwickeln und den Nutzern bereitstellen. In vielen Fällen wird dies die Regierung oder eine staatliche Behörde selbst sein. Alternativ kann ein privater IT-Dienstleister mandatiert werden. Der Wallet-Anbieter sorgt für den technischen Betrieb, regelmäßige Updates und den Support. Rechtlich trägt der jeweilige Mitgliedstaat die Verantwortung dafür, dass „seine“ Wallet den Vorgaben entspricht. Jeder EU-Staat muss mindestens eine Wallet anbieten, wobei auch mehrere parallel möglich sind, solange sie alle gemeinsamen EU-Standards
- Aussteller (Issuer): Damit sind vertrauenswürdige Organisationen gemeint, die digitale Identitätsnachweise und andere digitale Dokumente in die Wallet einspeisen können. Dies umfasst etwa staatliche Behörden (für amtliche Ausweisdokumente, Führerscheine, Personenstandsurkunden), aber auch andere Stellen wie Universitäten (für Abschlusszeugnisse) oder Banken und Zertifizierungsdienste. Jeder Aussteller stellt einem Nutzer eine elektronische Bescheinigung (Attestation) über ein bestimmtes Attribut oder Dokument aus, die in der Wallet gespeichert wird. Technisch geschieht dies über digitale Zertifikate oder signierte Datensätze, die die Echtheit und Unveränderlichkeit garantieren. Rechtlich gesehen müssen Aussteller je nach Art der Bescheinigung gewisse Anforderungen erfüllen – insbesondere qualifizierte Vertrauensdiensteanbieter sein, wenn es um qualifizierte elektronische Attributsbescheinigungen geht, die besondere Rechtswirkungen entfalten. Die neue Verordnung listet Kategorien von Attributen auf (z.B. Name, Geburtsdatum, Lizenzstatus), für die qualifizierte Aussteller bereitstehen müssen. Aussteller sind verpflichtet, die Richtigkeit der Daten zu überprüfen, bevor sie ein Zertifikat in der Wallet ausstellen, damit sich die Nutzer auf die in der Wallet gespeicherten Angaben verlassen können.
Service Provider (Diensteanbieter)
Darunter fallen alle öffentlichen oder privaten Stellen, die Informationen aus der Wallet abfragen, um dem Nutzer eine Leistung bereitzustellen. Zum Beispiel: Eine Fluggesellschaft, die zur Online-Buchung eine Identifizierung verlangt; ein Autovermieter, der den digitalen Führerschein sehen will; eine Bank, die für die Kontoeröffnung die digitalen Ausweisdaten anfordert. Service Provider (Relying Parties) nutzen die Wallet, um Nutzer zu authentifizieren oder bestimmte Attribute (z.B. Alter, Qualifikation) verifizieren zu lassen.
Rechtlich müssen sie sich registrieren, wenn sie Wallet-Daten abrufen wollen. Diese Registrierung bei einer zuständigen Stelle (vom Mitgliedstaat benannt) dient der Transparenz und erlaubt es, die Rechtmäßigkeit der Datennachfragen zu überwachen. Die Anbieter müssen bei der Registrierung angeben, welche Daten sie zu welchem Zweck abrufen möchten. Unnötige oder unverhältnismäßige Datenanforderungen können so unterbunden werden.
Außerdem schreibt die Verordnung vor, dass Diensteanbieter eine Datenschutz-Folgenabschätzung (DSFA) durchführen und ggf. die Datenschutzaufsicht konsultieren müssen, bevor sie Wallet-Daten verarbeiten. Das gilt insbesondere dann, wenn besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) oder umfangreiche Profile betroffen sind. Dies soll sicherstellen, dass neue Wallet-Anwendungen gründlich auf Risiken geprüft werden.
Insgesamt soll die Registrierungspflicht dafür sorgen, dass nur vertrauenswürdige Services auf Wallet-Daten zugreifen und Nutzer genau wissen, wer ihre Identitätsdaten nutzt.
Technische Funktionsweise der Wallets
Technisch wird das Zusammenspiel dieser Akteure durch eine gemeinsame Architektur und Standards ermöglicht. Die EU hat hierzu eine Architecture and Reference Framework (ARF) sowie technische Spezifikationen erarbeitet. Alle nationalen Wallets, Aussteller-Systeme und Diensteanbieter müssen diese einheitlichen Protokolle und Datenformate unterstützen, sodass eine Wallet in Land A problemlos mit einem Diensteanbieter in Land B kommunizieren kann. Beispielsweise gibt es europaweit einheitliche Datenmodelle (Schema-Kataloge) für bestimmte Dokumente, damit etwa ein „digitales Führerscheindokument“ in jedem Mitgliedstaat gleich strukturiert ist. Ebenso wird eine gemeinsame Vertrauensinfrastruktur aufgebaut: Eine Art öffentliches Verzeichnis vertrauenswürdiger Stellen (z.B. Issuer-Katalog), in dem alle zertifizierten Aussteller und Diensteanbieter gelistet sind. Die Wallet kann so automatisch prüfen, ob eine eingehende Bescheinigung von einem zugelassenen Issuer stammt und ob eine anfragende Service-Website tatsächlich registriert und legitim ist. Diese gegenseitige Anerkennung wird durch digitale Zertifikate und Signaturen ermöglicht. Ähnlich wie bei SSL-Zertifikaten im Web, nur hier für Identitäten und Attribute.
Ein wichtiger technischer und rechtlicher Aspekt ist die Sicherheit: Wallet-Apps müssen strenge IT-Sicherheitsstandards erfüllen. Die Verordnung verweist auf den EU-Rechtsrahmen für Cybersecurity (Regulation (EU) 2019/881) und sieht vor, dass Wallets nach Maßgabe europäischer oder nationaler Zertifizierungsschemata auf ihre IT-Sicherheit geprüft werden. Konkret bedeutet dies, dass jedes Wallet-System einer Konformitätsbewertung unterzogen wird, bei der die Erfüllung der technischen und sicherheitstechnischen Anforderungen bestätigt wird. Diese Zertifizierung soll möglichst auf EU-Ebene harmonisiert erfolgen (ggf. unter Einbeziehung der EU-Agentur ENISA). Wallets, die die Prüfung bestehen, gelten als „Cybersicherheits-zertifiziert“. Für Nutzer und Diensteanbieter schafft dies Vertrauen, dass die jeweilige Wallet-App sicher ist (z.B. gegen Hackerangriffe geschützt und frei von bekannter Schadsoftware).
Praktische Funktionsweise der Identity Wallet
Um eine Wallet zu nutzen, durchläuft der Nutzer in der Regel einen Onboarding-Prozess: Er lädt die Wallet-App des eigenen Landes herunter, sichert diese (z.B. mit PIN/biometrie) und verbindet sie einmalig mit einer staatlichen Identitätsquelle. Etwa durch Auslesen des elektronischen Ausweises oder per Online-Identifikation. Danach kann er verschiedene digitale Dokumente hinzufügen, indem er sie bei den jeweiligen Ausstellern anfragt (z.B. das Führerscheinamt für den digitalen Führerschein). Die hinzugefügten Zertifikate werden in der Wallet gespeichert und können fortan verwendet werden. Meldet sich der Nutzer bei einem Online-Dienst an, der die Wallet unterstützt, kann er über die Wallet ausgewählte Daten freigeben.
Die Authentifizierung erfolgt dabei meist durch eine Kombination aus Wallet-Freigabe und eventuell einer zusätzlichen Bestätigung (z.B. einer digitalen Signatur oder Authentifizierung über das Smartphone). Wichtig: Die rechtliche Identitätsbestätigung erfolgt in dem Moment der Freigabe – der Diensteanbieter erhält z.B. eine digital signierte Bestätigung der Identität oder des angeforderten Attributes, welche er als äquivalent zum klassischen Ausweis behandeln muss. Da die Wallet-Nachweise gegenseitig anerkannt sind, genießt ein Bürger aus Land A beim Online-Dienst in Land B dieselbe rechtliche Akzeptanz, wie wenn er ein lokales Ausweisdokument vorgelegt hätte.
Insgesamt sollen die EU Digital Identity Wallets modernste Technik mit klaren rechtlichen Zusagen kombinieren: Eine vereinheitlichte EU-Infrastruktur gewährleistet Interoperabilität und Sicherheit, während verbindliche Regeln sicherstellen, dass alle Beteiligten (Staaten, Anbieter, Nutzer) ihre Rolle zum Schutz der Identitätsdaten erfüllen. Damit sollen die Wallets einen Grundpfeiler für vertrauenswürdige digitale Transaktionen in Europa bilden. Die Frage wird allerdings nicht nur sein, ob die technische Umsetzung wie beschrieben gelingt, sondern auch, ob die Bürger und Verbraucher die EUDI-Wallet in der Breite akzeptieren und nutzen werden.
Quelle: A digital ID and personal digital wallet for EU citizens, residents and businesses
German 
English 
Italian 
French