eIDAS 2.0 und das EUDI-Wallet: Was akzeptierende Stellen bis Ende 2026 vorbereiten müssen
Die EU-Staaten müssen das EUDI-Wallet bis Dezember 2026 bereitstellen. Ein nüchterner Überblick über die technischen und rechtlichen Weichen, die Unternehmen als Relying Party jetzt stellen sollten.
In rund einem halben Jahr läuft eine Frist ab, die viele Unternehmen noch als ferne Regulierung behandeln: Bis zum 24. Dezember 2026 müssen alle 27 EU-Mitgliedstaaten ihren Bürgerinnen und Bürgern mindestens ein European Digital Identity Wallet (EUDI-Wallet) bereitstellen. Grundlage ist die Verordnung (EU) 2024/1183 („eIDAS 2.0"), die seit dem 20. Mai 2024 in Kraft ist.
Für die Mehrzahl der Unternehmen ist die spannendere Frage nicht, wann das Wallet kommt, sondern wann sie es akzeptieren müssen. Und diese Frist folgt unmittelbar.
Wo der Rollout im Juni 2026 steht
Der regulatorische Unterbau ist weit gediehen. Das Architecture and Reference Framework (ARF) liegt in Version 2.8 vor, und es sind bereits 31 Durchführungsrechtsakte veröffentlicht, die auf Dutzende technischer Standards verweisen. Am 8. April 2026 hat die Europäische Kommission die Durchführungsverordnung zur Wallet-Registrierung (Enrollment) nachgelegt, einen zentralen Baustein, weil er regelt, wie Nutzer ihre Identität sicher ins Wallet bringen.
Der Umsetzungsstand der Mitgliedstaaten ist allerdings ungleich. Frankreich gilt mit „France Identité" als am weitesten, betreibt bereits einen produktiven Dienst und baut ihn zum offiziellen EUDI-Wallet aus; Italien und Polen folgen dicht dahinter. Deutschland hat angekündigt, seine staatlich getriebene Variante zum 2. Januar 2027 zu starten, also kurz nach Ablauf der EU-Frist.
Relying Party: die Rolle, die fast jeden betrifft
Eine Relying Party (vertrauender Beteiligter, akzeptierende Stelle) ist jede Stelle, die sich für Identifizierung oder Authentifizierung auf Wallet-Nachweise stützen möchte, vom Onboarding über die Altersprüfung bis zur starken Kundenauthentifizierung.
Die zeitliche Logik der Verordnung ist eindeutig: Sobald die Wallets verfügbar sind, müssen regulierte Sektoren und sehr große Online-Plattformen das EUDI-Wallet etwa ein Jahr später zur Authentifizierung akzeptieren. Aus der Bereitstellungsfrist Ende 2026 wird damit für viele eine Akzeptanzpflicht ab etwa Ende 2027. Banken, Versicherer, Telekommunikations- und Energieversorger, das Gesundheitswesen und große Plattformen stehen dabei in der ersten Reihe; alle anderen können das Wallet freiwillig akzeptieren und tun gut daran, die Integration nicht erst kurz vor knapp zu beginnen.
Was eine Relying Party jetzt klären sollte
Registrierung. Akzeptierende Stellen müssen sich vor der ersten Nutzung bei einer nationalen Registrierungsstelle anmelden und dabei angeben, welche Attribute sie zu welchem Zweck abfragen. Diese Registrierung ist kein Formalakt, sondern die rechtliche Grundlage dafür, überhaupt Daten anfragen zu dürfen.
Datensparsamkeit. Das Wallet ist auf selektive Offenlegung ausgelegt: Nutzer sollen genau die Attribute teilen, die ein Dienst wirklich braucht, etwa „über 18" statt des vollständigen Geburtsdatums. Wer mehr abfragt, als der Zweck rechtfertigt, gerät sowohl mit der eIDAS-Logik als auch mit der DSGVO in Konflikt. Die Definition des minimalen Attributsatzes pro Anwendungsfall ist deshalb die erste fachliche Aufgabe, nicht die letzte.
Technische Integration. Die Präsentation von Nachweisen stützt sich auf etablierte offene Protokolle und Formate, darunter OpenID for Verifiable Presentations sowie die Nachweisformate ISO/IEC 18013-5 (mdoc) und SD-JWT VC. Hinzu kommen Vertrauenslisten, über die ein Dienst prüft, ob ein vorgelegtes Wallet und seine Aussteller echt und zugelassen sind. Wer hier auf Standards setzt statt auf proprietäre Adapter, hält sich die Wallets verschiedener Mitgliedstaaten offen.
Anwendungsfälle und Governance. Onboarding und KYC, Altersnachweis, starke Kundenauthentifizierung und qualifizierte elektronische Signaturen über das Wallet sind die naheliegenden Felder. Jeder dieser Fälle braucht eine saubere Einwilligungs- und Protokollierungslogik: wer hat wann welches Attribut zu welchem Zweck angefragt und erhalten.
In unserem Modul Datargo ID ist genau diese Relying-Party-Rolle der rote Faden: ein Login als Klammer, vorbereitet auf den EUDI-Pfad. Der eigentliche Punkt ist aber unabhängig vom Werkzeug: Die Weichen für Registrierung, Attributminimierung und standardbasierte Integration stellt jede akzeptierende Stelle für sich.
Der nüchterne Zeitplan
Bis Ende 2026 werden die Wallets bereitgestellt, ab Anfang 2027 erscheinen die nationalen Lösungen (Deutschland am 2. Januar 2027), und etwa ein Jahr nach Verfügbarkeit greift die Akzeptanzpflicht für regulierte Sektoren. Das klingt nach 2027 und 2028, beginnt aber als Vorbereitungsaufgabe heute: Attributbedarf bestimmen, Registrierungsweg klären, eine standardbasierte Integration pilotieren. Die Frist ist gesetzt; die Vorbereitung ist freiwillig nur noch im Zeitpunkt, nicht im Ob.