Europas digitale Wallet: Das Versprechen, die Probleme und die Fragen, die wir nicht stellen

Ein Beitrag von Sharmin Chougule

03. Februar 2026

Am Ende des Jahres 2026 soll europaweit die EUDI-Wallet angeboten werden. Das Bestreben, allen Bürgern eine sichere digitale Identität zur Verfügung zu stellen, ist lobenswert, doch lassen der enge Zeitplan und die komplexe Architektur auf ein tieferliegendes Spannungsfeld schließen. Wir befinden uns am Scheideweg: Können wir dem vertrauen oder entsteht da womöglich ein Überwachungsapparat?

Erstellt mit Adobe Firefly.

1. Das Problem, das wir zu lösen versuchen

Stellen Sie sich Folgendes vor: Sie buchen einen Flug in Deutschland, möchten ein Auto in Italien mieten oder eröffnen ein Bankkonto in Frankreich. Jedes Mal müssen Sie Ihre Identität nachweisen. Sie suchen in Ihren Schreibtischschubladen nach Ihrem Reisepass oder Personalausweis, stecken in der Warteschleife, um Ihre Identität bei einem Callcenter zu bestätigen, müssen Aufnahmen von Ihrem Gesicht machen, Formulare von Hand ausfüllen, Dokumente einscannen und alles per Post verschicken. Sofern Sie kein Smartphone mit NFC-Lesegerät besitzen und Ihr Ausweis in diesem elektronischen Verifizierungsformat akzeptiert wird, entsprechen die oben genannten Szenarien nach wie vor der immer noch üblichen Praxis einer Identitätsprüfung in Europa.

Dies ist eines der Probleme, die die Europäische Union mit der europäischen Wallet (EUDI) beheben möchte, die im Rahmen der neuen eIDAS 2.0-Verordnung vorgeschrieben ist. Ab Dezember 2026 muss jeder EU-Mitgliedstaat seinen Bürger:innen eine digitale Geldbörse, als App auf Ihrem Smartphone, anbieten. Damit können Sie Ihr Alter nachweisen, Informationen zu Ihrem Führerschein, Ihren beruflichen Qualifikationen oder Ihrem Bankkonto bereitstellen, ohne dabei unnötige personenbezogene Daten preiszugeben.

Dabei bleibt zu bedenken, dass Identitätsdiebstahl und Kontoübernahmen zu bedeutenden Bedrohungen innerhalb der europäischen Online-Betrugslandschaft geworden sind, wobei Phishing und Manipulationsversuche (social engineering) nach wie vor die größten Einfallstore für den Diebstahl von Zugangsdaten sind.¹ Und im Finanzsektor und im Bankwesen wird die digitale Identität zunehmend zum Schlüssel für den Zugriff auf Konten und Zahlungen, sodass Designentscheidungen hier schnell zu „Geldfragen” werden.

Auf dem Papier ist die EUDI Wallet ein Gewinn: schnellere Dienste, weniger Betrug, mehr Kontrolle für die Bürger. Bei genauerer Betrachtung zeigt sich jedoch eine Kluft zwischen Versprechen und Realität.

2. Was hinter den Kulissen geschieht

2.1. Die Technologie funktioniert, aber das Problem ist alles andere

Die technische Architektur der EUDI Wallet ist hochentwickelt. Sie verwendet kryptografische Protokolle mit Namen wie Password Authenticated Connection Establishment (PACE), Basic Access Control (BAC) und Extended Access Control (EAC). Keine Sorge, Sie müssen nicht wissen, was diese Begriffe bedeuten.

Die wichtigste Innovation ist die nur selektive Offenlegung von Daten durch (das kryptographische Verfahren von) Zero-Knowledge-Proofs. Stellen Sie sich ZKP wie einen Türsteher in einem Club vor, der überprüft, ob Sie „über 18” sind, indem er ein grünes Licht auf Ihrem Ausweis scannt, ohne jemals Ihr tatsächliches Geburtsdatum zu sehen. Das Verfahren kann beweisen, dass eine Tatsache wahr ist, ohne die dahinterstehenden Daten preiszugeben. Dies ermöglicht echte „privacy-by-design”. Darüber hinaus können Sie mit einer EUDI-Wallet belegen, dass Sie über 18 Jahre alt sind, ohne Ihr Geburtsdatum preiszugeben, z. B. Ihr Alter gegenüber einem Online-Shop nachweisen, ohne Ihren Reisepass hochzuladen. Sie können bestätigen, dass Sie einen gültigen Führerschein besitzen, ohne Ihre Privatadresse oder Führerscheinnummer preiszugeben. All dies mag zwar machbar klingen, aber man darf nicht vergessen, dass Technologie nicht in einem Vakuum existiert. Ein perfektes kryptografisches Protokoll kann ein defektes Governance-Modell nicht reparieren.

Die Europäische Kommission verbrachte das Jahr 2025 damit, die EUDI-Vision in operative Regeln umzusetzen. Im Mai 2025 verabschiedete sie die Durchführungsverordnung, in der festgelegt ist, wie die Mitgliedstaaten Wallet-Zertifizierungen einreichen müssen. Italien hat mit Beta-Tests begonnen. Das digitale ID-Programm Deutschlands wurde offiziell mit biometrischer Integration gestartet. Nach Maßstäben regulatorischer Effizienz geht alles voran. Abseits der Umsetzungserklärungen bleibt die zentrale Frage: Wer kontrolliert die Infrastruktur und wofür wird sie genutzt?

Die Europäische Union untersucht auch Blockchain- und Distributed-Ledger-Technologie (DLT) als potenzielle Komponente der EUDI-Infrastruktur, nicht als obligatorischen Kern, aber innerhalb von Pilotprojekten und der Initiative „European Blockchain Sandbox”. Der Reiz ist offensichtlich: Um die Ausstellung und den Widerruf von Credentials nicht in zentralen Regierungsdatenbanken speichern zu müssen, testen einige Mitgliedstaaten Blockchain-Lösungen, um unveränderliche, dezentrale Vertrauensregister zu schaffen.

In Pilotprojekten wird mit dezentralen Identifikatoren (DIDs) experimentiert, die an öffentliche Blockchains wie Ethereum, Cheqd und Internet of Things Application (IOTA) angebunden sind. Sie ermöglichen es, den Besitz von Berechtigungsnachweisen zu bestätigen, ohne die ausstellende Autorität preiszugeben. Oberflächlich betrachtet scheint dies das Problem der Machtkonzentration zu lösen: Wenn die Identitätsprüfung wirklich dezentralisiert durchgeführt wird, kann kein einzelner Akteur, weder Regierung noch Unternehmen, die Infrastruktur kontrollieren.

Dieses Framing verschleiert jedoch drei kritische Probleme. Erstens: Wer regelt diese „dezentralisierten” Systeme tatsächlich? Öffentliche Blockchains wie Ethereum werden von Netzwerken von Validatoren betrieben, also letztlich Computern auf der ganzen Welt, die Transaktionen überprüfen. Diese Validatoren sind jedoch nicht gleichmäßig verteilt. Wenn die meisten von ihnen von einer Handvoll Unternehmen kontrolliert werden oder sich auf bestimmte Länder konzentrieren, handelt es sich dann wirklich um Dezentralisierung? Und was passiert, wenn eine Regierung beschließt, dass ein bestimmtes Blockchain-Ökosystem eine geopolitische Bedrohung darstellt? Zweitens sind Blockchains langsam und teuer. Sie verbrauchen mehr Energie und verarbeiten Transaktionen langsamer als herkömmliche Datenbanken. Wenn wir über den Einsatz von Blockchains in so großem Maßstab sprechen, sollten wir uns die europäischen Nachhaltigkeitsziele ansehen.

Das EUDI-Rahmenwerk diskutiert nicht transparent die Leistungseinbußen oder die Umweltkosten, die mit der Integration von Blockchain verbunden sind. Das mag daran liegen, dass es außerhalb seines Aufgabenbereichs liegt oder auf der Annahme beruhen, dass man davon ausgeht, dass die Nachhaltigkeitsziele Europas ohnehin gelten, unabhängig davon, ob eine bestimmte Vorschrift dies ausdrücklich fordert oder nicht. Lohnt der angebliche Vorteil in puncto Datenschutz oder Dezentralisierung den infrastrukturellen Aufwand? Drittens, und das ist das Wichtigste, bleibt die Governance unabhängig von technischen Innovationen zentralisiert: Die Mitgliedstaaten zertifizieren weiterhin Wallets, kontrollieren weiterhin die Regeln für die Ausstellung von Zugangsdaten und behalten weiterhin die Aufsichtsbefugnis. Das bedeutet, dass die Blockchain zwar technische Unveränderlichkeit bietet, aber möglicherweise keine strukturelle Dezentralisierung der Governance. Die Distributed-Ledger-Technologie bzw. das dezentrale Register schafft (dann) etwas, das wir als „Vertrauens-Theater“ bezeichnen könnten: technisch interessant und wirklich innovativ, aber keine Transformation. Es ermöglicht den politischen Entscheidungsträgern, zu behaupten, dass sie die Dezentralisierung vorantreiben, während sie gleichzeitig die Kontrolle zentralisiert beibehalten.

Wenn die Wallet bis Dezember 2026 eingeführt wird, ist es unwahrscheinlich, dass die Mitgliedstaaten Systeme mit vollständiger Blockchain-Integration implementieren werden. Historische Präzedenzfälle aus dem Bereich eHealth und früheren digitalen Initiativen der EU lassen vielmehr erhebliche Verzögerungen erwarten. Eine weitere Herausforderung ist das sogenannte Blockchain-Trilemma: Sicherheit, Skalierbarkeit und Dezentralisierung gleichzeitig zu gewährleisten ist nur schwer oder vielmehr gar nicht möglich. Bis zum Ablauf der Frist im Dezember 2026 bleibt die Blockchain eher ein potenzielles Feature, das bei richtiger Anwendung Vorteile gegenüber einer bewährten Architektur bietet. Wenn die Frist dann abgelaufen ist, wird die Blockchain wahrscheinlich eher als infrastrukturelle Verfeinerung dienen, statt die Hoffnungen auf eine Umverteilung der Macht zu erfüllen.

2.2. Das Überwachungsparadoxon: Was die EU nicht laut sagt

Hier wird es interessant. Während der Gesetzgebungsverhandlungen entbrannte eine Debatte über Artikel 45² und „Qualified Website Authentication Certificates” (QWACs). Sicherheitsforscher und Browser-Anbieter warnten, dass der ursprüngliche Vorschlag Browser dazu gezwungen hätte, ausnahmslos von der Regierung ausgestellten Zertifikaten zu vertrauen, was faktisch einen technischen Weg für „Man-in-the-Middle”-Abhör- bzw. Abfangangriffe geschaffen hätte.³

Ist dies heute eine direkte Bedrohung? Die praktische Umsetzung dieses Kompromisses ist zwischen Browser-Anbietern, EU-Behörden und Sicherheitsforschern weiterhin umstritten und wird durch Durchsetzungs- und Standardisierungsverfahren festgelegt werden. Der endgültige Text von eIDAS 2.0 enthält einen Kompromiss: Browser müssen diese Zertifikate erkennen, sind jedoch nicht gezwungen, dafür ihre eigenen Sicherheitsstandards zu kompromittieren. Die unmittelbare Gefahr einer obligatorischen „Hintertür“ wurde abgewendet.⁴

Dennoch bleibt der Rechtsrahmen bestehen, und künftige Änderungen könnten die Entscheidungsfreiheit der Browser einschränken, ohne dass die gesamte Architektur neu verhandelt werden müsste, wodurch der aktuelle Kompromiss anfällig wird für eine neue Auslegung der Vorschriften. Der Kompromiss selbst ist aufschlussreich: Er zeigt, wie die Infrastruktur der digitalen Identität von Natur aus zwischen dem Schutz der Privatsphäre der Bürger:innen, dem Zugriff der Strafverfolgungsbehörden und den nationalen Sicherheitsinteressen umstritten ist. Dies ist keine technische Frage, die Ingenieur:innen gelöst haben. Es ist eine politische Entscheidung, die weiterhin ungelöst bleibt.

Wenn morgen der Zertifikatsschlüssel einer Regierung kompromittiert würde, könnten Browser ihn nach den aktuellen Regeln ablehnen. Eine Neuinterpretation der Vorschriften könnte jedoch Vertrauen erzwingen: Es ist kein neues Gesetz erforderlich, lediglich administrative Ermessensspielräume. Die Gefahr besteht darin, dass es politisch schwierig wird, die Überwachungsinfrastruktur wieder abzubauen, sobald Regierungen sie einmal normalisiert haben. Dies ist keine Behauptung über die aktuellen Absichten in Brüssel oder den nationalen Hauptstädten, sondern eine Warnung, dass solche Fähigkeiten, sobald sie in die Infrastruktur integriert sind, von zukünftigen Regierungen unabhängig von ihrem ursprünglichen Zweck genutzt oder erweitert werden können. Die Sorge gilt hier weniger den heute erklärten politischen Absichten als vielmehr der strukturellen Möglichkeit der Überwachung, die die Infrastruktur stillschweigend für morgen ermöglicht.

Dies veranschaulicht die Spannung zwischen regulatorischen Vertrauensannahmen und kryptografischen Vertrauenseigenschaften. Rechtliche Rahmenbedingungen können technische Möglichkeiten sobald sie einmal existieren, nicht zuverlässig einschränken. Dies ist besonders akut in der digitalen Identitätsarchitektur der EU, wo regulatorische Vorgaben auf Browser-Sicherheitsmodelle treffen, über die die EU keine vollständige Kontrolle hat. Diese werden größtenteils von nicht-europäischen Anbietern entwickelt und kontrolliert. Die EU kann zwar gesetzliche Verpflichtungen festlegen, aber sie kann nicht direkt beeinflussen, wie diese Browser ihre Vertrauensentscheidungen technisch umsetzen.

2.3. Die Implementierungskrise, über die niemand spricht

Die Frist läuft im Dezember 2026 ab, also in weniger als 12 Monaten. Klingt machbar? Vielleicht. Aber schauen Sie sich die bisherige Bilanz an. Die ursprüngliche eIDAS-Verordnung wurde 2014 verabschiedet. Die flächendeckende Umsetzung dauerte Jahre länger als erwartet. Wie bereits erwähnt, haben eHealth-Initiativen in ganz Europa wiederholt ihre Umsetzungsziele verfehlt. Tests, Interoperabilität, grenzüberschreitende Zertifizierung – all dies ist in der Praxis schwieriger als in den regulatorischen Zeitplänen vorgesehen.

Anfang 2026 sieht die Realität wie folgt aus:

Italien befindet sich in der Beta-Testphase. Einige andere Mitgliedstaaten haben Pilotprojekte gestartet.
Kein größerer Mitgliedstaat hat die vollständige Einführung angekündigt.
Grenzüberschreitende Interoperabilitätstests sind noch im Gange.
Die Zertifizierungsverfahren werden noch weiter verfeinert.

Einige Mitgliedstaaten werden die Frist im Dezember 2026 einhalten, andere nicht. Was passiert dann? Bleiben Unternehmen von der Akzeptanz von Wallets ausgenommen, wenn die Technologie noch nicht bereit ist? Können vertrauende Parteien, also die Organisationen, die im System auf Wallets vertrauen müssen, die Integration aufschieben? Das Rahmenwerk macht dazu keine Aussagen.

Diese Fragmentierung führt zu einer echten rechtlichen und operativen Unsicherheit. „Vertrauende Beteiligte“ (Banken, Behörden, Unternehmen) werden mit einer Vielzahl von Wallet-Lösungen konfrontiert sein, die zu unterschiedlichen Zeitpunkten eingeführt werden. Bürger in Mitgliedstaaten, die die Frist verpassen, werden mit Verzögerungen bei den Dienstleistungen konfrontiert sein. Interoperabilitätsprobleme werden sich häufen.

2.4. Die Krise der Barrierefreiheit: Digitale Infrastruktur als Gatekeeping

Dies sind Szenarien, die in den EUDI-Strategiepapieren nicht wirklich behandelt werden: Eine 78-Jährige in einer ländlichen Gegend Spaniens mit minimalen digitalen Kenntnissen. Ein Asylbewerber in Belgien ohne festen Wohnsitz oder amtlichen Ausweis. Ein sehbehinderter Nutzer in Frankreich, dessen Wallet-App seiner Bank nicht mit Screenreadern kompatibel ist. Eine Teenagerin ohne Smartphone, die versucht, auf altersbeschränkte Dienste zuzugreifen.

Das EUDI-Rahmenwerk schreibt vor, dass private Einrichtungen die Wallet akzeptieren müssen, wenn eine Identifizierung gesetzlich vorgeschrieben ist. Es schreibt keine Offline-Alternativen vor. Dies führt zu einer kritischen Lücke: Was passiert, wenn Bürger:innen die Wallet nicht nutzen können? Die Verordnung verwendet zwar eine permissive Formulierung, nach denen die Mitgliedstaaten sicherstellen sollen, dass alternative Mittel verfügbar bleiben. Dies ist jedoch nicht verpflichtend. In der Praxis bedeutet das, dass Banken die Wallet als Standard etablieren, alternative Verifizierungsmethoden hingegen auf umständliche Offline-Prozesse beschränkt werden. Dies ist keine formelle Ausgrenzung, sondern eine funktionale qua Design.

Die Erfahrungen mit anderen digitalen Initiativen der EU sind aufschlussreich. Estland wird oft als Vorbild für digitale Governance angeführt, doch die Daten zeigen eine deutliche „graue digitale Kluft”. Während 98% der jungen Est:innen digitale Dienste mühelos nutzen, zeigen Untersuchungen, dass über 70% der Bürger:innen über 75 Jahren das Internet überhaupt nicht nutzen und daher auf Stellvertreter:innen oder physische Hilfe angewiesen sind.⁵ Wenn Dienstleistungen wie Steuererklärungen oder Gesundheitsakten „digital first” werden, wird diese Gruppe effektiv zu Bürgern zweiter Klasse degradiert. Für die Digitalversierten ist es Effizienz, für die Nicht-Vernetzten ist es eine Barriere.

Wenn die EUDI-Wallet dem gleichen Muster folgt, werden die am stärksten benachteiligten Bevölkerungsgruppen, ältere Menschen, Menschen mit Behinderungen, Asylsuchende und Menschen in ländlichen Gebieten mit schlechter oder geringer Konnektivität systematisch von Dienstleistungen ausgeschlossen, auf die sie gesetzlich Anspruch haben. Es gibt keine obligatorischen Tests mit vulnerablen Gruppen. Es gibt keine Verpflichtung, dass eine Offline-Verifizierung tatsächlich verfügbar bleibt (und nicht nur theoretisch). Es ist nicht erfasst, wie viele Menschen das System tatsächlich nicht nutzen können.

2.5. Das Machtproblem: Wer kontrolliert Ihre Identität?

Wenn die EUDI-Wallet zu einer de-facto-Identitätsinfrastruktur wird, dann hat, wer immer sie kontrolliert, die Gatekeeping-Macht über das wirtschaftliche und zivile Leben in Europa. Wer sind diese Gatekeeper? Es sind die staatlichen Behörden, die Ihre Identität mit einem Klick widerrufen können. Es sind die Tech-Giganten (wie Apple, Google), deren Betriebssysteme die Wallet hosten. Es sind die Aussteller (z. B. Banken), die entscheiden, ob Ihre Zugangsdaten gültig sind.

Das ist keine Paranoia. Es ist grundlegende Infrastruktur-Governance. Wenn Sie die Identität zentralisieren, zentralisieren Sie auch die Macht, andere auszuschließen. Überlegen Sie, was passiert, wenn Ihr Wallet gesperrt, gelöscht oder suspendiert wird: Sie verlieren den Zugang zu Bankdienstleistungen, Behörden, Gesundheitsportalen und zum Handel. In der Praxis bedeutet das, dass die Identitätsinfrastruktur zur Finanzinfrastruktur wird: Wenn die Wallet ausfällt, scheitert auch die alltägliche wirtschaftliche Teilhabe. Das Rahmenwerk enthält Sicherheitsvorkehrungen: Bürger können gegen Zertifizierungsentscheidungen Einspruch einlegen, und das System sieht eine Datenminimierung vor. Doch diese Schutzmaßnahmen haben Grenzen. Eine Regierung kann die Zertifizierung einer Wallet verweigern. Bürger haben nur eingeschränkt unmittelbare Rechtsmittel, wenn ihre Wallet gesperrt wird.

Private Wallet-Anbieter stehen unter anderem Druck. Sie müssen die staatliche Zertifizierung einhalten, personenbezogene Daten gemäß der DSGVO behandeln und auf Anfragen der „vertrauenden Beteiligten“ reagieren. Gleichzeitig begrenzt das Rahmenwerk nicht klar ihre Möglichkeit, bestimmten Nutzern oder Nutzergruppen den Dienst zu verweigern.

Im Laufe der Zeit ist mit einer Marktkonzentration zu rechnen. Große Technologieunternehmen (abermals wie Google und Apple) könnten mit ihren Wallet-Lösungen dominieren und dabei ihre bestehende Nutzerbasis nutzen. Finanzinstitute könnten proprietäre Wallets entwickeln. E-finanzierte Konsortien werden versuchen, „offizielle” Lösungen zu schaffen. „Vertrauende Organisationen“ geraten dann unter Druck, alle zertifizierten Wallets zu akzeptieren, was Komplexität und Kosten erhöht. Die Anreizstruktur begünstigt wahrscheinlich große, stabile Anbieter gegenüber Nischenlösungen.

2.6. Die Frage der Standards und der globalen Macht

Europa ist nicht das einzige Land, das eine Infrastruktur für digitale Identitäten aufbaut. Singapur hat seine National Digital Identity. Kanada entwickelt ein Digital Credentials-Ökosystem, Indien verfügt über Aadhaar, ein biometrisches Identitätssystem und sogar DigiLocker, ein staatliches digitales Datenmanagementsystem. Globale Normungsorganisationen konkurrieren um Spezifikationen.

Die EUDI-Gesetzgebung ist praktisch Europas Versuch, eine Führungsrolle bei globalen Standards für digitale Identitäten zu übernehmen. Wenn eIDAS 2.0 durch die Größe des EU-Marktes und die Regulierungsmacht zum de-facto-Standard wird, dann würden europäische Normen bei Datenminimierung, Transparenz und Bürgerkontrolle zu globalen Standards.

Umgekehrt wenn anderswo Konkurrenzmodelle dominieren, würden die europäischen Grundsätze zur digitalen Identität regional begrenzt bleiben. Dieser Wettbewerb um Standards hat Auswirkungen auf die globale Datenverwaltung, den Datenschutz und die Machtverteilung. Es handelt sich nicht nur um eine technische Frage, sondern auch um eine geopolitische.

3. Was jetzt geschehen muss

Die Entscheidungen über die Infrastruktur werden jetzt getroffen, oft ohne transparente öffentliche Debatte. Drei Dinge sind dabei entscheidend:

3.1. Erstens: Die Rechenschaftspflicht muss proaktiv sein, nicht reaktiv.

Das EUDI-Rahmenwerk verteilt die Verantwortung auf mehrere Akteure: Die Mitgliedstaaten zertifizieren Wallets, private Anbieter betreiben sie, „vertrauende Beteiligte“ integrieren sie, Bürger nutzen sie und die Europäische Kommission beaufsichtigt das Gesamtsystem. Aber die Fragmentierung der Verantwortung führt zu Verantwortlichkeitslücken – genau zu solchen Lücken, die typischerweise entstehen, wenn neue Infrastrukturen versagen.

Betrachten wir das an einem Beispiel: Ein Wallet-Anbieter nutzt kryptografische Dienste eines Drittanbieters. Dieser Anbieter wird kompromittiert. Die Zugangsdaten der Bürger:innen geraten in Umlauf. Wer haftet? Der Wallet-Anbieter? Der Drittanbieter? Der Mitgliedstaat, der das Wallet zertifiziert hat? Die Bank, die sich darauf verlassen hat? Das Rahmenwerk gibt keine klare Antwort.

Was die Einhaltung von Finanzvorschriften angeht, müssen Sie derzeit bei der Beantragung eines Kredits Ihr gesamtes digitales Leben offenlegen. Mit der EUDI-Wallet hingegen könnten Sie beispielsweise kryptografisch nachweisen, dass Ihr Einkommen über 50.000€ liegt oder Ihr Kreditscore über 700 beträgt, ohne Ihren Arbeitgeber oder Ihre vollständige Transaktionshistorie offenlegen zu müssen.

Für Banken ist dies jedoch ein zweischneidiges Schwert. Einerseits verspricht es eine drastische Senkung der Kosten für die Kundenidentifizierung (Know Your Customer, KYC), da an die Stelle der manuellen Checks die kryptographische Gewissheit tritt. Andererseits wird jede Großbank zu einer obligatorischen „Relying Party” („vertrauende Beteiligte“, die sich auf andere verlässt und keine unabhängige Überprüfung und Datenbewertung mehr durchführen kann). Bis 2027 müssen Banken diese Wallets für die starke Kundenauthentifizierung (SCA) gemäß den PSD2/PSD3-Vorschriften akzeptieren. Wird eine Wallet kompromittiert oder fälschlicherweise ausgestellt, ist das mehr als nur ein Datenschutzvorfall. Die Folgen sind verheerend und breiten sich schnell aus: Es kann zu Kontoübernahmen und betrügerischen Zahlungen und schließlich zu Streitigkeiten darüber kommen, wer für den Verlust haftet.

Oder stellen wir uns vor, dass ein „vertrauender Beteiligter“ aufgrund einer fehlerhaften Wallet-Anfrage versehentlich zu viele personenbezogene Daten erhält. Wer trägt die Kosten für die Datenschutzverletzung? Diese Fragen werden letztlich durch Gerichtsverfahren und regulatorische Leitlinien geklärt werden. Es reicht jedoch nicht aus, auf Gerichtsverfahren zu warten, um Verantwortungslücken zu schließen. Bis die Gerichte entscheiden, ist der Schaden oft bereits entstanden und die problematischen Infrastrukturmuster sind längst verfestigt. Die Mitgliedstaaten sollten daher vor Inbetriebnahme der Wallets 2026 klare Haftungsregelungen veröffentlichen.

Zudem ist zu berücksichtigen: Nicht jede Person kann juristischen Fachjargon lesen. Laien müssen klar darüber informiert werden, welche Rechte sie haben, worauf sie sich berufen können, wenn etwas schief geht, und welche Möglichkeiten ihnen zur angemessenen Durchsetzung ihrer Rechteoffenstehen.

Wenn Bürger mit einer defekten digitalen Geldbörse das Wochenende bis zu den regulären Öffnungszeiten der Bank abwarten müssen, wird daraus schnell ein sehr frustrierendes Wochenende. Und das ist nur ein Beispiel. Ein ähnlicher Stillstand kann entstehen, wenn etwa die Wallet eines Arbeitssuchenden nicht mehr funktioniert, wenn er sich bei der Arbeitsagentur oder dem Sozialamt ausweisen muss – mit der Folge, dass die Zahlung von Arbeitslosengeld oder Wohngeld verzögert wird. Und das nur, weil außerhalb der „normalen” Öffnungszeiten niemand eingreifen kann. Oder wenn beispielsweise die Wallet einer Patientin oder eines Patienten an einem Freitagabend versagt und die Apotheke sein elektronisches Rezept nicht mehr abrufen kann. Die betroffene Person bleibt ohne notwendige Medikamente, bis entweder ein physischer Notfallbesuch im Krankenhaus erfolgt oder ein alternativer Verifizierungskanal wieder erreichbar ist.

Können wir erwarten, dass rund um die Uhr technisches Personal verfügbar ist – wie es in einigen asiatischen Ländern mit 24/7-Callcentern der Fall ist? In Europa übersteigt die Nachfrage nach technischem Personal bereits heute das Angebot: Im Jahr 2022 hatten laut Eurostat über 60% der EU-Unternehmen, die versuchten, IKT-Fachkräfte (Informations- und Kommunikationstechnik) einzustellen, Schwierigkeiten, diese Stellen zu besetzen.⁶

Dies ist kein bürokratisches Abhaken, sondern der Unterschied zwischen einer Rechenschaftspflicht, die Fehler verhindert, und einer Rechenschaftspflicht, die erst nachträglich auf Fehler reagiert. Die Mitgliedstaaten sollten klare Haftungsregelungen veröffentlichen, bevor Wallets in Betrieb genommen werden. Es sollte unabhängige Ombudsstellen für Beschwerden von Bürger:innen geben. Regelmäßige öffentliche Audits der Sicherheit, Interoperabilität und Zugänglichkeit von Wallets sollten nicht nur einmalig, sondern kontinuierlich durchgeführt werden.

3.2. Zweitens: Inklusion darf kein nachträglicher Gedanke sein.

Wenn EUDI-Wallets für den Zugang zu grundlegenden Dienstleistungen verpflichtend werden, muss digitale Inklusion ein zentrales Element im Systemdesign sein und keine bloße Fußnote zur Einhaltung von Vorschriften/Compliance. Es bedeutet verbindliche Offline-Verifizierungswege (keine permissiven Formulierungen über mögliche Alternativen). Es bedeutet Barrierefreiheitsprüfungen vor der Zertifizierung, wobei die Einhaltung der Web Content Accessibility Guidelines (WCAG) 2.1⁷ als Mindeststandard gelten muss. Es bedeutet ausdrücklichen Schutz für Bevölkerungsgruppen, die digitale Systeme nicht nutzen können. Und es bedeutet transparente Berichterstattung über Inklusionskennzahlen: Wie viele Bürger können Wallets tatsächlich nutzen? Wie variiert dies je nach Alter, Behinderung, geografischer Lage und Aufenthaltsstatus?

Die regulatorischen Bemühungen um eine digitale Identität sollten nicht die bereits in Europa bestehenden digitalen Klüfte reproduzieren. Sie sollten vielmehr darauf abzielen, einen Weg zu finden, diese zu verringern und ihre Auswirkungen zu mindern.

3.3. Drittens: Die Frage der Überwachung muss ehrlich diskutiert werden.

Die Regelungen zur Schwächung von TLS,⁸ die staatlichen Zugangsanfragen und die Architektur der obligatorischen Akzeptanz werfen eine grundlegende Frage auf: Priorisiert das EUDI-Rahmenwerk die Stärkung der Bürgerrechte oder der staatlichen Kontrolle?

Das ist keine binäre Entscheidung. Sie erfordert jedoch eine ehrliche Abwägung der Vor- und Nachteile. Die derzeitige Politik verschleiert diese Abwägungen durch Rhetorik über „Vertrauen“ und „Sicherheit“. Echte Transparenz hingegen erfordert:

Eine öffentliche Debatte darüber, welche Strafverfolgungsbedürfnisse tatsächlich bestehen, welche Sicherheitskosten damit verbunden wären und ob Regierungen über routinemäßige Abhör- bzw. Abfangmöglichkeiten für den digitalen Identitätsverkehr verfügen sollten.
Unabhängige Sicherheitsaudits von Wallet-Systemen mit öffentlicher Berichterstattung über Schwachstellen.
Transparente Governance bei der Entwicklung von Standards unter Beteiligung der Zivilgesellschaft.
Verfallsklauseln für Bestimmungen, die die Sicherheit schwächen, sowie eine regelmäßige Neubewertung, ob die Überwachungsarchitektur notwendig oder lediglich pfadabhängig ist.

4. Der Moment ist jetzt

Die EUDI-Wallet ist eine echte europäische Errungenschaft hinsichtlich des technischen Designs. Das Bestreben, allen Bürgern eine sichere digitale Identität zu bieten, ist lobenswert.

Aber die Governance-Architektur, der Zeitplan für die Umsetzung und die Überwachungsbestimmungen schaffen eine grundlegende Spannung, die nicht allein auf technologischer Ebene gelöst werden kann. Es ist eine Spannung zwischen Vertrauensinfrastruktur und Überwachungsapparat. Diese Spannung kann gemanagt werden, aber nur durch klare Verantwortlichkeit, echte Inklusion und eine ehrliche Auseinandersetzung mit Machtfragen. Das Zeitfenster für diese Auseinandersetzung schließt sich. Bis Ende 2026 wird die Einführung der Wallet beschleunigt. Bis 2030 wird die Infrastruktur fest im europäischen Leben verankert sein. Ist sie einmal etabliert, wird es schwieriger, Entscheidungen zu revidieren. Sie werden zu technischen Anforderungen, zu regulatorischen Vorgaben, zu Gewohnheiten der Bürger.

Jetzt ist der Moment gekommen, in dem politische Entscheidungsträger, Unternehmen, die Zivilgesellschaft und auch die Bürger:innen schwierige Fragen stellen müssen:

Fördert das EUDI-Rahmenwerk die digitale Souveränität Europas oder schafft es neue Abhängigkeiten?
Schützt es die Privatsphäre oder ermöglicht es Überwachung?
Bezieht es schutzbedürftige Bevölkerungsgruppen ein oder schließt es sie bewusst aus?
Verteilt es die Macht gerechter oder konzentriert es sie?

Diese Fragen verdienen Antworten, die auf Fakten, sorgfältiger Abwägung und demokratischer Legitimität beruhen und nicht nur auf der regulatorischer Compliance und Implementierungsfristen.

Die technische Infrastruktur kommt. Die Governance-Infrastruktur, die darüber entscheidet, wie Macht verteilt wird und wer profitiert oder verliert, wird jedoch noch verhandelt. Wir sollten sicherstellen, dass wir die richtigen Fragen dazu stellen.

RSS-Feed zum eFin-Blog abonnieren

Zurück zur Startseite des Blogs

Zum Diskursprojekt Demokratiefragen des digitalisierten Finanzsektors

1
ENISA, ENISA Threat Landscape: Finance Sector, Januar 2023 bis Juni 2024, Brüssel: Agentur der Europäischen Union für Cybersicherheit, 2024, verfügbar unter: https://www.enisa.europa.eu/sites/default/files/2025-02/Finance%20TL%202024_Final.pdf.

Europol, Online Fraud Schemes: A Web of Deceit – Spotlight Report, Den Haag: Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung, 2023, abrufbar unter: https://www.europol.europa.eu/cms/sites/default/files/documents/Spotlight-Report_Online-fraud-schemes.pdf.

Mastercard, zitiert in: Biometric Update, „Mastercard möchte, dass jeder eine digitale Geldbörse und ein mDL hat, um Zahlungen wie mit einem Ausweis zu tätigen“, (4. August 2025), verfügbar unter: https://www.biometricupdate.com/202508/mastercard-wants-everyone-to-have-a-digital-wallet-and-mdl-to-make-id-like-payments.
2
Artikel 45 der eIDAS-Verordnung (insbesondere die Neufassung eIDAS 2024/1183, ursprünglich die eIDAS-Verordnung von 2014 mit einem Änderungsvorschlag von 2021). Dieser Artikel schreibt vor, dass Webbrowser QWACs anerkennen müssen, die von den benannten qualifizierten Vertrauensdienstleistern der EU-Mitgliedstaaten ausgestellt wurden, obwohl der endgültige Text keine bedingungslose Vertrauenswürdigkeit vorschreibt.

Die legislative Debatte hierzu betrifft eine umstrittene Bestimmung, die Browser dazu verpflichtet, diese von der EU genehmigten Zertifikate zu akzeptieren, was aufgrund von Sicherheits- und Abhörbedenken zu erheblichem Widerstand seitens Cybersicherheitsexperten und Browseranbietern geführt hat. Die meisten europäischen Bürger:innen wissen von dieser Debatte nichts.
3
Gemeinsamer offener Brief von über 400 Wissenschaftlern und NGOs zu eIDAS, November 2023.
4
Bitkom-Positionspapier zum Ergebnis des Trilogs zu eIDAS 2.0, November 2023.
5
Leppiman, A., et al. (2021): Old-Age Digital Exclusion as a Policy Challenge in Estonia and Finland. In: Walsh, K. et al. (eds.): Social Exclusion in Later Life. International Perspectives on Aging, Springer, S. 409-419 (Es ist zu bemerken, dass die Internetnutzung nach dem 75. Lebensjahr deutlich zurückgeht, einer Bevölkerungsgruppe, die häufig aus den üblichen statistischen Erhebungen für die Altersgruppe „16-74” ausgeschlossen wird).

Statistik Estland (2019/2023) Daten zur Internetnutzung nach Altersgruppen.
6
Eurostat – „ICT specialists – statistics on hard-to-fill vacancies in enterprises“ (Artikel aus „Statistics Explained“, Daten extrahiert im Juni 2025).
7
WCAG 2.1 ist der internationale Standard für die Gestaltung von Websites und Anwendungen, die für Menschen mit Behinderungen nutzbar sind und Funktionen wie Screenreader-Kompatibilität und Tastaturnavigation erfordern.
8
Die Verschlüsselung, die den meisten Webdatenverkehr schützt. Stellen Sie sich Verschlüsselung als eine Art Datenverwirrung vor, sodass nur jemand mit dem richtigen und gesicherten Schlüssel sie lesen kann.