eIDAS-Verordnung 2.0 im Kontext der EU-AMLR

Mit der novellierten eIDAS-Verordnung 2.0 (Electronic Identification, Authentication and Trust Services) werden europaweit einheitliche und verbindliche technologische Standards zur digitalen Identifikation und Authentifizierung etabliert. Alle 28 Mitgliedstaaten der EU haben sich im Zuge der Verabschiedung der eIDAS 2.0 Verordnung am 26. März 2024 dazu verpflichtet, ihren Bürgerinnen und Bürgern und allen juristischen Personen bis Ende 2026 mindestens eine standardisierte, interoperable EUDI-Wallet-Lösung zur Verfügung zu stellen. Die deutsche EUDI-Wallet soll gemäß Digitalminister Dr. Karsten Wildberger Anfang 2027 bereitstehen.

Zusammenspiel von EU-AMLR und eIDAS 2.0

In Artikel 22 der EU-AMLR ist festgeschrieben, dass verpflichtete Unternehmen ausschließlich bestimmte zuverlässige, in der eIDAS-Verordnung zugelassene Methoden zur Fernidentifizierung zu verwenden haben. Artikel 24 der eIDAS-Verordnung hingegen stellt dar, wie qualifizierte Vertrauensdienste-Anbieter die Identitäten natürlicher und juristischer Personen, für die sie Zertifikate (etwa für die Ausstellung einer QES) ausstellen, überprüfen müssen.

Das Ziel dahinter ist es, interoperable, grenzüberschreitende Verifizierungen zu ermöglichen, gleichzeitig Redundanzen zu reduzieren und die Resilienz des europäischen Wirtschafts- und Finanzraums zu verbessern.

eIDAS 2.0 zulässige Identifikationsverfahren

Genau genommen nennt Art. 22 Abs. 6 b AMLR zwei Arten von Verfahren: elektronische Identifizierungsmittel mit dem Vertrauensniveau „substanziell“ oder „hoch“ nach der eIDAS-Verordnung sowie qualifizierte Vertrauensdienste. Zu den ersten gehören zum Beispiel staatlich notifizierte Verfahren wie die eID oder die EUDI-Wallet. Zu den zweiten zählt vor allem die qualifizierte elektronische Signatur (QES). Dass diese Methoden generell Vorrang vor anderen Verfahren haben, steht im Gesetzestext selbst zwar nicht ausdrücklich, aber aus Erwägungsgrund 66 lässt sich ableiten, dass ihnen im Vergleich zur QES eine besondere Bedeutung zukommt, nicht jedoch zwingend im Verhältnis zu anderen Methoden wie etwa etablierten Video-Ident-Verfahren.

Streng genommen ab 24. Dezember 2027, also genau 36 Monate nach Inkrafttreten der Durchführungsrechtsakte müssen regulatorisch verpflichtete Unternehmen die EUDI-Wallet aufgrund der beiden Verordnungen (Artikel 5a Absatz 23 und Artikel 5c Absatz 6 eIDAS-VO) als Identifizierungs- und Authentifizierungsmittel akzeptieren.

Die novellierte eIDAS-Verordnung zielt auf eine Harmonisierung von Vertrauensdiensten ab und lässt folgende Ident-Lösungen zu:

• Nationale notifizierte Lösungen (eID)
• die EUDI-Wallet

Durch eine Konformitätsbewertungsstelle (etwa TÜV NORD CERT) zertifizierte Lösungen, die im Rahmen der Ausstellung einer qualifizierten elektronischen Signatur Anwendung finden. Der WebID Identity Hub beispielsweise beinhaltet verschiedene etablierte, GwG-/AML-konforme, sowie zertifizierte und damit eIDAS zulässige Ident-Verfahren, die auch nach in Kraft treten der EU-AMLR zum Einsatz kommen können.

Was ändert sich für Unternehmen mit der eIDAS Verordnung 2.0?

Ganz zentral ist sicherlich die Anforderung, dass verpflichtete Unternehmen die EUDI-Wallet gemäß EU-Implementing Act spätestens am 1. Januar 2028 als Identifikationsverfahren vorhalten müssen.

Werden weitere Ident-Verfahren angeboten, müssen diese den zuvor bereits genannten Kriterien entsprechen.

Aber auch Gatekeeper wie Suchmaschinen, App-Stores oder Messenger, also Plattformen, die vordefinierte digitale Dienste („zentrale Plattformdienste“) anbieten, müssen gemäß dem Digital Markets Act (DMA) die EUDI-Wallet zukünftig als Login-Option integrieren.

So können sich Unternehmen auf eIDAS 2.0 vorbereiten

Auch wenn die flächendeckende Bereitstellung der EUDI-Wallet nach eIDAS-Vorgaben noch etwas Zeit benötigen wird, sollten Unternehmen schon jetzt prüfen, inwieweit ihre Strategien, Prozesse und Systeme der aktualisierten eIDAS-Verordnung 2.0 entsprechen.

1. Technische Integration prüfen
   Verpflichtete Unternehmen sollten frühzeitig evaluieren, wie sie die EUDI-Wallet in ihre bestehenden Authentifizierungs- und Onboarding-Prozesse integrieren können und wie sie ihre bereits vorhandenen Ident-Verfahren eIDAS-konform aktualisieren können, um auch den zukünftigen AMLR-Vorgaben zu entsprechen.
2. Compliance-Anforderungen analysieren
   Finanzinstitute, Telekommunikationsanbieter und andere verpflichtete Unternehmen müssen ihre KYC-/KYB- und AMLR-Prozesse anpassen und prüfen, ob die bereits etablierten Ident-Verfahren den eIDAS-Anforderungen entsprechen.
3. Sicherheitsarchitektur optimieren
   Die Implementierung der eIDAS 2.0-Standards sollte in bestehende IAM-Systeme (Identity & Access Management) eingebunden werden.
4. Wahlfreiheit bieten
   Wallets im Allgemeinen stellen eine niederschwellige, nutzerfreundliche Lösung dar, die das digitale Onboarding vereinfachen können. Verpflichtete Unternehmen können ihren Wettbewerbsvorteil jedoch besser ausbauen, indem sie die Customer Journey entsprechend umgestalten und ihren Kundinnen und Kunden die Wahl des individuell passenden Ident-Verfahrens lassen.

Mit dem WebID Identity Hub beispielsweise profitieren verpflichtete Unternehmen von einem ID-Ökosystem, das die Wahlfreiheit von Identifikationslösungen eIDAS-zertifiziert und AMLR-konform orchestriert. So schaffen sie die Grundlage für nachhaltige Compliance, stabile Prozesse und eine hohe Nutzerzufriedenheit.