Entdecken und Lernen

Was ist eIDAS 2? Alles, was Sie wissen müssen

Die Europäische Union (EU) ist eines der komplexesten und ambitioniertesten regulatorischen Umfelder. Mit dem Inkrafttreten der zweiten Iteration der Verordnung über elektronische Identifizierungs-, Authentifizierungs- und Vertrauensdienste (eIDAS) müssen sich die Unternehmen in der EU auf Änderungen einstellen und sich an eine der bedeutendsten Veränderungen in der Region bei digitaler Identität, Authentifizierung und Vertrauensinfrastruktur seit 2016 anpassen.

Zusammen mit dem zugehörigen technischen Standard schafft eIDAS 2 eine einheitliche rechtliche und technische Grundlage dafür, wie sich Personen authentifizieren, wie Identitätsdaten ausgetauscht werden und wie Vertrauensdienste grenzüberschreitend funktionieren. Das europäische Ökosystem für digitale Identitäten wird so umgestaltet, dass es interoperabler, datenschutzfreundlicher und widerstandsfähiger gegen neue Betrugs- und Sicherheitsbedrohungen ist.

Gleichzeitig finden diese Änderungen vor dem Hintergrund der globalen Konvergenz der ID-Prüfung statt, da die Regulierungsbehörden weltweit die Sicherheitserwartungen erhöhen, der Betrugsprävention Vorrang einräumen und die Anforderungen an die Remote-ID-Prüfung und das Onboarding von Finanzdienstleistungen zunehmend konvergieren. eIDAS 2 ist nun Teil einer breiteren, internationalen Verlagerung der digitalen Identität mit hoher Sicherheit.

Im Folgenden werden wir eIDAS 2 aufschlüsseln und Ihnen alles Wissenswerte zur Einhaltung der Vorschriften vermitteln. Es geht um folgende Themen:

  • Was ist eIDAS?
  • Was ist eIDAS 2?
  • Identitätsprüfung nach eIDAS 2 und ETSI v2
  • Wer ist ein Vertrauensdiensteanbieter?
  • So erreichen Sie die eIDAS 2-Compliance
  • Compliance mit Entrust-Lösungen vereinfachen

Was ist eIDAS?

eIDAS – die Abkürzung steht für elektronische Identifizierungs-, Authentifizierungs- und Vertrauensdienste – ist die umfassende EU-Verordnung, mit der der erste harmonisierte Rechtsrahmen für elektronische Identifizierungs- und Vertrauensdienste in allen EU-Mitgliedstaaten eingeführt wurde.

Vor der Verabschiedung stützte sich die EU auf einen Flickenteppich nationaler Gesetze – das deutsche Signaturgesetz, das französische Gesetz über elektronische Signaturen, der italienische Codice dell'Amministrazione Digitale, das spanische Gesetz 59/2003 und andere – mit jeweils unterschiedlichen Vorschriften, Sicherheitsanforderungen und Formaten. Dies hatte zur Folge, dass die Ansätze zur Durchführung der elektronischen Identifizierung und der Fernüberprüfung der Identität von einem Mitgliedstaat zum anderen sehr unterschiedlich waren.

Diese Fragmentierung erschwerte grenzüberschreitende digitale Interaktionen. Eine elektronische Signatur oder ein Identitätsnachweis, der in einem Mitgliedstaat gültig ist, wird möglicherweise in einem anderen nicht anerkannt, sodass Organisationen gezwungen sind, parallele Prozesse aufrechtzuerhalten und das Vertrauen in elektronische Transaktionen untergraben wird. Das Fehlen eines gemeinsamen Rahmens schränkte auch die Ausweitung sicherer Online-Dienste ein und behinderte die Entwicklung des grenzüberschreitenden elektronischen Handels.

Die erste eIDAS-Verordnung (EU Nr. 910/2014) war ein Versuch, diese Probleme durch die Schaffung eines harmonisierten EU-weiten Rahmens zu lösen. Die 2014 verabschiedete und ab 2016 vollständig umgesetzte Richtlinie verankert drei zentrale Grundsätze:

  • Gegenseitige Anerkennung: Alle Mitgliedstaaten waren gesetzlich verpflichtet, die angegebenen nationalen eID-Systeme der anderen Mitgliedstaaten anzuerkennen.
  • Interoperabilität: Die Verordnung gewährleistet die Kompatibilität zwischen verschiedenen elektronischen Identifizierungslösungen und Vertrauensdiensten in der EU.
  • Sicherheit: eIDAS hat strenge Sicherheitsanforderungen für elektronische Signaturen, Siegel, Zeitstempel und Zertifikate eingeführt.

Außerdem wurde die Rolle der Vertrauensdiensteanbieter (TSPs) formalisiert, die akkreditiert und überwacht werden müssen, bevor sie qualifizierte Dienstleistungen erbringen können.

Wichtig ist, dass eIDAS nicht nur für öffentliche Einrichtungen gilt, sondern auch für privatwirtschaftliche Organisationen, die auf elektronische Identifizierung oder Vertrauensdienste angewiesen sind – einschließlich Finanzdienstleistungen, Versicherungen, Gesundheitswesen und E-Commerce. Es fungiert daher als einheitliche digitale Vertrauensinfrastruktur für alle grenzüberschreitenden elektronischen Interaktionen innerhalb der EU.

Obwohl die Verordnung die digitale Vertrauenslandschaft in Europa deutlich verbessert hat, gibt es nach wie vor einige Einschränkungen. Bis 2021 war die grenzüberschreitende Nutzung nationaler eIDs noch immer begrenzt, die Annahme durch den privaten Sektor war uneinheitlich und der Anwendungsbereich des Rahmens spiegelte nicht mehr wider, wie digitale Identitäts- und Vertrauensdienste genutzt wurden. Diese Lücken führten schließlich zur Entwicklung einer Änderung der Verordnung: eIDAS 2. 

Was ist eIDAS 2?

eIDAS 2 – formell die Europäische Verordnung über die digitale Identität (Verordnung (EU) 2024/1183) – ist die aktualisierte und erweiterte Version des ursprünglichen eIDAS-Rahmens. Sie wurde im April 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat schrittweise ab dem 20. Mai 2024 in Kraft.

Grund für die Überarbeitung waren die anhaltenden Einschränkungen in der ersten Verordnung. Bis 2021 war die grenzüberschreitende Nutzung nationaler elektronischer Identifizierungssysteme nach wie vor gering, die Annahme durch die vertrauenden Parteien des Privatsektors war uneinheitlich, und zwischen den Mitgliedstaaten bestanden erhebliche Unterschiede bei der Umsetzung von Fernidentitätssicherung und Vertrauensdiensten. Diese Unstimmigkeiten führten zu Reibungsverlusten für Unternehmen, die in mehreren Rechtsordnungen tätig sind. Nur 59 % der in der EU ansässigen Personen können eine vertrauenswürdige eID außerhalb ihres Heimatlandes verwenden.

eIDAS 2 stellt eine strukturelle Weiterentwicklung des europäischen Rahmens für digitale Identität und Vertrauensdienste dar. Er geht auf die Beschränkungen des ursprünglichen Rahmens ein, erweitert die Liste der regulierten Vertrauensdienste, verschärft die Sicherheits- und Governance-Anforderungen und führt vor allem die Europäische Digitale Identität (EUDI) als obligatorischen Bestandteil der nationalen Ökosysteme für digitale Identitäten ein.

Während die ursprüngliche Verordnung den Grundstein für grenzüberschreitendes Vertrauen legte, liefert eIDAS 2 den Entwurf für ein fortschrittlicheres, interoperables, hochsicheres und nutzergesteuertes Modell der digitalen Identität in der gesamten Europäischen Union.

Ein erweiterter gesetzlicher Geltungsbereich

Die ursprüngliche eIDAS-Verordnung (2016) legte den Grundstein für elektronische Identifizierungs- und Vertrauensdienste in der EU, aber ihr Anwendungsbereich blieb relativ begrenzt; sie nahm nicht das Ausmaß der digitalen Interaktionen vorweg, die heute auf hochsichere Identitäts- und Vertrauensmechanismen angewiesen sind. Während der Rahmen Rechtssicherheit für elektronische Signaturen, Siegel, Zeitstempel und qualifizierte Zertifikate bot, umfasste er nicht mehrere Vertrauensdienste, die inzwischen für digitale Geschäftsmodelle und grenzüberschreitende Interoperabilität von zentraler Bedeutung sind.

Mit eIDAS 2 wird dies erheblich erweitert. Die aktualisierte Verordnung stärkt die Rolle von qualifizierten Vertrauensdiensteanbietern (QTSPs) – Einrichtungen, die für das Angebot sicherer und zuverlässiger Vertrauensdienste zertifiziert sind –, die nun harmonisierte Aufsichtserwartungen erfüllen müssen, die mit dem EU-Recht zur Cybersicherheit abgestimmt sind. Dazu gehören verbindliche Sicherheitsgrundlagen, regelmäßige Audits, eine formalisierte Berichterstattung über Zwischenfälle und einheitliche Anforderungen an das Schlüsselmanagement und die betriebliche Ausfallsicherheit in der gesamten Union.

Darüber hinaus wurde mit eIDAS 2 der Anwendungsbereich der Vorschrift um vier neue qualifizierte Vertrauensdienste erweitert:

  1. Elektronische Archivierungsdienste: Die Archivierung ermöglicht die sichere Speicherung elektronischer Dokumente und Daten. Diese Dienste stellen sicher, dass die archivierten Daten und Dokumente während der gesamten Aufbewahrungsfrist authentisch und unverändert bleiben, sodass ihre Integrität und ihr rechtlicher Wert erhalten bleiben. Diese Fähigkeit ist für Branchen wie das Gesundheitswesen, das Finanzwesen und den öffentlichen Sektor unerlässlich, wo die Einhaltung von Vorschriften eine zuverlässige Aufbewahrung von sensiblen Daten und Dokumenten mit garantierter Integrität über einen längeren Zeitraum hinweg erfordert.
  2. Elektronische Register: Dieser Dienst ermöglicht eine sichere und unveränderliche Aufzeichnung von Transaktionen und Daten. Dadurch wird sichergestellt, dass elektronische Daten zuverlässig nachverfolgt und verifiziert werden können, was verschiedene Anwendungen und Anwendungsfälle wie Finanztransaktionen, Supply Chain Management und vieles mehr unterstützt.
  3. Verwaltung von elektronischen Fernsignatur- und Siegelerstellungsgeräten (QSCD): Dieser Vertrauensdienst ermöglicht es Anbietern elektronischer Signaturen, Unterschrifts- und Versiegelungsprozesse aus der Ferne zu verwalten und dabei die strengen Sicherheitsanforderungen für QSCDs einzuhalten. Sie ermöglicht sicheres Signieren und Versiegeln in der Cloud, unterstützt Fernarbeit und grenzüberschreitende Transaktionen und erweitert die Einsatzmöglichkeiten qualifizierter Signaturen, ohne die alleinige Kontrolle des/der Unterzeichner: in über seine Signaturschlüssel zu beeinträchtigen.
  4. Ausstellung von qualifizierten elektronischen Attributbescheinigungen: eIDAS 2 führt qualifizierte elektronische Attributbescheinigungen (Qualified Electronic Attestation of Attributes, QEAA) ein, die es vertrauenswürdigen Stellen ermöglichen, die Richtigkeit bestimmter Attribute in Bezug auf eine Person, eine Organisation oder ein Gerät zu bestätigen. Dazu können Alter, Berufstitel, Bildungsabschlüsse oder Kontokennungen gehören. Ein QEAA hat die Form einer digital signierten Bescheinigung, die in einer digitalen Identitätsbörse der EU gespeichert und verwendet werden kann, um die gemeinsame Nutzung von Attributen unter Wahrung der Privatsphäre zu erleichtern und den EU-weiten Austausch von Identitätsattributen mit hoher Sicherheit zu ermöglichen.

Durch die Erweiterung des Katalogs der Vertrauensdienste stärkt die Verordnung die allgemeine Integrität, Sicherheit und Interoperabilität des EU-Ökosystems für digitale Identitäten und Vertrauen.

Mit eIDAS 2 werden auch neue Verpflichtungen für bestimmte vertrauende Parteien aus dem Privatsektor eingeführt. Banken, Telekommunikationsbetreiber und andere hochwertige Diensteanbieter müssen die digitale EU-Geldbörse ab 2027 für bestimmte Anwendungsfälle akzeptieren. In der Verordnung sind die Grundsätze der alleinigen Nutzerkontrolle und des eingebauten Datenschutzes verankert, die es dem Einzelnen erlauben, nur das für eine bestimmte Transaktion erforderliche Minimum an Attributen preiszugeben.

Schließlich werden mit dieser Erweiterung die seit langem bestehenden Unstimmigkeiten beseitigt, die unter eIDAS 1.0 beobachtet wurden, als die nationalen Aufsichtsbehörden die Anforderungen an die Fernidentifizierung unterschiedlich auslegten. Einige Mitgliedstaaten verlangten ein QES-basiertes Onboarding (z. B. Frankreich), andere verließen sich auf Live-Videoanrufe (z. B. Deutschland), während andere ETSI-konforme Remote-IDV akzeptierten (z. B. Italien und Rumänien). eIDAS 2 harmonisiert diese Auslegungen und bietet einen einheitlichen, grenzüberschreitenden Rahmen für den Identitätsnachweis mit hoher Sicherheit und die Nutzung von Vertrauensdiensten in der EU.

Die europäische digitale Geldbörse (EUDI Wallet)

Nach der ursprünglichen eIDAS-Verordnung (2016) konnten die Mitgliedstaaten ihre nationalen elektronischen Identifizierungssysteme freiwillig notifizieren, sodass diese Systeme in der gesamten EU rechtlich anerkannt werden konnten. Dieses freiwillige Modell hatte eine entscheidende Einschränkung: Länder ohne ein bestehendes eID-System waren nicht verpflichtet, eines zu schaffen. Infolgedessen waren die Einführungsraten von Staat zu Staat sehr unterschiedlich, und die grenzüberschreitende Interoperabilität blieb uneinheitlich.

Mit eIDAS 2 wird dieser Ansatz durch einen verbindlichen und harmonisierten Rahmen ersetzt. Bis Ende 2026 muss jeder Mitgliedstaat mindestens eine EU Digital Identity Wallet (EUDI Wallet) ausgeben. Durch diese Wallet können Einzelpersonen und Unternehmen ihre nationalen eIDs zusammen mit verifizierten Attributen und Berechtigungsnachweisen – wie Führerscheinen, Diplomen, beruflichen Qualifikationen oder Bankkontoinformationen – speichern, verwalten und sicher und selektiv weitergeben. Dadurch wird eine universelle, übertragbare digitale Identität in ganz Europa geschaffen.

Ziel ist es, den Europäern die volle Kontrolle über ihre digitale Identität zu geben, wenn sie online interagieren, sodass sie nur das Nötigste preisgeben und sich nicht mehr auf fragmentierte Anmeldesysteme oder wiederholte Identitätsprüfungen verlassen müssen. Für bestimmte Anwendungsfälle im öffentlichen und privaten Sektor müssen die vertrauenden Parteien die Wallet zur Authentifizierung akzeptieren, um eine einheitliche, vertrauenswürdige Erfahrung in der gesamten EU zu gewährleisten.

Die EUDI-Wallet basiert auf drei wichtigen Säulen:

  1. Sicherheit: Die Wallet steht im Einklang mit den bestehenden EU-Rechtsvorschriften zum Datenschutz und zur Cybersicherheit, einschließlich der Allgemeinen Datenschutz-Grundverordnung ( ) (GDPR) und der NIS2-Richtlinie, die Grundsätze des „Privacy-by-Design“ und strenge technische Sicherheitsvorkehrungen einschließen.
  2. Zweckmäßigkeit: Die Wallet erleichtert Bürgern und Einwohnern den Zugang zu öffentlichen Dienstleistungen, die Bewerbung um einen Arbeitsplatz, die Eröffnung eines Bankkontos und andere grenzüberschreitende Aktivitäten. Mit diesem Tool können sie Identitätsdaten an Organisationen zu Authentifizierungszwecken weitergeben und so den Zugriff auf wichtige grenzüberschreitende Aktivitäten vereinfachen. Es fasst Identitätsinformationen in einem einzigen, wiederverwendbaren Tool zusammen, sodass keine Mehrfachanmeldungen oder wiederholten Überprüfungsschritte erforderlich sind.
  3. Interoperabilität: Mit der Verordnung werden ein gemeinsamer technischer Rahmen und harmonisierte Standards geschaffen, um sicherzustellen, dass die in der Wallet gespeicherten digitalen Identitätsnachweise in der gesamten EU akzeptiert werden. Durch die Festlegung gemeinsamer Spezifikationen für Geldbörsen, Diensteanbieter und Behörden wird die Interoperabilität zwischen den nationalen Systemen gewährleistet. Diese Harmonisierung fördert ein einheitliches, grenzüberschreitendes Konzept für die digitale Identität und stärkt das Vertrauen und die Anerkennung von Berechtigungsnachweisen für Bürger und Unternehmen gleichermaßen.

Im Rahmen von eIDAS 2 muss jeder Mitgliedstaat den Bürgern und Einwohnern bis Dezember 2026 mindestens eine EUDI-Wallet zur Verfügung stellen. Dies ist ein wichtiger Schritt hin zu einer vollständig interoperablen digitalen Identitätslandschaft in Europa.

Zeitleiste für eIDAS 2
BereicheIDAS (2016)eIDAS 2 (2024)
GeltungsbereichHarmonisierter Rahmen für angegebene eID-Verfahren und ein definierter Satz von Vertrauensdiensten (Signaturen, Siegel, Zeitstempel, Zertifikate).Erweitert den Anwendungsbereich auf EU-Digitalidentitäts-Wallets (EUDI), QEAAs, qualifizierte elektronische Archivierung, qualifizierte elektronische Ledger und QSCD-Fernverwaltung mit detaillierteren Regeln für vertrauenswürdige Parteien und die Übernahme durch den privaten Sektor.
Anerkennung von eIDs Nationale eIDs werden nur anerkannt, wenn sie vom ausstellenden Mitgliedstaat freiwillig angegeben werden.Jeder Mitgliedstaat muss mindestens eine EUDI-Wallet ausgeben und für bestimmte Anwendungsfälle Wallets aus anderen Mitgliedstaaten akzeptieren.
Architektur der digitalen Identität Abhängig von nationalen eID-Systemen, mit begrenzter Interoperabilität.Einführung des Rahmens für die digitale Identität in der EU (EUDI) für Bürger, Gebietsansässige und in einigen Fällen auch für Unternehmen, um eine einheitliche grenzüberschreitende Nutzung zu ermöglichen.
Treuhanddienste Definierte und regulierte elektronische Signaturen, Siegel, Zeitstempel und Website-Authentifizierungszertifikate.Erweiterung um elektronische Archivierung, ein qualifiziertes elektronisches Hauptbuch, QEAAs und QSCD-Fernverwaltung bei gleichzeitiger Aktualisierung der Regeln für bestehende Dienste.
Verpflichtungen der vertrauenden ParteiVertrauensdienste konnten vom öffentlichen und privaten Sektor genutzt werden, aber es gab keine EU-weiten Verpflichtungen für private Vertrauenspersonen, bestimmte eID-Mittel zu akzeptieren.   Einführung einer verpflichtenden Annahme von Wallets für bestimmte hochwertige private Dienstleistungen (wie Bank- und Telekommunikationsdienstleistungen) bis 2027.
Benutzerkontrolle und DatenschutzBegrenzte Benutzerkontrolle über Identitätsattribute; hauptsächlich abhängig von nationalen Rahmenbedingungen und Dienstspezifika.Integriert die „alleinige Benutzerkontrolle“ und die selektive Offenlegung in das Wallet-Modell, sodass die Benutzer wählen können, welche Attribute sie für eine bestimmte Transaktion freigeben möchten.
Zeitplan für die UmsetzungVerabschiedet 2014 und in Kraft getreten im Juli 2016.In Kraft getreten im Mai 2024, mit ergänzenden Durchführungsbestimmungen, die zwischen dem Inkrafttreten und 2026 angenommen werden, obligatorischer Ausgabe von Wallets bis Dezember 2026 und obligatorischer Annahme durch die wichtigsten vertrauenden Parteien des Privatsektors ab 2027.

Zusammengenommen führen diese Änderungen dazu, dass eIDAS von einem fragmentierten Rahmen für digitale Identitäten zu einem harmonisierten, nutzerorientierten und verbindlichen europaweiten Ansatz wird, der gemeinsame Regeln für die Ausstellung, Überprüfung und Akzeptanz von digitalen Identitäten und Vertrauensdiensten in der EU enthält.

Die Beziehung zwischen eIDAS 2 und ETSI

Das Europäische Institut für Telekommunikationsnormen (ETSI) ist eine unabhängige, gemeinnützige Normungsorganisation, die für die Entwicklung weltweit anerkannter Spezifikationen für Informations- und Kommunikationstechnologien zuständig ist. Im Rahmen von eIDAS spielt das ETSI eine entscheidende Rolle:Sie setzt die übergeordneten rechtlichen Verpflichtungen der Verordnung in präzise, überprüfbare technische Anforderungen um. Diese Arbeit spiegelt sich in Normen wie ETSI TS 119 461 und der umfassenderen Reihe ETSI EN 319 wider, die festlegen, wie Vertrauensdienste und Identitätsnachweis in der Praxis funktionieren müssen.

Mit der Einführung von eIDAS 2, der digitalen Identitätsbörse der EU und neuen qualifizierten Vertrauensdiensten wie QEAAs, hat ETSI seine Normen aktualisiert und erweitert, um die für die Einhaltung der Vorschriften erforderlichen Sicherheits-, Interoperabilitäts- und technischen Kontrollen zu definieren. Diese Normen dienen als technisches Rückgrat, das gewährleistet, dass die Mitgliedstaaten und Vertrauensdiensteanbieter eIDAS 2 einheitlich und sicher umsetzen.

Identitätsprüfung nach eIDAS 2 und ETSI TS 119-461 v2 

Die Fernidentitätsprüfung ist ein zentraler Bestandteil des eIDAS-2-Ökosystems. Um die Einheitlichkeit in der EU zu unterstützen, ist die Verordnung mit einer eigenen Betriebsnorm, ETSI TS 119 461 v2.1.1, verbunden.

Die Beziehung zwischen den beiden Instrumenten ist von grundlegender Bedeutung:

  • eIDAS 2 legt die rechtlichen Anforderungen für den Identitätsnachweis fest.
  • ETSI v2 definiert, wie diese Anforderungen in der Praxis durch spezifische, überprüfbare technische Kontrollen erfüllt werden müssen.

Die Rolle von ETSI 119 461 v2: Das technische Rückgrat

ETSI v2 legt die detaillierten Anforderungen für die ferngesteuerte und automatisierte Identitätsprüfung fest, einschließlich:

  • Wie Identitätsdokumente validiert und abgeglichen werden müssen, einschließlich der Übereinstimmung von MRZ und sichtbarer Zone und der Überprüfung von Sicherheitsmerkmalen
  • Wie biometrische Daten erfasst, analysiert und gegen Spoofing, Deepfakes und Präsentationsangriffe geschützt werden müssen
  • Wie Identitätsattribute und Beweise in verschiedenen Quellen abgeglichen werden müssen
  • Welche Nachweise müssen aufbewahrt werden, um behördliche Prüfungen und die aufsichtsrechtliche Überwachung zu unterstützen?
  • Wie das Onboarding mit höherer Sicherheit im Rahmen der erweiterten Stufe des Identitätsnachweises (LoIP) durchgeführt werden muss

Sie stellt sicher, dass die Identitätsüberprüfung in der gesamten EU nicht nur einheitlich, sondern auch technisch anspruchsvoll und resistent gegen moderne Betrugsmuster ist. Auf die eIDAS-Verordnung wird bereits in den Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) für das Remote-Onboarding, in den AML-Richtlinien und in der künftigen AML-Verordnung verwiesen. Sie ist auch Teil der Erwartungen und Anforderungen der Aufsichtsbehörden im Rahmen der PSD2 und der damit verbundenen Rahmenregelungen zur Finanzkriminalität.

Diese Angleichung der Rechtsvorschriften hat erhebliche Auswirkungen. ETSI v2 hat sich europaweit zum operativen Maßstab für die Fernidentitätsprüfung entwickelt, insbesondere bei Finanzdienstleistungen. Ein Identitätsüberprüfungsprozess, der in Übereinstimmung mit ETSI v2 entwickelt wurde, wird im Prinzip gleichzeitig eIDAS 2, AML/KYC-Verpflichtungen und aufsichtsrechtliche Erwartungen erfüllen. Für die Finanzinstitute verringert diese Konvergenz die Fragmentierung und bietet einen klaren, harmonisierten Rahmen für das grenzüberschreitende Onboarding.

Auswirkungen auf Finanzdienstleistungen

Die EU strebt eine regulatorische Konvergenz zwischen eIDAS 2 und den Anti-Geldwäsche-Regelungen (AML) an, um ein einheitliches Konzept für die Identitätsüberprüfung per Fernzugriff (IDV) zu schaffen. Diese Angleichung macht das ETSI-zertifizierte Onboarding zum Goldstandard und gewährleistet Rechtssicherheit und Interoperabilität in allen EU-Mitgliedstaaten.

Für Finanzinstitute wie Banken, Zahlungsdienstleister und regulierte Finanzinstitute bedeutet die Einführung von eIDAS 2 daher einen einheitlichen Rahmen für das grenzüberschreitende Onboarding von Kunden. Die Konvergenz liefert:

  • Geringere Compliance-Kosten: Ein einziges ETSI-zertifiziertes IDV-Verfahren ermöglicht es Finanzdienstleistern, die Verpflichtungen aus verschiedenen Rechtsrahmen (eIDAS, AMLD6, PSD2) zu erfüllen, wodurch Doppelarbeit vermieden und die Vorbereitung von Audits vereinfacht wird.
  • Grenzüberschreitende Interoperabilität: ETSI-konforme Onboarding-Prozesse werden in allen EU-Mitgliedstaaten anerkannt, was ein einheitliches Onboarding und eine rationelle Expansion in neue Märkte ermöglicht.
  • Verbesserte Betrugsprävention und Sicherheit: ETSI v2 führt strenge biometrische Integritäts- und Anti-Spoofing-Kontrollen ein, die die Risiken im Zusammenhang mit Deepfakes und ausgeklügelten Präsentationsangriffen mindern, die heute in risikoreichen Transaktionsumgebungen von entscheidender Bedeutung sind.

In diesem Zusammenhang müssen sich die Finanzinstitute auf eine schrittweise Einhaltung der Vorschriften vorbereiten:

Zeitleiste für eIDAS 2

Was ist ein Vertrauensdiensteanbieter? 

Ein Vertrauensdiensteanbieter (TSP) ist eine juristische oder natürliche Person, die einen oder mehrere Vertrauensdienste im Rahmen von eIDAS erbringt und von einer nationalen Behörde beaufsichtigt wird.Ihre Aufgabe ist es, dafür zu sorgen, dass digitale Interaktionen – von der Unterzeichnung und Versiegelung von Dokumenten bis zur Zeitstempelung von Daten oder der Übermittlung sensibler Informationen – sicher, authentisch und rechtlich zuverlässig sind.Vertrauensdiensteanbieter (TSPs) wahren außerdem die Vertraulichkeit und Nichtabstreitbarkeit von Informationen sicher und ermöglichen die Authentifizierung von Websites oder Unterzeichner:innen.

Ihre Dienste bieten die Mechanismen zur Verifizierung der Authentizität und Integrität eines elektronischen Dokuments, von Identitäten oder Kommunikationen. Sie sind ein zentraler Bestandteil des eIDAS-2-Rahmens und stellen sicher, dass Online- und digitale Interaktionen das gleiche Maß an Sicherheit und rechtlicher Wirkung haben wie herkömmliche papiergestützte Verfahren. Wenn ein Anbieter die strengsten Anforderungen erfüllt und offiziell akkreditiert ist, wird er zum qualifizierten Treuhanddienstanbieter (Qualified Trust Service Provider, QTSP) und kann qualifizierte Treuhanddienste mit spezifischen Rechtswirkungen in der EU erbringen.

Zu den Vertrauensdiensten im Rahmen von eIDAS 2 gehören sowohl die Dienste, die im Rahmen der ursprünglichen eIDAS-Verordnung eingerichtet wurden, als auch eine Reihe neuer Dienste, die auf die sich entwickelnden Anforderungen an die digitale Identität zugeschnitten sind.Dazu gehören:

  1. Elektronische Signaturen für Einzelpersonen

    Über eine elektronische Signatur können Einzelpersonen Dokumente digital mit Integritäts- und Authentizitätsgarantie signieren. Diese stellt z. B. sicher, dass die Unterzeichnenden die sind, für die sie sich ausgeben, und dass das Dokument seit dem Anbringen der Unterschrift nicht verändert wurde. In der Verordnung werden diese Signaturen in drei Stufen eingeteilt: Einfache elektronische Signatur: Grundlegende Sicherheit für Anwendungsfälle mit geringem Risiko. Fortgeschrittene elektronische Signatur: Ein höheres Maß an Sicherheit, da die Signatur eindeutig mit der unterzeichnenden Person verknüpft ist und alle Änderungen an den signierten Daten erkannt werden können. Qualified Electronic Signature (QES): Stellt die höchste Sicherheitsstufe dar und hat die gleiche Rechtswirkung, wie eine handschriftliche Unterschrift. Sie muss mit einer qualifizierten Signaturerstellungseinheit (QSCD) erstellt werden und durch ein qualifiziertes Zertifikat abgesichert sein, das von einem qualifizierten Vertrauensdiensteanbieter (QTSP) ausgestellt wurde.QSCDs nutzen typischerweise kryptografische Hardware, wie z. B. ein Hardware-Sicherheitsmodul (HSM), das einen eIDAS-Zertifizierungsprozess durchlaufen hat.

     

  2. Elektronische Siegel (ESeals)

    Elektronische Siegel sind in der Funktion elektronischen Signaturen ähnlich, werden aber von juristischen Personen (z. B. Unternehmen) und nicht von Einzelpersonen verwendet.Sie werden häufig für Rechnungen, amtliche Mitteilungen und die Dokumentation der Einhaltung von Vorschriften verwendet. Unter eIDAS 2 stellen Siegel die Herkunft und Integrität eines Dokuments sicher, indem es nachweist, dass es von einer bestimmten Einrichtung ausgestellt und nicht verändert wurde. Ähnlich wie bei elektronischen Signaturen können sie einfach, fortgeschritten oder qualifiziert sein.

     

  3. Elektronische Zeitstempel

    Ein Zeitstempel beweist, dass ein bestimmtes elektronisches Dokument oder ein bestimmter Datensatz zu einem bestimmten Zeitpunkt existiert hat und seitdem nicht verändert wurde. Auf diese Weise lässt sich der Ursprung der Erstellung, der Übermittlung oder des Empfangs eines Dokuments sicher nachweisen, was eine weitere Ebene der Integrität und des Vertrauens darstellt. eIDAS 2 verschärft die Anforderungen an Zeitstempel, um einen langfristigen und überprüfbaren Nachweis dafür zu erbringen, dass die Daten zu einem bestimmten Zeitpunkt existierten, und um ihre Integrität zu wahren. Sie wird hauptsächlich in Bereichen wie Finanzen, Gesundheitswesen und Rechtsberatung eingesetzt.Elektronische Zeitstempel können entweder qualifiziert oder nicht qualifiziert sein.

     

  4. Qualifizierte Website-Authentifizierungszertifikate (QWACs)

    Kurz gesagt ist ein QWAC eine Datei, die die Authentizität eines Geräts, Servers, Benutzers oder einer Entität durch Kryptografie mit öffentlichen Schlüsseln nachweist. Es enthält eine Kopie eines öffentlichen Schlüssels der Zertifikatinhaber:innen, der mit einem entsprechenden privaten Schlüssel abgeglichen werden muss, um seine Echtheit zu überprüfen. Es ist das europäische Pendant zu einem öffentlichen TLS/SSL-Zertifikat. Im Rahmen von eIDAS 2 sind QWACs nach wie vor entscheidend für den Aufbau von Vertrauen zwischen Nutzern und Online-Diensten, insbesondere Finanzinstituten und Behördenportalen.

     

  5. Qualifizierter elektronischer registrierter Zustelldienst (ERDS)

    Ein ERDS gewährleistet eine sichere elektronische Übermittlung von Daten mit Sende- und Empfangsnachweis und bietet damit eine ähnliche Rechtssicherheit wie ein Einschreiben. Sie ist von entscheidender Bedeutung für sensible Mitteilungen wie Verträge, behördliche Anmeldungen und amtliche Bekanntmachungen. eIDAS 2 verbessert die ERDS-Interoperabilität durch ETSI-Standards und harmonisiert die rechtlichen Ansätze für grenzüberschreitende sichere Nachrichtenübermittlung.

     

  6. Qualifizierte elektronische Bescheinigung von Attributen (QEAA)

    Ein QEAA ermöglicht die vertrauenswürdige Überprüfung von persönlichen oder organisatorischen Attributen, wie Name, Alter, berufliche Qualifikationen oder Lizenzen. Dieser Dienst unterstützt die Identitätsüberprüfung und KYC-Prozesse, ohne dass dank der selektiven Offenlegung unnötige persönliche Daten preisgegeben werden. Es zertifiziert Identitätsattribute für wallet-basierte Interaktionen und ist somit ein Eckpfeiler für die Wahrung der Privatsphäre im EUDI-Wallet-Ökosystem.

     

  7. Elektronische Archivierung von digitalen Dokumenten

    Dieser Dienst gewährleistet die langfristige Aufbewahrung elektronischer Dokumente mit Integritäts- und Authentizitätsgarantien. Die Lösung ist auf den wachsenden Bedarf an sicherer digitaler Speicherung in Branchen wie dem Gesundheitswesen, dem Finanzwesen und den Behörden ausgerichtet, in denen die Einhaltung von Vorschriften eine große Rolle spielt. Die Archivierung im Rahmen von eIDAS 2 erfordert den Einsatz kryptografischer Methoden, um das Vertrauen über die Zeit zu erhalten.

     

  8. Elektronische Registerdienste

    Elektronische Register bieten unveränderliche Aufzeichnungen mit Hilfe von Blockchain oder ähnlichen Technologien. Sie ermöglichen transparente, fälschungssichere Prüfpfade für Finanztransaktionen, das Management der Lieferkette und die Erstellung von Berichten an Behörden. Durch die Einführung dieses Dienstes unterstützt eIDAS 2 dezentralisierte Vertrauensmodelle und zukunftssichere Compliance-Rahmenwerke.

     

  9. Remote-Verwaltung von QSCDs

    Die Fernverwaltung von QSCDs ermöglicht eine sichere Fernsteuerung von Signaturerstellungseinheiten, die qualifizierte elektronische Signaturen (QES) und Siegel ohne physische Anwesenheit ermöglichen. Diese Innovation unterstützt die Fernarbeit und die digitale Transformation unter Beibehaltung der höchsten Sicherheitsstandards. Dies gilt insbesondere für grenzüberschreitende Geschäftsvorgänge und Cloud-basierte Unterschriftslösungen.

So erreichen Sie die eIDAS 2-Compliance 

Die Einführung von eIDAS 2 stellt einen bedeutenden Wandel in der Art und Weise dar, wie digitale Identitäts- und Vertrauensdienste in der EU funktionieren. Bis 2026 müssen alle Mitgliedstaaten die EUDI-Wallet unterstützen, und Organisationen in regulierten Sektoren – einschließlich Finanzdienstleistungen, Telekommunikation und Gesundheitswesen – müssen die neuen Anforderungen für Identitätsüberprüfung und Vertrauensdienste erfüllen.

Die Wege zur Einhaltung der Vorschriften hängen von der Rolle eines Unternehmens im Ökosystem der digitalen Identität ab. Die Anforderungen unterscheiden sich zwischen vertrauenden Parteien – EU-Unternehmen, die Identitätsüberprüfungs- und Vertrauensdienste nutzen – und Vertrauensdiensteanbietern (TSPs), die diese Dienste unter behördlicher Aufsicht erbringen.

Unternehmen in der EU

Für EU-Unternehmen, die Identitätsüberprüfung als Teil ihres Onboarding- oder Transaktionsflusses verwenden, wird es zunehmend erforderlich sein, sich an ETSI TS 119 461 v2 und an das mit eIDAS 2 eingeführte wallet-basierte Authentifizierungsmodell anzupassen. In der Praxis bedeutet das Folgendes:

  • Implementierung robuster Fernidentitätsnachweisverfahren mit biometrischer Integrität, Spoofing-Schutz und Dokumenten-Authentizitätsprüfungen
  • Integration von qualifizierten elektronischen Signaturen oder Zertifikaten  , wo gesetzlich vorgeschrieben
  • Vorbereitung der Systeme auf die Akzeptanz von EUDI-Wallet-basierter Authentifizierung und qualifizierten elektronischen Bescheinigungen von Attributen (QEAAs)

Diese Änderungen stellen sicher, dass die vertrauenden Parteien ein einheitliches Verifizierungsmodell mit hohem Vertrauen in der gesamten EU unterstützen.

Vertrauensdiensteanbieter

Für Anbieter von Vertrauensdiensten bedeutet dies, dass sie QSCDs, PKI-Infrastrukturen und Vertrauensdienstplattformen in Übereinstimmung mit den technischen und aufsichtsrechtlichen Anforderungen betreiben müssen, die im Rahmen von eIDAS und den einschlägigen ETSI-Normen festgelegt sind.

Dazu gehören:

  • sichere Erzeugung und Speicherung von Signierschlüsseln in QSCDs
  • streng kontrollierter Zugang zu Signier- und Versiegelungsfunktionalitäten
  • zuverlässige Protokollierung, Aufbewahrung und Archivierung von Beweisen
  • ein organisatorischer und sicherheitstechnischer Rahmen, der in der Lage ist, Prüfungen durch die Aufsichtsbehörden zu bestehen und der Meldepflicht für Zwischenfälle nachzukommen.

TSPs müssen zertifiziert QSCDs verwenden, um qualifizierte elektronische Signaturen zu erstellen. Diese Geräte stellen sicher, dass die Signaturerstellungsdaten – z. B. private Schlüssel – in einer sicheren Umgebung generiert, verwaltet und gespeichert werden, um unbefugten Zugriff zu verhindern.

Die Dienstanbieter sollten außerdem eine robuste Public Key Infrastructure (PKI) zur Verwaltung digitaler Zertifikate und kryptografischer Schlüssel einrichten. PKI stützt die sichere Ausstellung, Verteilung und Verifizierung von digitalen Zertifikaten und stellt das Vertrauen in elektronische Signaturen und andere Vertrauensdienste sicher.TSPs müssen daher konforme Schlüsselverwaltungspraktiken, sichere Lebenszykluskontrollen und die Anpassung an alle geltenden eIDAS-Anforderungen beibehalten.

Effektive Identitäts- und Zugriffsverwaltungssysteme (IAM) sind für TSPs auf die gleiche Weise von entscheidender Bedeutung, um Benutzeridentitäten zu verwalten und den Zugriff auf ihre Dienste zu kontrollieren. Diese Systeme sollten starke Authentifizierungsmethoden wie die Multifaktor-Authentifizierung (MFA) enthalten, um die Identität der Benutzer:innen zu verifizieren. IAM-Lösungen können auch sicherstellen, dass nur autorisierte Einzelpersonen und Personal sensible Vorgänge durchführen können, wie z. B. die Ausstellung von Zertifikaten oder die Erstellung elektronischer Signaturen.

In beiden Fällen betrifft der mit eIDAS 2 eingeleitete Wandel nicht nur die von den Unternehmen verwendeten Instrumente, sondern auch die Art und Weise, wie diese Instrumente geregelt, getestet und den Aufsichtsbehörden gegenüber nachgewiesen werden. Die Angleichung an ETSI TS 119 461 v2 und die umfassenderen ETSI-Normen bietet den klarsten und am besten überprüfbaren Weg, um nachzuweisen, dass die Identitätsüberprüfung und der Betrieb von Vertrauensdiensten das neue, harmonisierte Sicherheitsniveau erfüllen, das in der gesamten EU erwartet wird.

So kann Entrust Sie bei der Einhaltung der Vorschriften unterstützten  

Als Gründungsmitglied des Cloud Signature Consortium und langjähriger Marktführer in den Bereichen PKI, Vertrauensinfrastruktur und Cybersicherheit unterstützt Entrust Organisationen bei der Erfüllung der sich entwickelnden Anforderungen von eIDAS 2.

Unsere Lösungen lassen sich nahtlos in KYC- und AML-Onboarding-Workflows integrieren und unterstützen die robusten, datenschutzorientierten Identitätsüberprüfungspraktiken, die gemäß eIDAS 2 und den Vorschriften des Finanzsektors erwartet werden.

Entrust bietet ETSI-konforme Identitätsprüfung an, die Dokumentenprüfung, biometrische Prüfungen und Geräteintelligenz in einem effizienten, automatisierten Arbeitsablauf kombiniert. Diese Funktionen ermöglichen ein sicheres und zuverlässiges Remote-Onboarding ohne Videoanrufe oder manuelle Bearbeitung und entsprechen gleichzeitig den GDPR- und ETSI-Anforderungen. Sie unterstützen auch die grenzüberschreitende Interoperabilität, sodass Organisationen in allen EU-Mitgliedstaaten einheitlich arbeiten können.

Darüber hinaus hilft die führende Position von Entrust im Bereich PKI und Vertrauensinfrastruktur den Kunden, konforme digitale Vertrauensdienste auf einer sicheren und skalierbaren Grundlage aufzubauen und zu betreiben. Unsere Technologie unterstützt Organisationen, die digitale Signatur-Workflows oder andere Trust-Service-Architekturen in einer Weise implementieren möchten, die den technischen Erwartungen von IDAS 2 entspricht. Mit Entrust können Organisationen eIDAS 2 zuversichtlich entgegensehen, unterstützt von zuverlässigen, interoperablen und zukunftsfähigen Funktionen für Identitätsverifizierungs- und Vertrauensinfrastruktur.

Abschnitte erkunden

Abschnitte erkunden

Vorbereitung auf eIDAS 2 mit vertrauenswürdigen Identitätslösungen
eIDAS-Lösungen entdecken

eIDAS-Lösungen

QSCD FÜR DIE FERNSIGNIERUNG

Profitieren Sie von einem eIDAS-konformen qualifizierten Signaturerstellungsgerät (QSCD) mit nShield Hardware-Sicherheitsmodulen (HSMs) und dem Entrust Signature Activation Module (SAM).

QSCD entdecken

Engines für digitale Signaturen

Digitale Signaturlösungen für Regierungen und Anbieter von Vertrauensdiensten.

Engines für digitale Signaturen entdecken

QWAC eIDAS-Zertifikate

Die eIDAS-konformen Qualified Website Authentication Certificates (QWACs) von Entrust helfen Ihnen, die eIDAS-Richtlinien einzuhalten.

QWACs entdecken

Lösungen für die Einhaltung von Vorschriften zur Identitätsprüfung

Erfüllen Sie komplexe lokale regulatorische Anforderungen und führen Sie das Onboarding von Kunden aus der Ferne durch – mit einer einfachen, nahtlosen und eIDAS-konformen Onboarding-Lösung.

Erkunden Sie die IDV-Compliance