Der digitale Ausweis (EUDI-Wallet)

Die Einführung der European Digital Identity Wallet (EUDI-Wallet) markiert eine Zäsur in der Geschichte der europäischen Verwaltung und der digitalen Bürgerrechte. Was als Modernisierungsprojekt zur Vereinfachung bürokratischer Prozesse und zur Förderung des digitalen Binnenmarktes verkauft wird, birgt bei näherer Betrachtung das Potenzial für eine fundamentale Verschiebung der Machtverhältnisse zwischen Staat, Konzernen und Individuum. Dieser Bericht, verfasst im Auftrag der Partei "Digitale Politik Revolution" (DPR), unterzieht das Vorhaben einer tiefgreifenden Analyse, die weit über die oberflächlichen Versprechen von Bequemlichkeit hinausgeht.

Wir befinden uns im Jahr 2026. Die ursprünglichen Zeitpläne der Europäischen Kommission sind Makulatur, die Realität ist geprägt von technischer Fragmentierung, verfassungsrechtlichen Bedenken und einem erbitterten Kampf um Standards. Während die Bundesregierung und die EU-Kommission die EUDI-Wallet als "Game Changer" für die digitale Souveränität anpreisen, warnen Kryptographen, Verfassungsrechtler und die Zivilgesellschaft vor einem Überwachungsinstrument, das den "gläsernen Bürger" Realität werden lassen könnte.

Die Analyse basiert auf den unverhandelbaren Grundsätzen der DPR: Self-Sovereign Identity (SSI), radikale Transparenz durch Open Source und Datenschutz durch Technik (Privacy by Design). Wir beleuchten die Diskrepanz zwischen dem propagierten Ziel der Datensparsamkeit und der architektonischen Realität der eIDAS 2.0-Verordnung, die durch die Einführung eindeutiger Personenkennzeichen (Unique Identifiers) die verfassungsrechtlichen Errungenschaften der letzten Jahrzehnte bedroht. Gleichzeitig untersuchen wir die Rolle der US-Hyperscaler Apple und Google, die über ihre Betriebssysteme die Hoheit über die digitale Identität der Europäer beanspruchen, und bewerten die deutschen Bemühungen – insbesondere den SPRIND-Innovationswettbewerb – im Hinblick auf echte digitale Unabhängigkeit.

Um die Notwendigkeit und die Risiken der EUDI-Wallet zu verstehen, ist ein Blick auf die Vorgängerregelung unerlässlich. Die ursprüngliche eIDAS-Verordnung von 2014 zielte darauf ab, gegenseitig anerkannte elektronische Identifizierungssysteme (eID) in Europa zu schaffen. Das Ergebnis war ernüchternd. Die Verbreitung der notifizierten eID-Systeme blieb minimal; die Nutzung war kompliziert, erforderte oft spezielle Lesegeräte (wie beim deutschen Personalausweis nPA vor der AusweisApp2 auf Smartphones) und fand im privaten Sektor kaum Akzeptanz. Nur ein Bruchteil der EU-Bürger konnte seine nationale eID grenzüberschreitend nutzen. Dieses Scheitern führte zu der Erkenntnis, dass eine reine "Ausweis-Virtualisierung" nicht ausreicht. Es brauchte einen Paradigmenwechsel hin zur "Wallet" – einer Brieftasche auf dem Smartphone, die nicht nur die Identität, sondern auch Attribute (Führerschein, Zeugnisse) und Signaturen bündelt.

Mit der eIDAS 2.0-Verordnung (Regulation (EU) 2024/1183) wurde dieser Wechsel gesetzlich verankert. Das erklärte Ziel der EU-Kommission ist es, bis 2030 mindestens 80 % der Bürger mit einer digitalen ID auszustatten. Die politische Motivation ist zweigeteilt: Einerseits soll der digitale Binnenmarkt durch den Abbau von Reibungsverlusten bei Identifizierungen gestärkt werden. Andererseits soll die "digitale Souveränität" Europas gegenüber den dominierenden US-Plattformen gesichert werden, die mit "Sign in with Apple" oder "Google Identity" faktisch zu den globalen Identitäts-Providern geworden sind.

Die DPR unterstützt das Ziel der Unabhängigkeit von US-Konzernen ausdrücklich. Wir kritisieren jedoch, dass der gewählte Weg der eIDAS 2.0 Gefahr läuft, die Abhängigkeit von Konzernen durch eine Abhängigkeit von einem übergriffigen Staatsapparat zu ersetzen, anstatt den Bürger durch dezentrale SSI-Konzepte wirklich zu ermächtigen.

Der ursprüngliche Zeitplan sah vor, dass alle EU-Mitgliedstaaten bis Ende 2026 eine EUDI-Wallet anbieten müssen. Die Realität Anfang 2026 zeigt jedoch massive Verzögerungen. Experten gehen davon aus, dass eine flächendeckende, voll funktionsfähige Verfügbarkeit bis zum Stichtag unwahrscheinlich ist. Während Länder wie die Niederlande Verzögerungen signalisieren, bereitet sich die EU auf einen "gestaffelten Rollout" vor, bei dem Funktionen nach und nach freigeschaltet werden. Deutschland plant den offiziellen Start der staatlichen Wallet für Anfang 2027 , was den Druck auf die technische Umsetzung erhöht und das Risiko von "Schnellschüssen" zu Lasten der Sicherheit vergrößert. Für EWR-Staaten und Beitrittskandidaten wurde die Frist bereits auf 2027 verlängert.

Das Herzstück der EUDI-Wallet ist das "Architecture and Reference Framework" (ARF). Dieses Dokument definiert die technischen Standards, Protokolle und Sicherheitsanforderungen. Die Analyse der Versionen 1.4, 1.5 und des aktuellen Entwurfs 1.6 offenbart den Kernkonflikt zwischen Überwachbarkeit und Privatsphäre.

Der wohl kritischste Punkt der gesamten Architektur ist die Forderung nach einer eindeutigen, dauerhaften Kennung (Unique Persistent Identifier). Die eIDAS-Verordnung verlangt, dass Bürger grenzüberschreitend eindeutig identifiziert werden können. Dies erfordert technisch eine Kennziffer, die einer Person lebenslang zugeordnet ist.

Für Deutschland stellt dies ein massives verfassungsrechtliches Problem dar. Das Bundesverfassungsgericht hat im Volkszählungsurteil von 1983 unmissverständlich klargestellt, dass ein einheitliches Personenkennzeichen, das eine Registrierung und Katalogisierung des Menschen in seiner gesamten Persönlichkeit ermöglicht, mit dem Grundgesetz unvereinbar ist (Verstoß gegen die Menschenwürde und das Recht auf informationelle Selbstbestimmung).

Eine solche Kennziffer würde es ermöglichen, Daten aus unterschiedlichsten Lebensbereichen – Gesundheit, Finanzen, Mobilität, Verwaltung – über Datenbankgrenzen hinweg zu verknüpfen. Wenn dieselbe Kennung bei der Eröffnung eines Bankkontos, bei der Anmietung eines Autos und beim Einlösen eines E-Rezepts verwendet wird, entsteht ein umfassendes Profil des Bürgers. Zivilgesellschaftliche Organisationen und der Chaos Computer Club (CCC) warnen vor diesem "Over-Identification"-Szenario und der Gefahr, dass Big Tech und staatliche Stellen diese Kennung als universellen Tracking-Cookie missbrauchen.

Die DPR fordert eine strikte Umsetzung von "Unlinkability" (Unverkettbarkeit). Anstelle einer globalen Kennung muss die Wallet für jeden Sektor (oder sogar für jede Transaktion) ein unterschiedliches, kryptographisch abgeleitetes Pseudonym generieren.

Hinter den Kulissen tobt ein Richtungsstreit über das Datenformat der Nachweise.

Dieser Standard stammt aus der Welt der physischen Ausweisdokumente und Führerscheine. Er wird von etablierten Playern wie Staatsdruckereien und Hardware-Herstellern favorisiert.

Dieser Ansatz stammt aus der Web-Community und der SSI-Bewegung. Er setzt auf JSON-basierte Formate und offene Web-Protokolle.

Das Versprechen der "Selektiven Offenlegung" (Selective Disclosure) – z.B. der Nachweis der Volljährigkeit ohne Preisgabe des Geburtsdatums – ist nur die halbe Miete. Wenn bei diesem Nachweis eine klassische digitale Signatur (z.B. RSA oder ECDSA) des Staates übermittelt wird, ist diese Signatur eindeutig und kann zum Tracking genutzt werden.

Hier kommen BBS+ Signaturen und Zero-Knowledge Proofs (ZKP) ins Spiel. Diese Verfahren ermöglichen es, mathematisch zu beweisen, dass eine Aussage wahr ist (z.B. "Alter > 18"), ohne die zugrundeliegende Signatur im Klartext zu zeigen. Dadurch wird die Transaktion unverkettbar.

Tabelle 1: Technologischer Vergleich der Standards

Offiziell ist die Nutzung der EUDI-Wallet für Bürger freiwillig. Art. 5a der eIDAS-Verordnung betont, dass niemand benachteiligt werden darf, der die Wallet nicht nutzt. Doch die Analyse der DPR zeigt, dass diese Freiwilligkeit in der Praxis zur Illusion werden könnte.

Der entscheidende Hebel ist die Annahmepflicht für Unternehmen in kritischen Sektoren. Bis Ende 2027 müssen folgende Bereiche die Wallet akzeptieren:

Wenn ein Bankkonto per EUDI-Wallet in 30 Sekunden per Klick eröffnet werden kann, während der analoge Weg (PostIdent in der Filiale) Tage dauert, Gebühren kostet oder Personalabbau in Filialen zur Unmöglichkeit wird, entsteht ein faktischer Zwang (Nudging). Wer die Wallet verweigert, zahlt mit Zeit und Geld. Die DPR warnt vor einer "Zwei-Klassen-Gesellschaft" der digitalen Teilhabe. Wir fordern ein gesetzlich verankertes Recht auf analoge Alternativen, die diskriminierungsfrei und ohne Zusatzkosten zugänglich sein müssen.

In Deutschland wird die Wallet eng mit der BundID verknüpft, dem zentralen Konto für Verwaltungsleistungen. Wenn Kindergeld, BaföG oder die Kfz-Anmeldung nur noch effizient über die Wallet abgewickelt werden, wird der Bürger in das System gedrängt. Die Verknüpfung der Steuer-ID als faktisches Personenkennzeichen im Hintergrund der BundID verschärft die Problematik der Profilbildung.

Für die DPR ist klar: Eine Software, die als digitaler Ausweis dient, ist kritische Infrastruktur. Sie darf keine "Black Box" sein. Vertrauen entsteht nur durch Transparenz.

Der Innovationswettbewerb der Bundesagentur für Sprunginnovationen (SPRIND) war ein lobenswerter Ansatz, um die Entwicklung der Wallet nicht nur großen Konzernen zu überlassen, sondern innovative Lösungen zu fördern. Über drei Stufen (Stages) konkurrierten Teams um die besten Prototypen.

Ein Skandal, der die Ambivalenz des Projekts zeigt, war die Teilnahme von Google LLC an der Challenge. Dass ein US-Datenkonzern, dessen Geschäftsmodell auf der Monetarisierung von Nutzerdaten basiert, mit deutschen Steuergeldern an einem Prototypen für den staatlichen Ausweis arbeitet, sorgte für Entsetzen beim Chaos Computer Club und Datenschutzexperten. Zwar argumentierte SPRIND mit Technologieneutralität, doch für die DPR ist dies ein sicherheitspolitischer Offenbarungseid. Es unterstreicht die Abhängigkeit Europas: Wir versuchen, uns von Big Tech zu emanzipieren, indem wir sie bezahlen, unsere Tools zu bauen.

Unsere Überprüfung der verfügbaren Repositories auf OpenCoDE und GitHub (Stand 2026) zeigt Licht und Schatten :

Die Software der Wallet ist nur so sicher wie die Hardware, auf der sie läuft. Hier offenbart sich das europäische Dilemma: Wir haben keine eigene mobile Hardware-Plattform. Wir sind Gast auf den Geräten von Apple und Google.

Um das höchste Sicherheitsniveau (LoA High) zu erreichen, muss die Wallet kryptographische Schlüssel in einem speziellen Hardware-Chip speichern (Secure Element / Secure Enclave).

Die Sparkassen-Finanzgruppe und andere Banken versuchen, die EUDI-Wallet in ihre eigenen Apps zu integrieren, um die Kundenbeziehung nicht an Apple Pay / Google Wallet zu verlieren. Dies ist strategisch verständlich, birgt aber die Gefahr der Fragmentierung. Die DPR fordert, dass die staatliche Identität eine neutrale Infrastruktur bleibt und nicht zum Marketing-Tool für Banken wird.

Die DPR sieht in Self-Sovereign Identity (SSI) nicht nur eine Technologie, sondern eine Bürgerrechtsbewegung. Das aktuelle EUDI-Wallet-Design ist ein Hybrid, der SSI-Elemente nutzt, aber zentralistische Kontrollmechanismen beibehält.

Echte SSI nutzt DIDs, die keine zentrale Registrierungsstelle benötigen. Die EUDI-Wallet setzt jedoch stark auf X.509 Zertifikate (QES), die eine hierarchische Struktur (PKI) erfordern. Dies zementiert Machtstrukturen, anstatt sie zu demokratisieren. Die DPR fordert die volle Unterstützung der W3C DID-Spezifikation, um eine Unabhängigkeit von staatlichen Root-CAs zu ermöglichen, wo dies sinnvoll ist (z.B. bei privaten Attributen).

Die Diskussion um die Wallet konzentriert sich oft auf den Menschen. Doch die nächste Welle der Digitalisierung betrifft Autonome Agenten.

In Zukunft werden KI-Assistenten für uns Verträge abschließen. "Buche mir einen Flug und bezahle ihn." Dafür benötigt der KI-Agent eine abgeleitete Identität und ein Mandat.

Auch IoT-Geräte (das vernetzte Auto, die Drohne) benötigen Wallets, um sich zu authentifizieren (z.B. an der Ladesäule). Die EUDI-Wallet-Infrastruktur sollte so offen sein, dass sie auch für Maschinen-Identitäten genutzt werden kann, um ein einheitliches Vertrauens-Ökosystem in Europa zu schaffen, statt parallele Silos für IoT aufzubauen.

Die EUDI-Wallet steht am Scheideweg. Sie kann das Werkzeug sein, das uns von der Passwort-Hölle befreit und echte digitale Souveränität ermöglicht. Oder sie wird zur perfekten Überwachungsmaschine, die jeden unserer Schritte protokolliert und verknüpft.

Die aktuelle Richtung – geprägt von Zeitdruck, Überwachungswünschen der Sicherheitsbehörden und Lobbyismus der alten Industrien – weist in die falsche Richtung. Doch noch ist der Code nicht final geschrieben.

Die Partei "Digitale Politik Revolution" stellt folgende 7 Kernforderungen:

Wir rufen alle Bürger, Entwickler und Datenschützer auf, sich in den Konsultationsprozess einzumischen. Code is Law – sorgen wir dafür, dass es ein gerechtes Gesetz wird.

Zur Transparenz und wissenschaftlichen Nachvollziehbarkeit sind im Text folgende Quellen verarbeitet: