1 Hintergrund

Mit der Verabschiedung der europäischen Verordnung zur Einführung der European Digital Identity Wallet (EUDI-Wallet) hat die Europäische Union einen zentralen Baustein für eine einheitliche digitale Identität geschaffen. Die Grundlage bildet die Reform der eIDAS-Verordnung (EU) Nr. 910/2014, deren Überarbeitung („eIDAS 2.0“) im Jahr 2024 politisch finalisiert wurde. Ziel ist es, allen EU-Bürgern bis spätestens 2026 eine interoperable digitale Identitätslösung bereitzustellen, die sowohl für öffentliche als auch private Dienste genutzt werden kann. Die Umsetzung erfolgt schrittweise: Nach der politischen Einigung 2024 folgt die technische Standardisierung durch die European Digital Identity Toolbox, während Mitgliedstaaten parallel nationale Implementierungsgesetze verabschieden. In Deutschland wurde dies durch Anpassungen im Vertrauensdienstegesetz (VDG) sowie flankierende Regelungen im Onlinezugangsgesetz (OZG) umgesetzt, während Österreich entsprechende Ergänzungen im E-Government-Gesetz (E-GovG) vorgenommen hat. Die verpflichtende Bereitstellung der Wallet durch die Mitgliedstaaten ist bis 2026 vorgesehen, mit anschließender verpflichtender Akzeptanz durch regulierte private Anbieter. Seit Januar 2026 ist bspw. in Deutschland auch eine entsprechende Sandbox verfügbar, sodass EUDI-Wallet Use Cases bereits von Dritten technisch umgesetzt und getestet werden können.

Fig. 2: Zeitliche Entwicklung des EUDI-Wallets

Für Banken ergibt sich daraus eine konkrete Verpflichtung: Gemäß Artikel 6a und Artikel 12b der überarbeiteten eIDAS-Verordnung sind sogenannte „relying parties“ - darunter explizit regulierte Finanzinstitute - verpflichtet, die EUDI-Wallet als Authentifizierungs- und Identifikationsmittel zu akzeptieren, sofern Nutzer diese einsetzen möchten. Diese Verpflichtung greift ab dem 24. Dezember 2027. Ergänzend verpflichtet Artikel 11 die Mitgliedstaaten sicherzustellen, dass private Anbieter mit hohem Vertrauensniveau diese Identitätsmittel technisch integrieren können und auch tatsächlich akzeptieren. Für Banken bedeutet dies faktisch eine Gleichstellung der EUDI-Wallet mit bestehenden starken Kundenauthentifizierungsverfahren.

Fig. 2: Exemplarische User Journey

Die Konsequenzen bei Nicht-Erfüllung sind erheblich. Die eIDAS-Verordnung sieht in Artikel 24c vor, dass Mitgliedstaaten wirksame, verhältnismäßige und abschreckende Sanktionen implementieren müssen. Diese orientieren sich strukturell an anderen EU- Digitalregulierungen wie der Datenschutz-Grundverordnung (DSGVO) und können Bußgelder in signifikanter Höhe umfassen. Nationale Aufsichtsbehörden - etwa die BaFin in Deutschland oder die FMA in Österreich - werden befugt sein, Verstöße zu ahnden. Neben finanziellen Strafen drohen auch aufsichtsrechtliche Maßnahmen wie Einschränkungen im Geschäftsbetrieb oder Reputationsschäden. Angesichts der zunehmenden Verzahnung mit anderen Regulierungen im Zahlungsverkehr ist zudem davon auszugehen, dass Verstöße mittelbar Auswirkungen auf Lizenzanforderungen und Kapitalanforderungen haben können.

2 Komplikation

Trotz der scheinbar klaren regulatorischen Vorgabe bleibt die konkrete Ausgestaltung der Umsetzung hochgradig komplex. Das Gesetz beschränkt sich bewusst darauf, die Akzeptanz der EUDI-Wallet vorzuschreiben, ohne spezifische Anwendungsfälle zu definieren. Dies führt zu erheblichen Interpretationsspielräumen innerhalb der Institute. Während aktuelle Diskussionen in Branchenarbeitskreisen primär auf offensichtliche Use Cases wie Kundenonboarding, Login ins E-Banking oder die Freigabe von Überweisungen fokussieren, greift diese Perspektive zu kurz. In der Realität existiert innerhalb von Banken eine Vielzahl weiterer Authentifizierungsszenarien. Dazu zählen unter anderem Kartenzahlungen im Online-Handel, die Autorisierung von Wertpapiertransaktionen im Brokerage sowie Identitätsprüfungen im Kundenservice. Diese Prozesse sind historisch gewachsen und häufig technisch entkoppelt implementiert. Obwohl die Nutzerinteraktion im Front-End oft ähnlich erscheint, unterscheiden sich die Backend-Systeme erheblich. Faktoren wie Mandantenfähigkeit, unterschiedliche Kontoinhaberstrukturen und spezifische Logging- sowie Audit-Anforderungen erhöhen die Komplexität zusätzlich. Ein besonders prägnantes Beispiel ist das 3-D Secure-Verfahren bei Kartenzahlungen. Hier erfolgt die Initiierung der starken Kundenauthentifizierung typischerweise nicht direkt durch die Bank, sondern über einen sogenannten Access Control Server (ACS), der häufig außerhalb der eigentlichen Bank IT betrieben wird. Die Integration der EUDI-Wallet in diesen Prozess würde nicht nur Anpassungen auf Bankenseite erfordern, sondern auch Änderungen am 3-D Secure-Protokoll selbst. Dieses wird jedoch von der EMVCo standardisiert, einem internationalen Konsortium, auf das einzelne Banken keinen direkten Einfluss haben. Zusätzlich müsste auch die Customer Journey auf Händlerseite angepasst werden. Daraus ergibt sich eine Abhängigkeit von externen Akteuren, die die ohnehin ambitionierte Timeline weiter unter Druck setzt. Insgesamt bedeutet dies, dass Anpassungen nicht isoliert innerhalb einzelner Systeme erfolgen können, sondern über Domänengrenzen hinweg orchestriert werden müssen. Gleichzeitig ist die regulatorische Auslegung noch nicht abschließend geklärt, und auch technische Standards befinden sich teilweise noch in Entwicklung. Ein Abwarten auf finale Spezifikationen würde jedoch die verbleibende Zeit bis zur verpflichtenden Umsetzung signifikant verkürzen und das Risiko einer verspäteten oder unvollständigen Implementierung erhöhen.

3 Lösungsansatz und Call-to-action

Vor diesem Hintergrund ist ein strukturierter und organisationsübergreifender Ansatz zwingend erforderlich. Die Umsetzung der EUDI-Wallet sollte nicht als isoliertes IT- oder Security-Projekt betrachtet werden. Eine fragmentierte Umsetzung birgt das Risiko von Inkonsistenzen, redundanten Lösungen oder kritischen Lücken in der Abdeckung einzelner Use Cases. Stattdessen empfiehlt sich die Etablierung einer zentralen Taskforce, die Vertreter aus allen relevanten Bereichen - IT, Fachbereiche, Compliance, Zahlungsverkehr und Vertrieb - integriert. Ziel dieser Taskforce sollte es sein, zunächst eine vollständige fachliche Erhebung aller Authentifizierungs-Use-Cases durchzuführen und diese systematisch in technische Anforderungen zu überführen. Auf dieser Grundlage lassen sich Abhängigkeiten und Synergiepotenziale frühzeitig identifizieren, was eine priorisierte und effiziente Umsetzungsplanung ermöglicht. Die eigentliche Implementierung kann anschließend dezentral in den jeweiligen Organisationseinheiten erfolgen, etwa in bestehenden Tribes oder Domänenstrukturen. Entscheidend ist jedoch eine zentrale Steuerung, insbesondere im Hinblick auf End-to-End-Tests, regulatorische Abstimmung und konsistente Nutzererlebnisse. Ohne eine solche Orchestrierung besteht die Gefahr, dass unterschiedliche Lösungen parallel entstehen, die nicht interoperabel sind oder regulatorische Anforderungen nur teilweise erfüllen. Auch sollten Banken prüfen, inwieweit sie aktuell noch bei der konkreten Ausgestaltung und Auslegung des Gesetzes mitwirken können. So könnte sich beispielsweise bei der Adaption des 3-D Secure Protokolls in entsprechenden Arbeitsgruppen eingebracht werden. Parallel zur regulatorischen Umsetzung sollten Banken die strategischen Potenziale der EUDI-Wallet evaluieren. Die Wallet bietet nicht nur eine neue Form der Authentifizierung, sondern ermöglicht auch innovative Anwendungsfälle im Bereich digitaler Identitäten. Ein konkretes Beispiel wäre ein digitaler Mitarbeiterausweis, der Kunden eine verifizierbare Identität von Bankmitarbeitern bereitstellt: Im Entwurf zur Payment Services Regulation (PSR) im Rahmen von PSD3 wird explizit darauf hingewiesen, dass Zahlungsdienstleister stärker in die Verantwortung genommen werden, wenn Betrug unter Missbrauch ihrer Identität erfolgt. So heißt es sinngemäß, dass Zahlungsdienstleister haftbar gemacht werden können, wenn sie nicht angemessene Maßnahmen zur Verhinderung von „impersonation fraud“ implementiert haben (vgl. Entwurf PSR, Artikel 59 zu Haftung bei nicht autorisierten Transaktionen und Betrugsfällen). Um entsprechende Risiken für Banken zu minimieren könnte ein Bankmitarbeiter sich durch eine auf der EUDI-Wallet basierenden ID kanalunabhängig digital ausweisen. Der Kunde könnte diese ID bspw. mithilfe einer integrierbaren Funktion in der Mobile Banking App verifizieren. Banken könnten in ihren AGBs wiederum Kunden verpflichten diese Funktion im Falle eines Mitarbeiterkontaktes im Distanzgeschäft zu nutzen, wobei Nichteinhaltung entsprechende Haftungsübergänge impliziert und damit das Risiko Exposure reduziert. Gerade vor diesem Hintergrund sollten Banken die EUDI-Wallet nicht ausschließlich als regulatorische Belastung betrachten. Vielmehr eröffnet sie die Möglichkeit, Sicherheitsarchitekturen zu modernisieren und gleichzeitig Nutzererfahrungen zu verbessern. Banken, die frühzeitig in eine strategisch ausgerichtete Umsetzung investieren, können somit nicht nur regulatorische Risiken minimieren, sondern sich auch Wettbewerbsvorteile sichern.

4 Fazit

Die Einführung der EUDI-Wallet markiert einen tiefgreifenden Wandel in der digitalen Identitätslandschaft Europas. Für Banken bedeutet dies eine verpflichtende Transformation bestehender Authentifizierungsprozesse unter erheblichem Zeitdruck. Die Komplexität der Umsetzung wird häufig unterschätzt, insbesondere aufgrund der Vielzahl betroffener Use Cases und der Abhängigkeit von externen Standards. Ein proaktiver, koordinierter Ansatz ist daher entscheidend. Banken sollten die verbleibende Zeit nutzen, um eine strukturierte Umsetzung zu initiieren und gleichzeitig strategische Potenziale zu erschließen. Die EUDI-Wallet ist nicht nur eine regulatorische Pflicht, sondern auch ein Hebel für Innovation in Sicherheit und Kundenerlebnis.

Sources

European Commission. “Regulation (EU) No 910/2014 (eIDAS) and its revision (eIDAS 2.0).” European Commission. 2024. https://digital-strategy.ec.europa.eu/en/policies/eidas-Regulation

European Commission. “European Digital Identity Framework (EUDI Wallet).” European Commission. 2024. https://digital-strategy.ec.europa.eu/en /policies/european-digital-identity

Proposal for a Regulation on payment services in the internal market (PSR). European Commission. 2023. https://finance.ec.europa.eu/publications/proposal-regulation-payment-services_en

BaFin. “Aufsicht über Zahlungsdienste und regulatorische Anforderungen.” Bundesanstalt für Finanzdienstleistungsaufsicht. https://www.bafin.de

FMA Austria. “Regulatory framework for digital identity and payment services.” Finanzmarktaufsicht Österreich. https://www.fma.gv.at