eIDAS 2.0: Digitale Identität skaliert erst auf Basis vertrauenswürdiger Prozesse

Identität wurde bisher vor allem punktuell geprüft – künftig soll die Prüfung zum durchgehenden Bestandteil digitaler Vorgänge werden

[datensicherheit.de, 12.06.2026] Mit eIDAS 2.0 sollte der regulatorische Grundstein für eine vertrauenswürdige Handhabung digitaler Identitätsnachweise gelegt werden. Dr. Heinrich Grave, „Managing Director DACH“ der Evrotrust Technologies GmbH, moniert in seiner Stellungnahme indes: „Die Praxis hinkt der Politik jedoch hinterher! Besonders in Deutschland zeigt sich: Das Problem befindet sich in der Umsetzung der neuen Regulierungen in reale Prozesse und nicht im Rechtsrahmen!“ Er erläutert: „Während Identität bisher vor allem punktuell geprüft wurde, soll sie künftig zu einem durchgehenden Bestandteil digitaler Vorgänge werden. Damit verschiebt sich ihr Stellenwert weg von einer einmaligen Prüfung hin zu einem Element, das einen gesamten Prozess begleitet.“ Digitale Identität sei damit nicht mehr nur Voraussetzung, sondern Bestandteil der Prozesslogik selbst. Dies betreffe insbesondere alltägliche Situationen wie Vertragsabschlüsse oder den Zugriff auf und die Freigabe von Daten. Digitale Identität müsse daher konsistent und wiederverwendbar werden.

Foto: Evrotrust Technologies GmbH

Dr. Heinrich Grave betont, dass Digitale Identität nicht mehr nur Voraussetzung, sondern Bestandteil der Prozesslogik selbst werden muss

In der Realität ist die Theorie weiter als die Praxis

„Die Realität sieht aktuell jedoch noch anders aus!“, so Grave. Trotz der politischen Entscheidung, Digitale Identität neu zu denken, zeige die Praxis, dass Probleme tiefgreifend in den aktuellen Prozessen verwurzelt seien. „Vorgänge, die in Zukunft alle auf dieselbe Digitale Identität zugreifen sollen, wie beispielsweise Login, E-Signaturen und auch die initiale Identitätsprüfung, sind in den vorhandenen Systemen stark voneinander getrennt. Der Gesamtprozess ist damit häufig nicht konsistent aufgebaut, sondern durch Medienbrüche und Systemgrenzen fragmentiert.“

• Konkrete Reibungspunkte zeigten sich durch eben diese Prozess-Fragmentierung an mehreren Stellen. Bestehende Vorgänge arbeiteten häufig noch mit E-Mail-Freigaben oder auch mit externen Signaturtools. Unter eIDAS 2.0 werde deutlich, dass solche Brüche einer durchgängigen Vertrauenslogik entgegenstünden. Deshalb würden viele Institutionen künftig Systemwechsel vornehmen müssen, um überflüssige Mehrfach-Prüfungen oder auch eine doppelte Dateneingabe zu vermeiden.

Diese Brüche seien nicht nur ineffizient, sondern erschwerten es zusätzlich nachzuvollziehen, wo im Gesamtprozess welche Daten verwendet werden. Freigaben seien durch die verteilten Entscheidungsträger in unterschiedlichen Systemen nicht eindeutig zuordenbar. Grave warnt: „Übergänge und ,Workarounds’ während der Systemumstellungen können zudem die Transparenz erschweren, wodurch Identität nicht nur zur ,Compliance’-Frage, sondern zur Frage der Prozessintegrität wird.“

Freigaben und Bestandsdaten als Gradmesser Digitaler Identität

Er führt weiter aus: „Ein gutes Beispiel für einen Einzelprozess, der aktuell noch unter der Systemfragmentierung leidet, sind digitale Freigaben. Heute werden Daten und Dokumente oft durch einfache Methoden wie E-Mail oder Logins weitergeleitet. Als Konsequenz lässt sich in diesem Kontext eine schwache Bindung zu echten Identitäten erkennen: Oft bleibt unklar, wer eine Freigabe tatsächlich erteilt hat und ob die Handlung eindeutig einer verifizierten Person zugeordnet werden kann.“ Mit Hilfe der konstanten Digitalen Identität werde die Zuordnung zu einer verifizierten Person in Zukunft einfacher – „da insgesamt eine höhere Verlässlichkeit im gesamten Prozess entsteht“.

• Ein weiteres Beispiel, welches klar von eIDAS 2.0 angegangen werde, sei die Änderung von Bestandsdaten. Typische Vorgänge umfassen hierbei Einzelprozesse wie eine Änderung von Kontaktdaten oder auch angepasste Berechtigungen. „Doch diese Prozesse unterliegen mit Login und 2FA einer schwachen Absicherung für sensible Daten. Gerade bei solchen Vorgängen zeigt sich die Anfälligkeit gegenüber Angriffen wie Phishing oder Account-Übernahmen besonders deutlich.“

„Wenn die digitale Identität jedoch künftig nicht mehr nur als Erstprüfung gilt, sondern durch den gesamten Vorgang ein Referenzpunkt bleibt, erstellt sich hier eine konsistente Sicherheitsbasis!“ Gerade in solchen Alltagsprozessen zeige sich klar, ob die Integration von Identität wirklich tragfähig gelungen ist oder aber nur formal vorhanden bleibt. „Sie sind damit ein realistischer Indikator dafür, wie weit Organisationen bei der Umsetzung von eIDAS 2.0 tatsächlich sind.“

Durchgängige Vertrauenslogik als Ersatz für voneinander isolierten Prüfmechanismen

Unternehmen stehen demnach vor einer großen Aufgabe. Es müsse kritisch nach Innen geschaut und analysiert werden, „wo es in aktuellen Abläufen zu Brüchen und Doppelprüfungen kommt“. Grave betont: „Erst wenn man Schwachstellen in Alltagssituationen versteht, kann damit begonnen werden, Identität als Teil der gesamten Prozesslogik zu verstehen und zu integrieren.“

• Gleichzeitig reiche es nicht aus, Prozesse isoliert zu optimieren. Entscheidend sei die Anschlussfähigkeit an regulatorische Anforderungen und Marktstandards. Denn diese Schwachstellen könnten oft erst dann wirklich wahrgenommen werden, „wenn klare und praktikable Akzeptanzregeln gestellt werden“. Sobald von der regulatorischen Perspektive aus eine Anschlussfähigkeit sichergestellt ist, könne die Integration in reale Verfahren ermöglicht werden.

Eine besondere Rolle spielten dabei „Trust Service Provider“. Diese ermöglichten die Integration von Digitaler Identität in bestehende Systeme und übernähmen eine verbindende Funktion zwischen bislang getrennten Prozessschritten. Durch die Kombination von Identitätsprüfung, Authentifizierung und Signatur entstehe eine durchgängige Vertrauenslogik statt einzelner, voneinander isolierter Prüfmechanismen.

eIDAS 2.0 muss sich noch im Alltag bewähren

Durch ein Zusammenspiel der drei Instanzen könne man in naher Zukunft einen Übergang von Pilotprojekten rund um das Thema „Digitale Identität“ hin zu einer konstanten und produktiven Nutzung erwarten. Wahrer Fortschritt werde sich dann in der Qualität der Abläufe zeigen:

• „Digitale Identität kann man dann als integriert bezeichnen, wenn doppelte Datenerfassung und weniger Medienbrüche erkennbar sind, und diese durch stabile und nachvollziehbare Prozesse ersetzt wurden.“

Während eIDAS 2.0 also eine Grundlage schaffe, sei die praktische Umsetzung „der Knackpunkt, an dem Deutschland ansetzen muss“. Grave gibt abschließend zu bedenken: „Der Maßstab für Erfolg wird nicht die regulatorische Konformität sein, sondern die Qualität realer Prozesse! Nur wenn es gelingt, die gegebene Regulierung in funktionierende Abläufe überzuleiten, kann Digitale Identität nachhaltig alltagstauglich werden.“

Weitere Informationen zum Thema:

evrotrust
Building global trust / We started Evrotrust because we saw that physical ID cards and paper documents are outdated. For society to fully benefit from new technologies, trust is essential to facilitate exchanges of goods and services in the virtual world.

IT-BUSINESS, Ira Zahorsky, 04.03.2026
Dr. Heinrich Grave wird Geschäftsführer / Evrotrust eröffnet DACH-Niederlassung

Bundesministerium für Digitales und Staatsmodernisierung
eIDAS 2.0 / Die eIDAS-Verordnung, EUDI-Wallets und ihre Bedeutung für europäische digitale Identitäten

datensicherheit.de, 04.03.2024
eIDAS-Verordnung: Neue digitale Identität soll 2026 europaweit vorliegen / TeleTrusT begrüßt europäische elektronische Identität (EUid) auf Basis digitaler Brieftaschen

datensicherheit.de, 21.05.2026
NIS-2 und eIDAS-Update im Fokus: TeleTrusT-Podcast mit Tim Golly, Markus Schuster und Carsten Vossel / Der aktuelle TeleTrusT-Podcast behandelt den Themenkomplex NIS-2 sowie eIDAS-Update und zieht eine erste Bilanz zur Umsetzung in Unternehmen