eIDAS-Verordnung 2.0: Neue Potenziale für Identity-Wallets
Mit der eIDAS-Verordnung 2.0 möchte die EU den nationalen Flickenteppich digitaler IDs auflösen und einer europaweiten digitalen Identität zum Durchbruch verhelfen. Welche Potenziale ergeben sich daraus?
Was ist die eIDAS 2.0-Verordnung?
eIDAS steht für „Electronic Identification, Authentication and Trust Services“. Die im Juli 2016 in Kraft getretene Verordnung wurde von der europäischen Union mit dem Ziel beschlossen, eine einheitliche und interoperable Möglichkeit für elektronische Signaturen zu schaffen. Damit legt sie verbindliche Standards zur elektronischen Identifizierung natürlicher Personen fest.
Mit eIDAS 2.0 stehen jetzt neue Richtlinien in den Startlöchern, die betroffene Unternehmen zur Kompatibilität mit Verifiable Credentials verpflichten. Die größte Änderung betrifft den Privatsektor: eIDAS 2.0 öffnet die europäische ID-Wallet für private Unternehmen, die damit etwa die Identitäten ihrer Kund:innen und Nutzer:innen überprüfen können. Dazu kommt, dass neben Behörden und Banken auch Plattformen wie Facebook, Amazon, Google & Co. verpflichtet werden, die ID-Wallet zu unterstützen. Vor allem aber soll die Verordnung die Schwachstellen der ursprünglichen Version beheben und ein sicheres digitales Umfeld schaffen.
eIDAS 2.0: wichtigste Änderungen auf einen Blick
Alle EU-Staaten werden verpflichtet, ihren Residents die ID-Wallet zur Verfügung zu stellen.
Sämtliche Public Electronic Government Services müssen EU-weit über die Wallet laufen können.
Auch bestimmte Privatservices können über die Wallet laufen, was Apple, Google & Co. dazu bringt, spezielle Dienstleistungen zu integrieren.
5 Potenziale, die sich für Banken & Co. ergeben
1. Erhöhte Sicherheit: Mit eIDAS 2.0 können sich Nutzer eindeutig und sicher identifizieren und authentifizieren, was das Risiko von Betrug und Identitätsdiebstahl reduziert.
2. Erleichterte Kund:inneninteraktion: eIDAS 2.0 kann Banken die Interaktion mit ihren Kund:innen vereinfachen, indem sie digitale Signaturen akzeptiert und elektronische Dokumente ohne zusätzliche Verifikationen bearbeitet: die Durchführung von Antragsstrecken wird vereinfacht.
3. Bessere Compliance: Die Umsetzung der eIDAS 2.0-Richtlinie kann einer Bank helfen, in puncto Datenschutz- und Sicherheitsstandards den Vorschriften gerecht zu werden, was sie vor möglicher Strafverfolgung schützt. Dabei bietet sich auch großes Potenzial, die eigenen Know Your Customer (KYC) und Anti-Geldwäsche (AML, Anti-Money Laundering) Prozesse zu verbessern.
4. Erweiterte Dienstleistungen: Durch die verbesserte Sicherheit und erleichterte Interaktion können Banken neue digitale Dienste oder Produkte einführen, die ihnen Wettbewerbsvorteile verschaffen – etwa solche, die auf Verification-as-a-Service oder Attestation-as-a-Service basieren.
5. Internationaler Zugang: Mit einer eIDAS 2.0-konformen Technologie können Banken auch international agieren und Kund:innen weltweit unterstützen, indem sie einheitliche Standards für Identitätsverifikationen anbieten.
Du möchtest die Anforderungen erfüllen, den individuellen Nutzen für dein Unternehmen herausarbeiten und dich von der eIDAS 2.0-Verordnung nicht überrollen lassen?
Mit eIDAS 2.0 ergeben sich aber noch größere Potenziale: Besonders spannend ist die Idee, eine eigene ID-Wallet auf dem Smartphone zu nutzen, in der sämtliche Zertifikate, elektronischen Signaturen, Identifizierungsdokumente und Daten gespeichert sind. Diese ließe sich selbst verwalten und für viele Anwendungen verwenden:
Für Bonitätsauskünfte, die ich von Wirtschaftsauskunfteien wie der Schufa digital abrufen und selbst verwalten kann.
Als zentraler Ort, an dem ich wichtige Dokumente oder elektronische Siegel wie etwa meine Immatrikulations-Bescheinigung speichern und weitergeben kann.
Als elektronisches Identifizierungssystem, das für Anwendungen wie Alterskontrollen, Hotelbuchungen, Bankengeschäfte und weitere Vertragsgeschäfte nutzbar ist.
Der Vorteil dabei: Als „Owner“ könnte ich selbst entscheiden, was in meiner Wallet liegt und selbst bestimmen, wem ich diese Daten weitergebe. So würden auch Unternehmen einen anderen Umgang mit Kund:innendaten gewinnen. Nicht zuletzt bietet man damit Big Tech wie Apple & Co. Paroli, da man ihre Datenhoheit beschneidet. So könnte das ID-Wallet vor allem auch ein Vehikel sein, um genau die Information, elektronischen Signaturen und Identifizierungsmittel abzulegen, die Kund:innen benötigen und die sie selbstständig freigeben können, wenn es nötig ist.
Erobert ein neuer, weltweit offener Standard die Welt?
Verifiable Credentials sind ein neuer und offener Standard des Web-Konsortums W3C, die es ermöglichen, persönliche Attribute beliebiger Artauf digitale Weise darzustellen und sich damit zu verifizieren. Und damit treibt der offene Standard auch das Paradigma der Self-Sovereign-Identity (SSI) voran, bei dem kryptographische Ansätze die konkreten Vorteile von Interoperabilität, Predicate Proofs und Selective Disclosure vereinen.
Self-Sovereign-Identities (SSI) sind digitalen Identitäten, die sich dezentral verwalten lassen, ohne sich von einem einzelnen Drittanbieter abhängig zu machen.
Predicate Proofs dienen als Beweis, dass eine bestimmte Bedingung erfüllt ist, ohne die Information preiszugeben. So lässt sich bspw. nur beweisen, über 18 zu sein, ohne dabei das wahre Alter verraten zu müssen.
Selective Disclosures dienen der selektiven Offenlegung nur der Informationen, die man für den genutzten Service braucht.
"Bis zum Jahr 2030 sollen rund 80 Prozent der Bürger:innen das neue System nutzen."
Exxeta Expert:innen
Schöne neue Welt oder digitale Identitätskrise?
Viele Unternehmen müssen der Verordnung folgen und ihre elektronischen Vertrauensdienste eIDAS 2.0-konform gestalten. Damit stehen sie in Sachen elektronische Signaturen und elektronische Identifizierung auf der sicheren Seite.
Für uns steht fest, dass neben den etablierten Playern im Bereich der Ident-Verfahren (wie z. B. IDnow) viele neue auftauchen werden, die mit den verfügbaren Technologien innovative Geschäftsmodelle entwickeln. Etwa, indem sie das „as a Service“-Modell nutzen und ihre Features über APIs (Application Programming Interface) oder SDKs (Service Development Kits) anbieten.
Wie es auch kommen mag – das Ziel der Europäischen Union ist genauso ehrgeizig wie klar: Bis zum Jahr 2030 sollen rund 80 Prozent der Bürger:innen das neue System nutzen. Bis dahin sollen alle EU-Staaten die Geldbörse für digitale Identitäten und elektronische Signaturen als App für Smartphones bereitstellen. Und bis spätestens dahin wird sich auch zeigen, wie vorhandene Player ihre Lösungen weiterentwickelt und welche neuen sich im Wettbewerb herausgeschält haben.
Lass dich nicht von eIDAS 2.0 überrollen
Klar ist jedenfalls, dass man auf dem Weg alle vorhandenen Legitimationsverfahren anfassen muss. Allein in puncto Analyse dürfte das eine Riesenaufgabe werden.
Digitaler Kapitalmarkt in der EU: Goldene Zukunft durch das DLT-Pilot Regime?
Das DLT-Pilot Regime ebnet den Weg hin zur Digitalisierung des europäischen Kapitalmarkts. Es ermöglicht Handel und Abwicklung von Krypto-Wertpapieren.