Die EU Digital Identity Wallet ist für Behördenportale mehr als ein Login-Knopf

Die europäische digitale Brieftasche ist kein fernes Strategiethema mehr. Mit der überarbeiteten eIDAS-Verordnung, dem neuen Rechtsrahmen für die European Digital Identity Wallets und den nachgezogenen Umsetzungsakten ist aus dem politischen Vorhaben ein sehr konkretes Betriebs- und Architekturthema geworden. Für Behörden, kommunale IT-Dienstleister, Portalbetreiber und Fachverfahrensverantwortliche heißt das vor allem eins: Wer digitale Anträge, Nachweise, Signaturen oder grenzüberschreitende Identifizierung anbietet, sollte die Wallet nicht mehr nur beobachten, sondern systematisch vorbereiten.

Der fachliche Kern ist klar. Die Wallet soll Identitätsdaten und elektronische Nachweise unter Kontrolle der Nutzer bereitstellen, selektive Datenfreigaben ermöglichen, Transaktionslogs sichtbar machen und sowohl öffentliche als auch private Dienste anbinden. Gleichzeitig ziehen die Umsetzungsakte aus 2025 den Rahmen für registrierte Wallet-Relying-Parties, Sicherheitsreaktionen bei Kompromittierungen und die Liste zertifizierter Wallets deutlich enger. Für Portalteams reicht es deshalb nicht, später einfach einen weiteren Login-Knopf nachzurüsten. Es geht um Rollen, Register, Support, Berechtigungen und Betriebsprozesse.

Gerade in der Verwaltung ist das wichtig, weil Portale fast nie isoliert arbeiten. Hinter dem sichtbaren Einstieg liegen Fachverfahren, Registerabfragen, Zuständigkeitslogik, Nachweisprüfungen und Supportketten. Wenn die Wallet in dieser Kette nur als Frontend-Funktion verstanden wird, entsteht später dieselbe Reibung wie bei vielen früheren Digitalisierungswellen: vorne modern, hinten weiter manuell, uneinheitlich und schlecht führbar. Fünf Vorarbeiten sind deshalb jetzt besonders wichtig.

1. Fachliche Nutzungsszenarien sauber trennen, bevor Technik beschafft wird

Der häufigste Fehler in frühen Wallet-Diskussionen ist zu grobes Denken. „Wir brauchen EUDI für unser Serviceportal“ klingt plausibel, hilft operativ aber wenig. In der Praxis müssen Teams je Fachprozess trennen, ob sie wirklich eine starke Identifizierung brauchen, ob einzelne Attribute reichen oder ob eine qualifizierte Signatur nötig ist. Die eIDAS-Änderung rund um Artikel 5a betont ausdrücklich selektive Offenlegung, Nutzerkontrolle und die Möglichkeit, Attribute gezielt zu teilen. Genau daraus folgt eine Architekturfrage: Welche Daten werden in welchem Prozess wirklich benötigt?

Für ein Behördenportal kann das sehr unterschiedlich ausfallen. Ein allgemeiner Terminservice braucht womöglich gar keine Wallet. Ein Förderantrag benötigt verlässliche Identitätsdaten. Eine digitale Vollmacht oder ein unterschriftsbedürftiger Bescheid braucht zusätzlich Signatur- oder Siegelprozesse. Wer diese Unterschiede nicht früh modelliert, landet später bei überzogenen Datenanforderungen, unnötig komplexen Freigaben und vermeidbaren Datenschutzdiskussionen.

Sinnvoll ist deshalb ein schlankes Wallet-Use-Case-Register: Prozess, Rechtsgrundlage, benötigte Attribute, Identitätsniveau, Signaturbedarf, beteiligtes Fachverfahren, technischer Owner. Dieses Register ist wichtiger als jede frühe Produktdemo, weil daraus die spätere Integration überhaupt erst steuerbar wird.

2. Relying-Party-Registrierung und Attributminimierung als Governance-Thema aufsetzen

Mit der Durchführungsverordnung (EU) 2025/848 wird aus dem abstrakten Dienstanbieter ein registrierter Wallet-Relying-Party-Prozess. Mitgliedstaaten müssen nationale Register aufbauen, Informationen in menschen- und maschinenlesbarer Form veröffentlichen und nachvollziehbar machen, welche Daten ein Dienst überhaupt anfragen darf. Für Portalbetreiber ist das mehr als Formalität. Die Verordnung will gerade Transparenz schaffen und Oversharing begrenzen.

Praktisch bedeutet das: Jedes Team, das Wallet-basierte Anfragen an Nutzer stellen will, braucht einen klaren Registrierungs- und Freigabepfad. Dazu gehört, beantragte Attribute fachlich zu begründen, die Minimalmenge festzulegen und Änderungen versionsgeführt zu dokumentieren. Ein Fachbereich darf also nicht beliebig zusätzliche Datenfelder anfordern, nur weil sie technisch verfügbar wären. Wallet-Nutzer sollen erkennen können, ob eine anfragende Stelle mehr verlangt als registriert oder autorisiert ist.

Für öffentliche IT-Organisationen ist das ein klassischer Governance-Baustein. Empfehlenswert ist ein kleines Freigabeboard aus Fachseite, Datenschutz, IAM oder Architektur und Portalbetrieb. Dessen Aufgabe ist nicht Bürokratie um ihrer selbst willen, sondern die saubere Begrenzung der Attributanforderungen je Dienst. Wer diesen Mechanismus jetzt nicht vorbereitet, baut später Integrationen, die regulatorisch oder kommunikativ sofort unter Druck geraten.

3. Support- und Service-Desk-Prozesse für Wallet-Nutzung mitdenken

In vielen Strategierunden wird die Wallet als Identitätsbaustein betrachtet, aber fast nie als Supportobjekt. Genau das ist riskant. Artikel 5a verlangt, dass Nutzer technische Unterstützung anfordern und Probleme melden können. Gleichzeitig sieht der Rechtsrahmen Transaktionslogs, Löschanfragen und Meldemöglichkeiten bei verdächtigen Datenanforderungen vor. Das erzeugt neue Ticketarten, Eskalationen und Schnittstellen zwischen Portalbetrieb, Service Desk, Datenschutz und Fachverfahren.

Behörden- und Portalteams sollten daher früh definieren, welche Störungen lokal lösbar sind und welche an Wallet-Provider, Identitätsstellen oder nationale Kontaktpunkte gehen. Typische Fälle sind fehlgeschlagene Attributfreigaben, unklare Identitätszuordnung, Probleme mit qualifizierten Signaturen, abgebrochene Antragsstrecken oder Beschwerden über zu weitgehende Datenabfragen. Ohne vorbereitete Supportpfade landen solche Fälle unstrukturiert im First Level und werden dort nur weitergereicht.

Ein guter Minimalstandard besteht aus drei Bausteinen: klaren Incident-Kategorien, einer verständlichen Wissensbasis für den Service Desk und festen Eskalationswegen zu Fachverfahren, Datenschutz und Wallet-seitigen Ansprechpartnern. Gerade weil Nutzer über die Wallet mehr Transparenz über Datenanforderungen erhalten, steigen die Erwartungen an nachvollziehbare Antworten im Support.

4. Sicherheitsreaktionen und Betriebsunterbrechungen vorab üben

Die Durchführungsverordnung (EU) 2025/847 ist für den operativen Betrieb besonders relevant. Sie verlangt schnelle, koordinierte Reaktionen auf Sicherheitsvorfälle oder Kompromittierungen, gegebenenfalls inklusive Aussetzung betroffener Wallet-Lösungen. Außerdem sollen Nutzer und Wallet-Relying-Parties informiert werden, und wenn Probleme nicht behoben werden, ist auch ein geordneter Rückzug betroffener Wallet-Lösungen vorgesehen.

Für Portalteams hat das eine direkte Konsequenz: Wallet-Integration braucht einen Fallback-Plan. Was passiert, wenn eine Wallet-Lösung vorübergehend nicht genutzt werden darf? Welche alternativen Identifikationswege bleiben offen? Welche Prozesse dürfen weiterlaufen, welche müssen angehalten werden? Wer informiert Bürger, Unternehmen oder interne Sachbearbeitungen? Und wie wird verhindert, dass Mitarbeitende in so einer Lage ad hoc unsichere Umgehungswege bauen?

Hier zeigt sich, ob digitale Verwaltung wirklich betriebsfähig geplant wurde. Sinnvoll ist eine kurze Betriebsanweisung mit vier Fragen: Wie erkennen wir eine relevante Wallet-Störung, wer entscheidet über Maßnahmen im Portal, wie kommunizieren wir nach außen, und welche Ersatzwege sind fachlich zulässig? Diese Fragen gehören in die Störfallplanung, nicht erst in das erste echte Krisenticket.

5. Release-Planung an ARF, Zertifizierung und offene Referenzkomponenten koppeln

Die Wallet-Welt bleibt nicht statisch. Das Architecture and Reference Framework wird weiterentwickelt, große Pilotvorhaben liefern Rückmeldungen, und die öffentliche Liste zertifizierter Wallets soll nach der Durchführungsverordnung (EU) 2025/849 transparent gepflegt werden. Zugleich ist der Open-Source-Charakter der Wallet-Komponenten ausdrücklich angelegt, und die Referenzimplementierung wird auf Basis des ARF weitergeführt.

Für IT-Management und Portalarchitektur bedeutet das: Wallet-Fähigkeit sollte nicht als einmaliges Projekt behandelt werden, sondern als geplanter Release-Zug mit klaren Beobachtungspunkten. Teams sollten festlegen, welche regulatorischen Änderungen beobachtet werden, wie Zertifizierungsstatus geprüft wird, welche Bibliotheken oder Schnittstellen aus der Referenzimplementierung relevant sind und wann Integrationen gegen neue Spezifikationsstände getestet werden.

Besonders wichtig ist dabei die Trennung zwischen rechtlich verbindlichen Anforderungen und nützlichen, aber noch fortgeschriebenen Architekturhinweisen aus dem ARF. Wer alles erst bei Produktionsdruck liest, wird unnötig langsam. Wer umgekehrt jede Vorversion direkt hart verdrahtet, schafft sich Migrationslast. Ein nüchterner Quartalsrhythmus für Architekturreview, Rechtsmonitoring und Pilotabgleich ist meist die vernünftigste Lösung.

Was Behörden- und Portalteams jetzt konkret festziehen sollten

• Use Cases priorisieren: Pro Portal und Fachverfahren klar markieren, wo starke Identifizierung, einzelne Attribute oder Signaturen wirklich nötig sind.
• Freigabepfad aufsetzen: Für Wallet-Anfragen feste Rollen zwischen Fachseite, Datenschutz, IAM oder Architektur und Betrieb definieren.
• Support vorbereiten: Incident-Kategorien, Wissensartikel und Eskalationspfade für Wallet-bezogene Störungen in den Service Desk übernehmen.
• Fallbacks üben: Für Sicherheitsvorfälle und Aussetzungen vorab zulässige Ersatzwege und Kommunikationsschritte festlegen.
• Release-Review etablieren: ARF, Umsetzungsakte, Zertifizierungslisten und Referenzkomponenten in einen regelmäßigen Architektur- und Betriebsreview aufnehmen.

Fazit

Die EU Digital Identity Wallet ist für Behördenportale mehr als ein neuer Anmeldebaustein. Sie verändert, welche Nachweise ein Dienst anfordern darf, wie diese Anfragen begründet und registriert werden, wie Supportfälle klassifiziert werden und wie Portale auf Sicherheitsstörungen reagieren müssen. Genau deshalb lohnt sich jetzt die operative Vorarbeit. Wer Use Cases, Attributlogik, Supportpfade, Störfallplanung und Release-Steuerung früh sauber aufsetzt, baut Wallet-Fähigkeit in den Regelbetrieb ein, statt später nur einen zusätzlichen Knopf auf ein altes Portal zu schrauben.

Quellen

• EUR-Lex: Regulation (EU) 2024/1183, European Digital Identity Wallets
• European Commission: The European Digital Identity Wallet Architecture and Reference Framework
• European Commission: ARF Version 2.0 now available
• GitHub: EUDI Architecture and Reference Framework Repository
• EUR-Lex: Implementing Regulation (EU) 2025/847 on reactions to security breaches
• EUR-Lex: Implementing Regulation (EU) 2025/848 on registration of wallet-relying parties
• EUR-Lex: Implementing Regulation (EU) 2025/849 on the list of certified wallets