LiaScript Course
EUDI Wallet Module
Willkommen zum Lernmodul EUDI Wallet der Hochschule des Bundes für öffentliche Verwaltung.
Diese Einheit richtet sich an Mitarbeitende in deutschen Behörden, die mit digitalen Identitätsdiensten, eGovernment-Prozessen oder der Einführung der EUDI Wallet befasst sind.
Dozent: Prof. Dr. Rolf | Hochschule des Bundes für öffentliche Verwaltung Schwierigkeitsgrad: Intermediate Dauer: ca. 45–60 Minuten
Lernziele
--{{0}}--
In dieser Lerneinheit verfolgen wir drei konkrete Ziele. Nach Abschluss sollten Sie die wesentlichen regulatorischen Anforderungen, technologischen Prinzipien und datenschutzrechtlichen Implikationen der EUDI Wallet einordnen können — und das vor dem Hintergrund Ihrer täglichen Verwaltungspraxis.
Nach Abschluss dieser Lerneinheit können Sie:
- LZ 1 — Rechtliche Grundlagen: Die wesentlichen Anforderungen der eIDAS-Verordnung (eIDAS 2.0) erläutern und deren Bedeutung für deutsche Behörden einordnen.
- LZ 2 — Technologische Prinzipien: Die technologischen Grundprinzipien der EUDI Wallet (W3C Verifiable Credentials, SD-JWT, Trust Framework) beschreiben.
- LZ 3 — Datenschutz: Datenschutzrechtliche Anforderungen im Umgang mit der EUDI Wallet identifizieren und den Bezug zur DSGVO herstellen.
Einstieg: Digitale Identität im Behördenalltag
--{{0}}--
Bevor wir in die Regulatorik und Technologie einsteigen, möchte ich Sie um eine kurze Reflexion bitten. Digitale Identität ist kein abstraktes Konzept — sie begegnet Ihnen in Ihrer Behörde möglicherweise bereits heute.
Reflexionsfrage
Wo begegnet Ihnen digitale Identität in Ihrer täglichen Verwaltungspraxis bereits heute? Denken Sie an Systeme, Prozesse oder Schnittstellen — intern wie extern.
[[___ ___ ___]]
--{{1}}--
Einige Antworten, die Behördenmitarbeitende häufig nennen: die Online-Ausweisfunktion des Personalausweises, ELSTER, die BundID oder das Serviceportal des jeweiligen Landes. Diese Systeme haben eines gemeinsam — und einen entscheidenden Unterschied zur EUDI Wallet.
{{1}}
Diese Systeme lösen das Problem der Identifizierung — aber jedes in einem eigenen Silo, ohne echte Interoperabilität.
Die EUDI Wallet ist kein weiteres Silo. Sie ist eine interoperable Infrastruktur, die auf europäischer Ebene verbindlich vorgeschrieben ist und bestehende Systeme ablösen oder ergänzen wird.
[!IMPORTANT] Ab 2026 sind alle EU-Mitgliedsstaaten verpflichtet, ihren Bürgerinnen und Bürgern eine eIDAS-konforme digitale Wallet bereitzustellen. Deutsche Behörden werden als sogenannte Relying Parties in dieses Ökosystem eingebunden — mit konkreten Pflichten.
Rechtlicher Rahmen: eIDAS 2.0 im Überblick
--{{0}}--
Kommen wir zur rechtlichen Grundlage. Die EUDI Wallet ist kein Produkt, das ein Unternehmen auf den Markt gebracht hat — sie ist das Ergebnis eines verbindlichen europäischen Regelwerks. Verstehen Sie das Regelwerk, verstehen Sie die Pflichten Ihrer Behörde.
eIDAS 1.0 — die erste Generation (2014)
Die ursprüngliche eIDAS-Verordnung aus dem Jahr 2014 legte die Grundlage für die gegenseitige Anerkennung nationaler elektronischer Identifizierungssysteme in der EU. Sie war ein wichtiger erster Schritt — aber sie hatte wesentliche Lücken:
-
Kein einheitliches Wallet-Format für Bürgerinnen und Bürger
-
Gegenseitige Anerkennung war für viele Dienste nicht verpflichtend
-
Kein standardisierter Mechanismus für digitale Attribute jenseits der reinen Identität
–{{1}}– eIDAS 2.0 schließt diese Lücken. Die überarbeitete Verordnung ist seit 2024 in Kraft und bringt drei wesentliche Neuerungen.
{{1}}
eIDAS 2.0 — die drei wesentlichen Neuerungen
1. Wallet-Pflicht
Jeder Mitgliedsstaat muss mindestens eine EUDI Wallet-Lösung anbieten. Bürgerinnen und Bürger können — müssen aber nicht — diese Wallet nutzen.
2. Annahmepflicht für öffentliche Dienste
Öffentliche Stellen, die eine elektronische Identifizierung verlangen, müssen die EUDI Wallet akzeptieren. Für private Dienste ab einer bestimmten Nutzerzahl gilt eine gestaffelte Pflicht.
3. Erweiterung auf digitale Attribute
Neben der Identität können über die Wallet auch Qualifikationen, Lizenzen und Bescheinigungen (sog. Electronic Attribute Attestations) digital nachgewiesen werden.
--{{2}}--
Für Ihre Behörde besonders relevant: die Rolle der Relying Party. Schauen wir uns das Ökosystem als Ganzes an.
{{2}}
Die drei Rollen im eIDAS-Ökosystem
+------------------+ ausstellt +-------------------+
| Issuer | ---------------> | EUDI Wallet |
| (Aussteller) | | (Inhaber / Holder)|
| z.B. Bund, Land, | | Bürgerin/Bürger |
| Hochschule | +-------------------+
+------------------+ |
| | präsentiert
| EU Trust Framework v
| (Akkreditierung) +-------------------+
+-----------------------+ | Relying Party |
| (Vertrauende |
| Partei) |
| z.B. Ihre Behörde |
+-------------------+
[!NOTE] Relying Party = Ihre Behörde: Wenn Ihre Behörde eine Identität oder ein Attribut aus der EUDI Wallet entgegennimmt und darauf vertraut, ist sie eine Relying Party. Das löst konkrete Pflichten aus — u. a. die Registrierung im EU Trust Framework.
Technologie: Wie die EUDI Wallet funktioniert
--{{0}}--
Jetzt zur Technologie. Sie müssen kein Softwareentwickler sein, um diese Konzepte zu verstehen. Was Sie brauchen, ist ein Grundverständnis der Prinzipien — denn diese Prinzipien erklären, warum die EUDI Wallet Datenschutz-by-Design ermöglicht.
Das Grundprinzip: Self-Sovereign Identity (SSI)
Traditionelle Identitätssysteme sind zentralisiert: Eine Behörde oder ein Unternehmen verwaltet die Identitätsdaten. Self-Sovereign Identity dreht dieses Modell um: Die Nutzerin oder der Nutzer kontrolliert selbst, welche Daten sie teilen — wann, mit wem und in welchem Umfang.
--{{1}}--
Wie wird dieses Prinzip technisch umgesetzt? Mit zwei Standards, die Sie kennen sollten: W3C Verifiable Credentials und SD-JWT.
{{1}}
W3C Verifiable Credentials — das Datenformat
Ein Verifiable Credential (VC) ist ein digital signiertes Dokument, das eine Aussage über eine Person enthält:
- Aussteller (Issuer): Wer hat das Credential ausgestellt? (z.B. Einwohnermeldeamt, Hochschule)
- Inhaber (Holder): Wer besitzt das Credential? (Bürger:in in der Wallet)
- Prüfer (Verifier): Wer prüft das Credential? (Relying Party — Ihre Behörde)
Die digitale Signatur des Ausstellers bleibt am Credential erhalten — auch wenn der Inhaber es weitergibt. Ihre Behörde kann die Authentizität damit jederzeit verifizieren.
--{{2}}--
Aber was, wenn ein Credential mehr Daten enthält als die Behörde benötigt? Genau hier kommt SD-JWT ins Spiel.
{{2}}
SD-JWT — selektive Offenbarung
Selective Disclosure JWT (SD-JWT) ermöglicht es dem Inhaber, aus einem Credential nur die Attribute preiszugeben, die tatsächlich benötigt werden.
Beispiel: Ein Wohnsitznachweis enthält Name, Adresse, Geburtsdatum, Staatsangehörigkeit und Meldedatum. Wenn Ihre Behörde nur die Adresse benötigt, gibt der Inhaber ausschließlich die Adresse preis — alle anderen Felder bleiben kryptografisch verborgen.
[!TIP] SD-JWT ist kein optionales Feature — es ist der Mechanismus, durch den die EUDI Wallet den DSGVO-Grundsatz der Datensparsamkeit technisch umsetzt.
--{{3}}--
Und wer garantiert, dass einem Aussteller überhaupt vertraut werden kann? Das übernimmt das EU Trust Framework.
{{3}}
EU Trust Framework — die Vertrauensinfrastruktur
Das Trust Framework definiert, welchen Ausstellern und Wallets vertraut wird:
- Qualified Trust Service Providers (QTSP): Akkreditierte Dienstleister, die Verifiable Credentials ausstellen dürfen
- Trusted Issuer Lists: Öffentlich einsehbare Listen akkreditierter Aussteller pro Mitgliedsstaat
- Wallet Provider Certification: Die Wallet-App selbst muss durch eine benannte Stelle zertifiziert sein
Als Relying Party akzeptieren Sie nur Credentials aus Trust-Framework-konformen Quellen — das Framework liefert dafür die technische Infrastruktur.
Datenschutz: DSGVO und die EUDI Wallet
--{{0}}--
Kommen wir zu einem Thema, das in der Praxis oft unterschätzt wird: dem Verhältnis zwischen DSGVO und EUDI Wallet. Die gute Nachricht zuerst: Die Wallet-Architektur ist datenschutzfreundlich gestaltet. Die wichtige Nachricht: Das entbindet Ihre Behörde als Relying Party nicht von ihren eigenen Pflichten.
DSGVO-Grundsätze im Kontext der Wallet
| DSGVO-Grundsatz | Artikel | Bedeutung für die Wallet |
|---|---|---|
| Datensparsamkeit | Art. 5 Abs. 1 lit. c | Nur Daten erheben, die für den konkreten Zweck notwendig sind |
| Zweckbindung | Art. 5 Abs. 1 lit. b | Erhaltene Attribute nicht für andere Zwecke verwenden |
| Rechenschaftspflicht | Art. 5 Abs. 2 | DSGVO-Konformität nachweisen — auch als Relying Party |
--{{1}}--
Wie setzt die Wallet-Architektur diese Grundsätze technisch um — und was folgt daraus konkret für Ihre Behörde?
{{1}}
Technische Umsetzung: SD-JWT und Datensparsamkeit
SD-JWT ist das technische Herzstück der datenschutzfreundlichen Gestaltung:
- Ihre Behörde spezifiziert im Voraus, welche Attribute sie benötigt (Presentation Request)
- Die Nutzerin oder der Nutzer entscheidet, ob sie diese Attribute teilt
- Es werden nur die angeforderten Attribute übermittelt — keine Metadaten über andere Nutzungen
Konsequenz: Sie dürfen nicht pauschal „alle verfügbaren Daten“ anfordern. Der Presentation Request muss sich auf das Minimum des Notwendigen beschränken — andernfalls liegt ein Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO vor.
--{{2}}--
Besondere Vorsicht ist bei besonderen Kategorien personenbezogener Daten geboten. Und es gibt einige Fallstricke, die in der Praxis regelmäßig auftreten.
{{2}}
Besondere Kategorien und typische Fallstricke
Besondere Kategorien (Art. 9 DSGVO)
Credentials können Daten besonderer Kategorien enthalten: Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft. Für diese gelten verschärfte Anforderungen — auch als Relying Party.
Typische Fallstricke für Behörden:
- Zu breiter Presentation Request: Mehr Attribute anfordern als nötig verstößt gegen Datensparsamkeit
- Fehlende Zweckdokumentation: Der Verarbeitungszweck muss vorab dokumentiert sein (Art. 5 Abs. 1 lit. b)
- Keine Löschkonzepte: Erhaltene Attribute sind nach Zweckerfüllung zu löschen
- Unklare Verantwortlichkeit: Wer in der Behörde ist datenschutzrechtlich verantwortlich für die Wallet-Integration?
[!WARNING] Die Nutzung der EUDI Wallet durch Ihre Behörde als Relying Party ist eine Verarbeitungstätigkeit im Sinne der DSGVO und muss ins Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden (Art. 30 DSGVO).
Anwendungsszenarien in der deutschen Verwaltung
--{{0}}--
Theorie und Praxis gehören zusammen. Ich möchte Ihnen drei Szenarien vorstellen, die für deutsche Behörden besonders relevant sind. Bitte denken Sie beim Lesen aktiv an Ihre eigene Situation: Wo gibt es Berührungspunkte?
Szenario A — Wohnsitznachweis bei Antragsverfahren
Ausgangslage: Eine Bürgerin stellt einen Antrag, für den ein Wohnsitznachweis erforderlich ist (z. B. Kita-Platz, Sozialleistung, Führerscheinstelle).
Ablauf mit EUDI Wallet:
- Behörde sendet Presentation Request: „Ich benötige: Vorname, Nachname, aktuelle Meldeadresse“
- Bürgerin öffnet ihre EUDI Wallet und bestätigt die Weitergabe der angefragten Attribute
- Behörde erhält ein signiertes SD-JWT — kryptografisch verifizierbar, kein weiterer Nachweis erforderlich
Rolle Ihrer Behörde: Relying Party — Verarbeitungstätigkeit dokumentieren, Datensparsamkeit sicherstellen.
--{{1}}--
Das zweite Szenario betrifft einen Bereich, der für viele Behörden noch Neuland ist: die digitale Anerkennung von Berufsqualifikationen.
{{1}}
Szenario B — Digitale Berufsqualifikationen und Anerkennungsverfahren
Ausgangslage: Eine Person beantragt die Anerkennung einer im Ausland erworbenen Berufsqualifikation bei einer deutschen Anerkennungsstelle.
Ablauf mit EUDI Wallet:
- Ausländische Hochschule oder Behörde stellt ein Credential aus (z. B. Diploma Supplement als Verifiable Credential)
- Person legt das Credential über ihre EUDI Wallet vor
- Deutsche Anerkennungsstelle prüft die Signatur des Ausstellers gegen die Trusted Issuer List
Besonderheit: Das Trust Framework muss die ausländische Institution als akkreditierten Issuer führen. Dieser Aufbau ist derzeit auf EU-Ebene noch im Gange.
[!NOTE] Dieses Szenario befindet sich noch im Aufbau — die Infrastruktur für grenzüberschreitende Educational Credentials wird parallel zur Wallet-Einführung entwickelt (EBSI / European Blockchain Services Infrastructure).
--{{2}}--
Das dritte Szenario ist bewusst offengelassen — als Reflexionsaufgabe für Sie persönlich.
{{2}}
Szenario C — Ihre Behörde
Welches Antragsverfahren, welcher Identifizierungsprozess oder welcher Nachweis in Ihrer Behörde könnte durch die EUDI Wallet vereinfacht oder verbessert werden?
Skizzieren Sie kurz:
- Welche Daten werden heute von Bürger:innen erhoben?
- Welche Rolle würde Ihre Behörde einnehmen (Issuer, Relying Party, oder beides)?
- Welche datenschutzrechtlichen Fragen würden sich stellen?
[[___ ___ ___ ___ ___]]
Self-Check und Transfer
--{{0}}--
Sie haben jetzt die wesentlichen Grundlagen erarbeitet. Ich möchte Ihnen zunächst fünf Fragen stellen, mit denen Sie Ihr Verständnis überprüfen können. Danach folgt die Transferfrage — die für mich persönlich die wichtigste ist.
Quiz — Lernziel 1: Rechtliche Grundlagen
Welche Verordnung bildet die rechtliche Grundlage der EUDI Wallet?
- [( )] Verordnung (EU) 2016/679 (DSGVO)
- [(X)] Verordnung (EU) 2024/1183 (eIDAS 2.0)
- [( )] Verordnung (EU) 2022/2065 (Digital Services Act)
- [( )] Richtlinie (EU) 2016/1148 (NIS-Richtlinie)
Was ist eine Relying Party im eIDAS-Ökosystem?
-
[( )] Eine Behörde, die Credentials ausstellt
-
[( )] Der Hersteller der EUDI Wallet-App
-
[(X)] Eine Stelle, die Credentials aus der Wallet entgegennimmt und darauf vertraut
-
[( )] Ein akkreditierter Prüfer im EU Trust Framework
–{{1}}– Weiter zu den technologischen Prinzipien.
{{1}}
Quiz — Lernziel 2: Technologische Prinzipien
Was ermöglicht SD-JWT (Selective Disclosure JWT)?
- [( )] Die verschlüsselte Übertragung von Credentials über das Internet
- [(X)] Die selektive Offenbarung einzelner Attribute aus einem Credential
- [( )] Die Signatur eines Credentials durch den Trust Service Provider
- [( )] Die Speicherung von Credentials in der Cloud
Welche drei Rollen bilden das Grundmodell von W3C Verifiable Credentials? (Mehrfachauswahl)
-
[[X]] Aussteller (Issuer)
-
[[ ]] Regulierer (Regulator)
-
[[X]] Inhaber (Holder)
-
[[X]] Prüfer (Verifier)
–{{2}}– Und die abschließenden Datenschutzfragen.
{{2}}
Quiz — Lernziel 3: Datenschutz
Welcher DSGVO-Grundsatz wird durch SD-JWT technisch umgesetzt?
- [( )] Zweckbindung (Art. 5 Abs. 1 lit. b)
- [(X)] Datensparsamkeit (Art. 5 Abs. 1 lit. c)
- [( )] Speicherbegrenzung (Art. 5 Abs. 1 lit. e)
- [( )] Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f)
Eine Behörde möchte die EUDI Wallet als Relying Party nutzen. Was ist gemäß Art. 30 DSGVO erforderlich?
-
[( )] Nichts — die Wallet-Nutzung ist datenschutzrechtlich privilegiert
-
[( )] Nur den Datenschutzbeauftragten informieren
-
[(X)] Die Wallet-Verarbeitung ins Verzeichnis von Verarbeitungstätigkeiten aufnehmen
-
[( )] Eine Datenschutz-Folgenabschätzung durchführen — immer, ohne Ausnahme
–{{3}}– Jetzt zur Transferfrage. Das ist die Frage, auf die alle vorherigen Inhalte hingearbeitet haben.
{{3}}
Transferfrage
Was bedeutet die Einführung der EUDI Wallet konkret für Ihre Behörde?
Denken Sie an: Prozesse, Zuständigkeiten, datenschutzrechtliche Anforderungen, technische Infrastruktur, Zeitplan.
[[___ ___ ___ ___ ___]]
--{{4}}--
Ich danke Ihnen für Ihre Aufmerksamkeit — und für Ihre Bereitschaft, sich mit einem Thema auseinanderzusetzen, das die öffentliche Verwaltung in Deutschland grundlegend verändern wird. Die EUDI Wallet ist kein Zukunftsprojekt mehr. Sie ist Gegenwart.
{{4}}
Weiterführende Ressourcen
- Verordnung (EU) 2024/1183 — Amtsblatt der Europäischen Union (offizieller Volltext)
- EUDI Wallet Architecture and Reference Framework (ARF) — github.com/eu-digital-identity-wallet/eudi-doc-architecture-and-reference-framework
- W3C Verifiable Credentials Data Model — w3.org/TR/vc-data-model/
- IETF SD-JWT-Spezifikation — datatracker.ietf.org/doc/draft-ietf-oauth-selective-disclosure-jwt/
- Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de
- Hochschule des Bundes — Fachbereich Digitalisierung — hsbund.de
— Prof. Dr. Rolf | Hochschule des Bundes für öffentliche Verwaltung
Write a comment