Die Rolle des Vertrauensdiensteanbieters in der EUDI Wallet

Die EUDI Wallet ist ein wichtiger Baustein für digitale Identität in Europa. Sie kann helfen, Nachweise digital bereitzustellen und Prozesse einfacher zu machen. Damit diese Prozesse aber auch wirklich verlässlich, sicher und rechtlich belastbar sind, braucht es mehr als nur die Wallet selbst. Genau hier kommen weitere Akteure und Vertrauensdienste ins Spiel.

Im EUDI Wallet-Umfeld arbeiten verschiedene Akteure zusammen. Dazu gehören zum Beispiel Wallet Provider, die die Wallet bereitstellen, Issuer, die Identitätsdaten oder andere Nachweise ausstellen und Service Provider beziehungsweise Relying Parties, die diese Nachweise in einem konkreten Nutzungskontext prüfen. Hinzu kommen Vertrauensdiensteanbieter, die immer dann relevant werden, wenn es um ein höheres Maß an Verlässlichkeit, Nachweisstärke oder rechtlicher Wirkung geht. Diese Einordnung ist bewusst nur eine grobe Übersicht. Denn das EUDI Wallet Ökosystem ist deutlich umfangreicher. Auf der folgenden Seite gehen wir deshalb noch einmal genauer auf die wichtigsten beteiligten Parteien und ihre jeweilige Rolle ein: Build Your Own Business Wallet. Alternativ haben wir auch eine (vereinfachte) Übersicht der Akteure auf folgender Grafik abgebildet:

Damit die EUDI Wallet im Alltag von der Bevölkerung und den Unternehmen wirklich akzeptiert wird und Anwendung findet, muss Vertrauen in die darin enthaltenen Nachweise und Informationen bestehen. Nutzer, Unternehmen und Behörden müssen sich darauf verlassen können, dass diese Daten echt sind, aus einer verlässlichen Quelle stammen und im jeweiligen Kontext auch die nötige Aussagekraft haben. Genau hier kommen Vertrauensdiensteanbieter ins Spiel. Sie sorgen dafür, dass digitale Nachweise auf einer belastbaren und nachvollziehbaren Grundlage stehen.

Ein Vertrauensdiensteanbieter wird immer dann wichtig, wenn digitale Informationen nicht nur vorhanden, sondern auch nachweislich vertrauenswürdig sein sollen. Also dann, wenn klar belegt werden muss, dass ein Nachweis echt ist, eine Signatur wirklich gültig ist oder ein Dokument zu einem bestimmten Zeitpunkt unverändert vorlag. Genau das ist zum Beispiel bei qualifizierten Zertifikaten, Signaturen, Siegeln oder Zeitstempeln der Fall. Auch die Prüfung und langfristige Nachweisbarkeit solcher Informationen spielen dabei eine Rolle. Vertrauensdienste sind im Wallet-Kontext also kein optionales Extra. Die EU hat sie als Teil des rechtlichen Rahmens ausdrücklich mitgeregelt.

Wichtig zu erwähnen ist, dass nicht jeder Nachweis in einer Wallet automatisch dieses qualifizierte Niveau benötigt. Entscheidend ist zunächst, dass ein Nachweis von einer vertrauenswürdigen Stelle stammt und sich seine Echtheit prüfen lässt. Eine vertrauenswürdige Stelle kann z.B. eine Universität sein, die ein digitales Abschlusszeugnis ausstellt oder eine Bank, die ein steuerbezogenes Dokument oder einen anderen prüfbaren Nachweis ausgibt.

Ein qualifizierter Vertrauensdiensteanbieter kommt vor allem dann ins Spiel, wenn ein Nachweis, eine Signatur oder ein Siegel zusätzlich ein besonders hohes rechtliches und vertrauensbezogenes Niveau erreichen soll. Genau darin liegt seine Rolle im EUDI-Wallet-Ökosystem: nicht bei jedem einzelnen Anwendungsfall, sondern überall dort, wo digitale Informationen besonders belastbar und rechtlich relevant sein müssen. Das kann zum Beispiel der Fall sein, wenn eine Person ein Dokument mit einer qualifizierten elektronischen Signatur unterzeichnet oder wenn mit einem qualifizierten Zeitstempel nachgewiesen werden soll, dass ein Dokument zu einem bestimmten Zeitpunkt bereits vorlag und seitdem nicht verändert wurde.

Gerade bei der qualifizierten elektronischen Signatur (QES) wird die Rolle des Vertrauensdiensteanbieters greifbar. Vereinfacht gesagt stößt die EUDI Wallet den Signaturvorgang an, übernimmt aber nicht in jedem Fall selbst die eigentliche Signatur. Stattdessen berechnet sie zunächst einen Hash des Dokuments, also einen digitalen Fingerabdruck. Dieser wird an den Vertrauensdiensteanbieter übermittelt, der die qualifizierte Signaturerstellungseinheit für die Nutzer:innen verwaltet. Die Freigabe erfolgt anschließend durch die Nutzer:innen über die EUDI Wallet, zum Beispiel per PIN oder Biometrie. Erst danach erzeugt der Vertrauensdiensteanbieter die QES und gibt sie an die digitale Brieftasche zurück. Die Wallet ist in diesem Fall also der Einstiegspunkt für den Vorgang, während die eigentliche qualifizierte Signatur beim Vertrauensdiensteanbieter entsteht.

Die Rolle des Vertrauensdiensteanbieters endet aber nicht bei der QES. Im EUDI-Rahmen spielen auch qualifizierte elektronische Siegel, qualifizierte Zertifikate, Zeitstempel, Validierung und Aufbewahrung eine Rolle. Das ist gerade für Organisationen relevant, denn in vielen Prozessen reicht es nicht, dass etwas einmal unterschrieben wurde. Später muss oft auch noch nachweisbar sein, dass ein Dokument echt war, nicht verändert wurde und zu einem bestimmten Zeitpunkt gültig vorlag. Genau dafür sind diese zusätzlichen Vertrauensdienste wichtig.

Ein weiterer Punkt wird häufig unterschätzt: Vertrauen entsteht im EUDI-Ökosystem nicht nur durch Kryptografie, sondern auch durch Sichtbarkeit und Prüfbarkeit im System. Die Kommission beschreibt die EU Trusted List als Mechanismus, über den nachvollziehbar wird, welche Akteure zertifiziert sind und wem man im Ökosystem vertrauen kann. Für qualifizierte Vertrauensdienste ist das besonders relevant, weil der qualifizierte Status und die qualifizierten Dienste über die entsprechende Trusted List des jeweiligen Landes nachvollziehbar gemacht werden.

Für Unternehmen und öffentliche Stellen heißt das vor allem: Wer die EUDI Wallet einsetzen oder in digitale Prozesse einbinden möchte, sollte nicht nur an die Wallet selbst denken. Es geht nicht alleine darum, wie Nachweise angezeigt oder geteilt werden, sondern auch, wer sie ausstellt, auf welchem Vertrauensniveau das geschieht und welche Rolle qualifizierte Vertrauensdienste an den entscheidenden Stellen spielen. Das betrifft zum Beispiel die Frage, wann ein einfacher Nachweis genügt, wann ein qualifizierter Nachweis sinnvoll ist, wie Signaturen oder Siegel ausgelöst werden und wie spätere Verifikation oder Aufbewahrung sichergestellt werden.

Genau deshalb ist die EUDI Wallet für viele Organisationen kein reines Frontend-Thema. Sie berührt Prozessdesign, Governance, Compliance und Vertrauensinfrastruktur zugleich. Die europäische Regulierung spiegelt das bereits wider, weil sie eben nicht nur die Wallet selbst beschreibt, sondern auch relying parties, Zertifizierung, Attestationen, qualifizierte Zertifikate, Remote-QSCDs, Validierung, Preservation Services und Trust Lists umfasst. Wer Wallet-Projekte plant, sollte diese Ebenen von Anfang an zusammendenken.

Die EUDI Wallet ist ein wichtiger Baustein für die digitale Identität in Europa. Aber sie ist nicht der einzige. Ihre eigentliche Stärke entfaltet sie erst im Zusammenspiel mit den Akteuren und Vertrauensmechanismen dahinter. Genau hier kommt der Vertrauensdiensteanbieter ins Spiel: nicht als Randfigur, sondern als zentraler Enabler für qualifizierte Nachweise, Signaturen, Siegel und weitere Dienste, die digitale Prozesse belastbar und prüfbar machen.

Für Unternehmen und Behörden bedeutet das: Wer die EUDI Wallet sinnvoll nutzen will, sollte nicht nur über Wallet-Funktionen sprechen, sondern auch über Vertrauensniveaus, Rollen, Nachweise und rechtssichere Prozessschritte. Erst dann wird aus einer Wallet mehr als ein technischer Container für Daten. Dann wird sie Teil einer Infrastruktur, die digitale Identität wirklich nutzbar macht.

Als qualifizierter Vertrauensdiensteanbieter bewegen wir uns genau an dieser Schnittstelle zwischen Wallet, Nachweisen, Signaturen, Siegeln und vertrauenswürdiger Infrastruktur. Wenn du also überlegst, selbst an der EUDI Wallet mitzuwirken oder mehr darüber erfahren möchtest, freuen wir uns über einen Austausch mit dir.