Close

Relying Party werden: Was Unternehmen jetzt tun müssen, um Wallet-Nachweise rechtsgültig zu akzeptieren

Unternehmen, die EUDI-Wallet-Nachweise akzeptieren möchten, müssen als Relying Party registriert und technisch vorbereitet sein. Was das konkret bedeutet – und welche Fehler Sie vermeiden sollten
Lesezeit: 4 Minuten
Inhaltsindex

Kurz erklärt

Eine Relying Party ist jedes Unternehmen oder jede Organisation, die digitale Nachweise aus einer EUDI-konformen Wallet entgegennimmt und darauf vertraut – etwa zur Identitätsprüfung, Altersverifikation oder Bonitätsprüfung. Um Wallet-Präsentationen rechtsgültig akzeptieren zu können, reicht technisches Können allein nicht aus: Die Relying Party muss bei der zuständigen nationalen Aufsichtsbehörde registriert sein und ein sogenanntes Wallet Relying Party Access Certificate (WRPAC) vorweisen – ausgestellt von einem qualifizierten Vertrauensdiensteanbieter (QVAD). Ohne diese Einbindung zeigt die Wallet der nutzenden Person eine Warnung an – oder verweigert die Präsentation vollständig.

Ein Szenario, das häufiger wird

Ihr Unternehmen möchte den Onboarding-Prozess für neue Kundschaft digitalisieren? Statt Ausweiskopien per E-Mail oder aufwändige VideoIdent-Sitzungen soll künftig in den meisten Fällen die EUDI Wallet genügen – ein Klick, eine Bestätigung, fertig. Die technische Infrastruktur steht, die App ist integriert, der Launch-Termin ist gesetzt.

Dann meldet das interne IT-Team: Die Wallet lehnt die Verbindung zu Ihrer Anwendung ab. Kein Zertifikat, keine Registrierung, kein Vertrauen.

Dieses Szenario ist kein Einzelfall. Es zeigt exemplarisch, wo viele Unternehmen derzeit stehen: technisch motiviert, regulatorisch noch nicht vorbereitet.

Was es bedeutet, Relying Party zu sein

Die Rolle der Relying Party ist in Artikel 5b der eIDAS-Verordnung (EU) 2024/1183 klar definiert. Wer Attribute aus einem EUDI-Wallet entgegennehmen möchte, muss sich gegenüber dem Ökosystem authentifizieren – und zwar auf eine Art und Weise, die der nutzenden Person Transparenz darüber verschafft, wer ihre Daten empfängt und zu welchem Zweck.

Der Prozess läuft in zwei Schritten: Zunächst erfolgt die Registrierung bei der nationalen Aufsichtsbehörde des Niederlassungsmitgliedstaats. Dort werden Unternehmensdaten, beabsichtigte Anwendungsfälle und die Rechtsgrundlage für jeden angeforderten Attributtyp hinterlegt. Auf Basis dieser Registrierung kann dann ein QTSP das WRPAC-Zertifikat ausstellen – das kryptografische Authentifizierungsmittel, mit dem sich die Relying Party gegenüber einer Wallet ausweist.

Ein entscheidender Vorteil des Systems: Die Registrierung in einem EU-Mitgliedstaat gilt durch das Passporting-Prinzip automatisch in allen 27 Mitgliedstaaten. Wer sich in Deutschland registriert, kann damit auch Nachweise österreichischer, französischer oder spanischer Wallet-Inhaberinnen und -Inhaber rechtsgültig verifizieren – ohne separate Registrierung pro Land.

Wichtig zu wissen: Relying Parties benötigen für diesen Prozess keine eigene Hardware Security Modules (HSMs) oder Qualified Signature Creation Devices (QSCD). Diese sind den Wallet-Anbietern und Nachweisausstellern vorbehalten. Das WRPAC wird von einem QTSP ausgestellt, der die notwendige Hardware betreibt – die Relying Party nutzt das Zertifikat, mehr nicht.

Die häufigsten Fehler – und warum sie teuer werden

In der Praxis zeigen sich immer wieder ähnliche Stolpersteine.

Fehler 1: Technologie vor Registrierung
Viele Projekte starten mit der technischen Integration – OpenID4VP-Protokoll, mdoc-Parser, App-Anbindung – und verschieben die Registrierung als Relying Party auf später. Doch ohne gültiges Zertifikat und Eintragung in das nationale oder europäische Trusted-List-System fehlt die Grundlage. Die Wallet wird die Verbindung ablehnen oder zumindest als „nicht verifiziert” kennzeichnen.

Fehler 2: Datenschutz als Nachgedanke
Die DSGVO-konforme Gestaltung des Attribute-Request ist kein optionales Add-on. Welche Daten wirklich benötigt werden, muss im Vorfeld definiert und dokumentiert sein. Wer hier zu weit greift oder die Zweckbindung nicht nachweisen kann, riskiert nicht nur regulatorische Konsequenzen – er verliert auch das Vertrauen der Nutzenden.

Fehler 3: Keine Governance-Struktur
Wallet-Interaktionen sind Vertrauensakte. Unternehmen, die keine internen Prozesse für das Lifecycle-Management ihrer Zertifikate etablieren – Ausstellung, Erneuerung, Widerruf –, stehen spätestens beim ersten Ablaufdatum vor einem operativen Problem. Eine Signatur oder Authentifizierung, die auf einem abgelaufenen Zertifikat basiert, ist rechtlich wertlos.

Fehler 4: Unterschätzung der Interoperabilitätsfrage
Das EUDI-Ökosystem ist in der Entstehung. Wallet-Anbieter, nationale Trusted Lists, Attribut-Schemata – all das befindet sich noch in der Abstimmung. Wer heute integriert, muss morgen eventuell nachziehen. Ohne Monitoring und Anpassungsbereitschaft entsteht schnell technische Schuld.

Was heute Mindestanforderung ist

Die Mindestanforderungen für eine rechtsgültige Relying-Party-Integration lassen sich heute in drei Bereichen benennen:

Technisch: Eine konforme Implementierung des OpenID for Verifiable Presentations-Protokolls (OpenID4VP) ist Grundvoraussetzung. Hinzu kommen die Fähigkeit zur Verarbeitung von ISO 18013-5 (mdoc/mDL) sowie W3C Verifiable Credentials in verschiedenen Formaten, je nach Anwendungsfall.

Rechtlich-regulatorisch: Die Registrierung als Relying Party muss über einen anerkannten Vertrauensdiensteanbieter erfolgen. Das Zertifikat, das dabei ausgestellt wird, bildet die Basis für die kryptografische Authentifizierung gegenüber der Wallet. Zusätzlich muss eine Datenschutz-Folgenabschätzung (DPIA) vorliegen, wenn besondere Kategorien personenbezogener Daten verarbeitet werden.

Organisatorisch: Interne Verantwortlichkeiten müssen klar geregelt sein – wer ist für die Zertifikatsverwaltung zuständig, wer prüft Änderungen in den technischen Spezifikationen, wer kommuniziert mit dem Wallet-Ökosystem? Ohne diese Governance-Struktur bleibt die Compliance fragil.

Wo qualifizierte Vertrauensdienstleister den Unterschied machen

An genau diesem Punkt setzen qualifizierte Vertrauensdienstleister (QVADs) an. Sie sind in den Trusted-List-Systemen der Mitgliedstaaten gelistet und können Relying-Party-Zertifikate rechtsgültig ausstellen – das ist keine Selbstverständlichkeit.

Darüber hinaus verfügen erfahrene QVADs über das regulatorische Know-how, um den gesamten Prozess zu begleiten: von der Klärung, welche Attribute für welchen Anwendungsfall überhaupt abgerufen werden dürfen, über die technische Einbindung bis hin zur laufenden Pflege der Zertifikatsinfrastruktur. Für Unternehmen, die nicht dauerhaft eigene Expertise im Bereich qualifizierter Vertrauensdienste aufbauen wollen oder können, ist die Zusammenarbeit mit einem QVAD oft der effizienteste Weg zur rechtswirksamen Wallet-Integration.

Das gilt besonders für regulierte Branchen – Finanzdienstleistungen, Versicherungen, Gesundheitswesen –, in denen die Anforderungen an Identitätsprüfung und Datenschutz besonders hoch sind und Fehler besonders weitreichende Konsequenzen haben.

Jetzt ist der richtige Zeitpunkt

Die EUDI Wallet wird kommen. In mehreren EU-Mitgliedstaaten laufen bereits Pilotprojekte, die ersten Large-Scale-Pilots haben konkrete Anwendungsfälle erprobt. Wer als Relying Party frühzeitig in die Infrastruktur eingebunden ist, verschafft sich einen entscheidenden Wettbewerbsvorteil: eine reibungslose User Experience, rechtliche Sicherheit von Tag eins – und das Vertrauen der Nutzenden.

Die technische Vorbereitung lohnt sich heute. Die regulatorische Einbindung auch.

Sie möchten wissen, was für Ihr Unternehmen konkret zu tun ist? Namirial begleitet Organisationen auf dem Weg zur rechtswirksamen Wallet-Integration – von der Zertifikatsausstellung bis zur technischen Einbindung. Sprechen Sie mit unseren Expertinnen und Experten oder fordern Sie eine individuelle Demo an.

Stichworte