EUID-Wallet und der Tresor im Handy
Bis Ende 2026 muss jeder EU-Mitgliedstaat seinen Bürgerinnen und Bürgern eine digitale Brieftasche anbieten, die EUDI-Wallet. Ausweis, Führerschein, später auch Diplome oder Gesundheitsnachweise sollen darin liegen und EU-weit anerkannt sein. Das klingt nach einem großen Schritt Richtung digitale Selbstbestimmung. Bei näherem Hinsehen zeigt sich ein unbequemes Detail: Der sicherste Teil dieser europäischen Lösung liegt in einem winzigen Chip, den nicht Europa kontrolliert, sondern Apple und Google.
Was ist die EUDI-Wallet?
Grundlage für das Projekt ist die überarbeitete eIDAS-Verordnung, offiziell Verordnung (EU) 2024/1183, in Kraft seit Mai 2024. Sie verpflichtet alle 27 Mitgliedstaaten, bis Ende 2026 mindestens eine European Digital Identity Wallet bereitzustellen. Ab 2027 müssen öffentliche Stellen sie akzeptieren, ein Jahr später auch viele private Unternehmen in regulierten Branchen wie Banken, Versicherungen und Telekom.
Statt für jeden Dienst ein eigenes Konto, statt Ausweiskopien per Mail und statt Datenberge bei jedem Anbieter zeigst du künftig nur noch das, was gerade nötig ist. Beim Online-Kauf von Alkohol reicht der Nachweis "über 18", ohne Name, ohne Geburtsdatum, ohne Adresse.
Datensparsamkeit ist einer der stärksten Punkte des Konzepts.
Warum braucht es einen Tresor?
Damit so ein digitaler Ausweis wirklich vertrauenswürdig ist, verlangt die Verordnung das höchste Sicherheitsniveau, im Fachjargon "Level of Assurance High". Vereinfacht heißt das: Der Ausweis darf sich nicht kopieren lassen, er muss fest an genau dein Gerät gebunden sein, und niemand darf die kryptografischen Schlüssel auslesen können, auch nicht mit großem Aufwand.
Software allein schafft das nicht. Dafür braucht es einen sicheren Ort in der Hardware, einen kleinen, abgeschotteten Chip, der wie ein Tresor funktioniert. Die Schlüssel gehen dort hinein, aber nie wieder heraus. Alle heiklen Rechenschritte passieren innerhalb der Tresorwände. In der EU-Architektur heißt dieser Baustein Wallet Secure Cryptographic Device, kurz WSCD. Merken muss man sich den Begriff nicht, das Prinzip schon: Ohne sicheren Hardware-Tresor kein hohes Vertrauensniveau.
Und genau hier sitzen Apple und Google
Alle modernen Smartphones haben so einen Tresor eingebaut. Bei Apple heißt er Secure Enclave, bei Android StrongBox. Beide sind in der offiziellen EU-Referenzarchitektur ausdrücklich als mögliche Umsetzung des WSCD genannt. Der Haken steckt in einem einzigen Halbsatz der Spezifikation: Der Zugang zu diesem Tresor wird über das Betriebssystem des Geräts vermittelt.
Übersetzt bedeutet das: Nicht der Staat und nicht der Wallet-Anbieter entscheiden, ob und wie eine App den Tresor nutzen darf, sondern Apple auf dem iPhone und Google auf Android.
Sie halten den Schlüssel zur Schlüsselkammer. Eine europäische Wallet-App kann noch so quelloffen und sauber gebaut sein, ihr Sicherheitsanker hängt am Wohlwollen und an den technischen Vorgaben zweier US-Konzerne.
Dazu kommt eine fachliche Debatte, die den Spielraum weiter einengt. Teile der europäischen Sicherheitsindustrie bezweifeln, dass der eingebaute Chip allein überhaupt für das Niveau High ausreicht. Die Interessenvertretung Eurosmart etwa argumentiert, eine rein native Lösung erreiche High nicht. Als Alternativen bleiben ein separater Sicherheitschip wie in der eSIM, oder ein Tresor in der Cloud, ein sogenanntes Remote-HSM. Beide Wege haben Nachteile: mehr Komplexität, Abhängigkeit von weiteren Anbietern, und beim Cloud-Tresor funktioniert der Ausweis ohne Internetverbindung nur eingeschränkt.
Nicht nur der Tresor, auch die Tür
Die Abhängigkeit endet nicht beim Speichern. Auch beim Vorzeigen des Ausweises führt der Weg über die Plattformen.
Will eine Website online deine Identität prüfen, nutzt sie dafür die Digital Credentials API, einen neuen Browser-Standard. Auf dem iPhone läuft das über Apples Framework IdentityDocumentServices und Safari, auf Android über Googles Credential Manager und Chrome. Chrome hat die Schnittstelle im Oktober 2025 standardmäßig aktiviert, Safari zog zeitgleich mit iOS 26 nach. Beim Vorzeigen vor Ort, etwa per Funk an einem Lesegerät, kommt der NFC-Zugang ins Spiel, den ebenfalls die Plattformen kontrollieren.
Egal ob Speicherort oder Präsentationsweg: Apple und Google sitzen an beiden Toren.
Beide Konzerne bauen ihr eigenes Angebot parallel dazu aus. Apple erlaubt US-Bürgern seit Ende 2025, aus dem Reisepass eine Digital ID in der Apple Wallet zu erzeugen. Google hat 2026 in der EU digitale Ausweise und Altersnachweise in Google Wallet erweitert. Das ist praktisch für die Nutzer, verschiebt aber Gewicht weiter zu den Plattformen, während die staatliche EU-Wallet erst startet.
Wo steht Österreich (Stand Juli 2026)?
Österreich baut nicht bei null auf, sondern entwickelt zwei bestehende Apps weiter. Die eID Austria mit rund drei Millionen Nutzern deckt Online-Fälle ab und kann heute schon vieles, was die EUDI-Wallet verlangt. Die App eAusweise mit etwa einer Million Nutzern ist für den Führerschein und das Vorzeigen vor Ort gedacht. Als technische Basis hat das A-SIT Plus eine quelloffene Wallet namens Valera entwickelt, die in den EU-Pilotprojekten getestet wird und später in den Regelbetrieb wandern soll.
Das Bundeskanzleramt hat im Herbst 2025 bestätigt, dass die bestehende Infrastruktur schrittweise zur EUDI-Wallet ausgebaut wird. Ein verbindliches öffentliches Startdatum für die zertifizierte Wallet gibt es aber noch nicht. Deutschland peilt zum Vergleich den 2. Januar 2027 an.
Der quelloffene Ansatz mit Valera ist das Positive an der österreichischen Umsetzung. Er ändert aber nichts am Grundproblem: Auch Valera muss auf iPhone und Android durch dieselben zwei Türen.
Was bedeutet das bei der Nutzung?
Für Nutzerinnen oder Nutzer wird die EUDI-Wallet funktionieren, und sie wird in vielen Alltagslagen bequemer und datensparsamer sein als heutige Verfahren. Das ist ein echter Fortschritt.
Für Unternehmen lohnt sich der Blick auf die Fristen. Wer in einer regulierten Branche Kundinnen und Kunden identifiziert, wird die Wallet ab 2027 akzeptieren müssen. Die eigenen Onboarding- und Prüfprozesse jetzt darauf vorzubereiten, erspart später Hektik.
Und für die politische Ebene und die aktuelle Souveränitätsdebatte gibt es weiterhin Diskussionsbedarf: Europa baut zwar eine eigene, standardbasierte und teils quelloffene Wallet, verlässt sich beim entscheidenden Sicherheitsanker und bei der Präsentationsschnittstelle aber weiterhin auf die Plattformentscheidungen von Apple und Google. Digitale Souveränität endet an der Tresortür, solange kein EU-Recht einen erzwingbaren, zertifizierbaren und diskriminierungsfreien Zugang zu dieser Hardware auf hohem Sicherheitsniveau garantiert. Genau dort, nicht bei der App selbst, wird sich zeigen, wie souverän die europäische Lösung wirklich ist.
Quellen und weiterführende Links
- Verordnung (EU) 2024/1183 (eIDAS 2.0), Volltext auf EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1183/oj
- EUDI Wallet, Architecture and Reference Framework (ARF): https://eudi.dev/
- ARF, Abschnitt zu WSCD und lokalen Sicherheitslösungen (Secure Enclave, StrongBox): https://eudi.dev/1.4.0/arf/
- Eurosmart, Positionspapier zu den Sicherheitsanforderungen der EUDI-Wallet: https://www.eurosmart.com/eurosmarts-position-paper-on-security-considerations-for-the-european-digital-identity-wallet/
- GlobalPlatform, Secure Elements als Grundlage der EUDI-Wallet: https://globalplatform.org/eu-digital-identity-wallets-security-reach-and-convenience-with-secure-elements/
- EUDI Wallet, Android-Referenzbibliothek mit StrongBox-Nutzung: https://github.com/eu-digital-identity-wallet/eudi-lib-android-wallet-core
- A-SIT Plus, Open-Source-Wallet Valera und weitere Ressourcen: https://a-sit-plus.github.io/
- Apple, Digital ID in Apple Wallet (Support): https://support.apple.com/en-us/123719
- Apple, Framework IdentityDocumentServices (Entwicklerdoku): https://developer.apple.com/documentation/IdentityDocumentServices
- WebKit, Online-Identitätsprüfung mit der Digital Credentials API: https://webkit.org/blog/17431/online-identity-verification-with-the-digital-credentials-api/
- Biometric Update, Google erweitert Wallet um digitale Ausweise in der EU: https://www.biometricupdate.com/202606/google-expands-wallet-with-digital-ids-and-age-credentials-in-eu
- Überblick zum Länderstand der EUDI-Wallet-Umsetzung: https://www.signicat.com/blog/eudi-wallets-only-one-year-to-launch
- Einordnung ID Austria und EUDI-Wallet für österreichische Unternehmen: https://focus.namirial.com/de/id-austria-business-wallet/