Der Aggregator-Vorteil: Warum kluge Unternehmen kein eigenes WRPAC beantragen

Im eIDAS-2.0-Compliance-Umfeld läuft gerade eine stille, aber grundlegende Veränderung. Während einige Unternehmen sich darauf vorbereiten, sich als Relying Party zu registrieren und eigene WRPAC-Zertifikate zu betreiben, stellt eine zunehmend strategisch denkende Gruppe eine andere Frage: "Warum sollten wir Compliance-Infrastruktur selbst aufbauen, wenn ein spezialisierter Anbieter das für uns übernehmen kann?"

Die Antwort liegt in Artikel 5b(10) der Verordnung (EU) 2024/1183 - einer Regelung, die Intermediären ausdrücklich erlaubt, im Namen von Händlern als Relying Party zu agieren. Das ist weder Umgehung noch Notlösung, sondern ein zentraler Baustein der EUDI-Wallet-Architektur.

Sehen wir uns an, warum das Aggregator-Modell für Unternehmen, die EUDI-Wallet-Verifizierung ohne eigenen Compliance-Aufwand wollen, zum Standardansatz wird.

Das Intermediärsmodell: Artikel 5b(10) verständlich erklärt

So lautet der Kern von Artikel 5b(10) (englische Sprachfassung):

"A relying party may rely on a service provided by an intermediary for the purposes of requesting and validating attributes from European Digital Identity Wallets... The intermediary shall be registered in accordance with paragraph 1 and shall comply with the obligations set out in this Article."

Einfach gesagt: Sie können einen Anbieter beauftragen, der die Rolle der Relying Party für Sie übernimmt.

Genau das ist politisch gewollt. Die Europäische Kommission hat erkannt, dass eine Pflicht zur Einzelregistrierung für jedes kleine Unternehmen, jeden Onlineshop und jede altersbeschränkte Website administrativ kaum handhabbar wäre. Aggregatoren lösen dieses Problem mit Compliance als Dienstleistung.

So funktioniert es technisch

Wenn Sie einen Aggregator wie eIDAS Pro nutzen:

1. Der Aggregator (eIDAS Pro) hält das WRPAC-Access-Zertifikat - diese Berechtigung ermöglicht die technische Kommunikation mit EUDI Wallets
2. Sie (der Händler) erhalten ein vom Aggregator verwaltetes Registrierungszertifikat - damit sind Ihr konkreter Anwendungsfall und Ihre Identität dokumentiert
3. Die Wallet des Nutzers zeigt beide Identitäten - Transparenz bleibt vollständig erhalten: "eIDAS Pro handelt im Auftrag von [Ihr Unternehmensname]"
4. Sie nutzen eine API - die Integration erfolgt per API-Aufruf oder JavaScript-Widget, ohne OpenID4VP-Implementierung, Trust-List-Management oder Zertifikatserneuerungen

Ihre Identität wird dabei nicht verschleiert. Nutzer sehen klar, wer Daten anfragt und wer die technische Vermittlung übernimmt. Volle Transparenz - ohne zusätzlichen Compliance-Aufwand auf Ihrer Seite.

Der aktuelle Stand: Februar 2026

Bevor wir tiefer einsteigen, lohnt ein präziser Blick auf die Lage:

Was bereits vorliegt

• ETSI TS 119 475 für WRPAC-Zertifikate (veröffentlicht im Oktober 2025)
• Artikel-5b-Regelwerk in der eIDAS-Verordnung (EU) 2024/1183
• Frist Dezember 2026 für die Verfügbarkeit von EUDI Wallets bestätigt
• Frist Dezember 2027 für verpflichtende Compliance in regulierten Sektoren

Was noch nicht operativ ist

• Keine RP-Registrierungsinfrastruktur in einem Mitgliedstaat produktiv (Stand Februar 2026)
• Noch keine QTSP-Ausstellung von WRPAC-Zertifikaten (Ausstellung erst nach RP-Registrierung möglich)
• Erwarteter Zeitrahmen: Registrierungsinfrastruktur Mitte 2026, Produktionsstart Dezember 2026

Die Chance: Unternehmen, die heute im DEMO-Modus mit Aggregator-Services integrieren, sind zum Produktionsstart im Dezember 2026 sofort einsatzbereit - ohne Registrierungsstress. Wer bis dahin auf Eigenumsetzung wartet, muss technische Integration und Compliance gleichzeitig unter Zeitdruck bewältigen.

So funktioniert der Produktionsbetrieb ab Dezember 2026

Betrachten wir die Zielarchitektur, sobald Aggregatoren mit realen WRPAC-Zertifikaten live gehen.

Die Aggregator-Seite (eIDAS Pro)

eIDAS Pro wird:

• sich als Intermediär-RP in Luxemburg registrieren, sobald die Infrastruktur verfügbar ist
• ein WRPAC-Access-Zertifikat von einem qualifizierten QTSP beziehen
• Vertrauenslisten (Trust Lists) aus allen 27 EU-Mitgliedstaaten integrieren
• OpenID4VP für die Wallet-Kommunikation implementieren
• 27+ nationale Wallet-Implementierungen abdecken (jedes Land mit eigener App)
• Zertifikatsverlängerungen und laufende Compliance übernehmen

Registrierung in Luxemburg bedeutet dank Passporting (Artikel 5b): gültig in allen 27 Mitgliedstaaten. Eine Registrierung, EU-weite Wirksamkeit.

Ihre Seite (der Händler)

Sie:

• senden eine API-Anfrage mit dem Verifizierungsziel (z. B. "Alter über 18 verifizieren")
• erhalten das Ergebnis (Erfolg/Fehlschlag und offengelegte Attribute)
• zeigen den QR-Code für Nutzer an (oder starten mobil per Deep Link)
• verarbeiten die Antwort in Ihrem Anwendungsablauf

Mehr ist nicht nötig: keine Zertifikate, keine Protokollimplementierung, keine Trust-List-Integration, kein eigenes regulatorisches Reporting.

Das Nutzererlebnis

Wenn ein Nutzer den Verifizierungs-QR-Code mit der EUDI-Wallet-App scannt:

1. Die Wallet zeigt: "eIDAS Pro handelt im Auftrag von [Ihr Unternehmensname]"
2. Der Nutzer sieht die angefragten Attribute (z. B. "Alter über 18")
3. Der Nutzer autorisiert per Biometrie oder PIN
4. Die Wallet sendet die Antwort an eIDAS Pro
5. eIDAS Pro leitet das Ergebnis an Ihr System weiter

Transparenz bleibt erhalten. Datenschutz bleibt gewahrt. Compliance wird übernommen.

Was Händler durch einen Aggregator einsparen

Hier wird konkret, was Sie vermeiden:

1. Registrierung als Relying Party

DIY-Ansatz:

• Registrierung im nationalen Behördenportal (je Land unterschiedlich)
• Vorbereitung von Rechtsdokumenten und Zweckangaben
• Antragstellung inkl. Gebühren
• Warten auf Genehmigung (zeitlich schwer planbar)
• Laufende Anpassungen bei Änderungen des Anwendungsfalls

Aggregator-Ansatz:

• Nichts davon. Wir übernehmen die Registrierung. Sie liefern nur Unternehmensdaten und Anwendungsfall.

Ersparnis: 2-4 Wochen Verwaltungsaufwand plus laufender Compliance-Aufwand

---

2. Beschaffung des WRPAC-Zertifikats

DIY-Ansatz:

• Auswahl eines Qualified Trust Service Providers (QTSP)
• Durchlaufen von Identitätsprüfung und Onboarding beim QTSP
• Erwerb des WRPAC-Access-Zertifikats (Preis noch nicht veröffentlicht, voraussichtlich 500-5.000 EUR/Jahr)
• Verwaltung von Lebenszyklus und Erneuerung
• Revocation- und Austauschprozesse im Fehlerfall

Aggregator-Ansatz:

• Wir halten die Zertifikate. Sie zahlen für Verifizierungstransaktionen, nicht für Zertifikate.

Ersparnis: Zertifikatskosten und operativer Verwaltungsaufwand

---

3. Integration nationaler Vertrauenslisten

Hier steigt die Komplexität massiv.

DIY-Ansatz:

• Integration von 27+ nationalen Wallet-Implementierungen
• Jeder Mitgliedstaat hat eigene Wallet-Apps (z. B. ID Austria, Smart-ID, BankID)
• Umgang mit mehreren Credential-Formaten: SD-JWT VC und mdoc (ISO/IEC 18013-5)
• Korrekte OpenID4VP-Implementierung
• Parsing und Validierung selektiv offengelegter Credentials
• Monitoring von Vertrauenslisten auf Zertifikatsänderungen bei Issuern
• Umgang mit Protokolländerungen und potenziell brechenden Updates

Aggregator-Ansatz:

• Wir integrieren einmal in alle Wallets. Sie integrieren einmal in unsere API.

Ersparnis im Entwicklungsaufwand: 6-12 Monate Engineering plus laufende Wartung

---

4. Laufendes regulatorisches Reporting

DIY-Ansatz:

• Meldung von Änderungen an die nationale Behörde bei Anpassungen des Anwendungsfalls
• Sicherstellung der laufenden Registerkonsistenz
• Reaktion auf Rückfragen, Prüfungen oder Audits
• Kontinuierliche Beobachtung von Implementing Acts und technischen Standards
• Nachweisführung für interne und externe Audits

Aggregator-Ansatz:

• Wir übernehmen das regulatorische Reporting. Sie konzentrieren sich auf Ihr Kerngeschäft.

Ersparnis im Betrieb: eigenes Compliance-Personal oder erheblicher Managementaufwand

---

Passporting-Vorteil: Eine Registrierung, 27 Länder

Warum gerade Luxemburg-basierte Aggregatoren attraktiv sind:

Nach Artikel 5b der eIDAS-2.0-Regelung gilt eine Registrierung als Relying Party in einem Mitgliedstaat in allen 27 EU-Mitgliedstaaten. Das ist das Passporting-Prinzip.

Konkret bedeutet das:

• eIDAS-Pro-Registrierung in Luxemburg = gültig für Händler aus jedem EU-Land
• Ein deutscher Onlineshop kann eIDAS Pro nutzen, ohne eigene Registrierung in Deutschland
• Ein italienisches Fintech kann eIDAS Pro nutzen, ohne eigene Registrierung in Italien
• Ein spanischer Marktplatz kann eIDAS Pro nutzen, ohne eigene Registrierung in Spanien

Ein Aggregator. Eine API. Ganz Europa.

Das unterscheidet sich grundlegend von fragmentierten Ansätzen mit separaten Compliance-Strängen je Land. Passporting macht das EUDI-Ökosystem von Beginn an praktisch paneuropäisch nutzbar.

Jetzt bauen, später produktiv: Der strategische Zeitvorteil

Der Aggregator-Ansatz bietet einen klaren Zeitvorteil.

Heute (Februar 2026) - DEMO-Modus

Sie können sofort integrieren:

• Vollständigen Verifizierungsfluss mit Auto-Completion (3 Sekunden) testen
• Benutzeroberfläche und Anwendungslogik aufbauen
• Teams frühzeitig auf den neuen Ablauf schulen
• Null Risiko, null Kosten in der Entwicklungsphase

Mitte 2026 - Tests im MOCK-Modus

Für realitätsnähere Tests ermöglicht MOCK:

• Simulation realistischer Wallet-Interaktionen ohne echte Credentials
• Test von Erfolgs- und Fehlerszenarien
• Validierung von Fehlerbehandlung und Randfällen
• Produktionsvorbereitung mit hoher Sicherheit

Dezember 2026 - Produktionsstart

Sobald EUDI Wallets live sind:

• Ein Schalterwechsel von DEMO/MOCK auf Produktion
• Verifizierung realer Nutzer mit realen EUDI Wallets
• Kein Last-Minute-Stress. Keine Compliance-Panik. Keine Ausfallzeiten.

Im Vergleich dazu der DIY-Weg:

• Warten auf Registrierungsinfrastruktur (Mitte 2026)
• RP-Antragstellung (Dauer unklar)
• WRPAC-Beschaffung (2-4 Wochen)
• Technische Umsetzung (6-12 Monate)
• Und alles parallel unter Deadlinedruck bis Dezember 2026

Der Aggregator-Vorteil: Heute beginnen, morgen produktionsbereit sein.

Kostenvergleich: DIY vs. Aggregator

Eine konzeptionelle Rechnung (konkrete WRPAC-Preise sind noch nicht öffentlich):

DIY-WRPAC (geschätzte Jahreskosten)

• WRPAC-Access-Zertifikat: 500-5.000 EUR/Jahr (QTSP-Preis noch offen)
• RP-Registrierungsgebühren: 100-1.000 EUR/Jahr (je Mitgliedstaat unterschiedlich)
• Engineering-Ressourcen: 100.000+ EUR (6-12 Monate Entwicklung)
• Laufende Wartung: 30.000-50.000 EUR/Jahr (Compliance-Ressourcen, technische Pflege)
• Opportunitätskosten: Abzug von Engineering-Kapazität vom Kernprodukt

Gesamtkosten Jahr 1 (geschätzt): 150.000-200.000+ EUR

---

Aggregator-Modell (transaktionsbasiert)

• Keine Registrierungsgebühren - wir übernehmen sie
• Keine Zertifikatsbeschaffung - wir halten das WRPAC
• Minimaler Entwicklungsaufwand - einfache API-Integration (1-2 Tage)
• Zahlung pro Verifizierung - skaliert mit Nutzung statt fixer Vorhaltekosten

Gesamtkosten Jahr 1 (geschätzt): 1.000-20.000 EUR je nach Transaktionsvolumen

Für die meisten Unternehmen ist das Aggregator-Modell in Jahr 1 um den Faktor 10-20 wirtschaftlicher und spart danach typischerweise weiterhin 50-70 % pro Jahr.

Datenverarbeitung: Zustandslose Verarbeitung und Compliance

Eine häufige Frage lautet: "Wenn der Aggregator meine Verifizierungen verarbeitet, hat er dann Zugriff auf personenbezogene Daten meiner Nutzer?"

Kurzantwort: Nein.

Aggregatoren unter Artikel 5b(10) unterliegen denselben Grundsätzen von Datenminimierung und Datenschutz wie jede Relying Party.

So verarbeiten Aggregatoren Daten

1. Nutzer autorisiert die Verifizierung in der Wallet-App
2. Wallet übermittelt offengelegte Attribute an den Aggregator (eIDAS Pro)
3. Aggregator validiert kryptografische Signaturen und Trust Chains
4. Aggregator leitet das Ergebnis an den Händler weiter (Ihr System)
5. Aggregator löscht personenbezogene Daten unmittelbar (zustandslose Verarbeitung)

eIDAS Pro speichert:

• Audit-Log: Verifizierung erfolgt, Zeitstempel, Händler-ID, angefragte Attributtypen (nicht deren Werte)
• Nicht gespeichert werden: Namen, Geburtsdaten, Adressen, Ausweisnummern oder sonstige personenbezogene Daten

Das ist unter Artikel 5b verpflichtend. Eine Datenspeicherung auf Vorrat wäre mit DSGVO und eIDAS unvereinbar.

Zwei Wege nach vorn: Aggregator vs. eigenes WRPAC

Wann lohnt sich ein eigenes WRPAC tatsächlich?

Aggregator wählen, wenn:

• Sie ein kleines bis mittelgroßes Unternehmen ohne eigenes Compliance-Team sind
• Ihr Verifizierungsvolumen unter 1 Million Transaktionen/Jahr liegt
• Sie schnell in den Markt möchten (Tage statt Monate)
• Sie operative Einfachheit höher gewichten als maximale technische Kontrolle
• Sie zunächst einen klaren Anwendungsfall integrieren (Alter, Identität, Nachweise)

Fazit: Für etwa 90 % der Unternehmen ist das der sinnvollste Weg.

---

Eigenes WRPAC, wenn:

• Sie ein großes Unternehmen mit internen Compliance- und Rechtsteams sind
• Ihr Volumen mehrere Millionen Transaktionen pro Jahr umfasst
• Sie aus regulatorischen oder strategischen Gründen vollständige technische Kontrolle brauchen
• Sie komplexe, hochspezifische Anwendungsfälle mit tiefer Integration umsetzen
• Sie bereit sind, 6-12 Monate und 150.000+ EUR im ersten Jahr zu investieren

Fazit: Für Fintechs, Telkos oder sehr große E-Commerce-Plattformen mit entsprechenden Ressourcen kann DIY sinnvoll sein.

---

Weg 3: Beratungsunterstützung

Wenn Sie zwischen beiden Optionen stehen, gibt es einen Mittelweg:

• Beratungsleistungen nutzen (z. B. die Advisory-Angebote von eIDAS Pro), um Dokumentationspakete für die nationale RP-Registrierung zu erhalten
• Technische Begleitung zu OpenID4VP, SD-JWT VC, mdoc und Trust-List-Integration erhalten
• Volle Kontrolle behalten und gleichzeitig von Expertenwissen profitieren

Dieser Weg bedeutet: Sie registrieren im eigenen Land mit bereitgestellter Dokumentation, kontrollieren das WRPAC selbst und reduzieren das Risiko durch professionelle Begleitung.

Fazit: Der Aggregator-Vorteil

Das Aggregator-Modell ist kein Kompromiss, sondern eine strategische Entscheidung auf Basis einer einfachen Realität:

Compliance-Infrastruktur ist notwendige Basisarbeit - aber kein Differenzierungsmerkmal.

Ein eigenes WRPAC-Compliance-System macht Ihr Produkt nicht automatisch besser. Es differenziert Sie nicht per se vom Wettbewerb. Es begeistert Kunden selten direkt. Es ist Pflichtprogramm - wichtig, aber nicht Ihr Kernhebel.

Strategisch entscheidend ist dagegen:

• schnell im Markt zu sein
• Engineering-Ressourcen auf das Kernprodukt zu fokussieren
• Verifizierung zu skalieren, ohne Compliance-Kosten im selben Maß zu skalieren
• regulatorische Risiken durch erprobte, auditierte Systeme zu reduzieren

Die Gewinner im EUDI-Wallet-Zeitalter sind nicht die Unternehmen mit der aufwendigsten Compliance-Infrastruktur. Es sind diejenigen, die am schnellsten integrieren, am klarsten iterieren und konsequent am Kundennutzen arbeiten - während Spezialisten die regulatorische Komplexität übernehmen.

Artikel 5b(10) existiert aus gutem Grund. Nutzen Sie ihn.

---

Bereit, loszulegen? eIDAS Pro bietet frühen Anwendern bereits jetzt Zugang zum DEMO-Modus. Integrieren Sie heute im DEMO-Modus, testen Sie im MOCK-Modus und wechseln Sie im Dezember 2026 in den Produktivbetrieb - ohne eigene Registrierungslast.

Jetzt Integration starten | Mehr zu WRPAC-Anforderungen

Verwandte Artikel

Was ist WRPAC und warum jedes Online-Unternehmen bis Dezember 2026 eines braucht

Die Frist im Dezember 2026 rückt näher. Erfahren Sie, was WRPAC-Zertifikate sind und warum Ihr Unternehmen jetzt Compliance aufbauen sollte.

8 Min. Lesezeit

eIDAS 2.0 Registrierung als Relying Party: Der vollständige Leitfaden

Alles, was Sie über die Registrierung als Relying Party nach Artikel 5b der eIDAS-Verordnung 2024/1183 wissen müssen.

12 Min. Lesezeit