EU-Altersverifikations-App: Fünf Mitgliedstaaten scheren in 48 Stunden aus — was Händler jetzt einplanen sollten

Was in neun Tagen passiert ist

Am 29. April 2026 hat die Europäische Kommission eine Empfehlung verabschiedet, nach der die Mitgliedstaaten bis zum 31. Dezember 2026 eine White-Label-Altersverifikations-App ausrollen sollen, anschluss­fähig an die EUDI Wallet, eingebettet in ein EU-Zertifizierungs­schema und eine Liste vertrauenswürdiger Anbieter. Binnen 48 Stunden hatten über Politico zugespielte Recherchen bei Biometric Update Deutschland, Irland, Frankreich, Polen und Estland auf Linie gebracht — entweder mit klarer Absage an die Kommissions-App oder mit Verweis auf eigene nationale Lösungen. Am 6. Mai war der Widerstand prozedural geworden: das in Brüssel zirkulierende Ratsdokument 8985/26 hat die Mitgliedstaaten­bedenken in den Ratsbetrieb eingespeist. Der griechische Digitalminister Dimitris Papastergiou hat die Lage in derselben Woche unverblümt zusammengefasst: „Es wird viele Wallets geben. Es spielt keine Rolle, ob es zwei, drei, fünf oder zehn Apps sind."

Für einen Händler, der Identitäts­prüfung im Checkout integriert, ist das keine Brüsseler Verfahrens­geschichte. Es ist ein Roadmap-Input. Die politische Fragmentierung dieser Woche legt die 2027er-Realität fest: viele Wallets, viele nationale Altersverifikations-Apps, kein einheitliches EU-Integrations­ziel. Unten steht, was der öffentliche Stand sagt — Land für Land — und was sich dadurch für vertrauende Beteiligte konkret ändert, die Artikel-5f-Flows planen.

Was die Kommission tatsächlich vorschlägt

Die Empfehlung vom 29. April hat drei Bestandteile, die man getrennt lesen muss, weil der Widerstand der Mitgliedstaaten sich nicht gegen alle drei richtet.

Bestandteil 1 — Eine White-Label-EU-App. Die Kommission hat zusammen mit einem Anbieterkonsortium eine herunter­ladbare Altersverifikations-App entwickelt, deren Quellcode die Mitgliedstaaten unter eigenem Branding wieder­ausrollen können. Die App soll die Lücke zwischen dem EUDI-Wallet-Verfügbarkeits­datum im Dezember 2026 und dem Zeitpunkt schließen, an dem nationale Wallets auch tatsächlich zum Konsumprodukt werden — ein Moment, der nach aktueller Datenlage in den meisten Mitgliedstaaten weit ins Jahr 2027 reicht. Die Empfehlung setzt für die App-Bereitstellung den 31. Dezember 2026 — denselben Tag, an dem die Wallet-Frist greift.

Bestandteil 2 — Ein EU-Schema für Altersverifikation. Rund um die App skizziert die Kommission ein Schema mit Zertifizierungs­regeln, einer Liste vertrauenswürdiger Anbieter und einem Datenschutz- und Sicherheits­standard, mit dem unter Artikel 5f Absatz 3 eIDAS 2 regulierte sehr große Online-Plattformen ihren Pflichten zur Altersprüfung nachkommen können.

Bestandteil 3 — Wallet-Anbindung. Die Kommission rahmt die App nicht als Konkurrenz, sondern als Übergangs­lösung: Bis 2027 sollen dieselben Alters­merkmale über die Selective-Disclosure-Mechanik der EUDI Wallet ausgestellt und vorgelegt werden, die Standalone-App entsprechend auslaufen.

Der Widerstand der Mitgliedstaaten richtet sich praktisch ausschließlich gegen Bestandteil 1. Bestandteile 2 und 3 — Schema und Wallet-Pfad — sind nicht das politische Konfliktfeld. Die Unterscheidung ist relevant, wenn man Presse­berichten begegnet, die diese Punkte in einen Topf werfen.

Der 48-Stunden-Bruch

Innerhalb von zwei Tagen nach der Empfehlung lagen fünf Mitgliedstaaten­positionen so deutlich vor, dass man von einem Bruch sprechen kann.

Deutschland — Absage an die Kommissions-App, Routing über die Wallet. Die deutsche Position, bei Biometric Update dokumentiert, lautet: Die Bundesrepublik wird die Kommissions-App gar nicht ausrollen. Die Altersverifikation läuft stattdessen mit dem Start der deutschen EUDI Wallet am 2. Januar 2027 über das Selective-Disclosure-Attribut der Wallet. Für Händler in Deutschland ist das das wichtigste Signal der Woche: Es ist kein Ausstieg aus der EU-Politik zur Altersverifikation. Es ist der Verzicht auf das Übergangs­artefakt zugunsten der Wallet-nativen Lösung — die der Bund schneller produktiv haben will. Wer seine Verifizierung über die Wallet plant, hat in Deutschland den einfacheren Integrations­pfad, nicht den schwereren.

Irland — Vorzug für national entwickelte Software. Irland hat klargestellt, eigene oder national beschaffte Software vorzuziehen. Die berichtete Begründung ist eine klassische Beschaffungs- und Verantwortlichkeits­präferenz und passt zur laufenden öffentlichen Konsultation zur Altersprüfung, die wir in unserem Beitrag zum irischen Pilotprogramm eingeordnet haben. Irland tendiert eher zu einem regulierten Anbietermodell als zu einer einzelnen staatlichen App.

Frankreich — souveräner Stack zuerst. Frankreich knüpft an seine bekannte Linie an, die auch hinter dem France-Identité-Programm steht: ein französischer Stack vor EU-gelieferten Werkzeugen. Die EU-Reporter-Berichterstattung zeigt: mehrere Mitgliedstaaten werden die EU-App in ihre Wallet integrieren statt sie als Standalone-Artefakt auszurollen — Frankreich ist dafür das deutlichste Beispiel.

Polen — nationale Alternative. Polen, das mit mObywatel bereits eine breit eingeführte staatliche App betreibt, signalisiert eine Vorliebe für national entwickelte Altersverifikation gegenüber einer umetikettierten EU-Variante. Die Logik in Warschau ist dieselbe wie in Paris: Ein Staat mit einer beliebten eigenen App wird kaum eine Parallel-App nach Brüsseler Zeitplan produktiv setzen.

Estland — Sicherheits­warnung. Estland hat die deutlichste Einzel­einrede formuliert. Nachdem das Demo der Kommissions-App zu Jahres­anfang 2026 innerhalb von zwei Minuten umgangen wurde — biometrischer Bypass — und Ende April eine weitere Schwachstelle im Live-Betrieb gemeldet wurde, hat die estnische Seite das Timing der Empfehlung als „große rote Flagge" markiert. Die estnische eID-Infrastruktur (mobile-ID, Smart-ID, e-Residency) ist in vielen Punkten reifer als das, was die EU-App heute bietet, und der politische Wille, ein weniger sicheres Parallel­artefakt aufzustellen, entsprechend gering.

Hinzu kommt Griechenland, wo Minister Papastergiou mit seiner öffentlichen Position — viele Wallets, viele Apps, kein zentraler Versagens­punkt — funktional eine sechste Absage bedeutet, auch ohne formale Ablehnung der App. Finnland und die Niederlande gelten in der Berichterstattung als „harte Vielleichts".

Der Ratsprozess

Das in Brüssel am 6. Mai 2026 zirkulierte Ratsdokument 8985/26 ist der prozedurale Endpunkt dieser 48-Stunden-Geschichte. Es ist das Stück Papier, das aus einem Pressezyklus eine Ratsarbeits­gruppe macht. Rechtlich ist eine 8985er-Notiz bescheiden — es ist eine Mitgliedstaaten­positions­note, kein bindendes Instrument. Politisch ist das Signal groß. Sobald genügend Mitgliedstaaten ihre Bedenken über den Rat kanalisieren, wird der 31.-Dezember-2026-Termin der Kommission von einem Stichdatum zu einer Zielmarke, und ein bindender Bereitstellungs­auftrag für die App rückt aus dem realistischen Korridor.

Was wir Händlern für ihre Roadmap empfehlen, ist klar: Geht davon aus, dass die White-Label-App einigen Mitgliedstaaten nutzen wird (vermutlich Spanien, Italien in der Übergangs­phase, die kleineren Mitgliedstaaten ohne souveräne Alternative, eventuell die Niederlande). Geht ebenso davon aus, dass sie in Deutschland, Frankreich, Polen, Estland und Irland nicht zum Einsatz kommt. Unter dieser Annahme ist das Integrations­ziel für Altersverifikation in der EU keine einzelne App, ja nicht einmal eine App pro Land: es ist die Alters­merkmal-Schnittstelle der EUDI Wallet, dort wo Wallets vorhanden sind, und ein länder­spezifischer Mix aus nationaler App und regulierten Drittanbietern dort, wo es sie nicht gibt.

Was sich für Händler ändert

Drei Planungs­konsequenzen.

Konsequenz 1 — Wallet-First wird zur sichereren Standardannahme

Wer plant „Altersverifikation läuft über das Alters-Attribut der EUDI Wallet", ist mit der deutschen, französischen, polnischen — und perspektivisch der estnischen und griechischen — Position kompatibel und bleibt anschluss­fähig zu allen anderen. Wer plant „Altersverifikation läuft über die Kommissions-App", ist mit einem kleineren und unsicheren Teil des Marktes kompatibel und trägt die Integrations­last der App zusätzlich zum Wallet-Pfad, den die eigenen Kunden mit der Zeit ohnehin bevorzugen werden.

Auf Klarheit zu warten ist hier nicht billig. Die Wallet-Attribut-Integration ist gut spezifiziert — der ETSI-Standard TS 119 475 regelt die Beziehung zwischen vertrauendem Beteiligten und Wallet stabil genug, um darauf zu bauen — und die Arbeit kompoundiert. Wer im 3. Quartal 2026 einen Wallet-nativen Verifikations­flow live hat, kann ihn 18 Monate iterieren, bevor sehr große Online-Plattformen unter Artikel 5f Absatz 3 verpflichtend abnehmen müssen. Wer wartet, bis die App-vs-Wallet-Frage beantwortet ist, beginnt diese Arbeit acht bis zwölf Monate später — gegen denselben Termin.

Konsequenz 2 — Drei Integrations­pfade einplanen

Unter der Realität nach dem 29. April deckt der seriöse Händlerplan drei unterschiedliche Wege zu einem Alters­merkmal ab — der Wohnsitz­staat des Nutzers entscheidet, welcher davon greift.

• Wallet-Attribut-Pfad. Wo eine nationale EUDI Wallet existiert und Alters­merkmale unterstützt — Italien jetzt, Deutschland ab 2. Januar 2027, Frankreich im selben Fenster, die nordischen Staaten im Lauf 2027 — läuft der saubere Verifikations­fluss über die Wallet selbst.
• Nationaler-AV-App-Pfad. Wo eine nationale Altersverifikations-App politisch bevorzugt ist (Irland, eventuell Polen, eventuell Frankreich für Nutzer ohne France Identité), integriert der Händler diese App oder akzeptiert einen regulierten Drittanbieter, der sie konsumiert.
• EU-White-Label-App-Pfad. Wo ein Mitgliedstaat die Kommissions-App tatsächlich ausrollt (vermutlich Spanien, Italien in der Übergangs­phase, kleinere Mitgliedstaaten), liefert die EU-App das Alters­merkmal.

Drei Pfade, nicht drei Apps. Die gute Nachricht: Die Schichten unterhalb der Frontends — OpenID4VP-Präsentation, SD-JWT-Validierung — werden über alle drei Pfade hinweg zunehmend einheitlich. Ein Händler-Verifier, der OpenID4VP-Präsentationen verarbeitet und SD-JWT-Anmeldedaten gegen länder­spezifische Trust-Listen prüft, deckt in der Praxis den größten Teil der Oberfläche ab — egal welches Frontend das Merkmal erzeugt hat. Auf die Protokoll-Abstraktion bauen; die Frontend-Variation als länder­spezifische Konfiguration absorbieren.

Konsequenz 3 — Kommunikations­strategie aktualisieren

Wer in der Customer-Facing-Copy schreibt „Altersverifikation mit der EU-App", liest in Deutschland am 2. Januar 2027 Marketing für ein Produkt vor, das auf den Smartphones seiner Nutzer nicht existiert. Die richtige Sprache ist Wallet-First, mit einer klaren Hilfestellung, dass der nationale Mechanismus — Wallet, App oder eID — akzeptiert wird. Das zugrunde­liegende Kommunikations­problem haben wir im Beitrag zur 52-Prozent-Bitkom-Bekanntheits­lücke ausgearbeitet. Die Realität nach dem 29. April macht „die EU-App" zu einem besonders schlechten Begriff im Funnel.

Für deutsche Interessenten lohnt sich die Klarstellung: Deutschlands Absage an die Kommissions-App ist kein Rückzug aus der EU-Politik zur Altersverifikation. Es ist die Entscheidung, dieselbe Politik über die Wallet zu fahren statt über ein paralleles Artefakt. Die Integrations­geschichte für einen deutschen Händler ist nach dieser Woche tendenziell einfacher, nicht schwerer. Wir vertiefen diese Entängstigung in einem separaten Beitrag zur deutschen Position.

Was wir als Nächstes beobachten

Drei Signale lohnen sich für das 2. und 3. Quartal 2026.

Folgepapiere zum Ratsdokument. 8985/26 ist eine Positions­note. Nächster Schritt ist entweder eine Revision der Kommissions­empfehlung oder eine formale Ratsschluss­folgerung zur Anpassung des 31.-Dezember-2026-Termins. Beides liefe über das öffentliche Dokumenten­register des Rates.

Liste vertrauenswürdiger Anbieter. Das Schema der Kommission hängt an einer Liste zertifizierter Anbieter. Die Veröffentlichung dieser Liste — und die Kriterien, nach denen sie befüllt wird — entscheidet darüber, ob das Modell des regulierten Drittanbieters in Irland, Polen und den nordischen Staaten Zugkraft entwickelt oder politische Aspiration bleibt.

Bitkom- und BMDS-Kommunikation. Der deutsche Wallet-Start am 2. Januar 2027 steht. Was das Bundesministerium für Digitales und Staats­modernisierung zwischen jetzt und Q4 2026 zu Altersverifikations-Flows auf der Wallet veröffentlicht, wird die belastbarste Integrations­referenz für den deutschen Markt. Bitkom-Pressemitteilungen und die Digital-Strategy-Seite lohnen sich für das technische Profil und den Zeitplan.

Bottom Line

Viele Wallets, viele Apps. Die politische Fragmentierung der ersten Maiwoche ist kein Pressezyklus, der vergeht — sie ist die Integrations­form der europäischen Altersverifikation bis 2027. Händler, die die EUDI Wallet als kanonische Oberfläche behandeln und die länder­spezifische App-Variation als Konfigurations­problem, gehen im 1. Quartal 2027 mit einer Integration live, die bis Jahresende 15 Mitgliedstaaten trägt. Händler, die auf eine einzelne EU-App warten, warten auf ein Artefakt, das nicht kommt — und auf einen Termin, der gerade aus den Händen der Kommission in die Hände des Rates gerutscht ist.

Mehr ist die Geschichte vom 29. April bis 6. Mai praktisch nicht. Der Rest sind Verfahrens­fußnoten.