Compliance

EUDI-Wallet-Readiness-Check für Händler: 5 Fragen

Fünf Fragen, die zeigen, ob Sie Anfang 2027 produktiv starten können — oder das erste Quartal mit Integrations­schulden verlieren. Machen Sie den Selbsttest.

eIDAS Pro Team
28. April 2026
6 Min. Lesezeit

Warum diese Checkliste — und warum heute

Während wir diesen Beitrag veröffentlichen, läuft der Bitkom eIDAS Summit: 28. und 29. April 2026, Berlin und online. Deutschland startet am 2. Januar 2027 — in acht Monaten. Die Pflichten aus Artikel 5f, die Banken, Telekommunikations­anbieter, regulierte Dienste und sehr große Online-Plattformen treffen, greifen Ende 2027. Eine Bitkom-Umfrage vom 13. April 2026 zeigt: 52 Prozent der Deutschen haben noch nie von der EUDI Wallet gehört. Das heißt, Nutzer­akzeptanz und Händler­integration werden 2027 aufeinandertreffen, ob Ihr Team vorbereitet ist oder nicht.

Die folgende Checkliste enthält fünf Fragen, die Händler auf Kurs von denen trennen, die 2027 Integrations­schulden anhäufen. Beantworten Sie sie ehrlich. Die Auswertung steht unten.

Q1 — Fallen Sie überhaupt unter Artikel 5f? Welcher Absatz greift?

Viele Händler gehen davon aus, dass sie nicht reguliert sind. Häufig sind sie es doch. Zahlungs­dienstleister, Telekommunikations­unternehmen und regulierte Dienste, die für die Online-Identifikation bereits eine starke Authentifizierung einsetzen, fallen unter Artikel 5f Absatz 2. Sehr große Online-Plattformen im Sinne des Digital Services Act fallen unter Artikel 5f Absatz 3. Die beiden Absätze haben unterschiedliche Anwendungs­bereiche und Fristen — verlassen Sie sich nicht darauf, dass nur einer relevant ist. In Mischfällen — etwa bei einer großen Plattform mit eigener Zahlungs- oder Telekommunikations­tochter — können beide Absätze gleichzeitig greifen.

Bereit heißt: eine klare Ja/Nein-Antwort mit dem zutreffenden Absatz, schriftlich festgehalten und von der Rechtsabteilung freigegeben. Nicht bereit heißt: „Unsere Compliance-Abteilung prüft das noch", acht Monate vor dem Launch.

Q2 — Haben Sie Ihren Registrierungs­pfad als Vertrauender Beteiligter geplant?

Nach Artikel 5b registrieren Sie sich im Mitgliedstaat Ihrer Niederlassung als Vertrauender Beteiligter und erhalten ein Wallet Relying Party Access Certificate (WRPAC) von einem qualifizierten Vertrauens­diensteanbieter. Die nationalen Register gehen 2026 nach und nach online, und ihre Reife unterscheidet sich von Mitgliedstaat zu Mitgliedstaat erheblich. Die Registrierung ist die zentrale Abhängigkeit für alles Weitere — ohne WRPAC können Sie einer Wallet keine prüfbare Anfrage stellen, und keine spätere Frontend-Optimierung kompensiert den Zeitverlust, wenn der Antrag erst im vierten Quartal eingereicht wird.

Bereit heißt: identifizierte zuständige Behörde, benannte verantwortliche Person im Team, eingereichter oder im Zulauf befindlicher Antrag. Nicht bereit heißt: unklar, welches nationale Register zuständig ist, niemand intern verantwortlich.

Q3 — Haben Sie Ihre Attribute auf das nötige Minimum begrenzt?

Der Abschlussbericht des POTENTIAL-Piloten hat gezeigt, dass übermäßige Attribut­anforderungen messbare Nutzerreibung erzeugen und im Produktivbetrieb regulatorische Aufmerksamkeit nach sich ziehen. Selektive Offenlegung ist eine Kernfunktion: Für altersbeschränkten Handel reicht ein reines Altersmerkmal aus, und ein Einzel-Attribut-Flow ist deutlich leichter produktiv zu bringen als ein vollständiger PID-Flow.

Bereit heißt: für jedes angeforderte Attribut existiert ein dokumentierter Geschäftszweck; wo Alter ausreicht, kommt ein reiner Altersnachweis-Flow zum Einsatz. Nicht bereit heißt: vollständige Personenidentifikations­daten für Transaktionen anfordern, für die ein einzelnes Merkmal genügen würde.

Q4 — Ist Ihr Wallet-plus-Fallback-Flow entworfen und getestet?

Die Bitkom-Umfrage hat ergeben: 52 Prozent der Deutschen haben noch nie von der EUDI Wallet gehört. Bis weit ins Jahr 2027 wird die Mehrheit Ihrer Kundinnen und Kunden im Checkout keine Wallet installiert haben. Ein Wallet-Only-Checkout ist eine selbst verursachte Conversion-Lücke, und genau diese Lücke wird im ersten Produktions­quartal sichtbar — in den Zahlen Ihres Kundenservice und in den Conversion-Reports der Marketing-Abteilung. Derselbe POTENTIAL-Pilot hat saubere Fallbacks als das deutlichste Produktions­reife-Signal über das gesamte Konsortium hinweg identifiziert: nicht die Wallet-Anbindung selbst trennt reife Umgebungen von unreifen, sondern die Qualität des Übergangs zur Alternative.

Bereit heißt: mindestens ein wallet-freier Pfad ist bereits produktiv (vorhandene nationale eID, Dokumenten-Upload mit biometrischer Prüfung, Vor-Ort-Verifikation); Checkout-Texte sind für beide Flows getestet. Nicht bereit heißt: Sie planen einen reinen Wallet-Checkout für 2027 — „bis dahin haben das alle".

Q5 — Haben Sie gegen mindestens zwei Wallet-Implementierungen getestet?

Die Interoperabilität zwischen Anbietern ist das ungelöste Problem, das jeder Großpilot benennt. Ein Ablauf, der mit einer Wallet funktioniert, funktioniert nicht zwangsläufig mit einer anderen — und Ihre Kundinnen und Kunden werden 2027 nicht alle dieselbe nutzen. Wer jetzt ausschließlich gegen ein Implementierungs­ziel testet, baut Risiken auf, die erst im Live-Verkehr sichtbar werden.

Bereit heißt: Integrationstests laufen gegen mindestens zwei der folgenden: IT-Wallet (in der IO-App live), France Identité Sandbox, spanische Cartera Digital im Test, deutsche DMSO-Testumgebung sobald verfügbar. Nicht bereit heißt: Sie haben mit genau einer Wallet integriert — oder mit keiner.

So lesen Sie Ihre Punktzahl

5/5 — Sie sind auf Kurs für einen sauberen Q1-2027-Start. Nutzen Sie die nächsten acht Monate, um den Betrieb zu härten, grenzüberschreitende Flows probeweise zu testen und das Support-Team im Kundenservice auf wallet-bezogene Fragen zu schulen. 3–4 — Januar 2027 ist gefährdet. Schließen Sie die offenen Punkte in Q2–Q3 2026 (jetzt bis September) oder verschieben Sie den Launch sauber, statt den Termin öffentlich zu verfehlen. 0–2 — derzeit nicht auf Kurs. Behandeln Sie 2027 als Aufbau- und nicht als Launch-Jahr. Vermeiden Sie öffentliche Zusagen zu einem Stichtag im Januar; in regulierten Branchen erzeugen verfehlte Termine Aufmerksamkeit, die Sie nicht haben wollen.

Wollen Sie eine zweite Meinung?

Wenn Sie unter 4 von 5 Punkten liegen und Ihre Branche unter Artikel 5f Absatz 2 oder 5f Absatz 3 fällt, antworten Sie auf diesen Beitrag oder schreiben Sie uns Ihre Antworten — wir prüfen Ihren Readiness-Pfad nach Branche und Mitgliedstaat und benennen die Integrations­reihenfolge, die Sie zuerst sauber an den Start bringt.

Tags

EUDI WalletHändlerChecklisteArtikel 5f Absatz 2Artikel 5f Absatz 3WRPACCompliance

Diesen Artikel teilen

Helfen Sie anderen, mehr über eIDAS-Verifizierung zu erfahren

Verwandte Artikel

Compliance

Woran Sie ein echtes Produktiv-WRPAC von einem Sandbox-Zertifikat unterscheiden

Weil die offizielle WRPAC-Anbieterliste noch nicht veröffentlicht ist, kann heute nichts, was als Produktiv-WRPAC verkauft wird, öffentlich als Kette zu einem mandatierten Anbieter verifiziert werden. Das ist die Verifikationskette, die ein echtes WRPAC definiert - samt Warnsignalen und dem legitimen Zweck von Sandbox-Zertifikaten.

7 Min. Lesezeit
Compliance

Irlands EUDI-Wallet-Einführung und die Altersnachweis-Frage, die ganz Europa beobachtet

Irland liegt für einen Wallet-Start Ende 2026 im Plan und hat den öffentlichen Opt-in-Test geöffnet. Die Altersnachweis-Debatte, die das Land prägt, wird für jede altersbeschränkte Branche in der EU Maßstäbe setzen.

13 Min. Lesezeit
Compliance

Durchführungsverordnung 2026/798: EUDI-Wallet-Einschreibung erklärt

Die neue Durchführungsverordnung zur EUDI-Wallet-Einschreibung erklärt. Was 'substantial + zusätzliche Verfahren = high' bedeutet und was Verifier erwarten sollten.

10 Min. Lesezeit