Warum diese Checkliste — und warum heute
Während wir diesen Beitrag veröffentlichen, läuft der Bitkom eIDAS Summit: 28. und 29. April 2026, Berlin und online. Deutschland startet am 2. Januar 2027 — in acht Monaten. Die Pflichten aus Artikel 5f, die Banken, Telekommunikationsanbieter, regulierte Dienste und sehr große Online-Plattformen treffen, greifen Ende 2027. Eine Bitkom-Umfrage vom 13. April 2026 zeigt: 52 Prozent der Deutschen haben noch nie von der EUDI Wallet gehört. Das heißt, die Nutzerakzeptanz und die Händlerintegration werden 2027 aufeinanderprallen, ob Ihr Team vorbereitet ist oder nicht.
Die folgende Checkliste enthält fünf Fragen, die Händler, die im Plan sind, von solchen trennen, die 2027 Integrationsschulden anhäufen. Beantworten Sie sie ehrlich. Die Auswertung steht unten.
Q1 — Fallen Sie überhaupt unter Artikel 5f? Welcher Absatz greift?
Viele Händler gehen davon aus, dass sie nicht reguliert sind. Häufig sind sie es doch. Zahlungsdienstleister, Telekommunikationsunternehmen und regulierte Dienste, die für die Online-Identifikation bereits eine starke Authentifizierung einsetzen, fallen unter Artikel 5f Absatz 2. Sehr große Online-Plattformen im Sinne des Digital Services Act fallen unter Artikel 5f Absatz 3. Die beiden Absätze haben unterschiedliche Anwendungsbereiche und Fristen — verlassen Sie sich nicht darauf, dass nur einer relevant ist. In Mischfällen — etwa bei einer großen Plattform mit eigener Zahlungs- oder Telekommunikationstochter — können beide Absätze gleichzeitig greifen.
Bereit heißt: eine klare Ja/Nein-Antwort mit dem zutreffenden Absatz, schriftlich festgehalten und von der Rechtsabteilung freigegeben. Nicht bereit heißt: „Unsere Compliance-Abteilung prüft das noch", acht Monate vor Launch.
Q2 — Haben Sie Ihren Registrierungspfad als Vertrauender Beteiligter geplant?
Nach Artikel 5b registrieren Sie sich im Mitgliedstaat Ihrer Niederlassung als Vertrauender Beteiligter und erhalten ein Wallet Relying Party Access Certificate (WRPAC) von einem qualifizierten Vertrauensdiensteanbieter. Die nationalen Register gehen 2026 nach und nach online, und ihre Reife unterscheidet sich von Mitgliedstaat zu Mitgliedstaat erheblich. Die Registrierung ist die Schlüssel-Abhängigkeit für alles Weitere — ohne WRPAC können Sie einer Wallet keine prüfbare Anfrage stellen, und keine spätere Frontend-Optimierung kompensiert den Zeitverlust, wenn der Antrag erst im vierten Quartal eingereicht wird.
Bereit heißt: identifizierte zuständige Behörde, benannte verantwortliche Person im Team, eingereichter oder im Zulauf befindlicher Antrag. Nicht bereit heißt: unklar, welches nationale Register zuständig ist, niemand intern verantwortlich.
Q3 — Haben Sie Ihre Attribute auf das nötige Minimum begrenzt?
Der Abschlussbericht des POTENTIAL-Piloten hat gezeigt, dass übermäßige Attributanforderungen messbare Nutzerreibung erzeugen und in Produktion regulatorische Aufmerksamkeit nach sich ziehen. Selektive Offenlegung ist ein Feature: für altersbeschränkten Handel reicht ein reines Altersmerkmal aus, und ein Einzel-Attribut-Flow ist deutlich leichter produktiv zu bringen als ein vollständiger PID-Flow.
Bereit heißt: für jedes angeforderte Attribut existiert ein dokumentierter Geschäftszweck; wo Alter ausreicht, kommt ein Alters-Only-Flow zum Einsatz. Nicht bereit heißt: vollständige Personenidentifikationsdaten für Transaktionen anfordern, für die ein einzelnes Merkmal genügen würde.
Q4 — Ist Ihr Wallet-plus-Fallback-Flow entworfen und getestet?
Die Bitkom-Umfrage hat ergeben: 52 Prozent der Deutschen haben noch nie von der EUDI Wallet gehört. Bis weit ins Jahr 2027 wird die Mehrheit Ihrer Kundinnen und Kunden im Checkout keine Wallet installiert haben. Ein Wallet-Only-Checkout ist eine selbst verursachte Conversion-Lücke, und genau diese Lücke wird im ersten Produktionsquartal sichtbar — in den Zahlen Ihres Customer Service und in den Conversion-Reports der Marketing-Abteilung. Derselbe POTENTIAL-Pilot hat saubere Fallbacks als das deutlichste Produktionsreife-Signal über das gesamte Konsortium hinweg identifiziert: nicht die Wallet-Anbindung selbst trennt reife Stacks von unreifen, sondern die Qualität des Übergangs zur Alternative.
Bereit heißt: mindestens ein wallet-freier Pfad ist bereits produktiv (vorhandene nationale eID, Dokumenten-Upload mit biometrischer Prüfung, Vor-Ort-Verifikation); Checkout-Texte sind für beide Flows getestet. Nicht bereit heißt: Sie planen einen reinen Wallet-Checkout für 2027 — „bis dahin haben das alle".
Q5 — Haben Sie gegen mindestens zwei Wallet-Implementierungen getestet?
Die Interoperabilität zwischen Anbietern ist das ungelöste Problem, das jeder Großpilot benennt. Ein Flow, der gegen eine Wallet funktioniert, funktioniert nicht zwangsläufig gegen eine andere — und Ihre Kundinnen und Kunden werden 2027 nicht alle dieselbe tragen. Wer jetzt ausschließlich gegen ein Implementierungsziel testet, baut Risiken auf, die erst im Live-Verkehr sichtbar werden.
Bereit heißt: Integrationstests laufen gegen mindestens zwei der folgenden: IT-Wallet (in der IO-App live), France Identité Sandbox, Spanische Cartera Digital im Test, deutsche DMSO-Testumgebung sobald verfügbar. Nicht bereit heißt: Sie haben gegen genau eine Wallet integriert — oder gegen keine.
So lesen Sie Ihre Punktzahl
5/5 — Sie sind auf einem sauberen Q1-2027-Start. Nutzen Sie die nächsten acht Monate, um den Betrieb zu härten, grenzüberschreitende Flows trocken zu testen und das Stützpersonal im Customer Service auf wallet-bezogene Fragen zu schulen. 3–4 — Januar 2027 ist gefährdet. Schließen Sie die offenen Punkte in Q2–Q3 2026 (jetzt bis September) oder verschieben Sie den Launch sauber, statt das Datum öffentlich zu reißen. 0–2 — derzeit nicht auf Kurs. Behandeln Sie 2027 als Aufbau- und nicht als Launch-Jahr. Vermeiden Sie öffentliche Zusagen zu einem Stichtag im Januar; in regulierten Branchen erzeugen gerissene Termine Aufmerksamkeit, die Sie nicht haben wollen.
Wollen Sie eine zweite Meinung?
Wenn Sie unter 4 von 5 Punkten liegen und Ihre Branche unter Artikel 5f Absatz 2 oder 5f Absatz 3 fällt, antworten Sie auf diesen Beitrag oder schreiben Sie uns Ihre Antworten — wir prüfen Ihren Readiness-Pfad gegen Branche und Mitgliedstaat gegen und benennen die Integrationsreihenfolge, die Sie zuerst sauber an den Start bringt.
Diesen Artikel teilen
Helfen Sie anderen, mehr über eIDAS-Verifizierung zu erfahren