Regulatorik

Was ist WRPAC und warum jedes Online-Unternehmen bis Dezember 2026 eines braucht

Die Frist im Dezember 2026 rückt näher. Erfahren Sie, was WRPAC-Zertifikate sind und warum Ihr Unternehmen jetzt Compliance aufbauen sollte.

eIDAS Pro Team
18. Februar 2026
8 Min. Lesezeit

Was ist WRPAC und warum jedes Online-Unternehmen bis Dezember 2026 eines braucht

Die Zeit läuft. In weniger als zehn Monaten geht die Infrastruktur der EU Digital Identity Wallet (EUDI Wallet) europaweit live. Wenn Ihr Unternehmen die Identität oder das Alter von EU-Bürgern verifiziert, müssen Sie WRPAC-Zertifikate verstehen - und sich jetzt vorbereiten.

Was ist ein WRPAC-Zertifikat?

WRPAC steht für Wallet Relying Party Access Certificate. Sie können es als die Berechtigung Ihres Unternehmens verstehen, Identitätsdaten von EU-Bürgern über deren digitale Wallets anzufordern.

Ab Dezember 2026 wird der Nachweis des Alters beim Onlinekauf von Alkohol, die Identitätsprüfung für Finanzdienstleistungen oder der Nachweis beruflicher Qualifikationen über die nationale EUDI-Wallet-App erfolgen - nicht mehr über hochgeladene Fotos von Führerschein oder Reisepass. Um diese Verifizierung anzufordern, benötigt Ihr Unternehmen ein gültiges WRPAC-Zertifikat.

Ohne WRPAC-Zertifizierung können Sie EU-Bürger nicht über das offizielle EUDI-Wallet-System verifizieren. So einfach ist das.

Die Architektur mit zwei Zertifikaten

WRPAC ist nicht nur ein einzelnes Zertifikat - es ist ein Zwei-Zertifikate-System, das Sicherheit und Transparenz in Einklang bringen soll:

1. Zugangszertifikat (WRPAC)

Das Zugangszertifikat ist die kryptografische Berechtigung, mit der Ihr Unternehmen technisch mit EUDI Wallets kommunizieren kann. Es wird von einem Qualified Trust Service Provider (QTSP) ausgestellt und weist Sie als autorisierte Relying Party aus.

Dieses Zertifikat:

  • ermöglicht die sichere Kommunikation mit Wallet-Apps
  • authentifiziert Ihre Anfragen gegenüber den Wallets der Nutzer
  • muss regelmäßig erneuert werden (typischerweise jährlich)
  • muss bei einem qualifizierten QTSP bezogen werden

2. Registrierungszertifikat

Das Registrierungszertifikat ist Ihr Registrierungsnachweis bei der national zuständigen Aufsichtsbehörde. Es ist die rechtliche Grundlage, die Sie überhaupt erst zum Erhalt eines Zugangszertifikats berechtigt.

Diese Registrierung:

  • dokumentiert Ihre beabsichtigten Anwendungsfälle und Datenanforderungen
  • macht Ihre Identität und Ihren Zweck öffentlich nachvollziehbar
  • muss in Ihrem Niederlassungsmitgliedstaat gepflegt werden
  • muss aktualisiert werden, sobald sich Ihr Anwendungsfall ändert

Wichtig: Ohne abgeschlossene Registrierung erhalten Sie kein Zugangszertifikat. Beides ist nach Artikel 5b der eIDAS-Verordnung (EU) 2024/1183 verpflichtend.

Artikel 5b: Was jede Relying Party erfüllen muss

Artikel 5b der eIDAS-2.0-Verordnung legt genau fest, was erforderlich ist, um Relying Party zu werden. Darauf müssen Sie sich einstellen:

Registrierungsanforderungen

Ihr Unternehmen muss sich bei der zuständigen Behörde Ihres Niederlassungsmitgliedstaats registrieren und folgende Angaben machen:

  1. Wer Sie sind: rechtliche Niederlassung, eingetragene Adresse und offizielle Identität
  2. Was Sie anfordern: konkrete Attribute, die Sie von Nutzern abrufen möchten (Alter, Identität, berufliche Qualifikationen usw.)
  3. Warum Sie es benötigen: geplanter Anwendungsfall und Rechtsgrundlage für die Datenanforderung

Diese Registrierung muss kosteneffizient und risikoproportional sein - Behörden dürfen also keine unangemessenen finanziellen oder administrativen Hürden allein für die Registrierung aufbauen.

Laufende Pflichten

Nach der Registrierung bestehen fortlaufende Verpflichtungen:

  • Änderungen unverzüglich melden: Wenn sich Ihr Anwendungsfall ändert oder Sie neue Attribute anfordern möchten, müssen Sie die nationale Behörde informieren
  • Nutzern gegenüber identifizierbar sein: Wenn die Wallet eines Nutzers Ihre Verifizierungsanfrage anzeigt, muss klar erkennbar sein, wer Sie sind und was Sie anfordern
  • Pseudonyme akzeptieren, wo zulässig: Wenn Ihr Anwendungsfall keine vollständige Identifizierung rechtlich erfordert, müssen Sie pseudonyme Nachweise akzeptieren

Öffentliche Transparenz

Ihre Registrierung ist nicht vertraulich. Nationale Behörden führen öffentliche Register von Relying Parties, damit Nutzer und Aufsichtsstellen prüfen können, ob Sie rechtmäßig registriert sind.

Diese Transparenz ist gewollt - sie stärkt das Vertrauen in das EUDI-Ökosystem und ermöglicht es Nutzern, die Legitimität und Aufsicht von datenanfordernden Unternehmen nachzuvollziehen.

Aktueller Stand: Wo wir im Februar 2026 stehen

So sieht die Lage aktuell aus:

Was bereit ist

  • Standards sind finalisiert: Der Standard ETSI TS 119 475 für WRPAC wurde im Oktober 2025 veröffentlicht und definiert die technischen Spezifikationen für Zugangszertifikate
  • Der Rechtsrahmen gilt: Die Verordnung (EU) 2024/1183 (eIDAS 2.0) ist seit Mai 2024 in Kraft, Artikel 5b ist anwendbar
  • Der Zeitplan steht: Die Frist Dezember 2026 für die Bereitstellung der EUDI Wallet ist bestätigt

Was noch nicht bereit ist

  • Keine operative Registrierungsinfrastruktur: Stand Februar 2026 hat kein EU-Mitgliedstaat ein produktives Registrierungsverfahren für Relying Parties bereitgestellt
  • QTSPs in Vorbereitung: Qualified Trust Service Provider bereiten die Ausstellung von WRPAC-Zertifikaten vor, können aber erst starten, sobald RP-Registrierungen live sind
  • Erwarteter Zeitrahmen: Der Branchenkonsens geht davon aus, dass die RP-Registrierungsinfrastruktur Mitte 2026 öffnet - Unternehmen bleiben dann etwa sechs Monate bis zum Start im Dezember

Der Compliance-Aufwand: Was eine eigene WRPAC-Registrierung bedeutet

Wenn Sie ein eigenes WRPAC in Erwägung ziehen, bedeutet das in der Praxis:

1. Registrierungsprozess als Relying Party

  • Ihr nationales Registrierungsportal nutzen (jeder Mitgliedstaat hat ein eigenes System)
  • Unterlagen zur rechtlichen Niederlassung und zum Verwendungszweck vorbereiten
  • Erklärungen zu den angeforderten Datenattributen einreichen
  • Registrierungsgebühren zahlen (Höhe je nach Land unterschiedlich)
  • Auf die behördliche Freigabe warten (Zeitrahmen offen)

2. Beschaffung des WRPAC-Zertifikats

  • Einen Qualified Trust Service Provider auswählen
  • Das Registrierungszertifikat als Berechtigungsnachweis vorlegen
  • Identitätsprüfung und Onboarding beim QTSP durchlaufen
  • Zugangszertifikate kaufen und erneuern (Preise noch nicht öffentlich)
  • Zertifikatslebenszyklus und Erneuerungsfristen verwalten

3. Trust-List-Integration

Hier wird es komplex. Sie müssen:

  • Trust Lists aus allen 27 EU-Mitgliedstaaten integrieren
  • Wallet-Implementierungen aus 27+ nationalen Systemen unterstützen
  • mehrere Nachweisformate abdecken (SD-JWT VC, mdoc)
  • das OpenID4VP-Protokoll korrekt umsetzen
  • Kompatibilität bei fortlaufender Standardentwicklung sicherstellen

4. Laufende Compliance-Pflege

  • Änderungen Ihres Anwendungsfalls überwachen und an die nationale Behörde melden
  • Registrierungszertifikat aktuell halten
  • Zugangszertifikate fristgerecht erneuern
  • Technische Standards laufend nachverfolgen
  • Auf behördliche Rückfragen oder Audits reagieren

Geschätzter Aufwand: Der interne Aufbau kann 6-12 Monate Entwicklungszeit, dediziertes Compliance-Personal und dauerhaft hohen Betriebsaufwand erfordern.

Wer braucht das?

Wenn Ihr Unternehmen mit EU-Bürgern einen der folgenden Fälle abdeckt, benötigen Sie bis Dezember 2026 eine WRPAC-Zertifizierung:

  • Altersverifikation für Alkohol, Tabak, Glücksspiel oder Erwachsenenangebote
  • Identitätsprüfung für Finanzdienstleistungen (KYC/AML)
  • Verifizierung beruflicher Qualifikationen für Einstellung oder Zulassung
  • Adressnachweis für Versand oder rechtliche Compliance
  • Verifizierung von Bildungsnachweisen für Zulassung oder Beschäftigung

Kurz gesagt: Wenn Sie EU-Bürger digital verifizieren, brauchen Sie WRPAC-Compliance.

Warum jetzt vorbereiten: Gute Gründe für frühes Handeln

Vielleicht denken Sie: "Es ist erst Februar 2026. Bis Dezember ist noch Zeit. Warum jetzt schon anfangen?"

Frühe Vorbereitung ist aus drei Gründen entscheidend:

1. Unsicherheit bei der Registrierungsinfrastruktur

Niemand weiß genau, wann die Portale der Mitgliedstaaten öffnen. Wenn sie im Juni live gehen und Sie bis November warten, drohen:

  • Bearbeitungsverzögerungen
  • Antragsstaus
  • Ressourcenengpässe bei Behörden
  • Technische Startprobleme neuer Systeme

2. In Demo- und Mock-Modus aufbauen und testen

Vorausschauende Unternehmen integrieren die EUDI-Wallet-Verifizierung heute im DEMO- und MOCK-Modus. Wenn Dezember 2026 erreicht ist, schalten sie nur noch auf Produktion um. Wer wartet, muss Compliance-Aufbau und technische Integration gleichzeitig unter Zeitdruck erledigen - ein klassisches Szenario für verpasste Deadlines.

3. Wettbewerbsvorteil

Am ersten Tag startklar zu sein bedeutet:

  • keine Serviceunterbrechung beim EUDI-Wallet-Start
  • Compliance-Bereitschaft aktiv gegenüber Kunden kommunizieren
  • Early Adopter gewinnen, die datenschutzfreundliche Verifizierung bevorzugen
  • den Workaround "bitte nutzen Sie unseren alten Verifizierungsprozess" vermeiden, der Vertrauen kostet

Die Alternative: Aggregator-Services

Viele Unternehmen erkennen gerade: Sie müssen kein eigenes WRPAC beantragen.

Artikel 5b(10) der eIDAS-Verordnung erlaubt ausdrücklich, dass Intermediäre im Namen von Händlern als Relying Party auftreten. Anbieter wie eIDAS Pro übernehmen:

  • RP-Registrierung in Luxemburg (dank Passporting in allen 27 EU-Mitgliedstaaten wirksam)
  • Beschaffung und Erneuerung von WRPAC-Zertifikaten
  • Trust-List-Integration über alle nationalen Wallet-Systeme
  • Laufende Compliance und regulatorisches Reporting
  • Technische Protokollimplementierung (OpenID4VP, SD-JWT VC, mdoc)

Sie rufen eine API auf. Der Anbieter betreibt die Compliance-Infrastruktur. In der Wallet des Nutzers werden sowohl die Identität des Aggregators als auch Ihre Identität angezeigt - volle Transparenz bleibt erhalten.

Für die meisten Unternehmen ist das der klügere Weg. Nutzen Sie Ihre Entwicklungsressourcen für Ihr Kernprodukt und überlassen Sie regulatorische Komplexität spezialisierten Compliance-Teams.

Zeitplan bis Dezember 2026

So sehen die kommenden zehn Monate aus:

Mitte 2026 (erwartet):

  • RP-Registrierungsinfrastruktur öffnet in den Mitgliedstaaten
  • QTSPs beginnen mit der Ausstellung von WRPAC-Zertifikaten an registrierte RPs
  • Early Adopter schließen Registrierung ab und erhalten Zertifikate

Dezember 2026:

  • EUDI Wallets gehen EU-weit live
  • Wallet-basierte Verifizierung wird verfügbar
  • Produktive Verifizierungen starten für WRPAC-zertifizierte Relying Parties

Dezember 2027:

  • Verbindliche Compliance-Frist für regulierte Sektoren
  • Traditionelle Verifizierungsmethoden können eingeschränkt werden
  • Volle Marktreife wird erwartet

Nächste Schritte: Zwei Wege nach vorn

Weg 1: Aggregator nutzen (für die meisten Unternehmen)

Wenn Sie sich auf Ihr Geschäft statt auf Compliance-Infrastruktur konzentrieren möchten:

  1. Heute mit der Integration starten im DEMO-Modus
  2. Ihre Abläufe testen im MOCK-Modus
  3. Im Dezember 2026 produktionsbereit sein ohne eigenen Registrierungsaufwand

Weg 2: Eigenes WRPAC beantragen (für Unternehmen mit Inhouse-Ansatz)

Wenn Sie maximale Kontrolle und interne Compliance benötigen:

  1. Öffnung der Registrierungsinfrastruktur beobachten in Ihrem Land (erwartet Mitte 2026)
  2. Dokumentation vorbereiten für die RP-Registrierung
  3. Einen QTSP auswählen für die Zertifikatsbeschaffung
  4. Technische Integration aufbauen gemäß Wallet-Standards

Oder Weg 3: Consulting-Services, die Dokumentationspakete und technische Begleitung für die eigene WRPAC-Registrierung liefern, während Sie die Kontrolle behalten.

Fazit

WRPAC ist keine Option - es ist verpflichtend für jedes Unternehmen, das ab Dezember 2026 EU-Bürger über digitale Identitätswallets verifizieren möchte. Die Compliance-Anforderungen nach Artikel 5b sind klar, und die Frist steht fest.

Die Frage ist nicht, ob Sie WRPAC-Compliance brauchen. Die Frage ist, wie Sie diese erreichen: Eigenaufbau, Aggregator-Modell oder Consulting.

Sicher ist: Die richtige Zeit für Vorbereitung ist jetzt. Warten Sie nicht bis Dezember, um sich mit Compliance zu beschäftigen. Beginnen Sie heute mit Aufbau und Tests, damit Sie bereit sind, wenn die EUDI-Wallet-Ära startet.

Bereit loszulegen? eIDAS Pro bietet Early Adoptern bereits Zugang zum DEMO-Modus. Starten Sie heute mit Ihrer Integration und seien Sie im Dezember 2026 bereit für produktive WRPAC-Verifizierungen - ohne Registrierungsaufwand für Ihr Team.

Jetzt mit der Integration starten | Mehr über das Aggregator-Modell erfahren

Verwandte Artikel

Der Aggregator-Vorteil: Warum kluge Unternehmen kein eigenes WRPAC beantragen

Artikel 5b(10) ermöglicht Intermediären, die WRPAC-Compliance für Sie zu übernehmen. Warum das für die meisten Unternehmen die klügere Entscheidung ist.

10 Min. Lesezeit

eIDAS 2.0 Registrierung als Relying Party: Der vollständige Leitfaden

Alles, was Sie über die Registrierung als Relying Party nach Artikel 5b der eIDAS-Verordnung 2024/1183 wissen müssen.

12 Min. Lesezeit

Tags

WRPACeIDAS 2.0ComplianceEUDI WalletGeschäftsanforderungen

Diesen Artikel teilen

Helfen Sie anderen, mehr über eIDAS-Verifizierung zu erfahren

Verwandte Artikel

Regulatorik

eIDAS 2.0 Registrierung als Relying Party: Der vollständige Leitfaden

Alles, was Sie über die Registrierung als Relying Party nach Artikel 5b der eIDAS-Verordnung 2024/1183 wissen müssen.

12 Min. Lesezeit
Regulatorik

eIDAS 2.0 und die EU Digital Identity Wallet: Was Händler wissen müssen

Ein umfassender Leitfaden zur kommenden eIDAS-2.0-Verordnung und zur EU Digital Identity Wallet – mit Zeitplan, neuen Möglichkeiten und konkreten Schritten zur Vorbereitung für Händler.

10 Min. Lesezeit