QTSPs: Der verborgene Beschleuniger hinter Europas Wettlauf um die digitale Identität
Die meisten Finanzinstitute wissen, dass sie bis Dezember 2027 für die EUDI Wallet bereit sein müssen. Wenige haben jedoch bereits analysiert, was tatsächlich erforderlich ist, um dieses Ziel zu erreichen.
Die Antwort lautet in den meisten Fällen nicht, die Identitätsinfrastruktur allein aufzubauen.
Das Compliance-Problem, über das kaum jemand offen spricht
Die Anforderungen von eIDAS 2.0 zu erfüllen, klingt auf dem Papier einfach: Sie müssen eine digitale Wallet zur Kundenidentifizierung akzeptieren, qualifizierte Vertrauensdienste anbinden, die Datensouveränität innerhalb der Europäischen Union gewährleisten und die grenzüberschreitende Interoperabilität sicherstellen.
In der Praxis verbirgt sich hinter jeder dieser Anforderungen eine Ebene technischer, rechtlicher und operativer Komplexität, für deren schnelle interne Bewältigung den meisten Instituten die notwendigen Ressourcen fehlen.
Die technischen Spezifikationen der EUDI Wallet werden derzeit noch finalisiert. Die Mitgliedstaaten setzen sie mit unterschiedlichem Tempo und auf Grundlage unterschiedlicher nationaler Konzepte um, darunter France Identité, Italiens IT-Wallet, Spaniens Cartera Digital und der schrittweise Ansatz Deutschlands. Formate für digitale Nachweise, Interoperabilitätsprotokolle und Zertifizierungsverfahren unterscheiden sich. Hinzu kommen die bestehenden Verpflichtungen aus DSGVO, DORA, NIS2, AMLR und PSR.
Dies allein umzusetzen bedeutet, Entwicklungsteams damit zu beschäftigen, Protokolländerungen in den 27 nationalen Implementierungen nachzuverfolgen, regulatorische Konformität in mehreren Rechtsräumen zu erlangen und aufrechtzuerhalten sowie das Risiko möglicher Fehler selbst zu tragen. Dadurch werden erhebliche Ressourcen von strategischen Entscheidungen und kundenorientierten Innovationen abgezogen, also genau den Bereichen, in denen sich Institute tatsächlich differenzieren.
Was ein QTSP bietet, was ein Systemintegrator nicht leisten kann
Genau hier liegt der entscheidende Unterschied: Ein Systemintegrator setzt eine definierte Spezifikation technisch um. Ein Qualified Trust Service Provider ist hingegen selbst Teil der regulatorischen Infrastruktur.
QTSPs sind nach eIDAS akkreditierte Organisationen, in den nationalen Trusted Lists eingetragen und unterliegen regelmäßigen Compliance-Prüfungen. Ihre qualifizierten Vertrauensdienste, Identitätsprüfung, elektronische Signaturen, elektronische Siegel, Attribute, Zeitstempel, elektronische Zustellung und Langzeitarchivierung, genießen automatische grenzüberschreitende rechtliche Anerkennung in allen 27 Mitgliedstaaten der Europäischen Union. Es sind keine zusätzlichen Validierungen und keine Verhandlungen in jedem einzelnen Land erforderlich.
Für Finanzinstitute hat dieser Unterschied unmittelbare Auswirkungen. Wenn eine Bank mit einem QTSP bei der Wallet-Integration und der Identitätsprüfung zusammenarbeitet, kauft sie nicht lediglich einen technischen Service ein. Sie bindet sich an eine regulatorisch anerkannte Infrastruktur an, die bereits anerkannt, bereits geprüft und bereits auf europäischer Ebene interoperabel ist.
Das ist der Unterschied zwischen dem Bau einer Brücke und dem Betreten einer Brücke, die bereits existiert.
Der Umsetzungsvorteil: Wie QTSPs Zeit und Risiken reduzieren
Wallet-Integration ohne Protokollmanagement. QTSPs mit einer aktiven Wallet-Infrastruktur stellen SDKs und APIs bereit, die die Komplexität sich weiterentwickelnder Wallet-Protokolle (OpenID4VCI, OpenID4VP), verschiedener Formate digitaler Nachweise und der grenzüberschreitenden Interoperabilität abstrahieren. Institute integrieren sich einmal und profitieren automatisch von der Interoperabilitätsschicht, anstatt diese selbst entwickeln und pflegen zu müssen.
Regulatorische Anerkennung in mehreren Rechtsräumen. Ein paneuropäischer QTSP verfügt bereits über Zertifizierungen und regulatorische Beziehungen in mehreren Mitgliedstaaten. Für grenzüberschreitend tätige Institute entfällt dadurch die Notwendigkeit, jedes nationale Zertifizierungsverfahren einzeln zu durchlaufen, ein Prozess, der pro Rechtsraum Monate und erhebliche juristische Ressourcen beanspruchen kann.
Konvergenz von eIDAS 2.0 und AMLR bereits umgesetzt. Einer der komplexesten Aspekte der aktuellen regulatorischen Landschaft besteht darin, dass ein einziger Identitätsprüfungsprozess gleichzeitig die Anforderungen von eIDAS 2.0, AMLR sowie PSR/PSD3 erfüllen muss. Ein QTSP, der den Standards ETSI TS 119 461 v2 entspricht, bietet eine Identitätsprüfung, die alle drei Anforderungen erfüllt, wodurch die Entwicklung und Validierung separater Compliance-Prozesse für jedes einzelne Regelwerk entfällt.
Datensouveränität von Anfang an. Mehrere große europäische Finanzinstitute haben auf Vorstandsebene beschlossen, dass Identitäts- und Signaturdaten innerhalb der Europäischen Union verbleiben müssen. QTSPs mit Hauptsitz in Europa und Tätigkeit nach europäischem Recht gewährleisten dies strukturell, im Gegensatz zu außereuropäischen Anbietern, deren Datenverarbeitung weiterhin extraterritorialen Gesetzen wie dem US CLOUD Act unterliegt.
Die Entscheidung zwischen Eigenentwicklung und Partnerschaft in der Praxis
Aus den Interviews mit Führungskräften großer europäischer Banken, die für den Bericht von BCG und Namirial zur digitalen Identität geführt wurden, ergab sich ein eindeutiges Muster: Insbesondere bei den technisch anspruchsvollen Schichten der Wallet-Integration spricht vieles für eine Partnerschaft.
Wie es ein leitender IT-Manager formulierte:
„Das Produkt ermöglicht und beschleunigt die Umsetzung; der Systemintegrator setzt lediglich schneller um, was bereits auf dem Papier definiert ist.“
Dabei handelt es sich nicht um eine Beschaffungsentscheidung. Es handelt sich um eine strategische Entscheidung über die richtige Reihenfolge. Institute, die für die technische und regulatorische Infrastrukturebene Partnerschaften eingehen, können ihre eigenen Investitionen auf die Entscheidungen konzentrieren, mit denen sie sich tatsächlich differenzieren: ihre strategische Positionierung im Identitätsökosystem, die Gestaltung der Customer Journey sowie Prozess- und Risikokompetenzen, die Wettbewerber nicht einfach nachbilden können.
Institute, die die nächsten 18 Monate mit der internen Entwicklung von Wallet-Protokollen verbringen, werden im Dezember 2027 über eine Compliance-Infrastruktur verfügen. Institute, die frühzeitig Partnerschaften eingehen, werden zu diesem Zeitpunkt bereits eine Position innerhalb des Ökosystems aufgebaut haben.
Das Zeitfenster für den First-Mover-Vorteil ist geöffnet, aber nicht unbegrenzt
Die schrittweise Einführung der nationalen EUDI Wallets schafft einen First-Mover-Vorteil, der real, aber zeitlich begrenzt ist. Die französische nationale Wallet ist bereits im Einsatz. Italien und Spanien befinden sich in der Pilotphase. Deutschland strebt eine Einführung Anfang 2027 an. Sobald die einzelnen nationalen Wallets eine relevante Nutzerbasis erreichen, werden die bereits integrierten Institute in der Lage sein, vom ersten Tag an Volumen zu gewinnen. Institute, die ihre Integration dann noch abschließen, werden aufholen müssen.
Die Frist im Dezember 2027 markiert lediglich die Mindestanforderung für die Compliance. Das strategische Ziel für Institute, die ihre Rolle im Ökosystem aktiv gestalten und sich nicht auf die bloße Einhaltung von Vorschriften beschränken wollen, ist Anfang 2027.
Dieses Zeitfenster steht jetzt offen. Die Frage ist, wer es als Erster nutzt.
KONTAKTIEREN SIE NAMIRIAL
Namirial ist die größte Unternehmensgruppe Europas im Bereich Qualified Trust Service Provider mit regulatorischer Anerkennung in mehreren Ländern, einer Infrastruktur für die Wallet-Integration und einer vollständigen Digital-Transaction-Management-Plattform. Wir unterstützen Finanzinstitute dabei, den Schritt von der Compliance-Bereitschaft zu einer starken Position im digitalen Ökosystem zu machen.






