Der Boardroom Guide zu Digital Trust im Bankwesen

Was im Jahr 2026 für eIDAS 2.0, die Wallet-Einführung und den Wandel von Video-Ident zu Self-Ident entschieden werden muss

Zentrale Botschaft für Vorstände: Im Jahr 2026 geht es nicht mehr darum zu diskutieren, ob digitale Identitätswallets relevant sind. Es geht darum, ein Betriebsmodell zu wählen, das Identitätssicherung, AML/KYC, starke Kundenauthentifizierung und Signaturnachweise zu einer überprüfbaren digitalen Vertrauenskette verbindet.

Die Diskussion rund um die European Digital Identity Wallet (EUDI Wallet) dreht sich nicht mehr um die Frage, ob Wallets kommen werden. Es geht um Entscheidungen und Umsetzung. eIDAS 2.0 entwickelt sich von einer legislativen Absicht zu einer konkreten Implementierung. Parallel dazu wird das europäische Geldwäschebekämpfungsregime durch die AMLR und die dazugehörigen Regulatory Technical Standards (RTS) operativ umgesetzt, einschließlich der praktischen Frage, wie eine Fernidentitätsprüfung durchgeführt werden muss. Gleichzeitig schaffen PSR und PSD3 den Rahmen für die Ausführung von Zahlungen und die starke Kundenauthentifizierung (SCA), die weiterhin zentral für digitales Onboarding, Kontoverwaltung und Genehmigungsprozesse ist.

Operativ konvergieren diese Regelwerke nun. eIDAS beantwortet die Frage „Wer ist diese Person?“. Die AML/CFT-Vorschriften beantworten „Dürfen wir diese Beziehung begründen oder fortführen?“. PSR und PSD3 regeln „Wie genehmigen und authentifizieren wir Zahlungen sicher?“. In der Praxis werden Identität, Geldwäschekontrollen und Zahlungssicherheit zunehmend zu einer einzigen Vertrauens- und Nachweiskette anstatt zu drei getrennten Compliance-Stacks.

Was viele Führungsteams noch unterschätzen, ist nicht die regulatorische Richtung, sondern die operative Dynamik der Einführung.

• Interoperabilitätsrisiko. Es wird nicht nur ein Wallet geben. Es wird mehrere staatlich unterstützte Wallets geben und, je nach Land, auch private Implementierungen, unterschiedliche Credential-Formate, Richtlinien der Herausgeber und Registrierungsregime. Banken benötigen daher ein wallet-agnostisches Betriebsmodell statt eines Plans für ein einzelnes Wallet.
• Haftung und Auditierbarkeit. Ein Wallet zu akzeptieren bedeutet nicht nur, eine weitere Login-Option hinzuzufügen. Es verändert, wie Identität im Rahmen der Customer Due Diligence (CDD) nachgewiesen wird und wie belastbar diese Nachweise bei Audits, Aufsicht oder späteren Streitfällen sind. Traditionelles KYC mit physischen Ausweisdokumenten wird nicht verschwinden. Wenn jedoch eine Fernprüfung anhand physischer Dokumente erfolgt, besteht der robusteste Ansatz darin, diesen Prozess mit einer qualifizierten elektronischen Signatur (QES) abzuschließen und sich auf ETSI-zertifizierte, an eIDAS 2.0 ausgerichtete Verfahren zu stützen, sodass die Bank eine durchgehende, rechtlich belastbare digitale Vertrauenskette aufbaut.
• Die letzte Meile zwischen Compliance und Conversion. Ein Fernidentifikationsprozess, der zwar compliant, aber zu langsam oder zu komplex ist, ist kein strategischer Gewinn. Ein hochsicherer Prozess mit hoher Conversion ist sowohl Risikoreduktion als auch Wachstumsfaktor.

Diese Themen stehen im Jahr 2026 im Fokus, weil Onboarding- und Wallet-Roadmaps zunehmend öffentlich und im Markt diskutiert werden. Der Druck kommt nicht nur von der Regulierung. Er entsteht auch durch Kundenerwartungen: Digitale Prozesse müssen schnell, intuitiv und ohne Kanalbrüche funktionieren und gleichzeitig Nachweise erzeugen, die bei Aufsicht, Audit und Streitfällen Bestand haben.

Der zentrale Wandel im Jahr 2026: von Video-Ident zu Self-Ident

Für viele Banken ist der eigentliche operative Wendepunkt nicht allein das Wallet. Entscheidend ist die Frage, welche Methode der Fernidentifikation künftig zum Standard wird. Die entstehende Logik der AMLR-RTS priorisiert Methoden, die in eIDAS definiert sind: notifizierte eID, die EUDI Wallet und qualifizierte elektronische Signaturen (QES). Nur wenn diese Wege nicht verfügbar sind oder nicht angemessen bereitgestellt werden können, wird eine andere Form der Fernprüfung anhand physischer Ausweisdokumente relevant. Dadurch werden alternative Methoden zu einem Fallback mit zusätzlichen Anforderungen an Kontrolle, Dokumentation und Begründung.

In der Praxis bedeutet dies, dass Banken ihr zukünftiges Onboarding nicht mehr ausschließlich um jene Fernidentifikationsmethoden herum gestalten sollten, die in den heutigen nationalen AML-Gesetzen definiert sind, etwa agentenbegleitete Videoanrufe, nur weil dies in den letzten zehn Jahren üblich war. Wenn Kundinnen und Kunden noch keine digitale Identität nutzen, wird der empfohlene Weg mit Inkrafttreten der AMLR im Juli 2027 darin bestehen, die Fernprüfung anhand physischer Ausweisdokumente so zu strukturieren, dass sie mit eIDAS 2.0 im Einklang steht, durch ETSI-basierte Kontrollen geschützt ist und mit einer QES abgeschlossen wird. Dadurch entsteht ein durchgehend rechtlich gültiger Prozess, der hoch in der regulatorischen Hierarchie verankert ist, anstatt ein Verfahren mit geringerer Assurance, das später Einzelfall für Einzelfall begründet werden muss.

Ob die Fernidentifikation durch einen menschlichen Operator in einer Videositzung begleitet wird oder vom Nutzenden als unbeaufsichtigter Self-Ident-Prozess durchgeführt wird, wird damit zu einer sekundären Designentscheidung. Die zentrale Frage lautet nicht mehr „Operator oder kein Operator?“, sondern „Wie erreichen wir das bevorzugte Assurance-Ergebnis mit der besten Kundenerfahrung, der höchsten Conversion und der stärksten Nachweiskette?“

Warum dieser Wandel wichtig ist

• Conversion und Geschwindigkeit. Wartezeiten zerstören Conversion. Self-Ident kombiniert mit sofortiger QES beseitigt Warteschlangen, startet sofort und kann rund um die Uhr abgeschlossen werden.
• Skalierbarkeit. Die Kapazität menschlicher Operatoren ist begrenzt, teuer und muss in begleiteten Modellen häufig mehrsprachig sein. Self-Ident lässt sich leichter an Nachfrageanstiege, Kampagnen und saisonale Spitzen anpassen.
• Operative Resilienz. Das Betriebsmodell verlagert sich von Warteschlangenmanagement und Personalplanung hin zu Qualitätskontrolle und Fallback-Management: Was passiert in kritischen Fällen, bei schlechter Bildqualität, bei Betrugssignalen oder wenn Nutzer im Prozess nicht weiterkommen?
• Regulatorische Passung. Wenn eIDAS-konforme eID, Wallet und QES zu den bevorzugten Methoden werden, muss jeder alternative Weg eng begrenzt, messbar, dokumentiert und gegenüber der Finanzaufsicht verteidigbar sein. ETSI-zertifizierte Fernidentifikationsverfahren, die die Ausstellung einer QES unterstützen, können diese Rolle erfüllen, auch wenn sie vollständig unbeaufsichtigte Selfie-basierte Prozesse sind.

Smartes Onboarding bedeutet heute weniger Schritte, bessere Orchestrierung und vor allem: kein Warten auf einen Operator, es sei denn, ein wirklich außergewöhnlicher Fall erfordert dies.

Die Erwartung verfestigt sich: eIDAS wird zum Standard, Fallback muss begründet werden

Wenn unterstützte Video-Identifikation heute noch das zentrale Element Ihres AML/KYC-Stacks ist, ist 2026 das Jahr, in dem Migration nicht länger als optional betrachtet werden sollte. Die Richtung ist klar: eIDAS-konforme elektronische Identifikation wird zum Standard für Fernidentifikation, während alternative Methoden nur möglich bleiben, wenn sie begründet, abgesichert, dokumentiert und mit dem Risikoprofil des Instituts vereinbar sind.

Dies betrifft mehr als nur das Retail-Onboarding. Es betrifft auch Re-Identifikation, Kontowiederherstellung, Umgang mit verdächtigen Aktivitäten, Hochrisikoprodukte und Signaturprozesse, bei denen die Qualität des Nachweises später vor Gericht oder bei einer aufsichtsrechtlichen Prüfung hinterfragt werden kann.

Strategisch lautet die Frage daher nicht nur „Wie integrieren wir Wallet-Nutzung?“. Sie lautet „Was ist unser Standard-KYC-Prozess und wie gestalten wir Fallback-Prozesse, die sowohl kundenorientiert als auch auditfähig sind?“

In der Praxis sind eID und die EUDI Wallet der bevorzugte Weg für Kundinnen und Kunden, die diese Mittel bereits besitzen und nutzen. Für alle anderen ist der robusteste Standard ein QES-fähiger Prozess auf Basis eines eIDAS-2.0-konformen Fernidentifikationsverfahrens anhand des physischen Ausweisdokuments des Nutzenden.
Ein vereinfachter Onboarding-Prozess ohne QES kann in bestimmten Fällen weiterhin möglich sein, er ist jedoch der Weg, der deutlich mehr aufsichtsrechtliches Vertrauen und Begründung erfordert. In jedem Fall sollte der gewählte Identifizierungsdienst in der Lage sein, eine ETSI-Zertifizierung für das entsprechende Fernidentifikationsverfahren nachzuweisen.

Konsultationen und RTS: jetzt Einfluss nehmen statt später nacharbeiten

Die AMLA arbeitet im Laufe des Jahres 2026 an technischen Standards, während Konsultationen zur Customer Due Diligence weiterhin hoch relevant für Banken sind, die die praktische Umsetzung mitgestalten wollen. Dies ist eine reale Chance, zukünftige Risiken zu reduzieren. Institute, die jetzt operative Erfahrungen zu Datenquellen, Verifikationsmethoden, Proportionalität und Fallback-Logik einbringen, können späteren Anpassungsaufwand bei Kontrollen, Auditnarrativen und Gesprächen mit Aufsichtsbehörden reduzieren. Das ist besonders wichtig für grenzüberschreitende Geschäftsmodelle.

Was Vorstände im Jahr 2026 entscheiden müssen: drei Entscheidungsblöcke

A. Target Journeys: Wo Wallet und digitale Identität zur Standard-Kontrollplattform werden

Ein häufiger Fehler besteht darin, die Wallet-Einführung als ein einzelnes Projekt mit einem einzigen Go-live zu behandeln. Ein praxisnäheres Vorgehen besteht darin, ein Portfolio von Journeys zu definieren, jeweils mit klaren Anforderungen an Assurance, Nachweise und Kanäle.

Für die meisten Banken sollten im Jahr 2026 drei Kernprozesse für die Umsetzung im Jahr 2027 festgelegt werden.

• Retail-Onboarding (Initial KYC), einschließlich grenzüberschreitender Varianten und Prozesse für Nichtstaatsbürger.
• Re-Identifikationsprozesse wie Kontowiederherstellung, Gerätewechsel, verdächtige Aktivitäten und Überprüfung von Transaktionslimits.
• Signaturprozesse mit hohem wirtschaftlichem Wert, etwa Kreditverträge, Wealth-Onboarding und unternehmensbezogene Zeichnungsbefugnisse.

Für Banken mit stärkerem Corporate-Fokus kann ein vierter Ankerprozess hinzukommen: Corporate-Onboarding (KYB) und die Verifizierung von Zeichnungsbefugnissen. Digitale Prüfungen von Bescheinigungen können bereits heute den manuellen Prüf- und Abstimmungsaufwand erheblich reduzieren, während künftig das geplante European Business Wallet (EBW) auch hier deutlich einfachere Prozesse verspricht.

Für jede Journey sollte der Vorstand entscheiden:

• Digital-first-Ausrichtung. Nutzung von eID oder EUDI Wallet wann immer möglich. Für Nutzende, die diese Mittel bereits besitzen, ist dies in der Regel der einfachste Kundenweg und der kostengünstigste Weg für die Relying Party.
• Fallback-Design. Für Kundinnen und Kunden, die weiterhin physische Ausweisdokumente nutzen, sollten QES-fähige Fernidentifikationsverfahren eingesetzt werden. Unbegleitete Self-Ident-Modelle werden hinsichtlich Skalierbarkeit und Kosten voraussichtlich besser abschneiden als begleitete Modelle, auch wenn beide noch einige Zeit parallel bestehen können.
• Kanalabdeckung. Festlegung, wie der Prozess in App, Mobile Web, Desktop, unterstützten Kanälen und Cross-Device-Szenarien funktioniert.

B. Evidence-Strategie: „Im Jahr 2027 und danach beweisbar“ ist die eigentliche Anforderung

Nachweise sind mehr als reine Log-Speicherung. Für Aufsicht, Streitfälle, grenzüberschreitende Verfahren und Sicherheitsvorfälle benötigt jede Customer Journey ein klar definiertes Evidence-Paket.

Vorstände sollten klare Entscheidungen darüber verlangen, welche Daten erfasst werden, wie Integrität und Zeitstempel geschützt werden, wie Auditoren das Material prüfen können und wie Aufbewahrung, Datenminimierung und Zweckbindung operativ umgesetzt werden.

Dieses Evidence-Paket sollte die erfassten Proofing-Artefakte, Verifikationsergebnisse, Risikobewertungen, Entscheidungen, Kundeneinwilligungen und die Gründe für Sonderfälle oder Fallback-Behandlungen enthalten.

Dieser Punkt wird noch wichtiger, wenn eine Bank weiterhin Video-Ident-Prozesse ohne QES in Ausnahmefällen nutzen möchte. Das Evidence-Paket für diese Ausnahmen muss dennoch stark, überprüfbar und verteidigbar sein, nicht nur wenn der Prozess perfekt funktioniert, sondern gerade dann, wenn er es nicht tut.

C. Betriebsmodell und Governance: Wallet-Einführung ist kein einmaliges Projekt

Wallet-Readiness betrifft Compliance, digitale Kanäle, Betrugsprävention, IT-Sicherheit, Recht und Operations. Vorstände sollten daher ein dauerhaftes Betriebsmodell definieren mit einem verantwortlichen Executive Sponsor, einem End-to-End Product Owner für Identity- und Trust-Journeys sowie klaren Verantwortlichkeiten für Zertifizierung und Registrierung, Incident Handling, Service-Provider-Überwachung, Governance automatisierter Kontrollen und Risikomodelle sowie die Umsetzung von Änderungen aufgrund neuer Standards und Regeln.

Die strategische Frage lautet nicht „Wallet ja oder nein?“. Sie lautet „Welches Betriebsmodell bringt uns sicher bis 2027 und hält uns danach skalierbar?“.

Wie gute Entscheidungen im Jahr 2026 aussehen

• Kernprozesse ganzheitlich finanzieren: User Experience, Kontrollen, Nachweise und Betrieb gemeinsam.
• Eine kohärente Identity-Assurance-Policy definieren und die Zahl paralleler Methoden im täglichen Einsatz reduzieren.
• Wallet und eID dort zum bevorzugten Standardweg machen, wo sie verfügbar sind, ohne zu erwarten, alle benötigten Nachweise daraus zu erhalten.
• Self-Ident als skalierbare Standardalternative für Nutzende ohne Wallet oder eID anbieten.
• Begleitete Verfahren als Fallback statt als Hauptmodell beibehalten.
• Interoperabilität als erstklassiges Risiko über mehrere Wallets, Credential-Formate und nationale Varianten hinweg behandeln.
• Auditierbarkeit als Produktanforderung definieren, damit Journeys auch Jahre später rekonstruierbar bleiben.

So wird das Zeitfenster 2026 bis 2027 zu einem nachhaltigen Digital-Trust-Vorteil: grenzüberschreitend, wallet-agnostisch und kundenfreundlicher, weil Kundinnen und Kunden nicht mehr auf einen Operator warten müssen, um ihren Prozess fortzusetzen.

---

Leseempfehlungen

• Bitkom e.V. (with BMDS) – “Memorandum of Understanding zur erfolgreichen Einführung der EUDI-Wallet”
• Agence France Titres and signatories – “Mémorandum d’Entente pour la mise en œuvre et l’adoption du portefeuille européen d’identité numérique”
• Johannes Wirtz; Chantal Raab (Bird & Bird) – “Videoident nur noch als Fallback: Die EBA setzt auf eIDAS”
• AMLA – “Consultation on the draft RTS on Customer Due Diligence”
• European Commission – “European Commission adopts new round of EU Digital Identity Wallet implementing regulations”
• PwC Netherlands – “PSD3/PSR is coming: New regulations affect all parties within the payment sector”
• European Parliament Legislative Train – “Revision of EU rules on payment services”