EUDI SSI Standards/Protokolle

EUDI-Wallet: Technische Analyse offenbart strukturelle Schwächen

Jan. 26, 2026

Ein aktuelles Whitepaper untersucht die technischen und regulatorischen Grundlagen des European Digital Identity Framework. Die Autoren kommen zu dem Schluss: EUDI repliziert zentralisierte Kontrollstrukturen statt echte Nutzer-Souveränität zu ermöglichen. OpenID4VCI und OpenID4VP bieten nur begrenzte Innovationen, während Trusted Lists neue Abhängigkeiten schaffen können. Als Alternative schlagen die Autoren OAuth-UMA mit A4DS und GNAP vor – Protokolle, die asynchrone, dynamische Flows und dezentrale Trust-Mechanismen ermöglichen. Die Analyse wirft Fragen auf, ob das Framework die selbstgesteckten Ziele erreicht.

Die Europäische Union entwickelt mit dem EUDI-Wallet eine digitale Identitätslösung, die Nutzern mehr Kontrolle über ihre Daten geben soll. Self-sovereign identity als regulatorisches Ziel – ein anspruchsvolles Versprechen. Ein aktuelles Whitepaper nimmt diese Zielsetzung ernst und prüft das Framework auf seine technischen und konzeptionellen Grundlagen. Das Ergebnis fällt kritisch aus: Die Autoren sehen keine substanzielle Paradigmenverschiebung, sondern eine Fortsetzung bekannter Probleme zentralisierter Systeme.

Die Autoren beginnen mit konzeptioneller Klarheit. Sie definieren “Identity” als kontextabhängiges Subset von Attributen – technisch ein Pseudonym mit Singleton-Anonymitätsmenge. “Authentication” verstehen sie als Verifikation von Claims über ein Issuer-Holder-Verifier-Modell. Diese Präzision, die sich mit Standards wie NIST SP 800-63 oder ISO/IEC 24760 deckt, legt begriffliche Unschärfen im EUDI-Framework offen. Was genau bedeutet “self-sovereign” in einem System, das auf institutionellen Trusted Lists basiert?

Die technische Analyse zeigt Limitationen auf. OpenID4VCI und OpenID4VP, die Kerntechnologien des EUDI-Frameworks, arbeiten mit statischen Credential-Typen und einer eingeschränkten Query-Sprache. Dynamische oder automatisierte Szenarien, wie sie für AI-Agenten oder adaptive Authentifizierungsflows notwendig wären, lassen sich damit nicht abbilden. Die Autoren argumentieren, dass diese Funktionalität bereits durch bestehende Standards wie OIDC, SIOPv2 oder OIDC4IDA abgedeckt wird. OpenID4VCI/VP brächten demnach keine wesentlichen Verbesserungen bei Portabilität, Nutzer-Kontrolle oder Privacy gegenüber etablierten Lösungen.

Die Privacy-Betrachtung verdient besondere Aufmerksamkeit. Selective Disclosure, als Kernelement der Datensparsamkeit konzipiert, wirkt nach Einschätzung der Autoren nur begrenzt. Das grundlegende Problem verschiebe sich lediglich: Statt bei Identitätsprovidern oder Relying Parties konzentrieren sich Privacy-Risiken nun beim Wallet-Provider. Die Frage nach Kontrolle und Überwachung der Wallet-Provider bleibt dabei zentral. Die angestrebte Nutzer-Souveränität könnte eingeschränkt sein, wenn strukturelle Machtasymmetrien nur verlagert, nicht aufgelöst werden.

Die regulatorischen Aspekte werfen weitere Fragen auf. Trusted Lists, als Vertrauensanker des Systems konzipiert, können Re-Zentralisierung fördern. Wirtschaftliche und politische Anreize schaffen potenziell Vendor-Lock-ins und neue Abhängigkeiten. Wer auf die Liste kommt, erhält Marktzugang. Wer sie verwaltet, besitzt strukturelle Macht. Die Autoren sehen hier Risiken durch institutionelles Gatekeeping, das User-Kontrolle einschränken könnte. Das System schaffe neue Intermediäre, wo es eigentlich direkte Peer-to-Peer-Interaktionen ermöglichen sollte.

Die vorgeschlagene Alternative zeigt, dass technisch andere Ansätze denkbar sind. OAuth-UMA kombiniert mit Authorization for Data Spaces (A4DS) und dem Grant Negotiation and Authorization Protocol (GNAP) ermöglichen asynchrone, dynamische Flows. Sie integrieren sich in Data-Space-Architekturen und unterstützen flexible Query-Sprachen. Ergänzt durch W3C-DID und Verifiable Credentials entstünden dezentrale Trust-Mechanismen ohne institutionelle Gatekeeping-Strukturen.

Die Whitepaper-Analyse wirft grundsätzliche Fragen auf: Erreicht EUDI seine selbstgesteckten Ziele? Oder perpetuiert es zentralisierte Kontrollstrukturen unter dem Label der Nutzer-Souveränität? Die Autoren argumentieren systematisch, dass technische Limitationen und regulatorische Strukturen einer echten self-sovereign identity entgegenstehen. Self-sovereign identity, so ihre These, erfordere technische Protokolle, die institutionelle Intermediäre überflüssig machen – nicht deren Akkreditierung.

Die Autoren liefern eine sachliche, technisch fundierte Kritik. Sie zeigen auf: EUDI könnte die Probleme digitaler Identität nicht lösen, sondern in modifizierter Form fortführen. Für alle, die auf EUDI-basierte Lösungen setzen, liefert die Analyse wichtige Diskussionspunkte.

Ähnliche Beiträge:

  1. Selbstverwaltete Digitale Identitäten und eIDAS – wie passt das zusammen?
  2. Selbstverwaltete Digitale Identitäten für das Internet der Dinge (Sovrin Foundation)
  3. Spanische Banken kooperieren bei selbstverwalteten Digitalen Identitäten auf Blockchain-Basis
  4. Mobile Driver Licenses (mDLs) und SSI – Gemeinsamkeiten und Unterschiede

Ähnliche Beiträge

Aktuelle Marktentwicklung EUDI SSI

Telefónica Techs SSI-Initiative zwischen Compliance und Substanz

Jan. 21, 2026 Ralf Keuper
Digitale Identitäten für KI-Agenten Kryptografie SSI

Custodial Sovereignity für KI-Agenten

Jan. 16, 2026 Ralf Keuper
EUDI

Niederländisches Pilotprojekt verbindet EUDI Wallet mit europäischer Dateninfrastruktur

Jan. 7, 2026 Ralf Keuper