eIDAS EUDI

DigiD, Solvinity und die Intermediär-Falle: Zwei Seiten desselben Souveränitätsproblems

Apr. 27, 2026

Die niederländische Parlamentsdebatte um Solvinity und Kyndryl hat ein Souveränitätsproblem sichtbar gemacht, das strukturell viel älter ist als die Übernahme selbst. Wer kritische Identitätsinfrastruktur auslagert, verliert die operative Kontrolle nicht erst beim Eigentümerwechsel – sondern mit der Outsourcing-Entscheidung. Der Fall Hopae zeigt, dass dasselbe Muster auf europäischer Ebene bereits eine Ebene tiefer greift: Nicht ein nationales System, sondern die Aggregationsschicht über allen nationalen Systemen liegt bei einem außereuropäischen Akteur. Der QTSP-Rahmen beantwortet diese Frage nicht. Er stellt sie nicht einmal.

Die Aufregung im niederländischen Parlament ist verständlich, trifft aber das eigentliche Problem nur halb[1]Netherlands weighs data sovereignty concerns with Solvinity digital identity contract. Die geplante Übernahme von Solvinity – dem Betreiber der DigiD-Plattform, über die nahezu alle niederländischen Bürgerinnen und Bürger auf staatliche Dienste zugreifen – durch den US-Konzern Kyndryl hat eine Debatte ausgelöst, die sich an der Nationalität des Käufers entzündet. Die strukturelle Frage liegt tiefer: Wann hat der niederländische Staat die operative Kontrolle über seine kritische Identitätsinfrastruktur eigentlich verloren?

Die Antwort lautet: lange vor Kyndryl. Mit der Entscheidung, den Betrieb von DigiD an einen privaten Anbieter auszulagern, entstand eine Abhängigkeitsstruktur, die sich bei Eigentümerwechseln, Insolvenzen oder geopolitischen Verschiebungen zwangsläufig als fragil erweist. Der Vertrag reguliert das Verhältnis, er konstituiert es nicht. Die Souveränität lag schon vor der Kyndryl-Transaktion nur auf dem Papier.

Die Reaktion des Staatsekretärs Van der Burg – es gebe keine rechtliche Grundlage, die Übernahme zu blockieren – ist kein politisches Versagen, sondern das Symptom struktureller Pfadabhängigkeit: Wer kritische Infrastruktur einmal in privatwirtschaftliche Hände gegeben hat, findet sich in einem Geflecht aus Vertragsrecht, Vergaberecht und internationalem Investitionsschutzrecht wieder, das nachträgliche Korrekturen erheblich erschwert.

Der blinde Fleck des QTSP-Rahmens

Als institutionelle Antwort auf solche Konstellationen gilt der eIDAS-Rahmen mit dem QTSP-Konzept: Qualifizierte Vertrauensdiensteanbieter unterliegen nationaler Aufsicht, Zertifizierungspflichten und einem europäischen Vertrauensrahmenwerk. Das stimmt – und reicht nicht.

Denn bereits in den laufenden EUDI Wallet-Pilotprojekten ist die Grenze zwischen „europäischer” und „außereuropäischer” Infrastruktur erheblich durchlässiger als die regulatorische Rahmung suggeriert. Im APTITUDE-Konsortium ist mit Indicio ein US-amerikanisches Unternehmen als Technologiepartner vertreten. Im WE BUILD-Konsortium ist Signicat einer der zentralen Akteure – ein führender europäischer Anbieter, der seit 2019 dem schwedischen PE-Investor Nord…

References

Ähnliche Beiträge:

  1. Diskussionspapier EU Digital Identity Wallet
  2. eIDAS Summit 2025
  3. Polen treibt Digitalisierung voran: Neue Kampagne zur Förderung der nationalen Identitätsplattform mObywatel
  4. Elektronische Attestierung von Attributen – Der neue Vertrauensanker der Digitalen Identität

Ähnliche Beiträge

Digitale ID in der Mobilität EUDI Seamless Travel - Reise- und Fluggesellschaften als Identity Provider

Datenfragmentierung als strukturelle Barriere: Was der SITA-Report über Digital Identity in der Luftfahrt wirklich zeigt

Apr. 22, 2026 Ralf Keuper
EUDI

EUDI: Die Wallet, die kaum einer kennt – und warum das das kleinere Problem ist

Apr. 15, 2026 Ralf Keuper
eID EUDI

Wenn der Aggregator schneller ist als der Hoheitsträger: Was die Signicat-WSO2-Partnerschaft über Europas Identitätsarchitektur verrät

Apr. 8, 2026 Ralf Keuper