eID EUDI Technik und Gesellschaft

Digitale Identität als Verfassungsfrage: Das Prinzip der digitalen Subsidiarität

Mai 18, 2026

Das European Decentralisation Institute legt ein Policy Paper vor, das digitale Identität konsequent als verfassungsrelevante Infrastruktur begreift – und mit dem Konzept der „digitalen Subsidiarität” einen Ordnungsrahmen vorschlägt, der über die bisherigen Debatten um eIDAS 2.0 und EUDI Wallet hinausgeht. Der Befund ist unbequem: Weder das kommerzielle Modell der US-Plattformen noch das zentralstaatliche Modell vom Typ Aadhaar sind mit europäischen Grundrechtsanforderungen vereinbar. Was folgt daraus für die Architektur – und für die Governance?

Wer seine Identität nicht kontrolliert, kontrolliert auch seine digitalen Rechte nicht. Diese Einsicht klingt trivial, wird in der politischen Praxis aber systematisch unterschätzt. Digitale Identität wird in den meisten europäischen Debatten als technisch-administratives Problem behandelt: als Frage von Standards, Interoperabilität und Nutzerfreundlichkeit. Das European Decentralisation Institute (EDI) setzt in seinem im Mai 2026 vorgelegten Policy Paper einen anderen Akzent. Digitale Identität, so die Grundthese, ist die „erste Schicht” digitaler Souveränität – und ihre Governance ist keine Verwaltungsfrage, sondern eine Verfassungsfrage.

Das Vakuum und seine Besetzer

Der Ausgangsbefund des Papers ist historisch-strukturell: Staatliche Identitätssysteme kamen zu spät und zu langsam. In dem Vakuum, das dadurch entstand, haben Plattformen, Zahlungsdienstleister und Telekommunikationsunternehmen eigene Identitätslayer aufgebaut. Sie kontrollieren heute faktisch große Teile des digitalen Lebens der Bürger – nicht weil sie dazu ermächtigt wurden, sondern weil niemand anderes die Infrastruktur bereitgestellt hat.

Das EDI identifiziert zwei strukturelle Sackgassen, in die Europa nicht geraten darf. Die erste ist das kommerzielle Modell nach US-Muster: Identität als Funktion großer Plattformökosysteme und Datenbroker, mit den bekannten Konzentrationsrisiken und dem systematischen Anreiz zur Datenverwertung. Die zweite ist das zentralstaatliche Modell nach dem Muster von Aadhaar: hohe technische Effizienz, aber extreme Abhängigkeit von einem einzigen Ausstellungspunkt, fehlende Rechtswege bei Ausschlüssen, strukturelle Überwachungsgefahr. Beide Modelle gelten dem EDI als verfassungsrechtlich problematisch für Europa – und beide sind Varianten desselben Grundproblems: der fehlenden Brücke zwischen physischer und digitaler Identität, die durch kommerzielle oder staatlich zentralisierte Systeme ersetzt wird.

Digitale Subsidiarität als Ordnungslogik

Das konzeptuelle Herzstück des Papers ist das Prinzip der „digitalen Subsidiarität”. Die Analogie zu dem bereits in den EU-Verträgen verankerten Subsidiaritätsprinzip ist bewusst gewählt: Was auf der unteren Ebene geleistet werden kann, soll nicht auf der oberen Ebene angesiedelt werden. Übertragen auf die Identitätsarchitektur bedeutet das: Bürger halten ihre Credentials selbst in einer Wallet. Ausstellung und Widerruf liegen bei lokalen, demokratisch rechenschaftspflichtigen Stellen. Verifikation erfolgt durch kontextgebundene Dienstanbieter mit minimaler Datenerhebung. Die supranationale Ebene liefert nur die notwendige Governance-Infrastruktur: Standards, Interoperabilität, Grundrechtsschutz.

Bemerkenswert ist die Konsequenz, mit der das EDI diesen Gedanken durchführt: Technische Architektur – dezentrale Protokolle, Zero-Knowledge-Proofs, offene Standards – wird ausdrücklich als Konsequenz einer verfassungsrechtlichen Designentscheidung verstanden, nicht umgekehrt. Nicht die Technologie erzwingt die Governance, sondern die Governance definiert die technischen Anforderungen. Das klingt selbstverständlich, ist es in der Praxis aber selten: Zu häufig werden technische Sachzwänge vorgeschoben, um politische Grundsatzentscheidungen zu umgehen.

Vier Funktionen, vier Verantwortungsebenen

Das Paper zerlegt digitale Identität in vier analytisch trennbare Funktionen und ordnet ihnen jeweils Verantwortlichkeiten, Aufsichtsstrukturen, Haftung, Rechtswege und analoge Fallbacks zu.

Die erste Funktion – Attestation und Delegation – liegt beim Bürger. Er hält Credentials und kann Rechte granular und widerrufbar delegieren: an Pflegende, Bevollmächtigte, gesetzliche Vertreter. Das EDI betont, dass die monolithische „Ein-Personen-Identität” de facto exkludierend wirkt – für Ältere, Menschen mit Behinderung, gering digital affine Bevölkerungsgruppen. Inklusion ist hier kein politisches Appell-Attribut, sondern eine Designanforderung.

Die zweite Funktion – Ausstellung und Widerruf – liegt auf der lokalen Ebene. Kommunen, Postämter oder vergleichbare Netzwerke verantworten die Ausgabe und den Widerruf, mit garantierten Präsenzwegen und funktionierenden Rechtsmitteln. Der Hinweis auf den „Aadhaar-Modus” – zentrale Ausstellung ohne lokale Fallback- und Beschwerdemechanismen – ist hier als strukturelles Warnsignal formuliert, nicht als länderspezifische Kritik.

Die dritte Funktion – Verifikation und Zugangsmanagement – liegt bei den Diensteanbietern. Das EDI formuliert drei harte Anforderungen: Kontextintegrität (nur das wird abgefragt, was für den jeweiligen Vorgang nötig ist), Datenminimierung und Unlinkability-by-default. Die letzte Anforderung ist die technisch und politisch anspruchsvollste: Zwei Transaktionen desselben Nutzers sollen nicht miteinander korrelierbar sein. Re-Linking soll nur über gerichtliche Verfahren möglich sein – analog zum Abhörvorbehalt im Telekommunikationsrecht. Das ist ein struktureller Gedanke, der die Identitätsarchitektur in den Kontext des Verfassungsrechts stellt, nicht in den Kontext des Datenschutzrechts allein.

Die vierte Funktion – Architektur und Governance – liegt auf der europäischen Ebene. Hier gilt das Prinzip des Minimalismus: nur das, was für Interoperabilität und Grundrechtsschutz unbedingt erforderlich ist, ohne Funktionalitäten nach oben zu ziehen. Offene Standards, keine Single Points of Failure, kein proprietärer Lock-in in öffentlich finanzierter Infrastruktur.

Vier Prioritäten für 36 Monate

Das EDI formuliert vier politische Prioritäten für die nächsten 36 Monate – einen Zeitraum, in dem die eIDAS-Implementierungsakte, der Swiyu-Rollout in der Schweiz und das britische Digital Identity Framework die Weichen für eine Generation stellen werden.

Erstens: Kontrolle über digitale Identität als Grundrecht verankern. Das Paper schlägt eine Digital Identity Non-Exclusion Regulation vor – analog zum Schutz des Bargelds –, die den Ausschluss von essenziellen Diensten bei fehlender digitaler ID verhindert. Dazu gehören auch „Humanitarian Credentials” für Geflüchtete und Undokumentierte, offline nutzbar und nicht direkt personenbezogen, aber rechtswahrend.

Zweitens: Verteilte Ausstellung und Widerruf verpflichtend machen. Die eIDAS-Implementierungsakte und nationale Gesetzgebungen sollen wohnortnahe Präsenzwege über Kommunen und bestehende Netzwerke erzwingen. Als Referenzmodell nennt das EDI Estlands X-Road-Architektur für dezentrale Datenaustausch-Layer.

Drittens: Regulatorischen Schutz vor Identity Overreach schaffen. Unlinkability-by-default soll als verbindliche architektonische Vorgabe in eIDAS 2.0, Schweizer e-ID und UK-Framework verankert werden. Sektorale Credential Scope Regulations sollen Obergrenzen der Credential-Anforderung pro Anwendungsfall definieren. Ein „Digital Identity Ombudsman” bei den Datenschutzbehörden soll Sanktionsbefugnisse auf DSGVO-Niveau erhalten.

Viertens: Ein Pan-European Identity Trust Framework mit verfassungsähnlichem Change-Control aufbauen. Wesentliche Architekturänderungen sollen nur nach transparenter Multistakeholder-Prüfung möglich sein. Datenschutzbehörden erhalten Aufschubrechte. Vorgeschrieben werden: Post-Quantum-Krypto-Bereitschaft, ZK-Proof-Fähigkeit und eine Pflicht zur Anbietervielfalt bei zertifizierten Wallet-Anbietern.

Komparativer Spiegel

Das EDI stützt seine Argumentation auf eine vergleichende Analyse von 19 Systemen. Besonders instruktiv ist der Kontrast zwischen Bhutan und Kanada: Bhutans NDI ist technisch hochgradig SSI-basiert – DIDs, Verifiable Credentials, Ethereum-Infrastruktur –, wurde aber per Königsdekret eingeführt. Das zeigt die entscheidende Trennlinie zwischen technischer Dezentralität und politischer Subsidiarität. Dezentrale Technologie ist keine hinreichende Bedingung für demokratisch legitime Identitätsinfrastruktur; sie ist allenfalls eine notwendige.

Kanadas PCTF hingegen zeigt das Gegenproblem: ein föderales Trust-Framework ohne Zentralisierung, technologieneutral konzipiert, aber durch fehlende verbindliche Gesetzgebung in der Umsetzung stockend – Ontario als Beispiel. Technische Offenheit ohne institutionelle Verbindlichkeit produziert keine stabile Infrastruktur.

Für die europäische Debatte am relevantesten ist der Schweizer Fall. Swiyu ist demokratisch legitimiert, staatlich ausgestellt und bürgerkontrolliert, mit Open-Source-Infrastruktur und geplanter Unlinkability durch Einweg-Credentials. Das Interoperabilitätsproblem mit dem EUDI Wallet – DID-Methoden versus X.509-Infrastruktur – ist jedoch ungelöst und illustriert, dass auch innerhalb Europas die Governance-Schiene noch nicht steht.

Was auf dem Spiel steht

Das EDI-Paper ist kein technisches Standardisierungsdokument. Es ist ein Argument dafür, dass die kommenden Monate eine Weichenstellung für eine Generation darstellen – und dass diese Weichenstellung falsch ausfallen wird, wenn Identitäts-Governance weiterhin als administrative oder technische Aufgabe behandelt wird.

Die eigentliche Leistung des Papers liegt in der analytischen Rerahmung: Digitale Identität, digitale Souveränität und digitale Subsidiarität sind keine getrennten Politikfelder, sondern Bestandteile einer gemeinsamen Governance-Architektur. Wer über EUDI Wallet, Swiyu oder das britische Framework redet, ohne diese Architektur im Blick zu haben, redet über Implementierungsdetails – und übersieht die Verfassungsfrage, die darunter liegt.

Europa verfügt über eine historisch seltene Kombination: einen Grundrechtsrahmen, eine föderale Struktur und supranationale Regulierungsfähigkeit. Das Policy Paper des EDI beschreibt, was daraus werden könnte – wenn der politische Wille vorhanden ist, Identitäts-Governance als das zu behandeln, was sie ist: ein Projekt mit verfassungsrechtlichem Rang.

Ralf Keuper

Quelle: European Decentralisation Institute, „Digital Identity as the Foundation of European Sovereignty – Digital Subsidiarity as design framework for a true European Identity Infrastructure“, Mai 2026.

Ähnliche Beiträge:

  1. Nutzung elektronischer Identifizierungsmittel (eIDs) im elektronischen Zahlungsverkehr und bei der Kontoeröffnung
  2. Kommt die Europäische Digitale Identität (EUid)?
  3. Kernprobleme bei der Überarbeitung von eIDAS mit Blick auf die eID
  4. Digitale Brieftasche in der EU: Datenschutz-Albtraum oder Meilenstein für die Gestaltung der digitalen Zukunft Europas?

Ähnliche Beiträge

Digitale Identitäten für KI-Agenten EUDI Identitätsmanagement

Autorisierung als Infrastruktur: Was autonome Agenten von klassischem IAM unterscheidet

Mai 13, 2026 Ralf Keuper
Cybersecurity Datenschutz EUDI

France Identité: Wenn Altersverifikation zur Architekturaussage wird

Mai 12, 2026 Ralf Keuper
Analyse eID eIDAS EUDI

Italiens CIE-Strategie: Staatliches Identitätsmonopol als Systembruch bei fehlender Infrastrukturreife

Apr. 30, 2026 Ralf Keuper