Die Europäische Kommission plant die Einführung einer “European Business Wallet” (EUBW), um vertrauenswürdige elektronische Geschäfts- und Regierungsprozesse zu erleichtern und die Wettbewerbsfähigkeit Europas zu steigern. Das Dokument Towards the European Business Wallet befasst sich mit dem regulatorischen und technischen Hintergrund der EUBW, dem Standardisierungsprozess für Identitäten juristischer Personen (LPID) und den möglichen technischen Aspekten der EUBW.

Hintergrund und Relevanz

Die EUBW baut auf der geänderten eIDAS-Verordnung (EU) Nr. 910/2014 auf, die bereits die “European Digital Identity Wallet” (EUDIW) für natürliche Personen definiert. Während die EUDIW hauptsächlich auf mobile Anwendungen für natürliche Personen ausgerichtet ist, soll die EUBW als “EUDI Wallet for Organizations” fungieren und nahtlose, rechtskonforme Interaktionen zwischen Unternehmen, Regierungen und Einzelpersonen ermöglichen.Aktuell fehlen jedoch präzise technische Spezifikationen für die LPID, was die interoperable Implementierung erschwert.

Regulatorischer Rahmen

Die eIDAS-Verordnung ist zentral für die EUBW. Sie deckt sowohl natürliche als auch juristische Personen ab, obwohl die technischen Details der “Person Identification Data” (PID) bisher hauptsächlich auf natürliche Personen zugeschnitten sind. Die Kommission wird ein “Legal-person PID Rulebook” entwickeln, um das Attributschema und andere technische Details für LPID zu spezifizieren. Weitere relevante Vorschriften umfassen solche für juristische Personen-Identifikatoren wie die Umsatzsteuer-Identifikationsnummer (VATIN), die Steueridentifikationsnummer (TIN) und den Legal Entity Identifier (LEI). Die Richtlinie (EU) 2025/25 führt zudem das “EU Company Certificate” und die “Digital EU power of attorney” ein, die mit der EUDIW kompatibel sein sollen. Zahlreiche weitere EU-Verordnungen, von der Zahlungsdienstleister-Richtlinie (PSD2) bis zur Verordnung über elektronische Frachtverkehrsinformationen (eFTI), stellen anwendungsspezifische Anforderungen an die Identifizierung und Authentifizierung von Geschäftspartnern und Datenobjekten.

Standards und Spezifikationen

Für die EUBW sind verschiedene Standards relevant:

• Maschinenlesbare Datenformate: JSON, XML, CBOR (Concise Binary Object Representation) und ASN.1. CBOR ist ein binäres Datenformat, das auf Kompaktheit, Effizienz und Erweiterbarkeit ausgelegt ist und auf dem JSON-Datenmodell basiert. Es ist besonders nützlich für Anwendungen, die binäre Daten übertragen müssen und von einer prägnanten Codierung profitieren, wie etwa im Internet der Dinge.
• Anwendungsprogrammierschnittstellen und Geschäftsdatenaustausch: OpenAPI, AsyncAPI, SOAP, ebXML und das Dataspace Protocol.
• Anmeldeinformationsverwaltung und -autorisierung: Klassische X.509-Zertifikate, SAML-basierte Anmeldeinformationen, OAuth und OpenID Connect (OIDC) mit JSON Web Tokens (JWT). Zunehmend werden Architekturen auf der Grundlage von “Self-Sovereign Identity” (SSI) mit “Verifiable Credentials” (VC) in Formaten wie JSON, JSON-LD oder CBOR verwendet, oft mit selektiver Offenlegung (SD-JWT). Protokolle wie OpenID for Verifiable Credential Issuance (OID4VCI) und OpenID for Verifiable Presentations (OID4VP) sind hierbei wichtig.

Standardisierung von Identitäten juristischer Personen (LPID)

Das Dokument schlägt einen dreistufigen Ansatz zur Standardisierung von LPID vor:

• Abstraktes Datenmodell: Ein Datenmodell für juristische Personen, das auf bestehenden Vorschriften und Arbeiten der Europäischen Kommission basiert, wird entwickelt. 
• Abbildung auf standardisierte Anmeldeinformationsformate: Das Datenmodell kann auf verschiedene Formate abgebildet werden, wobei die Abbildung auf X.509-Zertifikate für elektronische Siegel besonders hervorgehoben wird.
• Vertrauensrahmen: Der kanonische Vertrauensrahmen für LPID wird durch die eIDAS-Verordnung definiert, die elektronische Identifizierung und Vertrauensdienste regelt. Es werden verschiedene Optionen für die Ausgabe von LPID durch die EU-Mitgliedstaaten diskutiert, einschließlich der Integration in bestehende eID-Systeme, der Nutzung von qualifizierten Vertrauensdienstanbietern (QTSP) oder der Einbeziehung von öffentlichen Stellen (PubEEA-Anbietern).

Technische Lösungsskizze für die EUBW

Die EUBW soll als zentrales Element in verschiedenen Interaktionsszenarien dienen:

• B2C-Prozesse: Unterstützung der Zusammenarbeit mit der EUDIW.
• Interaktion mit Vertrauensdienstanbietern: Anforderung von Zugangszertifikaten und anderen Bescheinigungen (z.B. LPID).
• B2G-Prozesse: Nutzung für elektronische Regierungsprozesse mit zukünftigen “EU Government Wallets”.
• B2B-Prozesse: Vertrauenswürdige elektronische Geschäftsabläufe mit anderen EUBW-Instanzen.
• Integration: Nahtlose Einbindung in bestehende Geschäfts-IT-Systeme und Dienste.
• B2E-Prozesse: Unterstützung von Prozessen, die Mitarbeiter betreffen.

Fazit und Ausblick

Das Dokument leistet einen Beitrag zur Standardisierung der EUBW, indem es relevante europäische Vorschriften und internationale technische Standards zusammenfasst. Es betont die Notwendigkeit eines modularen und kohärenten europäischen Standardisierungsrahmens, um eine vertrauenswürdige und souveräne “EuroStack” zu schaffen. Die Entwicklung der EUBW befindet sich noch in einer frühen Phase, profitiert aber bereits von umfangreichen Diskussionen mit Experten.