Zwei Tage. Dutzende von Gesprächen. Ein durchgängiges Thema: Die Kluft zwischen politischem Ehrgeiz und operativer Realität ist nach wie vor beträchtlich, und die Organisationen, die diese Lücke schließen, sind diejenigen, die es wert sind, beobachtet zu werden.
Wir kamen an LisbonID Konferenz 2026 mit einer klaren Frage im Hinterkopf: Wo steht die Implementierung digitaler Identitäten in Europa tatsächlich? Nicht dort, wo die Regulierung es vorschreibt. Nicht dort, wo die Roadmaps es versprechen. Wo steht sie im Moment, in den Systemen, die Organisationen entwickeln, den Integrationen, die IT-Teams verwalten, und den Entscheidungen, die Technologieverantwortliche unter realem Druck treffen? Zwei Tage intensiver Gespräche ergaben ein ehrlicheres Bild als jeder Bericht es könnte. Hier ist, was uns aufgefallen ist.
Die eIDAS 2.0-Lücke ist real und die meisten Organisationen wissen das
Der Europäische digitale Identitätsbrieftasche Der Rahmen wurde als Wendepunkt für die Interaktion von Bürgern mit öffentlichen und privaten Dienstleistungen in ganz Europa beschrieben. Und im Prinzip ist er das auch. Die Ambition ist korrekt: eine tragbare, interoperable und datenschutzkonforme Identitätsschicht, die grenzüberschreitend und sektorübergreifend funktioniert. Das Problem ist, dass Ambition und Umsetzung auf sehr unterschiedlichen Zeitplänen laufen. Die meisten IT-Direktoren, mit denen wir gesprochen haben, bei LisbonID arbeiten mit Organisationen, die sich dem Namen nach bewusst sind eIDAS 2.0 Anforderungen, haben dieses Bewusstsein aber noch nicht in einen konkreten Umsetzungsplan umgewandelt. Die Regulierung wird als etwas Zukünftiges verstanden. Die operativen Auswirkungen werden noch ausgearbeitet. Dies ist keine Fahrlässigkeit. Es ist der normale Rhythmus eines komplexen regulatorischen Wandels, insbesondere wenn die technischen Standards, die der Umsetzung zugrunde liegen, auf europäischer Ebene noch finalisiert werden. Aber es schafft ein Fenster mit echtem Risiko für Organisationen, die zu lange mit dem Aufbau warten.
Die Teams, die jetzt vorne liegen, sind nicht diejenigen, die angefangen haben, nachdem das Gesamtbild klar war. Es sind diejenigen, die mit dem begannen, was existierte, nah an den sich entwickelnden Standards blieben und von Anfang an Flexibilität in ihre Architektur einbauten.
Interoperabilität ist das eigentliche schwierige Problem
Eines der konstantesten Themen über die beiden Tage hinweg war die Kluft zwischen Identitätslösungen, die isoliert funktionieren, und Identitätsinfrastrukturen, die systemübergreifend funktionieren. Eine digitale Identitätsbescheinigung, der eine Behörde vertraut, eine Bank jedoch nicht. Ein unternehmensweites Identitätsmanagementsystem, das im Inland funktioniert, aber an der Grenze versagt. Eine bürgerorientierte Anwendung, die einen Typ von Identifikationsdokument verarbeitet, aber nicht einen anderen.
Das sind keine Ausnahmefälle. Es ist der alltägliche Betriebsalltag der digitalen Identität in Europa – einem Kontinent mit 27 unterschiedlichen nationalen Rechtsrahmen, einer umfangreichen Altinfrastruktur und erheblichen Unterschieden hinsichtlich der rechtlichen Definition und der administrativen Verwaltung von Identität. Die interessantesten Gespräche bei LisbonID drehte sich darum, wie Organisationen damit umgehen. Die Antwort lautet zunehmend, Interoperabilität nicht länger als ein zukünftiges Problem zu betrachten, das erst gelöst werden muss, wenn alles andere bereits steht, sondern sie als grundlegende Designanforderung zu behandeln. Dieser Umdenkprozess hat praktische Konsequenzen. Er bedeutet, Middleware und Integrationsschichten zu wählen, die ausdrücklich dafür ausgelegt sind, Unterschiede zwischen Identitätsstandards zu bewältigen, anstatt für ein einzelnes Framework optimiert zu sein. Er bedeutet, in Abstraktion zu investieren – also in die Fähigkeit, eine Brücke zwischen den heute existierenden Zugangsdaten und den morgigen Wallets zu schlagen, ohne die Integration jedes Mal neu aufbauen zu müssen, wenn sich etwas ändert. Es ist diese Art des architektonischen Denkens, die auf der Ebene der einzelnen Funktionen nicht immer wahrgenommen wird, aber einen enormen Unterschied hinsichtlich der langfristigen Kosten und der Ausfallsicherheit der Identitätsinfrastruktur ausmacht.
Die Herausforderung im Beschaffungswesen, über die niemand laut genug spricht
Neben dem technischen Gespräch lief ein ruhiger, aber ebenso wichtiger Faden durch LisbonID: Die Beschaffung und die Lieferantenauswahl halten nicht mit der rasanten Entwicklung im Bereich der Identitätsstandards Schritt.
Viele Organisationen sind vertraglich an Anbieter gebunden, die Zusagen bezüglich eIDAS 2.0 Anforderungen, deren Erfüllung sich als schwierig erweist. Die Standards haben sich geändert. Die Roadmap des Anbieters hat nicht schnell genug mitgehalten. Und das Unternehmen befindet sich nun in der unangenehmen Lage, in eine Infrastruktur investiert zu haben, die möglicherweise erhebliche Überarbeitungen erfordert, bevor das „European Digital Identity Wallet“ in Betrieb genommen wird.
Dies ist keine Kritik an einem bestimmten Anbieter. Es ist ein strukturelles Problem mit der Art und Weise, wie Identitätstechnologie beschafft wird. Organisationen bewerten Lösungen anhand von Anforderungen, die geschrieben wurden, bevor die aktuelle Version der technischen Spezifikationen existierte. Bis ein Beschaffungszyklus abgeschlossen und ein Vertrag unterzeichnet ist, kann sich die Spezifikation erneut geändert haben.
Die Organisationen, die sich darin gut zurechtfinden, entwickeln Kriterien zur Evaluierung von Anbietern, die über Funktionslisten hinausgehen. Sie fragen, wie eng ein Anbieter mit den Standardisierungsgremien zusammenarbeitet. Sie bitten um Nachweise der Teilnahme an Pilotprogrammen und grenzüberschreitenden Interoperabilitätstests. Sie betrachten die Nähe zur sich entwickelnden Politik als eigenes Auswahlkriterium, nicht nur als eine nette Zusatzleistung, sondern als echten Indikator dafür, ob eine Lösung in zwei Jahren noch zweckmäßig sein wird.
Dies ist eine bedeutende Veränderung in der Art und Weise, wie Entscheidungen zur Identitätsinfrastruktur getroffen werden. Und wir gehen davon aus, dass sich dieser Trend beschleunigen wird, je näher die Einführung der Wallet rückt und je mehr Unternehmen erkennen, dass Compliance kein festes Ziel, sondern ein sich ständig veränderndes Ziel ist.
| Lieferantenbewertungskriterium | Typische Checkliste für die Beschaffung | Was uns LisbonID gelehrt hat, zu fragen |
|---|---|---|
| eIDAS 2.0-Konformitätsverpflichtung | Ja/Nein-Kontrollkästchen | ✓ Beweise zeigen, keine Behauptungen |
| Enge Zusammenarbeit mit Normungsgremien | Nicht bewertet | ✓ Aktive Teilnahme erforderlich |
| Grenzüberschreitende Interoperabilitätsprüfung | Nicht bewertet | ✓ Pilotergebnisse, keine Roadmap-Versprechen |
| Architekturflexibilität, wenn sich die Spezifikation weiterentwickelt | Nicht bewertet | ✓ Auswahlkriterium, kein schöner Nebeneffekt |
| Kompatibilität mit Altsystemen | Auf Feature-Ebene geprüft | ✓ Middleware + Integrationstiefe |
| Zweckdienlich in 2 Jahren | Angenommen | ✓ Auf steigende Standards getestet |
Legacy-Systeme sind die eigentliche Unterhaltung, die niemand führen möchte
Wenn es ein Thema gab, das in informellen Gesprächen häufiger als in formellen Sitzungen aufkam, dann war es das Legacy-System. Die meisten europäischen Organisationen, insbesondere im öffentlichen Sektor und im Finanzdienstleistungsbereich – den beiden Sektoren, in denen digitale Identität am wichtigsten ist –, starten nicht in einer Greenfield-Umgebung. Sie verfügen über Systeme, die seit zehn, fünfzehn oder zwanzig Jahren laufen. Sie haben Datenbanken, Authentifizierungsschichten und Dokumentenmanagement-Workflows, die entwickelt wurden, bevor digitale Identität eine politische Priorität war und bevor die aktuelle Generation von Identitätsstandards existierte. Die Integration mit moderner Identitätsinfrastruktur bedeutet nicht, diese Systeme zu ersetzen.
In den meisten Organisationen ist das weder realistisch in Bezug auf das Budget, noch in Bezug auf das Risiko, noch in Bezug auf die Betriebskontinuität, die für öffentliche Dienste und regulierte Branchen erforderlich ist. Was das bedeutet, ist der Aufbau der richtigen Schnittstelle zwischen dem Bestehenden und dem Kommenden. Die Organisationen, die dies richtig machen, betrachten Altsysteme nicht als Hindernis, sondern als Einschränkung, um die herum sie planen, und investieren in Integrationslösungen, die die Lücke schließen können, ohne ein vollständiges Modernisierungsprogramm als Voraussetzung zu verlangen. Hier wird der praktische Wert von speziell entwickelter Identitäts-Middleware am deutlichsten. Nicht als Ersatz für die bestehende Infrastruktur, sondern als Übersetzungsschicht – etwas, das es einem Altsystem ermöglicht, mit modernen Identitätsstandards zu kommunizieren, ohne von Grund auf neu aufgebaut zu werden.
Die Vertrauensfrage ist wichtiger als die Technologiefrage
Das vielleicht Wichtigste, was wir von gehört haben, war LisbonID hatte nichts mit technischen Standards oder regulatorischen Zeitplänen zu tun. Es war eine direkte Beobachtung eines IT-Direktors im öffentlichen Sektor: “Die Bürger interessiert es nicht, welchen Standard wir verwenden. Sie interessiert es, ob sie darauf vertrauen können, dass ihre Identität korrekt behandelt wird.” Das klingt offensichtlich. Aber es hat reale Auswirkungen auf die Art und Weise, wie Organisationen die Implementierung digitaler Identitäten angehen und wie sie diese intern kommunizieren. Die Technologieentscheidungen sind wichtig. Aber sie dienen einem übergeordneten Ziel: dem Aufbau von Systemen, auf die sich Bürger, Mitarbeiter und Partner verlassen können, ohne die Mechanismen verstehen zu müssen. Das Vertrauen ist das Produkt. Die Infrastruktur ist das, was es ermöglicht.
Das bedeutet in der Praxis auch, dass die User-Experience-Schicht der digitalen Identität ebenso viel Aufmerksamkeit verdient wie die darunter liegende technische Schicht. Organisationen, die stark in konforme, interoperable Infrastrukturen investieren, aber den Moment der Interaktion vernachlässigen – wenn der Bürger zum ersten Mal eine Wallet-Anwendung öffnet, der Mitarbeiter über eine Grenze hinweg authentifiziert, der Kunde seine Identität überprüft, um auf eine regulierte Dienstleistung zuzugreifen –, riskieren, das Vertrauen zu untergraben, das sie sich mühsam aufgebaut haben. Nahtlose, transparente und klar kommunizierte Identitätsinteraktionen sind kein nachträglicher Gedanke der UX. Sie sind Teil dessen, was die Infrastruktur vertrauenswürdig macht.
Bei Zauberkasten, so denken wir über eID Box. Nicht als Compliance-Werkzeug oder technische Integrationsschicht, obwohl es beides ist, sondern als eine Möglichkeit, eine Identitätsinfrastruktur zu schaffen, auf die sich die Menschen tatsächlich verlassen können. Zuverlässig, interoperabel, aufgebaut, um sich mit fortschreitenden Standards weiterzuentwickeln.
Qualigentic wird auch dort eingesetzt, wo regulierte Daten gespeichert werden müssen:
- Open-Source-Modelle zum Selbsthosten (Llama, Mistral)
- PEFT / LoRA-Feinabstimmung innerhalb des Kundenumfangs
- Kein Datenausgang unter irgendeiner Bedingung
- Audit Chain auf Kundenspeicher
- Azure AI Foundry, AWS, GCP — kundeneigen
- Bring-your-own-Modell und Schlüssel
- Regionsperre (EU, US, JP)
- Verwaltet in der EU, schnellste Zeit bis zur Wertschöpfung
- SOC 2-konforme Steuerungen, signierte Nachweiskette
- Anthropic / OpenAI / Azure OpenAI auswählbar
Was kommt als Nächstes
Die Gespräche bei LissabonID 2026 verstärkte etwas, das wir bereits vermuteten, aber aus mehreren Richtungen bestätigt hörten: Die Organisationen, die gut positioniert sein werden, wenn die europäische digitale Identitäts-Wallet einsatzbereit ist, warten nicht auf Klarheit. Sie bauen jetzt mit den vorhandenen Standards und bleiben nah genug an der politischen Diskussion, um sich anzupassen. Die Kluft zwischen politischen Ambitionen und operativer Realität ist real. Aber es ist auch eine Kluft, die Organisationen überbrücken können, wenn sie digitale Identität als Infrastruktur und nicht als Compliance behandeln und mit dieser Denkweise noch heute mit dem Aufbau beginnen.
Für die Teams, die sich damit auseinandersetzen, sind die entscheidenden Fragen weniger, welche Regulierung gilt, sondern vielmehr, wozu Ihre Identitätsarchitektur in drei Jahren in der Lage sein muss. Arbeiten Sie rückwärts von dort aus. Bauen Sie von Anfang an Flexibilität ein. Und suchen Sie Partner, die sowohl der Standardisierungsdiskussion als auch Ihren Implementierungsherausforderungen nahestehen.
Das ist die Arbeit, die wir leisten. Und wenn LissabonID 2026 war ein Hinweis, es ist die Arbeit, die jetzt am wichtigsten ist.
Entwickelt, um sich mit den Standards weiterzuentwickeln.


