Was uns die LisbonID 2026 über den Stand der digitalen Identität in Europa erzählte

Zwei Tage. Dutzende von Gesprächen. Ein durchgängiges Thema: Die Kluft zwischen politischem Ehrgeiz und operativer Realität ist nach wie vor beträchtlich, und die Organisationen, die diese Lücke schließen, sind diejenigen, die es wert sind, beobachtet zu werden.

Wir kamen an LisbonID Konferenz 2026 mit einer klaren Frage im Hinterkopf: Wo steht die Implementierung digitaler Identitäten in Europa tatsächlich? Nicht dort, wo die Regulierung es vorschreibt. Nicht dort, wo die Roadmaps es versprechen. Wo steht sie im Moment, in den Systemen, die Organisationen entwickeln, den Integrationen, die IT-Teams verwalten, und den Entscheidungen, die Technologieverantwortliche unter realem Druck treffen? Zwei Tage intensiver Gespräche ergaben ein ehrlicheres Bild als jeder Bericht es könnte. Hier ist, was uns aufgefallen ist.

27 Nationale Identitätsrahmen – ein Kontinent, noch keine gemeinsame Betriebsebene
Bewusst ≠ Bereit Die meisten Organisationen wissen, dass die eIDAS 2.0-Verordnung kommt. Wenige haben einen konkreten Umsetzungsplan.
Die Brieftasche ist live, bevor die Architektur es ist Richtlinienfristen und operative Fristen sind nicht dasselbe.

Die eIDAS 2.0-Lücke ist real und die meisten Organisationen wissen das

Der Europäische digitale Identitätsbrieftasche Der Rahmen wurde als Wendepunkt für die Interaktion von Bürgern mit öffentlichen und privaten Dienstleistungen in ganz Europa beschrieben. Und im Prinzip ist er das auch. Die Ambition ist korrekt: eine tragbare, interoperable und datenschutzkonforme Identitätsschicht, die grenzüberschreitend und sektorübergreifend funktioniert. Das Problem ist, dass Ambition und Umsetzung auf sehr unterschiedlichen Zeitplänen laufen. Die meisten IT-Direktoren, mit denen wir gesprochen haben, bei LisbonID arbeiten mit Organisationen, die sich dem Namen nach bewusst sind eIDAS 2.0 Anforderungen, haben dieses Bewusstsein aber noch nicht in einen konkreten Umsetzungsplan umgewandelt. Die Regulierung wird als etwas Zukünftiges verstanden. Die operativen Auswirkungen werden noch ausgearbeitet. Dies ist keine Fahrlässigkeit. Es ist der normale Rhythmus eines komplexen regulatorischen Wandels, insbesondere wenn die technischen Standards, die der Umsetzung zugrunde liegen, auf europäischer Ebene noch finalisiert werden. Aber es schafft ein Fenster mit echtem Risiko für Organisationen, die zu lange mit dem Aufbau warten.

Die Teams, die jetzt vorne liegen, sind nicht diejenigen, die angefangen haben, nachdem das Gesamtbild klar war. Es sind diejenigen, die mit dem begannen, was existierte, nah an den sich entwickelnden Standards blieben und von Anfang an Flexibilität in ihre Architektur einbauten.

Interoperabilität ist das eigentliche schwierige Problem

Eines der konstantesten Themen über die beiden Tage hinweg war die Kluft zwischen Identitätslösungen, die isoliert funktionieren, und Identitätsinfrastrukturen, die systemübergreifend funktionieren. Eine digitale Identitätsbescheinigung, der eine Behörde vertraut, eine Bank jedoch nicht. Ein unternehmensweites Identitätsmanagementsystem, das im Inland funktioniert, aber an der Grenze versagt. Eine bürgerorientierte Anwendung, die einen Typ von Identifikationsdokument verarbeitet, aber nicht einen anderen. 

Was eine interoperable Identitätsinfrastruktur eigentlich leisten muss
Zertifikat ausgestellt
Bei nationaler Autorität, Brieftasche oder Unternehmens-IdP
Vertrauen bestätigt
Über Behördentypen, Sektoren und Grenzen hinweg
Standard gebrückt
Middleware fungiert als Übersetzer zwischen den Frameworks während der Ausführung
Das Vermächtnis wurde erreicht
Bestehende Systeme erhalten eine verifizierte Identität, ohne dass eine Neuinstallation erforderlich ist
Service gewährt
Bürger oder Mitarbeiter greifen nahtlos auf das zu, was sie benötigen
Die Abstraktionsebene in der Mitte ist der schwierige Teil. Interoperabilität ist keine Funktion, die man nachträglich hinzufügen kann – sie ist die Architektur.

Das sind keine Ausnahmefälle. Es ist der alltägliche Betriebsalltag der digitalen Identität in Europa – einem Kontinent mit 27 unterschiedlichen nationalen Rechtsrahmen, einer umfangreichen Altinfrastruktur und erheblichen Unterschieden hinsichtlich der rechtlichen Definition und der administrativen Verwaltung von Identität. Die interessantesten Gespräche bei LisbonID drehte sich darum, wie Organisationen damit umgehen. Die Antwort lautet zunehmend, Interoperabilität nicht länger als ein zukünftiges Problem zu betrachten, das erst gelöst werden muss, wenn alles andere bereits steht, sondern sie als grundlegende Designanforderung zu behandeln. Dieser Umdenkprozess hat praktische Konsequenzen. Er bedeutet, Middleware und Integrationsschichten zu wählen, die ausdrücklich dafür ausgelegt sind, Unterschiede zwischen Identitätsstandards zu bewältigen, anstatt für ein einzelnes Framework optimiert zu sein. Er bedeutet, in Abstraktion zu investieren – also in die Fähigkeit, eine Brücke zwischen den heute existierenden Zugangsdaten und den morgigen Wallets zu schlagen, ohne die Integration jedes Mal neu aufbauen zu müssen, wenn sich etwas ändert. Es ist diese Art des architektonischen Denkens, die auf der Ebene der einzelnen Funktionen nicht immer wahrgenommen wird, aber einen enormen Unterschied hinsichtlich der langfristigen Kosten und der Ausfallsicherheit der Identitätsinfrastruktur ausmacht.

Die Herausforderung im Beschaffungswesen, über die niemand laut genug spricht

Neben dem technischen Gespräch lief ein ruhiger, aber ebenso wichtiger Faden durch LisbonID: Die Beschaffung und die Lieferantenauswahl halten nicht mit der rasanten Entwicklung im Bereich der Identitätsstandards Schritt.
Viele Organisationen sind vertraglich an Anbieter gebunden, die Zusagen bezüglich eIDAS 2.0 Anforderungen, deren Erfüllung sich als schwierig erweist. Die Standards haben sich geändert. Die Roadmap des Anbieters hat nicht schnell genug mitgehalten. Und das Unternehmen befindet sich nun in der unangenehmen Lage, in eine Infrastruktur investiert zu haben, die möglicherweise erhebliche Überarbeitungen erfordert, bevor das „European Digital Identity Wallet“ in Betrieb genommen wird.

Dies ist keine Kritik an einem bestimmten Anbieter. Es ist ein strukturelles Problem mit der Art und Weise, wie Identitätstechnologie beschafft wird. Organisationen bewerten Lösungen anhand von Anforderungen, die geschrieben wurden, bevor die aktuelle Version der technischen Spezifikationen existierte. Bis ein Beschaffungszyklus abgeschlossen und ein Vertrag unterzeichnet ist, kann sich die Spezifikation erneut geändert haben.

Die Organisationen, die sich darin gut zurechtfinden, entwickeln Kriterien zur Evaluierung von Anbietern, die über Funktionslisten hinausgehen. Sie fragen, wie eng ein Anbieter mit den Standardisierungsgremien zusammenarbeitet. Sie bitten um Nachweise der Teilnahme an Pilotprogrammen und grenzüberschreitenden Interoperabilitätstests. Sie betrachten die Nähe zur sich entwickelnden Politik als eigenes Auswahlkriterium, nicht nur als eine nette Zusatzleistung, sondern als echten Indikator dafür, ob eine Lösung in zwei Jahren noch zweckmäßig sein wird.

Dies ist eine bedeutende Veränderung in der Art und Weise, wie Entscheidungen zur Identitätsinfrastruktur getroffen werden. Und wir gehen davon aus, dass sich dieser Trend beschleunigen wird, je näher die Einführung der Wallet rückt und je mehr Unternehmen erkennen, dass Compliance kein festes Ziel, sondern ein sich ständig veränderndes Ziel ist.

LieferantenbewertungskriteriumTypische Checkliste für die BeschaffungWas uns LisbonID gelehrt hat, zu fragen
eIDAS 2.0-KonformitätsverpflichtungJa/Nein-Kontrollkästchen✓ Beweise zeigen, keine Behauptungen
Enge Zusammenarbeit mit NormungsgremienNicht bewertet✓ Aktive Teilnahme erforderlich
Grenzüberschreitende InteroperabilitätsprüfungNicht bewertet✓ Pilotergebnisse, keine Roadmap-Versprechen
Architekturflexibilität, wenn sich die Spezifikation weiterentwickeltNicht bewertet✓ Auswahlkriterium, kein schöner Nebeneffekt
Kompatibilität mit AltsystemenAuf Feature-Ebene geprüft✓ Middleware + Integrationstiefe
Zweckdienlich in 2 JahrenAngenommen✓ Auf steigende Standards getestet
Compliance ist ein sich ständig änderndes Ziel. Der Anbieter, der für den Entwurf des letzten Jahres bereit war, ist möglicherweise nicht für die Version bereit, die live geschaltet wird.

Legacy-Systeme sind die eigentliche Unterhaltung, die niemand führen möchte

Wenn es ein Thema gab, das in informellen Gesprächen häufiger als in formellen Sitzungen aufkam, dann war es das Legacy-System. Die meisten europäischen Organisationen, insbesondere im öffentlichen Sektor und im Finanzdienstleistungsbereich – den beiden Sektoren, in denen digitale Identität am wichtigsten ist –, starten nicht in einer Greenfield-Umgebung. Sie verfügen über Systeme, die seit zehn, fünfzehn oder zwanzig Jahren laufen. Sie haben Datenbanken, Authentifizierungsschichten und Dokumentenmanagement-Workflows, die entwickelt wurden, bevor digitale Identität eine politische Priorität war und bevor die aktuelle Generation von Identitätsstandards existierte. Die Integration mit moderner Identitätsinfrastruktur bedeutet nicht, diese Systeme zu ersetzen.

In den meisten Organisationen ist das weder realistisch in Bezug auf das Budget, noch in Bezug auf das Risiko, noch in Bezug auf die Betriebskontinuität, die für öffentliche Dienste und regulierte Branchen erforderlich ist. Was das bedeutet, ist der Aufbau der richtigen Schnittstelle zwischen dem Bestehenden und dem Kommenden. Die Organisationen, die dies richtig machen, betrachten Altsysteme nicht als Hindernis, sondern als Einschränkung, um die herum sie planen, und investieren in Integrationslösungen, die die Lücke schließen können, ohne ein vollständiges Modernisierungsprogramm als Voraussetzung zu verlangen. Hier wird der praktische Wert von speziell entwickelter Identitäts-Middleware am deutlichsten. Nicht als Ersatz für die bestehende Infrastruktur, sondern als Übersetzungsschicht – etwas, das es einem Altsystem ermöglicht, mit modernen Identitätsstandards zu kommunizieren, ohne von Grund auf neu aufgebaut zu werden.

Betrachten Sie Altes als Einschränkung, nicht als Hindernis
Die Organisationen, denen dies gelingt, versuchen nicht, Systeme zu ersetzen, die seit fünfzehn Jahren zuverlässig laufen. Sie entwerfen um sie herum – sie schaffen die Schnittstelle zwischen dem Bestehenden und dem Kommenden, ohne dass ein vollständiges Modernisierungsprogramm als Voraussetzung erforderlich ist.
Investieren Sie in die Übersetzungsschicht, nicht in den Ersatz
Zweckspezifische Identitätsmiddleware verdient ihren Wert nicht durch den Ersatz bestehender Infrastrukturen, sondern indem sie diese mit modernen Standards kommunizieren lässt. Ein Legacy-Authentifizierungssystem, das ohne Umbau mit einer eIDAS 2.0 Wallet kommunizieren kann, ist operationelle Kontinuität, kein technischer Schuldenberg.
Bauen Sie Flexibilität von Anfang an ein
Die technischen Standards, die dem europäischen digitalen Identitätswallet zugrunde liegen, entwickeln sich noch. Architekturen, die eng um eine einzige Spezifikationsversion aufgebaut sind, werden erhebliche Überarbeitungen erfordern. Die Organisationen, die jetzt vorne liegen, haben sich bewusst für Abstraktion entschieden – damit bei Änderungen der Spezifikation die Integration nicht geändert werden muss.

Die Vertrauensfrage ist wichtiger als die Technologiefrage

Das vielleicht Wichtigste, was wir von gehört haben, war LisbonID hatte nichts mit technischen Standards oder regulatorischen Zeitplänen zu tun. Es war eine direkte Beobachtung eines IT-Direktors im öffentlichen Sektor: “Die Bürger interessiert es nicht, welchen Standard wir verwenden. Sie interessiert es, ob sie darauf vertrauen können, dass ihre Identität korrekt behandelt wird.” Das klingt offensichtlich. Aber es hat reale Auswirkungen auf die Art und Weise, wie Organisationen die Implementierung digitaler Identitäten angehen und wie sie diese intern kommunizieren. Die Technologieentscheidungen sind wichtig. Aber sie dienen einem übergeordneten Ziel: dem Aufbau von Systemen, auf die sich Bürger, Mitarbeiter und Partner verlassen können, ohne die Mechanismen verstehen zu müssen. Das Vertrauen ist das Produkt. Die Infrastruktur ist das, was es ermöglicht.

Das bedeutet in der Praxis auch, dass die User-Experience-Schicht der digitalen Identität ebenso viel Aufmerksamkeit verdient wie die darunter liegende technische Schicht. Organisationen, die stark in konforme, interoperable Infrastrukturen investieren, aber den Moment der Interaktion vernachlässigen – wenn der Bürger zum ersten Mal eine Wallet-Anwendung öffnet, der Mitarbeiter über eine Grenze hinweg authentifiziert, der Kunde seine Identität überprüft, um auf eine regulierte Dienstleistung zuzugreifen –, riskieren, das Vertrauen zu untergraben, das sie sich mühsam aufgebaut haben. Nahtlose, transparente und klar kommunizierte Identitätsinteraktionen sind kein nachträglicher Gedanke der UX. Sie sind Teil dessen, was die Infrastruktur vertrauenswürdig macht.

Bei Zauberkasten, so denken wir über eID Box. Nicht als Compliance-Werkzeug oder technische Integrationsschicht, obwohl es beides ist, sondern als eine Möglichkeit, eine Identitätsinfrastruktur zu schaffen, auf die sich die Menschen tatsächlich verlassen können. Zuverlässig, interoperabel, aufgebaut, um sich mit fortschreitenden Standards weiterzuentwickeln.

Audit-Nachweis-Kette – entwickelt für DORA, Solvency II, PSD2
Anforderung
Jira/ALM-ID, Version, Eigentümer
Testgenerierung
Skript + Hash, Modell + Aufforderung
Ausführung
Zeitstempel, Umgebung, Betreiber
Ergebnis
Bestanden/nicht bestanden, Protokolle, Spuren
Archiv
Unterzeichnet, Bindung, auf Abruf
Entworfen gegen DORA Artikel 6 & 9, Solvency II Säule 2, und PSD2 Artikel 95. Ihre regulatorisch relevanten Nachweise sind nur eine Abfrage entfernt.

Qualigentic wird auch dort eingesetzt, wo regulierte Daten gespeichert werden müssen:

On-Premise
Ihr Rechenzentrum
  • Open-Source-Modelle zum Selbsthosten (Llama, Mistral)
  • PEFT / LoRA-Feinabstimmung innerhalb des Kundenumfangs
  • Kein Datenausgang unter irgendeiner Bedingung
  • Audit Chain auf Kundenspeicher
Private Cloud
Dein Mieter
  • Azure AI Foundry, AWS, GCP — kundeneigen
  • Bring-your-own-Modell und Schlüssel
  • Regionsperre (EU, US, JP)
SaaS
Caixa Mágica verwaltete
  • Verwaltet in der EU, schnellste Zeit bis zur Wertschöpfung
  • SOC 2-konforme Steuerungen, signierte Nachweiskette
  • Anthropic / OpenAI / Azure OpenAI auswählbar
Das Tiering erfolgt nach Fähigkeit, nicht nach Implementierung. Regulierte Kunden können vom ersten Tag an On-Premise starten.

Was kommt als Nächstes

Die Gespräche bei LissabonID 2026 verstärkte etwas, das wir bereits vermuteten, aber aus mehreren Richtungen bestätigt hörten: Die Organisationen, die gut positioniert sein werden, wenn die europäische digitale Identitäts-Wallet einsatzbereit ist, warten nicht auf Klarheit. Sie bauen jetzt mit den vorhandenen Standards und bleiben nah genug an der politischen Diskussion, um sich anzupassen. Die Kluft zwischen politischen Ambitionen und operativer Realität ist real. Aber es ist auch eine Kluft, die Organisationen überbrücken können, wenn sie digitale Identität als Infrastruktur und nicht als Compliance behandeln und mit dieser Denkweise noch heute mit dem Aufbau beginnen.

Für die Teams, die sich damit auseinandersetzen, sind die entscheidenden Fragen weniger, welche Regulierung gilt, sondern vielmehr, wozu Ihre Identitätsarchitektur in drei Jahren in der Lage sein muss. Arbeiten Sie rückwärts von dort aus. Bauen Sie von Anfang an Flexibilität ein. Und suchen Sie Partner, die sowohl der Standardisierungsdiskussion als auch Ihren Implementierungsherausforderungen nahestehen.

Das ist die Arbeit, die wir leisten. Und wenn LissabonID 2026 war ein Hinweis, es ist die Arbeit, die jetzt am wichtigsten ist.

Caixa Mágica Software
Caixa Mágica Team
Caixa Mágica Software ist ein portugiesisches Softwareunternehmen mit über 20 Jahren Erfahrung in der Bereitstellung von kundenspezifischer Software, KI-Lösungen und Nearshore-Entwicklungsteams für europäische Unternehmen.
eID Box · Caixa Mágica Software
Sehen Sie, wie Identitätsinfrastrukturen für eIDAS 2.0 in der Praxis aussehen
Entwickelt für den öffentlichen Sektor, Finanzdienstleistungen und regulierte Branchen.
Entwickelt, um sich mit den Standards weiterzuentwickeln.