Was sind “Electronic Attestations of Attributes” (EAAs)?

Das Wichtigste in Kürze

• Definition: EAAs sind rechtssichere digitale Nachweise von Merkmalen (z. B. Alter, Berufsabschluss, Führerschein), die von vertrauenswürdigen Quellen beglaubigt werden.
  
• Strategischer Nutzen: Sie ermöglichen die Verifizierung spezifischer Fakten, ohne die gesamte Identität offenlegen zu müssen (Selective Disclosure – z. B. „volljährig“ statt des exakten Geburtsdatums).
  
• EUDI Wallet Integration: EAAs sind der Kerninhalt der kommenden europäischen digitalen Brieftasche.

• Interoperabilität: EAAs funktionieren grenzüberschreitend in der gesamten EU, sowohl bei Behörden als auch bei privaten Firmen.

_______________________________________________________________

Mit der Einführung der eIDAS 2.0 Verordnung und der EUDI Wallet (European Digital Identity Wallet) verändert sich die Art und Weise, wie wir unsere Identität nachweisen. Bisher ging es primär um die Frage: „Wer sind Sie?“. Künftig steht im Mittelpunkt: „Was dürfen Sie?“, „Welche Qualifikationen haben Sie?“ oder „Was zeichnet Sie aus?“.

Elektronische Attestierungen von Attributen (Electronic Attestations of Attributes – kurz EAA) sind die digitale Antwort auf diese Fragen. Sie sind die Übersetzung unserer analogen Nachweise – vom Führerschein bis zum Diplom – in die digitale Welt.

Was ist ein Attribut?

Bevor wir über die Technik sprechen, klären wir den Begriff: Ein Attribut ist eine Eigenschaft oder ein Merkmal, das eine Person oder eine Organisation (Entity) beschreibt. Man kann es sich wie ein Puzzleteil vorstellen, das ein Gesamtbild einer Identität zeichnet.

Attribute umfassen eine enorme Bandbreite an Informationen:

• Persönliche Identifikations Daten (PID): Wie Ihr Name, Ihr Geburtsort oder Ihre Staatsangehörigkeit.
  
• Berufliche Merkmale: Akademische Titel, Berufsbezeichnungen oder offizielle Lizenzen.
  
• Rechte & Befugnisse: Spezifische Berechtigungen, wie etwa eine Zeichnungsbefugnis in einem Unternehmen oder ein Führerschein.

Der Sprung in die digitale Welt

Im Kontext der digitalen Identität dienen Attribute dazu, online zweifelsfrei Merkmale nachzuweisen, ohne physisch anwesend zu sein. Dabei unterscheidet man zwei Kategorien:

1. Statische Attribute: Informationen, die sich (fast) nie ändern, wie zum Beispiel Ihr Geburtsdatum.
   
2. Dynamische Attribute: Merkmale, die im Fluss sind, wie Ihre aktuelle Meldeadresse, Ihr derzeitiger Berufsstatus oder Ihr Alter.

Damit diese Attribute im Netz als vertrauenswürdig gelten, müssen sie aus einer gesicherten Quelle stammen – etwa aus staatlichen Registern, von Bildungseinrichtungen oder zertifizierten Behörden. Erst diese digitale Bestätigung macht ein einfaches Merkmal zu einem fälschungssicheren Nachweis (EAA), mit dem Sie sich gegenüber Online-Diensten ausweisen können.

Was sind Electronic Attestations of Attributes? 

Ein EAA ist also ein digitaler Datensatz, der ein oder mehrere Attribute einer Person bestätigt und von einem qualifizierten oder nicht-qualifizierten Vertrauensdiensteanbieter (TSP) elektronisch signiert oder gesiegelt wurde.

Der entscheidende Unterschied: Während eine klassische eID oft den gesamten Datensatz überträgt, liefert ein EAA punktuelle Informationen. Ein Qualified Electronic Attestation of Attributes (QEAA) genießt dabei die höchste Beweiskraft, da es von staatlich überwachten Anbietern ausgestellt wird.

Die 3 Arten von Attestierungen nach eIDAS 2.0

Nicht jeder digitale Nachweis hat die gleiche rechtliche Bindungskraft. Um die Interoperabilität in ganz Europa sicherzustellen, definiert die EU drei spezifische Kategorien von Attributsnachweisen. Diese unterscheiden sich vor allem durch den Herausgeber und die Rechtsverbindlichkeit:

1. Selbst-ausgestellte Attribute (Self-asserted): Informationen, die Sie selbst hinterlegen (z. B. eine Lieferadresse). Sie sind praktisch für Formulare, haben aber keine offizielle Beweiskraft.
   
2. Elektronische Attestierungen (EAA): Diese werden von verifizierten Quellen ausgestellt. Sie sind digital signiert und deutlich sicherer als herkömmliche Dokumente. (EAA umfassen EAA und PuB-EAA).
   
3. Qualifizierte elektronische Attestierungen (QEAA): Die höchste Stufe. Sie werden von staatlich überwachten, qualifizierten Vertrauensdiensteanbietern (QTSPs) ausgegeben. Ein QEAA ist rechtlich einem Papierdokument mit Dienstsiegel gleichgestellt und genießt EU-weite Anerkennung.

Typ	Fokus & Herausgeber	Vertrauensniveau & Beweiskraft	Datenquelle	Praxis-Beispiel
Q-EAA (Qualifiziert)	Staatlich geprüft: Ausgestellt durch qualifizierte Vertrauensdienste (QTSPs).	Maximum: EU-weite Anerkennungspflicht und höchste Beweiskraft vor Gericht.	Amtliche Dokumente oder hoheitliche Daten.	Akademische Grade, ärztliche Zulassungen oder Notarurkunden.
EAA (Nicht-qualifiziert)	Privatwirtschaft: Ausgestellt durch Unternehmen oder Organisationen.	Flexibel: Rechtliche Akzeptanz ist kontextabhängig (z. B. AGB).	Beliebige Quellen (je nach geschäftlichem Bedarf).	Digitale Mitarbeiter-IDs, Kundenkarten oder Event-Tickets.
PuB-EAA (Öffentlich)	Behördlich: Direkt von staatlichen Stellen (Public Sector Bodies).	Sehr hoch: Verlässt sich auf die Integrität staatlicher Register; EU-weit anerkannt.	Offizielle staatliche Register (z. B. Melderegister).	Geburtsurkunden, Wohnsitznachweise oder Führerscheine.

Markt-Check: Wie verbreitet werden diese Nachweise sein?

Es ist wichtig zu verstehen, dass nicht alle EAA-Typen gleichzeitig den Markt fluten werden. Basierend auf der eIDAS 2.0 Roadmap lässt sich die Verbreitung in den Wallets wie folgt einschätzen:

• Q-EAA & PuB-EAA (Sehr hoch): Diese werden die Basis der EUDI Wallet bilden. Da die Mitgliedstaaten verpflichtet sind, hoheitliche Nachweise (wie Ausweise und Führerscheine) digital bereitzustellen, wird jeder Wallet-Nutzer automatisch über diese hochsicheren Attribute verfügen.

• EAA (Mittel bis ansteigend): Hier liegt der Ball bei der Privatwirtschaft. Die Verbreitung hängt davon ab, wie schnell Unternehmen (wie Airlines, Fitnessketten oder Arbeitgeber) den Mehrwert erkennen und eigene digitale Nachweise ausstellen.

Strategische Bedeutung für Unternehmen und Behörden 

Die Integration von EAAs ist weit mehr als eine technische Spielerei – sie ist ein massiver Hebel für Geschäftsprozesse. Je nach Anwendungsfall und benötigter Rechtskraft kommen dabei unterschiedliche EAA-Typen zum Einsatz:

1. Nahtloses Onboarding & KYC (Q-EAA)
   Stark regulierte Branchen wie Banken oder Versicherungen können Identitätsdaten und Nachweise (z. B. Einkommen oder Berufsabschluss) in Echtzeit prüfen. Statt Dokumente manuell zu sichten, validiert das System den Q-EAA sofort – das senkt die Abbruchraten im Onboarding massiv.
   
2. Digitales Berechtigungsmanagement (EAA & Q-EAA)
   In der Logistik oder Industrie lassen sich Lizenzen, Firmenzugehörigkeiten oder Sicherheitsunterweisungen direkt in der EUDI Wallet verifizieren.
   Beispiel: Ein Fitnessstudio gewährt Rabatte durch einen einfachen EAA (Mitarbeiternachweis), während ein Gefahrgut-Fahrer einen Q-EAA für seine Fahrerlaubnis vorzeigt.
   
3. Behörden-Automatisierung (PuB-EAA)
   Durch das „Once-Only-Prinzip“ akzeptieren Online-Behörden PuB-EAAs direkt aus anderen staatlichen Registern. Ein Wohnsitznachweis oder Rentenstatus muss nicht mehr als Papier besorgt werden, was die Bürokratie für Bürger und Ämter minimiert.
   
4. Datenschutz durch “Selective Disclosure”
   EAAs ermöglichen es, nur das absolut Notwendige preiszugeben.
   Das Prinzip: Ein System bestätigt beim Altersnachweis lediglich „über 18 Jahre“, ohne dass das exakte Geburtsdatum oder der Name übertragen werden muss.
   
5. Grenzenlose Interoperabilität
   Dank des EU-weiten Standards wird ein in Deutschland ausgestelltes Attribut (z. B. ein Handwerksmeisterbrief) in Spanien oder Polen sofort digital anerkannt. Das erleichtert die grenzüberschreitende Mobilität von Fachkräften und Dienstleistungen enorm.

Wichtig für Privatnutzer

• Zero Tracking: Im Gegensatz zu Big-Tech-Logins erfahren die Aussteller (Issuer) nicht, wo oder wann Sie Ihr Attribut verwenden. Ihre digitale Spur bleibt unsichtbar.

• Freiwilligkeit: Die Nutzung der Wallet und der EAAs ist absolut freiwillig. Sie entscheiden, welche Daten Sie digital hinterlegen und wem Sie diese zeigen.

Fazit: Warum EAAs die Zukunft der Identität sind

EAAs sind weit mehr als nur digitale Kopien von Papierdokumenten. Sie sind der Schlüssel zu einer datensparsamen Gesellschaft. Durch Funktionen wie Selective Disclosure behalten Nutzer:innen die volle Souveränität über ihre Daten, während Unternehmen von automatisierten, fälschungssicheren Prozessen profitieren.

Strategischer Vorteil für Ihr Unternehmen: Unternehmen, die sich frühzeitig als Akzeptanzstellen (Relying Parties) oder Aussteller (Issuer) positionieren, reduzieren ihre manuellen Prüfungsaufwände massiv und erhöhen die Rechtssicherheit in digitalen Kanälen.

FAQs zum Thema

• Ist ein EAA das gleiche wie eine digitale Signatur? Nein. Eine Signatur bestätigt die Willenserklärung zu einem Dokument. Ein EAA bestätigt ein Merkmal oder eine Eigenschaft einer Person.
  
• Wann kommen die EAAs flächendeckend? Mit dem Rollout der nationalen EUDI Wallets (ab 2027/2028) werden EAAs zum Standard für digitale Nachweise in der EU.
  
• Können Unternehmen selbst EAAs ausstellen? Ja, Unternehmen können als „Issuer“ für spezifische Berufs- oder Firmenmerkmale fungieren.
  
• Ist ein EAA sicherer als ein PDF-Zertifikat?
  Definitiv. Ein PDF lässt sich leicht fälschen. Ein EAA ist kryptografisch versiegelt. Jede nachträgliche Änderung macht den Nachweis sofort ungültig. Zudem kann die Gültigkeit (z. B. bei entzogenen Lizenzen) in Echtzeit geprüft werden.

• Was ist der Unterschied zwischen EAA und QEAA?
  Ein EAA ist eine elektronische Bestätigung eines Attributs (z. B. Alter, Ausbildung oder Berechtigung), die von einem Aussteller signiert wird. Ein QEAA (Qualified Electronic Attestation of Attributes) ist eine spezielle Form davon, die von einem qualifizierten Vertrauensdiensteanbieter gemäß eIDAS-Verordnung ausgestellt wird. QEAAs erfüllen strengere rechtliche und technische Anforderungen und haben daher eine höhere rechtliche Verbindlichkeit und europaweite Anerkennung.
  
• Sieht der Aussteller (Issuer), wo ich mein Attribut vorzeige?
  Nein. Moderne EAA-Systeme sind so konzipiert, dass der Aussteller nicht verfolgen kann, wo oder wann Sie Ihr Attribut vorzeigen. Die Verifikation erfolgt direkt zwischen Ihnen und dem Empfänger. Dadurch bleibt Ihre Privatsphäre geschützt, und es entsteht kein zentrales Tracking Ihrer Nutzung.
  
• Kann ich ein EAA widerrufen?
  Ja. EAAs können vom Aussteller widerrufen werden, zum Beispiel wenn sich ein Attribut ändert oder ungültig wird. Empfänger können den Widerrufsstatus bei der Verifikation prüfen, um sicherzustellen, dass das Attribut noch gültig ist.
  
• Ersetzen EAAs die klassische KYC-Prüfung?
  EAAs können die KYC-Prüfung erheblich vereinfachen oder teilweise ersetzen, insbesondere wenn sie von vertrauenswürdigen oder qualifizierten Ausstellern stammen. In vielen Fällen können verifizierte Attribute direkt verwendet werden, ohne den gesamten KYC-Prozess erneut durchzuführen. Ob EAAs KYC vollständig ersetzen, hängt jedoch von den regulatorischen Anforderungen und dem jeweiligen Anwendungsfall ab.

• Werden meine Daten zentral gespeichert?
  Nein. Die Kontrolle liegt bei Ihnen. Die EAAs befinden sich sicher verschlüsselt in Ihrer persönlichen EUDI Wallet auf Ihrem Smartphone, nicht in einer zentralen Cloud-Datenbank der Regierung.