LoIP und LoA unter eIDAS: Zwei Begriffe, die man auseinanderhalten sollte

Im Zuge der eIDAS-Implementing-Acts tauchen zwei Abkürzungen immer häufiger auf: LoA und LoIP.

Sie stehen für:

Level of Assurance (LoA)
Level of Identity Proofing (LoIP)

Beide Konzepte betreffen Vertrauenswürdigkeit – aber auf unterschiedlichen Ebenen. Wer mit elektronischer Identifizierung, qualifizierten Zertifikaten oder Konformitätsbewertungen befasst ist, sollte die Unterschiede kennen.

Level of Assurance (LoA): Das „Sicherheitsniveau“ eines eID-SystemsEin Blick in die eIDAS-Verordnung (EU) Nr. 910/2014 – zuletzt geändert durch Verordnung (EU) 2024/1183 – ist immer sinnvoll. Dort werden drei Assurance Level definiert:

assurance level high = Sicherheitsniveau hoch
assurance level substantial = Sicherheitsniveau substanziell
assurance level low = Sicherheitsniveau niedrig

Ein kleiner, aber wichtiger Hinweis zur Terminologie

Die Übersetzung ist nicht ganz glücklich. „Assurance“ beschreibt eigentlich den Grad der Gewissheit oder Vertrauenswürdigkeit, der durch Prüfungen und Prozesse erreicht wird – nicht zwingend die Qualität der eingesetzten Sicherheitsmechanismen selbst.

Überspitzt formuliert:

Ein einfacher Sicherheitsmechanismus kann sehr gründlich geprüft werden → hohes Assurance Level.
Ein technisch sehr starker Mechanismus kann nur oberflächlich geprüft werden → niedriges Assurance Level.

Rein systematisch haben Sicherheitsniveau und Vertrauenswürdigkeitsgrad also nicht zwingend denselben Bedeutungsgehalt – im Rechtstext werden sie jedoch gleichgesetzt.

Und noch eine gesetzliche Unschärfe: In der eIDAS wird „Sicherheitsniveau“ auch synonym mit „Sicherheitsstufe“ bezeichnet.

Wofür gelten die Level of Assurance?

Die LoA gelten für:

elektronische Identifizierungssysteme (eID schemes)
elektronische Identifizierungsmittel (eID means)

Beispiele sind notifizierte nationale eID-Systeme, etwa der deutsche Personalausweis mit Online-Ausweisfunktion (nPA).

Artikel 8 eIDAS regelt die Anforderungen an diese Sicherheitsniveaus und deren gegenseitige Anerkennung innerhalb der EU.

Level of Identity Proofing (LoIP): Qualität der Identitätsprüfung

Der Level of Identity Proofing (LoIP) bezieht sich nicht auf ein Identifizierungssystem, sondern auf den konkreten Prozess der Identitätsüberprüfung.

Er beschreibt also, wie sorgfältig die Identität einer Person im Rahmen eines Zertifizierungs- oder Registrierungsprozesses geprüft wurde und definiert so die Vertrauenswürdigkeit im Prozess einer Identitätsüberprüfung.

Es gibt zwei Stufen:

Baseline LoIP
Extended LoIP

Praktische Relevanz von LoA und LoIP im eIDAS-Kontext

Die Assurance Level (LoA) und Level of Identity Proofing (LoIP) tauchen an verschiedenen Stellen im Kontext der eIDAS auf, unter anderem bei:

notifizierten eID-Systemen
qualifizierten Vertrauensdiensten
Identitätsfeststellung im Rahmen von Zertifikatsausstellungen
Implementing Acts zur Harmonisierung technischer Standards

Fazit: Unterschiedliche Ebenen, unterschiedliche Funktionen

Auch wenn LoA und LoIP ähnlich klingen, adressieren sie unterschiedliche regulatorische Ebenen:

LoA → Vertrauensniveau eines elektronischen Identifizierungssystems
LoIP → Qualität der konkreten Identitätsprüfung

Mit den neuen Implementing Acts wird diese Systematik weiter präzisiert und stärker standardisiert – insbesondere durch die verbindliche Einbindung von ETSI-Normen.

Für Vertrauensdiensteanbieter, Konformitätsbewertungsstellen und Compliance-Verantwortliche bedeutet das: Beide Konzepte müssen sauber getrennt betrachtet und korrekt angewendet werden.

Gerade im Kontext qualifizierter Vertrauensdienste ist das keine akademische Frage, sondern eine prüfungsrelevante Anforderung.

Mehr finden Sie in unserem White Paper „LoIP und LoA im eIDAS -Kontext“. Für weiter Informationen besuchen Sie unsere Webseite zu den Implementing Acts.

Dr. Sönke Maseberg | 20. März 2026 | Allgemein | elektronisches Identifizierungssystem, Identitätsprüfung, Level of Assurance, Level of Identity Proofing, LoA, LoIP, Vertrauensniveau