Mobile Credentials, Karte und Biometrie im Vergleich: Planen Sie Zutritt 2026 sicher, DSGVO-konform und zukunftsfähig.
Status quo 2026: Warum Mobile Credentials kritische Masse erreichen
Der Markt bewegt sich. Laut HID State of Security and Identity Report 2026 nennen 50 % der Befragten Sicherheit als Hauptgrund für Mobile Credentials – nur noch 34 % den Komfort. Im Vorjahr war das Verhältnis umgekehrt.
Hinter dem Shift stehen drei Treiber:
- NIS-2-Richtlinie und steigende Compliance-Anforderungen in kritischen Sektoren
- Phishing-Resistenz durch kryptografische Schlüssel im Secure Element
- Lifecycle-Kosten physischer Karten (Ausgabe, Verlust, Sperrung)
Wichtig zur Einordnung: 84 % der Unternehmen setzen weiterhin parallel auf Karte und Smartphone. Das ist eine hybride Credential-Strategie – keine hybride Architektur. Branchenbeobachter berichten zudem von einer deutlichen Verschiebung in Richtung Cloud Access Control: Mordor Intelligence (zitiert über SecuConCept, März 2026) sieht Cloud-basierte Systeme 2026 erstmals über der 50-Prozent-Marke. Reine On-Prem-Systeme verlieren nach diesen Einschätzungen an Boden – eine unabhängige Marktstudie mit belastbarer Methodik steht dazu noch aus.
Apple Wallet, NFC iPhone & any2any: Was die großen Anbieter 2026 liefern
Die Wallet-Ökosysteme von Apple und Google sind 2026 die De-facto-Standards für mobile Zutrittsschlüssel. Drei Marktbewegungen zeigen die Richtung:
- Siemens Building X Security Manager integriert Apple Wallet (Launch Februar 2025, auf Basis der LEGIC-Technologie).
- Salto JustIN Mobile unterstützt seit Dezember 2025 NFC-Tap auf iPhones – einer der ersten Rollouts dieser Art in Europa.
- Dormakaba hat im März 2026 die Mobile-Wallet-Plattform any2any übernommen und baut damit eine herstellerübergreifende Wallet-Strategie auf.
Technisch konvergieren die Lösungen auf BLE (Bluetooth Low Energy) und NFC (Near Field Communication) als Funkstandards, gekapselt in Apple oder Google Wallet. Für Errichter heißt das: Multi-Vendor-Fähigkeit und Wallet-Readiness werden zum Auswahlkriterium. Reader, die nur ein Protokoll oder einen Hersteller bedienen, sind heute schon ein Risiko für die Investitionssicherheit.
Biometrie zwischen Strategie und Skepsis: Iris, Handvenen, Gesicht, Finger
45 % der Sicherheitsverantwortlichen stufen Biometrie laut HID Report 2026 als strategisch wichtig ein. Die Top-2-Verfahren bleiben Fingerabdruck und Gesichtserkennung. Iris-Scan und Handvenenerkennung gewinnen an Bedeutung – aber als ergänzende Verfahren für Hochsicherheitsbereiche, nicht als Hauptverfahren.
Die größere Geschichte steht auf der Akzeptanzseite: Die Datenschutzbedenken haben sich verdoppelt, von 31 % im Vorjahr auf 67 % in 2026. Das ist 2026 die zentrale Hürde.
Empfehlung für die Praxis:
- Biometrie nur als zweiter Faktor einsetzen, nie alleinstehend
- Templates statt biometrischer Rohdaten speichern
- Speicherung dezentral am Endgerät (Secure Element), nicht zentral
- Verfahren nach BSI TR-03166 auswählen
Für Errichter und Betreiber: So sieht ein zukunftssicheres Setup 2026 aus
Sie planen ein Bürogebäude oder eine Multi-Standort-Lösung? Ein belastbares Setup für 2026 kombiniert drei Ebenen:
- Hauptcredential: Mobile Credential in Apple Wallet oder Google Wallet für Mitarbeitende
- Fallback: Physische Karte (DESFire EV3 oder vergleichbar) für Besucher, Externe und Notzugang
- Zweiter Faktor: Biometrie nur an Hochsicherheitstüren – Serverraum, Vorstandstrakt, F&E-Bereiche
Architektonisch setzt sich ein Cloud-First-Ansatz mit On-Prem-Edge durch: Management, Rechtevergabe und Wallet-Provisioning laufen in der Cloud, die Türlogik bleibt lokal verfügbar – auch bei Netzausfall.
Wichtig für den Migrationspfad: Bestehende Kartenleser sollten auf Multi-Technologie-Reader getauscht werden, die Karte, BLE und NFC parallel verarbeiten. Damit bleibt die Anlage offen für künftige Credential-Typen.
Normativer Rahmen ist die DIN EN 60839-11-Reihe für elektronische Zutrittskontrollanlagen, zuletzt aktualisiert für Teil 11-33 im Stand 2022-09. Ergänzend gelten die BHE-Richtlinien zur elektronischen Zutrittssteuerung.
Datenschutz & Recht: DSGVO Art. 9, DSFA und Betriebsrat
Biometrische Daten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Die Verarbeitung ist nur unter engen Voraussetzungen zulässig. Drei Punkte sind in der Praxis entscheidend:
- DSFA-Pflicht: Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist bei biometrischer Zutrittskontrolle obligatorisch (Position der Datenschutzkonferenz, DSK).
- Mitbestimmung: Der Betriebsrat ist nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) zwingend einzubeziehen.
- Technische Leitplanke: Die BSI Technische Richtlinie TR-03166 gibt den Stand der Technik vor.
Mobile Credentials in Wallets haben hier einen strukturellen Vorteil. Die kryptografischen Schlüssel liegen dezentral im Secure Element des Endgeräts. Die DSGVO-Last ist deutlich geringer als bei biometrischen Templates.
Zutrittskonzept 2026 prüfen lassen
Sie planen die Umstellung auf Mobile Credentials oder die Einführung von Biometrie? Lassen Sie Ihr Zutrittskonzept herstellerneutral prüfen – DSGVO-konform und nach DIN EN 60839-11.
➔ Passenden Errichter für Ihr Zutrittsprojekt finden
FAQ
Sind Mobile Credentials in Apple Wallet sicherer als RFID-Karten?
In der Regel ja. Wallet-Credentials nutzen das Secure Element, kryptografische Schlüsselableitung und sind phishing-resistent. Bei Verlust lassen sie sich remote sperren. Ältere RFID-Karten wie MIFARE Classic lassen sich dagegen klonen (Quelle: HID State of Security and Identity Report 2026).
Darf ich als Arbeitgeber Fingerabdrücke meiner Mitarbeitenden zur Zutrittskontrolle nutzen?
Nur unter engen Voraussetzungen. Erforderlich sind eine tragfähige Rechtsgrundlage nach Art. 9 DSGVO, eine Datenschutz-Folgenabschätzung und ein nachgewiesener Verhältnismäßigkeitsbezug – etwa für Hochsicherheitsbereiche. Eine Einwilligung ist im Arbeitsverhältnis kritisch (Über-/Unterordnung). Der Betriebsrat muss zustimmen.
Was passiert, wenn ein Mitarbeiter sein Smartphone verliert?
Das Mobile Credential lässt sich remote aus der Wallet entziehen. Apple- und Google-Konto sind zusätzlich durch Biometrie oder PIN geschützt. Im Gegensatz zur verlorenen Karte ist die Sperrung sofort wirksam. Ein Karten-Fallback für den Notzugang bleibt sinnvoll.
Brauche ich Cloud Access Control oder reicht eine On-Prem-Lösung?
Hybrid ist 2026 Standard: Cloud für Management und Mobile Credentials, On-Prem-Edge für die Türlogik. Reine On-Prem-Systeme schließen eine Wallet-Integration meist aus.
Quellen
- HID Global — 2026 State of Security and Identity Report — https://www.hidglobal.com/documents/hid-2026-state-security-and-identity-report
- Siemens Press — Apple Wallet Integrated Mobile Access for Building X Security Manager — https://press.siemens.com/global/en/pressrelease/siemens-releases-apple-wallet-integrated-mobile-access-building-x-security-manager
- dormakaba — Mobile-Wallet-Funktionalität erweitert – Akquisition any2any — https://www.dormakaba.com/de-de/nachrichten/dormakaba-erweitert-mobile-wallet-funktionalitaet-durch-die-akquisition-von-any2any
- Datenschutzkonferenz (DSK) — Positionspapier zur biometrischen Analyse — https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_positionspapier_biometrie.pdf — abgerufen am 15.04.2026
- BSI — FAQ Biometrie und Technische Richtlinie TR-03166 — https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Technologien_sicher_gestalten/Biometrie/BiometrieFAQ/biometrie_faq_node.html
- DIN Media — DIN EN IEC 60839-11-33:2022-09 — https://www.dinmedia.de/en/standard/din-en-iec-60839-11-33/355859363
- BHE — Normen und Richtlinien für die elektronische Zutrittssteuerung — https://www.bhe.de/_Resources/Persistent/6/e/e/c/6eec6b699a9ef63c67a8cb76f512c96ab111c838/2021_10_Normen%20und%20Richtlinien%20elektronische%20Zutrittssteuerung.pdf








