Vergleich
Agenten-Vollmacht vs. OAuth-Scope
OAuth-Scopes regeln technischen API-Zugriff; Agenten-Vollmachten regeln rechtliche Handlungsbefugnis. Ein Scope sagt, welche Endpunkte ein Token erreichen darf — ein Mandat sagt, was ein Agent im Namen welcher Person bis zu welchem Betrag tun darf, juristisch lesbar und beweisbar.
| Dimension | Agenten-Vollmacht (Mandat) | OAuth-Scope |
|---|---|---|
| Beantwortet | Was darf der Agent rechtlich, im Auftrag wessen? | Welche API-Ressourcen darf das Token erreichen? |
| Identitäts-Bindung | Staatliche Wurzel (EUDI/E-ID, Org-Register) | Account beim jeweiligen Dienst |
| Betrags-/Frequenzlimits | Nativ, atomar reserviert | Nicht vorgesehen |
| Juristische Fassung | Untrennbar verbunden (Hash) | Existiert nicht |
| Widerruf | Global < 1 s, Status live geprüft | Token läuft ab oder wird invalidiert (Latenz je nach Dienst) |
| Beweis im Streitfall | Beidseitige, gezeitstempelte Evidenzkette | Server-Logs des Anbieters |
| Verhältnis | Kann OAuth nutzen: Mandate als Rich Authorization Request (RFC 9396) eingebettet | Transportiert das Mandat in bestehende Flows |
Fazit
Kein Entweder-oder: OAuth bleibt der Transport, das Mandat wird die Fracht. Über RFC 9396 (Rich Authorization Requests) reisen Mandate in bestehenden OAuth-Flows — die Akzeptanzstelle erhält Rechtssicherheit, ohne ihre Architektur zu wechseln.