MANDACT

Vergleich

Agenten-Vollmacht vs. OAuth-Scope

OAuth-Scopes regeln technischen API-Zugriff; Agenten-Vollmachten regeln rechtliche Handlungsbefugnis. Ein Scope sagt, welche Endpunkte ein Token erreichen darf — ein Mandat sagt, was ein Agent im Namen welcher Person bis zu welchem Betrag tun darf, juristisch lesbar und beweisbar.

DimensionAgenten-Vollmacht (Mandat)OAuth-Scope
BeantwortetWas darf der Agent rechtlich, im Auftrag wessen?Welche API-Ressourcen darf das Token erreichen?
Identitäts-BindungStaatliche Wurzel (EUDI/E-ID, Org-Register)Account beim jeweiligen Dienst
Betrags-/FrequenzlimitsNativ, atomar reserviertNicht vorgesehen
Juristische FassungUntrennbar verbunden (Hash)Existiert nicht
WiderrufGlobal < 1 s, Status live geprüftToken läuft ab oder wird invalidiert (Latenz je nach Dienst)
Beweis im StreitfallBeidseitige, gezeitstempelte EvidenzketteServer-Logs des Anbieters
VerhältnisKann OAuth nutzen: Mandate als Rich Authorization Request (RFC 9396) eingebettetTransportiert das Mandat in bestehende Flows

Fazit

Kein Entweder-oder: OAuth bleibt der Transport, das Mandat wird die Fracht. Über RFC 9396 (Rich Authorization Requests) reisen Mandate in bestehenden OAuth-Flows — die Akzeptanzstelle erhält Rechtssicherheit, ohne ihre Architektur zu wechseln.