Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Zurück zum Blog
Blog · 6. März 2026

Brazils LGPD navigieren: Best Practices zur Aufbewahrung von Identitätsdaten (DE)

Brazils LGPD schreibt strenge Regeln für personenbezogene Daten vor, einschließlich Daten zur Identitätsprüfung. Unternehmen müssen robuste Richtlinien zur Datenaufbewahrung implementieren, ihre Rollen als.

Von DiditAktualisiert
brazils-lgpd-identity-data-retention-best-practices.png

LGPD-Compliance ist entscheidendBrazils Lei Geral de Proteção de Dados (LGPD) stellt strenge Anforderungen daran, wie Organisationen personenbezogene Daten, einschließlich der während der Identitätsprüfung gesammelten Daten, erfassen, verarbeiten und speichern. Nichteinhaltung kann zu erheblichen Geldstrafen und Reputationsschäden führen.

Datenminimierung und ZweckbindungOrganisationen dürfen nur Daten sammeln, die für einen bestimmten, legitimen Zweck unbedingt erforderlich sind, und diese nur für den Zeitraum aufbewahren, der zur Erfüllung dieses Zwecks oder gesetzlicher Verpflichtungen erforderlich ist. Dieses Prinzip ist grundlegend für die LGPD-Compliance.

Robuste Richtlinien zur DatenaufbewahrungDie Implementierung klarer, konfigurierbarer Richtlinien zur Datenaufbewahrung ist für die Verwaltung von Identitätsprüfungsdaten unerlässlich. Dazu gehören automatisierte und manuelle Löschfunktionen, die sicherstellen, dass Daten gelöscht werden, sobald ihre rechtliche oder betriebliche Notwendigkeit abläuft.

Didit vereinfacht die ComplianceDidits Plattform bietet konfigurierbare Einstellungen zur Datenaufbewahrung, manuelle Löschung von Sitzungen und eine klare Rolle als Datenverarbeiter, wodurch Unternehmen in die Lage versetzt werden, die LGPD-Anforderungen effizient zu erfüllen und gleichzeitig KI-native Identitätsprüfungslösungen zu nutzen.

Das Verständnis der LGPD und ihre Auswirkungen auf Identitätsdaten

Brazils Lei Geral de Proteção de Dados Pessoais (LGPD), die seit September 2020 in Kraft ist, hat die Art und Weise, wie personenbezogene Daten in Brasilien gehandhabt werden, maßgeblich verändert. Ähnlich der europäischen DSGVO schafft die LGPD einen umfassenden Rahmen für den Schutz der Privatsphäre von Personen und gewährt ihnen eine größere Kontrolle über ihre persönlichen Informationen. Für Unternehmen, die in oder mit Verbindungen zu Brasilien tätig sind, bedeutet dies eine grundlegende Verschiebung der Datenverwaltungspraktiken, insbesondere in Bezug auf Identitätsprüfungsdaten.

Identitätsprüfungsverfahren, wie sie beispielsweise Didits ID Verification, Passive & Active Liveness oder 1:1 Face Match nutzen, beinhalten von Natur aus die Erfassung und Verarbeitung sensibler personenbezogener Daten. Dazu gehören Namen, Geburtsdaten, Dokumentennummern, biometrische Daten und mehr. Gemäß LGPD müssen Organisationen eine Rechtsgrundlage für die Verarbeitung dieser Daten haben, wie z.B. eine ausdrückliche Einwilligung, ein berechtigtes Interesse oder die Einhaltung einer gesetzlichen Verpflichtung. Darüber hinaus sind die Prinzipien der Datenminimierung und Zweckbindung von größter Bedeutung: Es darf nur das absolut Notwendige für einen definierten Zweck gesammelt und nicht länger als erforderlich aufbewahrt werden.

Die Nichteinhaltung der LGPD kann zu schwerwiegenden Strafen führen, einschließlich Geldstrafen von bis zu 2% des Umsatzes eines Unternehmens in Brasilien, begrenzt auf 50 Millionen R$ pro Verstoß, sowie weiteren administrativen Sanktionen. Über finanzielle Konsequenzen hinaus kann die Nichteinhaltung das Kundenvertrauen und den Ruf der Marke erheblich schädigen, was eine robuste Datenverwaltung zu einem geschäftlichen Imperativ macht.

Effektive Richtlinien zur Datenaufbewahrung für die LGPD festlegen

Ein Eckpfeiler der LGPD-Compliance, insbesondere für Identitätsdaten, ist die Implementierung solider Richtlinien zur Datenaufbewahrung. Diese Richtlinien legen fest, wie lange personenbezogene Daten, einmal gesammelt, gespeichert werden dürfen. Ziel ist es, die geschäftlichen Bedürfnisse – wie Betrugsprävention oder die Einhaltung von Anti-Geldwäsche-Vorschriften (AML), bei denen Didits AML Screening & Monitoring unterstützen kann – mit dem Recht des Einzelnen auf Privatsphäre und Datenminimierung in Einklang zu bringen.

Bei der Festlegung von Aufbewahrungsfristen müssen Unternehmen mehrere Faktoren berücksichtigen:

  • Rechtliche und regulatorische Verpflichtungen: Bestimmte Branchen (z.B. Finanzdienstleistungen) können spezifische Gesetze haben, die vorschreiben, wie lange Kundendaten, einschließlich KYC/AML-Aufzeichnungen, aufbewahrt werden müssen.
  • Vertragliche Anforderungen: Vereinbarungen mit Kunden oder Partnern können Datenaufbewahrungsfristen festlegen.
  • Geschäftliche Bedürfnisse: Daten können für die Streitbeilegung, Audits oder zur Verbesserung von Dienstleistungen benötigt werden. Diese Bedürfnisse müssen jedoch begründbar und gegen Datenschutzbedenken abgewogen werden.
  • Datentyp: Verschiedene Datentypen (z.B. biometrische Daten vs. Transaktionsdaten) können unterschiedliche Aufbewahrungsfristen rechtfertigen.

Best Practices legen nahe, dass Daten anonymisiert oder sicher gelöscht werden sollten, sobald ihr Zweck erfüllt und alle rechtlichen Verpflichtungen erfüllt wurden. Ein proaktives Datenlebenszyklusmanagement, anstatt einer reaktiven Löschung, ist entscheidend, um Compliance nachzuweisen und Risiken zu minimieren. Dies umfasst regelmäßige Überprüfungen der Datenbestände und automatisierte Prozesse zur Bereinigung von Daten nach Ablauf ihrer Aufbewahrungsfrist.

Die Rolle von Datenverantwortlichem vs. Datenverarbeiter

Gemäß LGPD ist es entscheidend, den Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter zu verstehen. Der Datenverantwortliche ist die Entität, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Dies ist typischerweise das Unternehmen, das direkt mit dem Endbenutzer interagiert (z.B. eine Bank, eine E-Commerce-Plattform oder ein Gaming-Unternehmen, das Age Estimation verwendet). Der Datenverarbeiter hingegen verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Identitätsprüfungsanbieter wie Didit agieren typischerweise als Datenverarbeiter.

Als Datenverarbeiter ist Didit bestrebt, seine Kunden bei der Erfüllung ihrer LGPD-Verpflichtungen zu unterstützen. Didit verarbeitet Identitätsprüfungsdaten gemäß den Anweisungen des Datenverantwortlichen und implementiert robuste Sicherheitsmaßnahmen. Standardmäßig verarbeitet Didit Daten in der EU und unterstützt die DSGVO sowie lokale Datenschutzregelungen. Für Unternehmenskonten kann eine In-Country-Verarbeitung (lokale Datenresidenz) aktiviert werden, um spezifische regulatorische Anforderungen weiter zu unterstützen. Diese klare Abgrenzung der Rollen, kombiniert mit Didits konfigurierbaren Aufbewahrungseinstellungen, ermöglicht es Unternehmen, die Kontrolle über ihre Daten-Governance-Strategie zu behalten.

Praktische Datenmanagementstrategien implementieren

Um die Aufbewahrung von Identitätsdaten gemäß LGPD effektiv zu verwalten, sollten Organisationen einen vielschichtigen Ansatz verfolgen:

  1. Daten inventarisieren und zuordnen: Verstehen Sie, welche Identitätsdaten gesammelt werden, wo sie gespeichert sind und zu welchem Zweck. Dies umfasst Daten aus der ID-Verifizierung, passiver und aktiver Lebenderkennung und anderen Verifizierungsschritten.
  2. Aufbewahrungsfristen definieren: Legen Sie für jede Kategorie von Identitätsdaten klare und begründbare Aufbewahrungsfristen fest, basierend auf rechtlichen Anforderungen und geschäftlicher Notwendigkeit.
  3. Automatisierte Löschung: Implementieren Sie, wo möglich, automatisierte Systeme, um Daten zu löschen oder zu anonymisieren, sobald deren Aufbewahrungsfrist abgelaufen ist. Dies reduziert das Risiko menschlicher Fehler und gewährleistet eine konsistente Einhaltung.
  4. Manuelle Löschfunktionen ermöglichen: Bieten Sie Mechanismen zur manuellen Löschung spezifischer Datensätze an, wenn dies erforderlich ist, z.B. als Reaktion auf eine Anfrage eines Betroffenen (DSAR) oder eine Untersuchung.
  5. Daten im Ruhezustand und während der Übertragung sichern: Stellen Sie sicher, dass alle Identitätsdaten mit geeigneten technischen und organisatorischen Sicherheitsmaßnahmen geschützt sind, unabhängig von ihrem Aufbewahrungsstatus.
  6. Regelmäßige Audits und Überprüfungen: Überprüfen Sie regelmäßig die Datenaufbewahrungsrichtlinien und -praktiken, um sicherzustellen, dass sie den sich entwickelnden Vorschriften und Geschäftsanforderungen entsprechen.

Diese Strategien, kombiniert mit einer flexiblen und konformen Identitätsprüfungsplattform, schaffen eine starke Grundlage für die Einhaltung der LGPD. Didits modulare Architektur ermöglicht es Unternehmen, spezifische Identitätsprüfungen bei Bedarf zu integrieren, wodurch die Datenminimierung gewährleistet wird, indem nur relevante Informationen für jeden Verifizierungs-Workflow gesammelt werden.

Wie Didit hilft

Didit, als KI-native, entwicklerorientierte Identitätsplattform, wurde entwickelt, um Unternehmen dabei zu helfen, die Komplexität von Datenschutzvorschriften wie der brasilianischen LGPD zu bewältigen. Unsere modulare Architektur und robusten Funktionen ermöglichen es Ihnen, Best Practices für die Aufbewahrung und Einhaltung von Identitätsdaten zu implementieren.

Didit fungiert als Datenverarbeiter und gibt Ihnen, dem Datenverantwortlichen, die vollständige Kontrolle über Ihre Daten. Unsere Plattform ermöglicht es Ihnen, Datenaufbewahrungsrichtlinien direkt in der Business Console zu konfigurieren. Sie können Aufbewahrungsfristen von 1 Monat bis 10 Jahren auswählen oder bei spezifischen rechtlichen Verpflichtungen sogar auf „unbegrenzt“ setzen, um Flexibilität bei der Erfüllung unterschiedlicher regulatorischer Anforderungen zu gewährleisten. Diese Richtlinien gelten für alle von Didit gespeicherten Verifizierungseingaben, -ausgaben, abgeleiteten Ergebnisse und operativen Metadaten.

Für Situationen, die eine sofortige Datenentfernung erfordern, bietet Didit manuelle Löschfunktionen. Sie können einzelne Verifizierungssitzungen und alle zugehörigen Daten, einschließlich Biometrie und Dokumente, direkt über das Dashboard der Console löschen. Diese Funktion ist entscheidend, um umgehend auf Anfragen von Betroffenen oder zur Verwaltung spezifischer Datenschutzbedenken zu reagieren und unterstützt direkt die Einhaltung der DSGVO und LGPD.

Unsere Lösungen, einschließlich ID Verification, Passive & Active Liveness und 1:1 Face Match, sind von Grund auf datenschutzfreundlich konzipiert. Wir bieten kostenloses Core KYC an, sodass Sie Identitäten mit robusten, konformen Tools überprüfen können. Ohne Einrichtungsgebühren und mit einem Pay-per-Successful-Check-Modell macht Didit es einfach, eine sichere und konforme Identitätsprüfung in Ihre Abläufe zu integrieren, die Datenexposition zu minimieren und gleichzeitig Vertrauen und Sicherheit zu maximieren.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Fordern Sie noch heute eine kostenlose Demo an.

Beginnen Sie kostenlos mit der Identitätsprüfung mit Didits kostenlosem Tarif.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Kostenlos startenKontaktiere uns
Lass dir diese Seite von einer KI zusammenfassen
LGPD Brasilien: Identitätsdaten richtig aufbewahren.