Datensparsamkeit bei eIDAS: Ein praktischer Leitfaden

Die überarbeitete eIDAS-Verordnung (electronic Identification, Authentication and Trust Services), deren vollständige Durchsetzung Ende 2024 erwartet wird, führt zu erheblichen Änderungen bei der digitalen Identitätsprüfung in Europa. Ein Kernprinzip von eIDAS 2.0 ist die Datensparsamkeit – die Beschränkung der Erhebung und Verarbeitung personenbezogener Daten auf das unbedingt Notwendige. Dieser Blogbeitrag bietet einen praktischen Leitfaden zum Verständnis und zur Umsetzung der Datensparsamkeit im Kontext von eIDAS, einschließlich der rechtlichen Anforderungen, bewährter Verfahren und wie Didit helfen kann.

Wichtige Erkenntnis 1: eIDAS 2.0 hebt die Datensparsamkeit von einer Empfehlung zu einer rechtlichen Verpflichtung mit potenziellen Bußgeldern bei Nichteinhaltung auf.

Wichtige Erkenntnis 2: Datensparsamkeit bezieht sich nicht nur auf die Erhebung weniger Daten, sondern auf den gesamten Lebenszyklus der Daten – Erhebung, Verarbeitung, Speicherung und Löschung.

Wichtige Erkenntnis 3: Die Umsetzung der Datensparsamkeit erfordert einen risikobasierten Ansatz, der die Datenerhebung an den jeweiligen Verwendungszweck anpasst.

Wichtige Erkenntnis 4: Technologien wie wiederverwendbare digitale Identitäten und datenschutzfördernde Technologien (PETs) sind entscheidend für die Erreichung einer eIDAS-konformen Datensparsamkeit.

Datensparsamkeit im Rahmen von eIDAS 2.0 verstehen

Datensparsamkeit bedeutet gemäß Artikel 5(1)(c) der DSGVO (auf der eIDAS 2.0 aufbaut), dass personenbezogene Daten „angemessen, relevant und auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt“ sein müssen. Im Kontext der digitalen Identitätsprüfung bedeutet dies, dass Sie nur die minimale Menge an Informationen anfordern und speichern sollten, die zur Überprüfung der Identität eines Benutzers für einen bestimmten Zweck erforderlich sind. eIDAS 2.0 verstärkt diese Anforderung, insbesondere für qualifizierte Vertrauensdiensteanbieter (QTSP), aber gilt für alle an der digitalen Identitätsprüfung innerhalb der EU Beteiligten.

Zuvor gingen viele Unternehmen mit einem „nur für den Fall“-Ansatz an die Datenerhebung heran und sammelten so viele Informationen wie möglich, um zukünftigen Bedürfnissen gerecht zu werden. eIDAS 2.0 verschiebt dieses Paradigma grundlegend. Die Verordnung betont einen zweckorientierten Ansatz, der von Organisationen verlangt, den Zweck der Identitätsprüfung vor der Datenerhebung klar zu definieren.

Spezifische Anforderungen von eIDAS 2.0 bezüglich Daten

eIDAS 2.0 führt mehrere spezifische Anforderungen im Zusammenhang mit der Datenverarbeitung ein:

• Zweckbindung: Für einen Zweck erhobene Daten dürfen nicht für einen inkompatiblen Zweck verwendet werden.
• Datenaufbewahrung: Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es zur Erfüllung des angegebenen Zwecks erforderlich ist.
• Datensicherheit: Unternehmen müssen angemessene technische und organisatorische Maßnahmen implementieren, um personenbezogene Daten vor unbefugtem Zugriff, Verwendung oder Offenlegung zu schützen.
• Wiederverwendbare digitale Identitäten: eIDAS 2.0 fördert die Verwendung wiederverwendbarer digitaler Identitäten, die es Benutzern ermöglichen, ihre Daten zu kontrollieren und selektiv weiterzugeben.
• Datenschutz durch Design und Standard: Datenschutzaspekte müssen von Anfang an in das Design aller Systeme und Prozesse integriert werden.

Die Verordnung weist speziell auf die Notwendigkeit von digitalen Identitätsmetriken hin, um die Einhaltung zu bewerten und nachzuweisen. Zu diesen Metriken gehören beispielsweise der Prozentsatz der erfassten Datenfelder, die tatsächlich für die Überprüfung verwendet werden, die durchschnittliche Datenaufbewahrungsdauer und die Anzahl der Datenschutzverletzungen.

Praktische Schritte zur Umsetzung der Datensparsamkeit

Die Umsetzung der Datensparsamkeit ist nicht einfach ein Ankreuzen eines Kästchens. Sie erfordert eine umfassende Bewertung Ihrer bestehenden Identitätsprüfungsprozesse und ein Engagement für kontinuierliche Verbesserung. Hier sind einige praktische Schritte:

1. Datenmapping: Dokumentieren Sie alle Datenfelder, die Sie derzeit während der Identitätsprüfung erfassen, einschließlich des Zwecks der Erfassung jedes Feldes.
2. Zweckbewertung: Bestimmen Sie für jedes Datenfeld, ob es für den angegebenen Zweck wirklich notwendig ist. Wenn nicht, hören Sie auf, es zu erfassen.
3. Datenaufbewahrungsrichtlinie: Entwickeln und implementieren Sie eine klare Datenaufbewahrungsrichtlinie, die festlegt, wie lange jedes Datenfeld aufbewahrt wird und welche Kriterien für die Löschung gelten.
4. Anonymisierung und Pseudonymisierung: Anonymisieren oder pseudonymisieren Sie Daten, wo immer möglich, um das Risiko der Identifizierung zu verringern.
5. Zustimmungsmanagement: Holen Sie vor der Erhebung und Verarbeitung ihrer Daten die ausdrückliche Zustimmung der Benutzer ein.
6. Regelmäßige Audits: Führen Sie regelmäßige Audits durch, um die Einhaltung der Grundsätze der Datensparsamkeit sicherzustellen.

Wenn Sie beispielsweise das Alter eines Benutzers zur Zugangsberechtigung zu einem altersbeschränkten Dienst überprüfen, müssen Sie nur bestätigen, dass er ein bestimmtes Alter erreicht hat. Sie benötigen nicht sein vollständiges Geburtsdatum, seine Adresse oder andere persönliche Daten. Ebenso reichen für die grundlegende Kontoerstellung möglicherweise ein minimales Datenset wie E-Mail-Adresse und Benutzername aus.

Die Rolle der Technologie bei der Datensparsamkeit

Technologie spielt eine entscheidende Rolle bei der Erleichterung der Datensparsamkeit. Wiederverwendbare digitale Identitäten, die durch Technologien wie Self-Sovereign Identity (SSI) und überprüfbare Anmeldeinformationen ermöglicht werden, ermöglichen es Benutzern, ihre eigenen Daten zu kontrollieren und selektiv weiterzugeben. Datenschutzfördernde Technologien (PETs) wie homomorphe Verschlüsselung und differentielle Privatsphäre können die Datenverarbeitung ermöglichen, ohne die zugrunde liegenden Daten preiszugeben. Darüber hinaus können fortschrittliche Betrugserkennungsalgorithmen den Bedarf an umfangreicher Datenerhebung reduzieren, indem sie risikoreiche Transaktionen genauer identifizieren.

Wie Didit hilft

Didit ist von Grund auf auf Datensparsamkeit ausgelegt. Unsere Plattform bietet:

• Modulare Architektur: Wählen Sie nur die Verifizierungsmodule aus, die Sie benötigen, um unnötige Datenerfassung zu vermeiden.
• Wiederverwendbares KYC: Ermöglichen Sie Benutzern, ihre Identität einmal zu verifizieren und sie über mehrere Plattformen hinweg wiederzuverwenden, wodurch redundante Datenerfassung reduziert wird.
• Datenschutz durch Standarddesign: Selfies werden im Speicher verarbeitet und sofort gelöscht; wir speichern keine Rohbiometriedaten.
• Workflow-Orchestrierung: Erstellen Sie benutzerdefinierte Verifizierungsabläufe, die auf bestimmte Anwendungsfälle zugeschnitten sind, und minimieren Sie die Datenerfassung.
• Datenresidenz: EU-basierte Infrastruktur gewährleistet die Einhaltung der europäischen Datenschutzgesetze.

Bereit zum Start?

Warten Sie nicht bis zum Inkrafttreten von eIDAS 2.0, um mit der Vorbereitung zu beginnen. Die Umsetzung der Datensparsamkeit jetzt gewährleistet nicht nur die Einhaltung der Vorschriften, sondern schafft auch Vertrauen bei Ihren Benutzern. Fordern Sie eine Demo der Didit-Plattform an, um zu erfahren, wie wir Ihnen helfen können, die Komplexität von eIDAS 2.0 zu bewältigen und die Datensparsamkeit zu erreichen. Sie können auch unsere technische Dokumentation für detaillierte Informationen zu unseren Funktionen und APIs einsehen.