DSGVO Artikel 28: Compliance mit Didits APIs (DE)

Artikel 28 verstehenDSGVO Artikel 28 schreibt strenge Bedingungen für Datenverarbeiter vor, die verlangen, dass diese nur auf dokumentierte Anweisungen des Verantwortlichen handeln und angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten implementieren.

Beziehung zwischen Verantwortlichem und VerarbeiterEin klarer, rechtlich bindender Vertrag (Datenverarbeitungsvertrag) ist unerlässlich, der Rollen, Verantwortlichkeiten und Datenschutzbestimmungen zwischen dem Datenverantwortlichen und dem Verarbeiter festlegt.

Technische & Organisatorische MaßnahmenVerarbeiter müssen modernste Sicherheitstechnologien einsetzen, einschließlich Verschlüsselung, Pseudonymisierung, regelmäßige Tests und robuste Zugriffskontrollen, um die Datenintegrität und -vertraulichkeit zu gewährleisten.

Didits Compliance-VorteilDidits KI-native, modulare Identitätsplattform bietet integrierte Sicherheit, Audit-Trails und konfigurierbare Workflows, die Unternehmen helfen, die Anforderungen von Artikel 28 effizient und effektiv zu erfüllen.

In der heutigen datengesteuerten Welt ist die Einhaltung von Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) nicht nur eine rechtliche Verpflichtung, sondern ein Eckpfeiler des Vertrauens für jedes Unternehmen, das personenbezogene Daten verarbeitet. Für Unternehmen, die als Datenverarbeiter agieren, insbesondere im Bereich der Identitätsprüfung, ist das Verständnis und die Implementierung von DSGVO Artikel 28 von größter Bedeutung. Dieser Artikel befasst sich mit den Feinheiten von Artikel 28 und zeigt, wie Didits fortschrittliche API-gesteuerte Identitätsplattform Ihr effektivstes Werkzeug zur Erreichung und Aufrechterhaltung der Compliance sein kann.

Was ist DSGVO Artikel 28 und warum ist er wichtig?

DSGVO Artikel 28 legt die Bedingungen für die Rolle eines Datenverarbeiters fest. Er stellt klar, dass ein Datenverantwortlicher (die Stelle, die das „Warum“ und „Wie“ der Datenverarbeitung bestimmt) nur Verarbeiter beauftragen darf, die ausreichende Garantien dafür bieten, geeignete technische und organisatorische Maßnahmen zur Erfüllung der DSGVO-Anforderungen und zum Schutz der Rechte der betroffenen Personen umzusetzen. Im Wesentlichen stellt er sicher, dass, wenn ein Unternehmen (Verantwortlicher) die Datenverarbeitung auslagert, die ausgelagerte Stelle (Verarbeiter) die gleichen hohen Standards des Datenschutzes einhält.

Für Identitätsverarbeiter bedeutet dies, dass jeder Schritt des Verifizierungsprozesses – von der Datenerfassung mittels ID-Verifizierung (OCR, MRZ, Barcodes) bis hin zu biometrischen Prüfungen wie passiver & aktiver Lebenderkennung und 1:1-Gesichtsabgleich – mit größter Sorgfalt, Sicherheit und Transparenz gehandhabt wird. Nichteinhaltung kann zu schweren Strafen, Reputationsschäden und einem erheblichen Verlust des Kundenvertrauens führen.

Wichtige Anforderungen für Datenverarbeiter nach Artikel 28

Artikel 28 legt mehrere kritische Mandate für Datenverarbeiter fest:

1. Dokumentierte Anweisungen: Verarbeiter dürfen personenbezogene Daten nur auf dokumentierte Anweisungen des Verantwortlichen verarbeiten. Dies bedeutet keine unabhängigen Verarbeitungsentscheidungen.
2. Vertraulichkeit: Verarbeiter müssen sicherstellen, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
3. Sicherheit der Verarbeitung: Verarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dies umfasst oft Maßnahmen wie Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, die anhaltende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten, und die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen.
4. Unterauftragsverarbeiter: Verarbeiter dürfen keinen anderen Verarbeiter (Unterauftragsverarbeiter) ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen beauftragen. Bei Genehmigung muss der Verarbeiter dem Unterauftragsverarbeiter die gleichen Datenschutzpflichten auferlegen, die im Vertrag zwischen dem Verantwortlichen und dem Verarbeiter festgelegt sind.
5. Unterstützung des Verantwortlichen: Verarbeiter müssen den Verantwortlichen bei der Einhaltung seiner Pflichten unterstützen, insbesondere in Bezug auf Anfragen von betroffenen Personen, Datenschutz-Folgenabschätzungen und Meldungen von Sicherheitsverletzungen.
6. Löschung oder Rückgabe von Daten: Nach Beendigung der Dienste müssen Verarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten löschen oder an den Verantwortlichen zurückgeben und bestehende Kopien löschen, es sei denn, die Speicherung der personenbezogenen Daten ist gesetzlich vorgeschrieben.
7. Prüfungsrechte: Verarbeiter müssen dem Verantwortlichen alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung von Artikel 28 nachzuweisen, und Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, ermöglichen und dazu beitragen.

Didits Plattform wurde unter Berücksichtigung dieser Prinzipien entwickelt und bietet Funktionen, die die Einhaltung jeder dieser Anforderungen direkt unterstützen. Zum Beispiel adressieren unsere robusten Audit-Trails und die Möglichkeit, konforme PDF-Berichte für jede Verifizierungssitzung (über die Generate PDF API) direkt die Notwendigkeit von Transparenz und Prüfbarkeit.

Die Bedeutung technischer und organisatorischer Maßnahmen (TOMs)

Die Klausel „angemessene technische und organisatorische Maßnahmen“ ist der Punkt, an dem es für Datenverarbeiter ernst wird. Es geht nicht nur darum, eine Datenschutzerklärung zu haben; es geht darum, den Datenschutz in die Architektur Ihrer Systeme zu integrieren. Für die Identitätsprüfung umfasst dies:

• Datenminimierung: Nur die absolut notwendigen Daten für den Verifizierungszweck zu sammeln.
• Verschlüsselung: Schutz von Daten sowohl während der Übertragung als auch im Ruhezustand.
• Zugriffskontrollen: Begrenzung des Zugriffs auf sensible Identitätsdaten.
• Regelmäßige Sicherheitsaudits: Proaktives Erkennen und Beheben von Schwachstellen. Didit ist ISO 27001-zertifiziert, DSGVO-konform und iBeta Level 1-zertifiziert, was unser Engagement für Sicherheit auf Unternehmensebene unterstreicht.
• Vorfallsreaktion: Klare Verfahren für den Umgang mit Datenpannen.
• Datenaufbewahrungsrichtlinien: Einhaltung definierter Zeiträume für die Speicherung von Daten, abgestimmt auf die Anweisungen des Verantwortlichen.

Didits KI-native Architektur stellt sicher, dass diese TOMs von Grund auf integriert sind. Das modulare Design unserer Plattform ermöglicht es Verantwortlichen, Workflows präzise zu konfigurieren, um sicherzustellen, dass nur die notwendigen Daten verarbeitet werden. Zum Beispiel kann die Alterschätzung für altersbeschränkte Dienste verwendet werden, ohne vollständige Identitätsdaten zu sammeln, was den Prinzipien der Datenminimierung entspricht.

Wie Didit bei der Einhaltung von DSGVO Artikel 28 hilft

Didit wurde entwickelt, um der ideale Partner für Datenverantwortliche zu sein, die eine DSGVO Artikel 28-konforme Identitätsprüfung suchen. Unsere Plattform bietet die notwendigen Tools und Zusicherungen:

• Konfigurierbare Workflows: Didits Orchestrierte Workflows, die über unsere Business Console zugänglich sind, ermöglichen es Verantwortlichen, mehrstufige Identitätsprüfungswege zu entwerfen, einschließlich KYC, Altersprüfungen und AML-Screening & -Überwachung. Dies stellt sicher, dass die Verarbeitung genau mit den dokumentierten Anweisungen und spezifischen Compliance-Anforderungen übereinstimmt.
• Robuste Sicherheit & Zertifizierungen: Mit Sicherheit auf Unternehmensniveau wurde Didit ISO 27001, ISO 27017 und ISO 27018 zertifiziert und ist iBeta Level 1-zertifiziert für die Lebenderkennung. Wir sind auch bereit für das EU-KI-Gesetz und bieten eine Grundlage für Vertrauen und Compliance.
• Umfassende Audit-Trails: Jede Verifizierungssitzung generiert detaillierte Aufzeichnungen, und unsere Generate PDF API ermöglicht die Erstellung von konformen Berichten, die für den Nachweis der Rechenschaftspflicht und die Unterstützung bei Prüfungen des Verantwortlichen entscheidend sind.
• Dataminimierung durch Design: Funktionen wie die datenschutzfreundliche Alterschätzung ermöglichen es Unternehmen, Compliance-Anforderungen zu erfüllen, ohne übermäßig viele personenbezogene Daten zu sammeln.
• Globale Abdeckung: Mit der ID-Verifizierung, die Dokumente aus über 220 Ländern unterstützt, gewährleistet Didit eine konsistente und konforme Verarbeitung unabhängig vom geografischen Standort.
• Entwicklerfreundlicher Ansatz: Saubere APIs und eine sofortige Sandbox ermöglichen es Verantwortlichen, ihre Identitätsprozesse mit voller Kontrolle und Transparenz zu integrieren und zu verwalten, wodurch die Anforderung an dokumentierte Anweisungen erfüllt wird.

Didits Engagement für Sicherheit, Modularität und KI-natives Design bedeutet, dass wir als Datenverarbeiter die höchsten Garantien für den Schutz personenbezogener Daten bieten, wodurch die Einhaltung von Artikel 28 für unsere Kunden zu einem optimierten und zuverlässigen Prozess wird. Unser kostenloses Core KYC-Angebot ermöglicht es Unternehmen, diese konformen Workflows ohne Vorabinvestitionen zu erstellen, was unser Engagement für zugängliche, sichere Identitätslösungen unterstreicht.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Holen Sie sich noch heute eine kostenlose Demo.

Beginnen Sie kostenlos mit der Identitätsprüfung mit Didits kostenlosem Tarif.