Leitfaden für Anbieter: DSGVO-Konformität für Identitätsdatenverarbeiter (DE)

Klarheit bei den RollenDie Unterscheidung zwischen Datenverantwortlichem und Datenverarbeiter ist grundlegend, um Verantwortlichkeiten zuzuordnen und die korrekte Datenverarbeitung gemäß DSGVO sicherzustellen.

Datenminimierung ist entscheidendSammeln und verarbeiten Sie nur die absolut notwendigen personenbezogenen Daten für den angegebenen Zweck, um Risiken zu reduzieren und die Compliance zu demonstrieren.

Robuste SicherheitsmaßnahmenImplementieren Sie starke technische und organisatorische Sicherheitsvorkehrungen, um personenbezogene Daten vor Verletzungen, unbefugtem Zugriff und Missbrauch zu schützen.

Didits Rolle bei der ComplianceDidits modulare, KI-native Plattform mit Funktionen wie Free Core KYC und sicherer Datenverarbeitung wurde entwickelt, um Unternehmen bei der effizienten Erreichung und Aufrechterhaltung der DSGVO-Konformität zu unterstützen.

Ihre Rolle verstehen: Verantwortlicher vs. Verarbeiter

In der komplexen Landschaft der DSGVO besteht der erste Schritt für jeden Drittanbieter, der Identitätsdaten verarbeitet, darin, seine Rolle klar zu definieren: Sind Sie ein Datenverantwortlicher oder ein Datenverarbeiter? Diese Unterscheidung ist von größter Bedeutung, da sie Ihre Verantwortlichkeiten und Pflichten bestimmt. Ein Datenverantwortlicher legt die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Zum Beispiel ist ein Unternehmen, das einen neuen Kunden an Bord nimmt und entscheidet, welche Identitätsdaten gesammelt werden sollen, der Verantwortliche. Ein Datenverarbeiter hingegen verarbeitet personenbezogene Daten nur im Auftrag des Verantwortlichen. Als Anbieter von Identitätsüberprüfungen agiert Didit typischerweise als Datenverarbeiter und verarbeitet Identitätsdaten gemäß den Anweisungen des Verantwortlichen.

Diese Klarstellung ist nicht nur semantisch; sie hat erhebliche rechtliche Auswirkungen, insbesondere in Bezug auf Haftung und Bußgelder. Verarbeiter müssen spezifische Artikel der DSGVO einhalten (z. B. Artikel 28 bezüglich der Pflichten des Verarbeiters) und schließen oft eine Datenverarbeitungsvereinbarung (DPA) mit den Verantwortlichen ab. Diese DPA legt den Umfang, die Dauer und den Zweck der Verarbeitung, die Arten der beteiligten personenbezogenen Daten sowie die Pflichten und Rechte beider Parteien fest. Das Verständnis und die Formalisierung dieser Beziehung sind das Fundament der DSGVO-Konformität für Drittanbieter von Identitätsdatenverarbeitung.

Datenminimierung und Zweckbindung

Zwei Kernprinzipien der DSGVO sind die Datenminimierung und die Zweckbindung. Für Identitätsdatenverarbeiter sind dies nicht nur Best Practices, sondern rechtliche Imperative. Datenminimierung schreibt vor, dass gesammelte personenbezogene Daten angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, notwendige Maß beschränkt sein sollten. Das bedeutet, nur die wesentlichen Informationen zu sammeln, die für die Identitätsüberprüfung, Altersschätzung oder Compliance-Prüfungen wie AML-Screening erforderlich sind, und nichts weiter.

Wenn Ihr Dienst beispielsweise ausschließlich der Altersverifizierung dient, ist Didits Altersschätzungsprodukt so konzipiert, dass es eine datenschutzfreundliche Altersschätzung liefert, ohne dass vollständige Ausweisdokumentdetails langfristig gespeichert werden müssen. Ähnlich gilt für die ID-Verifizierung, dass nur die zur Bestätigung der Identität und zur Betrugsprävention erforderlichen Daten verarbeitet werden sollten. Das Sammeln zusätzlicher, unnötiger Daten erhöht das Risiko und kann zu einer Nichteinhaltung führen. Implementieren Sie Prozesse, um überflüssige Datensammelpunkte zu identifizieren und zu eliminieren. Didits KI-native, modulare Architektur ermöglicht es Unternehmen, nur die notwendigen Identitäts-Primitive auszuwählen, wodurch die Datenminimierung von Natur aus gewährleistet wird.

Zweckbindung bedeutet, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden dürfen. Als Verarbeiter müssen Sie sicherstellen, dass die von Ihnen verarbeiteten Daten nur für die Zwecke verwendet werden, die vom Datenverantwortlichen ausdrücklich angewiesen und in der DPA dokumentiert sind. Jede Abweichung könnte zu schweren Strafen führen. Überprüfen Sie regelmäßig Ihre Datenverarbeitungsaktivitäten, um sicherzustellen, dass sie diesen kritischen Prinzipien entsprechen.

Implementierung robuster Sicherheitsmaßnahmen

Die DSGVO schreibt vor, dass sowohl Verantwortliche als auch Verarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Für Drittanbieter von Identitätsdatenverarbeitung ist dies aufgrund der sensiblen Natur von Identitätsinformationen besonders kritisch. Robuste Sicherheitsmaßnahmen umfassen:

• Verschlüsselung: Die Verschlüsselung von Daten sowohl während der Übertragung als auch im Ruhezustand ist grundlegend, um personenbezogene Daten vor unbefugtem Zugriff zu schützen.
• Zugriffskontrollen: Implementieren Sie strenge Zugriffskontrollen, um sicherzustellen, dass nur autorisiertes Personal auf sensible Identitätsdaten zugreifen kann, und nur wenn dies für seine Rolle notwendig ist.
• Regelmäßige Sicherheitsaudits: Führen Sie häufige Sicherheitsaudits und Penetrationstests durch, um Schwachstellen in Ihren Systemen zu identifizieren und zu beheben.
• Datenschutzverletzungs-Protokolle: Haben Sie klare, gut eingeübte Verfahren zur Erkennung, Meldung und Untersuchung von Datenschutzverletzungen, wie in den DSGVO-Artikeln 33 und 34 gefordert.
• Anbietermanagement: Wenn Sie Unterauftragsverarbeiter einsetzen, stellen Sie sicher, dass diese ebenfalls die Sicherheitsstandards der DSGVO erfüllen. Ihre DPA sollte Klauseln zur Unterverarbeitung enthalten.

Didit priorisiert Sicherheit auf jeder Ebene seiner Plattform. Von sicheren API-Endpunkten bis hin zu verschlüsselter Datenspeicherung und robusten internen Protokollen ist unsere Infrastruktur darauf ausgelegt, sensible Identitätsdaten zu schützen. Unsere Passive & Active Liveness-Erkennung und 1:1 Face Match & Face Search-Funktionen sind auf Sicherheit ausgelegt, um Deepfakes und Spoofing-Versuche zu verhindern und gleichzeitig die Integrität des Verifizierungsprozesses zu gewährleisten.

Transparenz und Rechte der betroffenen Personen

Transparenz ist ein Eckpfeiler der DSGVO. Datenverarbeiter müssen den Verantwortlichen bei der Erfüllung ihrer Pflichten bezüglich der Rechte der betroffenen Personen unterstützen. Diese Rechte umfassen das Recht auf Auskunft, Berichtigung, Löschung ('Recht auf Vergessenwerden'), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Während der Verantwortliche in erster Linie für die Beantwortung von Anfragen der betroffenen Personen zuständig ist, muss der Verarbeiter Mechanismen bereitstellen, um diese Anfragen effizient zu erleichtern.

Dies bedeutet, dass spezifische personenbezogene Daten auf Anweisung des Verantwortlichen schnell gefunden, bereitgestellt, geändert oder gelöscht werden können. Darüber hinaus müssen Verarbeiter den Verantwortlichen gegenüber transparent über ihre Verarbeitungsaktivitäten sein, insbesondere in Bezug auf alle von ihnen beauftragten Unterauftragsverarbeiter. Didits Plattform wurde entwickelt, um klare Audit-Trails und Berichte bereitzustellen, die es den Verantwortlichen erleichtern, Transparenz gegenüber ihren Benutzern aufrechtzuerhalten und auf Anfragen der betroffenen Personen zu reagieren. Unsere Fähigkeit, konformitätsgerechte PDF-Berichte für jede Verifizierungssitzung zu erstellen, die Identitätsentscheidungen, extrahierte Dokumentendaten und Auditdetails zeigen, ist ein Paradebeispiel für dieses Engagement für Transparenz.

Wie Didit hilft

Didit ist eine KI-native, entwicklerorientierte Identitätsplattform, die entwickelt wurde, um die DSGVO-Konformität für Unternehmen, die Identitätsdaten verarbeiten, zu vereinfachen. Unsere modulare Architektur ermöglicht es Ihnen, nur die notwendigen Verifizierungsschritte zu implementieren, wodurch die Datenminimierung von Natur aus unterstützt wird. Zum Beispiel sind unsere Produkte zur ID-Verifizierung (OCR, MRZ, Barcodes) und NFC-Verifizierung (ePass/eID) darauf ausgelegt, nur die wesentlichen Daten aus Identitätsdokumenten sicher zu extrahieren und zu verarbeiten, wobei robuste Sicherheitsmaßnahmen diese sensiblen Informationen schützen. Für Compliance-Anforderungen stellt Didits AML-Screening & Monitoring sicher, dass Sie regulatorische Anforderungen erfüllen, ohne zu viele Daten zu sammeln.

Didit bietet Free Core KYC an, wodurch Unternehmen wesentliche Identitätsverifizierungsprozesse ohne Vorlaufkosten implementieren können, was die Compliance zugänglich macht. Die orchestrierten Workflows und sauberen APIs unserer Plattform bieten die granulare Kontrolle, die zur Verwaltung der Datenverarbeitung gemäß den DSGVO-Vorgaben erforderlich ist. Wir priorisieren Sicherheit, Datenschutz und Transparenz und stellen sicher, dass Didit als Ihr Identitätsdatenverarbeiter Ihnen hilft, eine starke Compliance-Position aufrechtzuerhalten. Unsere Lösungen sind von Natur aus global konform konzipiert und passen sich verschiedenen regulatorischen Rahmenbedingungen an, während sie gleichzeitig ein nahtloses Benutzererlebnis bieten.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Fordern Sie noch heute eine kostenlose Demo an.

Beginnen Sie kostenlos mit der Verifizierung von Identitäten mit Didits kostenlosem Tarif.