.png?width=126&height=101&name=logo%20(2).png)
.png?width=63&height=51&name=logo%20(6).png)
Finden Sie unsere
Support- und Servicepläne für Ihren spezifischen Anwendungsfall
Glossar DSGVO
DSGVO
Datenschutzgrundverordnung (DSGVO) kurz erklärt
Die Datenschutzgrundverordnung (DSGVO) ist die zentrale gesetzliche Grundlage für den Umgang mit personenbezogenen Daten in der Europäischen Union. Bei der digitalen Identitätsprüfung kommen oft sensible Daten wie Ausweisdokumente oder biometrische Merkmale zum Einsatz. Die DSGVO setzt dafür klare Regeln und definiert, wie Unternehmen damit umgehen dürfen.
Dieser Artikel zeigt, was die DSGVO konkret bedeutet, welche Anforderungen sie an Unternehmen stellt und wie sich Prüfprozesse datenschutzkonform umsetzen lassen.
DSGVO Definition
Die Datenschutzgrundverordnung (DSGVO) ist eine EU-Verordnung, die seit dem 25. Mai 2018 in Kraft ist. Sie regelt den Schutz personenbezogener Daten und die Rechte natürlicher Personen bei deren Verarbeitung.
Ziel ist es, ein einheitliches Datenschutzniveau innerhalb der EU zu schaffen und gleichzeitig den freien Datenverkehr zu ermöglichen. Die DSGVO gilt für alle Organisationen, die Daten von EU-Bürgern verarbeiten – unabhängig vom Unternehmenssitz.
Verarbeitet ein Unternehmen etwa Ausweisdaten, Fotos oder Videos zur Identitätsfeststellung, unterliegen diese der DSGVO. Solch sensible Daten gelten als besonders schützenswert und dürfen nur unter bestimmten Voraussetzungen erhoben, gespeichert und weitergegeben werden. Das macht die DSGVO zur zentralen rechtlichen Grundlage für digitale Verifizierungsprozesse.
Anforderungen der DSGVO an die digitale Identitätsprüfung
Unternehmen, die digitale Identitätsprüfung in ihre Prozesse einbinden, müssen mehrere Anforderungen erfüllen:
1. Rechtsgrundlage
Die Datenverarbeitung muss auf einer gesetzlichen Grundlage beruhen. Dies kann durch eine ausdrückliche Einwilligung der Nutzer:innen erfolgen oder auf einem berechtigten Interesse basieren – etwa zur Betrugsprävention oder im Rahmen der GwG-Prüfung.
2. Zweckbindung und Datenminimierung
Erhobene Daten dürfen nur für den angegebenen Zweck verarbeitet werden. Es gilt das Prinzip: nur so viel wie nötig. Überflüssige Informationen dürfen nicht gespeichert werden.
3. Transparenz
Betroffene müssen klar und verständlich über die Datenverarbeitung informiert werden. Dazu zählen Angaben über Verantwortliche, Verwendungszweck, Speicherfristen und ihre Rechte (z. B. Auskunft).
4. Speicherung und Löschung
Sobald der Verwendungszweck entfällt, müssen personenbezogene Daten gelöscht werden. Eine dauerhafte Speicherung ist nur zulässig, wenn gesetzliche Aufbewahrungspflichten bestehen. Solche Pflichten ergeben sich beispielsweise aus dem Geldwäschegesetz (GwG) oder anderen aufsichtsrechtlichen Vorgaben der BaFin.
Finanzinstitute, Versicherer oder Krypto-Plattformen, die zur Identitätsprüfung im Rahmen des GwG verpflichtet sind, müssen bestimmte Daten bis zu fünf Jahre lang aufbewahren. Dazu gehören etwa Ausweiskopien, Identifizierungsprotokolle oder Zuordnungsnachweise. Erst nach Ablauf dieser Frist dürfen die Daten gelöscht werden – es sei denn, andere gesetzliche Regelungen verlangen eine längere Speicherung.
Datenschutz technisch integriert: Privacy by Design
Ein zentrales Prinzip der DSGVO ist Privacy by Design. Datenschutz soll nicht nur durch Verträge oder Richtlinien sichergestellt werden, sondern bereits durch die technische Gestaltung der Systeme.
Für digitale Identitätslösungen bedeutet das:
- kurze Speicherfristen
- sichere Datenübertragung (z. B. Verschlüsselung)
- Zugriffsbeschränkungen und dokumentierte Prozesse
- datenschutzfreundliche Voreinstellungen
Auch eine Datenschutz-Folgenabschätzung kann erforderlich sein, etwa bei Verfahren mit Biometrie.
Exkurs: Das revidierte Datenschutzgesetz (revDSG) in der Schweiz
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Es modernisiert den Datenschutzrahmen des Landes und bringt ihn in wesentlichen Punkten in Einklang mit der europäischen DSGVO. Ziel ist es, die Rechte betroffener Personen zu stärken und den internationalen Datenaustausch – insbesondere mit der EU – zu erleichtern.
Auch wenn die Schweiz kein EU-Mitglied ist, müssen viele Schweizer Unternehmen die DSGVO zusätzlich beachten – etwa dann, wenn sie Daten von Personen mit Wohnsitz in der EU verarbeiten. Im Alltag digitaler Identitätsprüfung entstehen dadurch häufig doppelte Anforderungen, die sowohl das revDSG als auch die DSGVO berücksichtigen müssen.
Die folgende Tabelle zeigt zentrale Gemeinsamkeiten und Unterschiede der beiden Regelwerke mit Blick auf datengetriebene Prozesse wie die Identitätsprüfung:
Unterschiede und Gemeinsamkeiten: DSGVO und revDSG
|
Aspekt |
DSGVO (EU) |
revDSG (Schweiz) |
|
Geltungsbereich |
Gilt in allen EU-Mitgliedsstaaten |
Gilt in der Schweiz |
|
Anwendungsbereich international |
Gilt auch für Unternehmen außerhalb der EU, wenn sie Daten von EU-Bürger:innen verarbeiten |
Gilt auch für ausländische Unternehmen mit Bezug zur Schweiz |
|
Einwilligung |
Muss freiwillig, informiert und nachweisbar erfolgen |
Gleichwertige Anforderungen |
|
Berechtigtes Interesse |
Als Rechtsgrundlage zulässig, wenn Interessen abgewogen werden können |
Ebenfalls zulässig mit ähnlicher Interessenabwägung |
|
Betroffenenrechte |
Umfassend: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit etc. |
Entsprechend ausgestaltet, z. T. mit Einschränkungen bei Datenportabilität |
|
Datenschutz-Folgenabschätzung |
Pflicht bei hohem Risiko (z. B. bei biometrischen Verfahren) |
Ebenfalls Pflicht bei hohem Risiko |
|
Privacy by Design |
Gesetzlich verankert und verpflichtend |
Entsprechende Pflicht ebenfalls im revDSG enthalten |
|
Meldepflicht bei Datenpannen |
Innerhalb von 72 Stunden |
Keine feste Frist, aber „so rasch wie möglich“ |
|
Sanktionen |
Bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes (auch gegen Unternehmen) |
Max. 250.000 CHF Geldstrafe – jedoch nur gegen natürliche Personen (z. B. Geschäftsleitung); Juristische Personen, wie Unternehmen, werden nicht direkt bestraft.
|
DSGVO-konforme Identitätsprüfung mit PXL Vision
Mit den Lösungen von PXL Vision lassen sich digitale Identitätsprüfungen datenschutzkonform und effizient umsetzen. Unsere Software ist so konzipiert, dass nur die tatsächlich benötigten Daten verarbeitet werden. Die Verifizierung erfolgt browserbasiert, ohne dauerhafte Datenspeicherung. So erfüllen Unternehmen nicht nur die Anforderungen der DSGVO sowie des revDSG, sondern schaffen auch ein vertrauenswürdiges Nutzererlebnis.
Details zum Thema Datenschutz sowie unsere ausführlichen Datenschutzrichtlinien für unsere Produkte finden Sie in unserem Trust Center.
FAQ: Datenschutzgrundverordnung und Identitätsprüfung
Was bedeutet DSGVO-konform bei Identitätsprüfung?
Es bedeutet, dass Daten rechtmäßig erhoben, zweckgebunden verarbeitet und fristgerecht gelöscht werden, unter Einhaltung der Transparenz- und Sicherheitsvorgaben.
Ist eine Einwilligung bei jeder Identitätsprüfung notwendig?
Nicht zwingend. Auch gesetzliche Pflichten oder berechtigtes Interesse können eine zulässige Grundlage darstellen.
Welche Daten gelten als besonders sensibel?
Daten wie biometrische Merkmale, Ausweisinformationen oder Videodaten aus Verifizierungsprozessen erfordern besondere Schutzmaßnahmen.
Wie lange dürfen die Daten gespeichert werden?
Nur so lange, wie sie für den Verifizierungszweck benötigt werden. Danach müssen sie gelöscht werden, es sei denn, gesetzliche Pflichten verlangen eine längere Aufbewahrung.
Gilt die DSGVO auch in der Schweiz?
Die DSGVO gilt bei der Verarbeitung von Daten von EU-Bürger:innen – auch durch Schweizer Unternehmen. Zudem ist das revDSG stark an die DSGVO angelehnt.