+49 6201 8725124 info@suhling.biz

    „Wer sind Sie wirklich?“ – So meistern Unternehmen die Identifizierung bei DSGVO-Auskunftsanfragen 🔒

    #Betrugspraevention, #compliance

    „Wer sind Sie wirklich?“ – So meistern Unternehmen die Identifizierung bei DSGVO-Auskunftsanfragen 🔒

    Situation: Die Rechte der Betroffenen nach Artikel 15 DSGVO

    Die Datenschutz-Grundverordnung (DSGVO) gibt Betroffenen das Recht, von Unternehmen Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu verlangen. Artikel 15 DSGVO verpflichtet Unternehmen, umfassend und transparent über gespeicherte Daten, Verarbeitungszwecke, Empfänger und weitere Details zu informieren. Doch bevor ein Unternehmen eine solche Auskunft erteilt, muss es sicherstellen, dass die anfragende Person tatsächlich diejenige ist, für die die Daten verarbeitet werden. Diese Identifizierung ist ein zentraler Schritt, um sowohl die Rechte der Betroffenen zu wahren als auch die Sicherheit der Daten zu gewährleisten.

    Problem: Nachweis der Identifizierung und rechtliche Risiken

    Ein häufiges Problem für Unternehmen ist die Frage, wie sie die Identität der anfragenden Person zweifelsfrei feststellen und diesen Prozess dokumentieren können. Die DSGVO verlangt, dass Unternehmen sicherstellen, dass keine unbefugte Person Zugriff auf personenbezogene Daten erhält. Gleichzeitig dürfen Unternehmen keine übermäßigen Anforderungen an die Identifizierung stellen, um den Zugang zu den Rechten der Betroffenen nicht zu erschweren.

    Ein weiteres Problem ist der Nachweis der Identifizierung. Unternehmen müssen in der Lage sein, gegenüber Aufsichtsbehörden zu belegen, dass sie die Identität der anfragenden Person korrekt geprüft haben. Fehlt dieser Nachweis oder ist der Identifizierungsprozess fehlerhaft, drohen rechtliche Konsequenzen, wie Bußgelder oder Reputationsschäden. Die Herausforderung besteht also darin, einen rechtssicheren, effizienten und benutzerfreundlichen Identifizierungsprozess zu etablieren.

    Betrüger geben sich als betroffene Personen aus, um unberechtigten Zugriff auf sensible Daten zu erhalten, indem sie gefälschte Identitätsnachweise vorlegen oder Social-Engineering-Techniken anwenden. Gelingt der Betrug, verklagen sie das Unternehmen wegen angeblicher Datenschutzverletzungen oder unzureichender Identifizierungsprozesse, um Schadensersatz zu fordern.

    Lösung: Effiziente und rechtssichere Identifizierungsprozesse

    Um die Identität von Betroffenen sicher und DSGVO-konform zu prüfen, sollten Unternehmen auf standardisierte und dokumentierte Prozesse setzen. Hier sind einige bewährte Ansätze:

    1. Verifizierung durch bestehende Daten: Wenn die anfragende Person bereits Kunde oder Nutzer ist, können Unternehmen die Identität anhand vorhandener Daten (z. B. E-Mail-Adresse oder Kundennummer) überprüfen.
    2. Zwei-Faktor-Authentifizierung: Eine zusätzliche Sicherheitsstufe, wie die Verifizierung per SMS oder E-Mail, kann die Identifizierung absichern.
    3. Dokumente und Nachweise: In Fällen, in denen keine bestehenden Daten vorliegen, können Unternehmen die Vorlage eines Ausweisdokuments verlangen. Dabei ist jedoch darauf zu achten, dass nur die notwendigen Informationen verarbeitet werden.
    4. Automatisierte Tools: Moderne Identitätsmanagement-Systeme können den Prozess effizienter gestalten und gleichzeitig die Dokumentation der Identifizierung sicherstellen.
    5. Schulung und Sensibilisierung: Mitarbeiter sollten regelmäßig geschult werden, um den Identifizierungsprozess korrekt und datenschutzkonform durchzuführen.

    Ein gut dokumentierter und rechtssicherer Prozess schützt nicht nur die Rechte der Betroffenen, sondern auch das Unternehmen vor rechtlichen und operativen Risiken.

     

     

    See english below 🇬🇧:

    ‘Who are you really?’ – How companies master the identification process for GDPR requests for information

    Situation: The rights of data subjects under Article 15 GDPR

    The General Data Protection Regulation (GDPR) gives data subjects the right to request information from companies about the processing of their personal data. Article 15 GDPR obliges companies to provide comprehensive and transparent information about stored data, processing purposes, recipients and other details. However, before a company provides such information, it must ensure that the person making the request is actually the person for whom the data is being processed. This identification is a key step in both protecting the rights of the data subjects and ensuring the security of the data.

    Problem: Proof of identification and legal risks

    A common problem for companies is the question of how they can establish the identity of the requesting person beyond doubt and document this process. The GDPR requires companies to ensure that no unauthorised person gains access to personal data. At the same time, companies must not impose excessive identification requirements so as not to make access to the rights of data subjects more difficult.

    Proof of identification is another problem. Companies must be able to prove to supervisory authorities that they have correctly verified the identity of the person making the request. If this proof is missing or the identification process is faulty, there is a risk of legal consequences such as fines or reputational damage. The challenge is therefore to establish a legally compliant, efficient and user-friendly identification process.

    Fraudsters pose as data subjects to gain unauthorised access to sensitive data by presenting fake proof of identity or using social engineering techniques. If the fraud succeeds, they sue the company for alleged data protection violations or inadequate identification processes in order to claim damages.

    Solution: Efficient and legally compliant identification processes

    In order to verify the identity of data subjects securely and in compliance with the GDPR, companies should rely on standardised and documented processes. Here are some proven approaches:

    1. Verification through existing data: If the person making the enquiry is already a customer or user, companies can verify their identity using existing data (e.g. email address or customer number).
    2. Two-factor authentication: An additional security level, such as verification by SMS or email, can secure identification.
    3. Documents and proof: In cases where no existing data is available, companies can request the presentation of an identification document. However, care must be taken to ensure that only the necessary information is processed.
    4. Automated tools: Modern identity management systems can make the process more efficient while ensuring that identification is documented.
    5. Training and sensitisation: Employees should be regularly trained to carry out the identification process correctly and in compliance with data protection regulations.

    A well-documented and legally compliant process not only protects the rights of data subjects, but also protects the company from legal and operational risks.

     

     

     

    Véase el texto en español a continuación 🇪🇸:

    «¿Quién eres realmente?» – Cómo las empresas dominan el proceso de identificación para las solicitudes de información del RGPD

    Situación: Los derechos de los interesados en virtud del artículo 15 del RGPD

    El Reglamento General de Protección de Datos (RGPD) otorga a los interesados el derecho a solicitar información a las empresas sobre el tratamiento de sus datos personales. El artículo 15 del RGPD obliga a las empresas a proporcionar información completa y transparente sobre los datos almacenados, los fines del tratamiento, los destinatarios y otros detalles. Sin embargo, antes de que una empresa proporcione dicha información, debe asegurarse de que la persona que realiza la solicitud es realmente la persona para la que se están tratando los datos. Esta identificación es un paso clave tanto para proteger los derechos de los interesados como para garantizar la seguridad de los datos.

    Problema: Prueba de identificación y riesgos legales

    Un problema común para las empresas es la cuestión de cómo pueden establecer la identidad de la persona solicitante sin lugar a dudas y documentar este proceso. El RGPD exige a las empresas que garanticen que ninguna persona no autorizada acceda a los datos personales. Al mismo tiempo, las empresas no deben imponer requisitos de identificación excesivos para no dificultar el acceso a los derechos de los interesados.

    La prueba de identificación es otro problema. Las empresas deben poder demostrar a las autoridades supervisoras que han verificado correctamente la identidad de la persona que realiza la solicitud. Si falta esta prueba o el proceso de identificación es defectuoso, existe el riesgo de consecuencias legales como multas o daños a la reputación. Por lo tanto, el reto consiste en establecer un proceso de identificación que cumpla con la ley, sea eficiente y fácil de usar.

    Los estafadores se hacen pasar por personas afectadas para obtener acceso no autorizado a datos sensibles, presentando pruebas de identidad falsas o utilizando técnicas de ingeniería social. Si el fraude tiene éxito, demandan a la empresa por supuestas violaciones de la protección de datos o procesos de identificación inadecuados para reclamar daños y perjuicios.

    Solución: procesos de identificación eficientes y que cumplan con la ley

    Para verificar la identidad de los interesados de forma segura y de conformidad con el RGPD, las empresas deben basarse en procesos estandarizados y documentados. Estos son algunos enfoques de eficacia probada:

    1. Verificación a través de datos existentes: si la persona que realiza la consulta ya es cliente o usuario, las empresas pueden verificar su identidad utilizando datos existentes (por ejemplo, dirección de correo electrónico o número de cliente).
    2. Autenticación de dos factores: un nivel de seguridad adicional, como la verificación por SMS o correo electrónico, puede asegurar la identificación.
    3. Documentos y pruebas: En los casos en que no se disponga de datos existentes, las empresas pueden solicitar la presentación de un documento de identificación. Sin embargo, hay que tener cuidado para garantizar que solo se procese la información necesaria.
    4. Herramientas automatizadas: Los sistemas modernos de gestión de la identidad pueden hacer que el proceso sea más eficiente y, al mismo tiempo, garantizar que la identificación esté documentada.
    5. Formación y sensibilización: Los empleados deben recibir formación periódica para llevar a cabo el proceso de identificación correctamente y de conformidad con la normativa de protección de datos.

    Un proceso bien documentado y que cumpla con la ley no solo protege los derechos de los interesados, sino que también protege a la empresa de riesgos legales y operativos.

     

     

    Voir ci-dessous 🇫🇷 :

    Qui êtes-vous vraiment ? » – Comment les entreprises maîtrisent le processus d’identification pour les demandes d’information du GDPR

    Situation : Les droits des personnes concernées en vertu de l’article 15 du GDPR

    Le règlement général sur la protection des données (RGPD) donne aux personnes concernées le droit de demander aux entreprises des informations sur le traitement de leurs données à caractère personnel. L’article 15 du RGPD oblige les entreprises à fournir des informations complètes et transparentes sur les données stockées, les finalités du traitement, les destinataires et d’autres détails. Toutefois, avant de fournir ces informations, l’entreprise doit s’assurer que la personne qui fait la demande est bien celle pour laquelle les données sont traitées. Cette identification est une étape essentielle pour protéger les droits des personnes concernées et garantir la sécurité des données.

    Problème : preuve d’identification et risques juridiques

    Les entreprises se heurtent souvent à la question de savoir comment elles peuvent établir sans l’ombre d’un doute l’identité de la personne qui demande les données et documenter ce processus. Le GDPR exige des entreprises qu’elles veillent à ce qu’aucune personne non autorisée n’ait accès aux données à caractère personnel. Dans le même temps, les entreprises ne doivent pas imposer d’exigences excessives en matière d’identification afin de ne pas rendre plus difficile l’accès aux droits des personnes concernées.

    La preuve de l’identification est un autre problème. Les entreprises doivent être en mesure de prouver aux autorités de contrôle qu’elles ont correctement vérifié l’identité de la personne qui fait la demande. Si cette preuve fait défaut ou si le processus d’identification est défectueux, il existe un risque de conséquences juridiques telles que des amendes ou une atteinte à la réputation. Le défi consiste donc à mettre en place un processus d’identification conforme à la législation, efficace et convivial.

    Les fraudeurs se font passer pour des personnes concernées afin d’obtenir un accès non autorisé à des données sensibles, en présentant de faux justificatifs d’identité ou en utilisant des techniques d’ingénierie sociale. Si la fraude réussit, ils poursuivent l’entreprise en justice pour de prétendues violations de la protection des données ou des processus d’identification inadéquats afin de réclamer des dommages et intérêts.

    La solution : Des processus d’identification efficaces et conformes à la législation

    Pour vérifier l’identité des personnes concernées en toute sécurité et conformément au GDPR, les entreprises doivent s’appuyer sur des processus standardisés et documentés. Voici quelques approches qui ont fait leurs preuves :

    1. Vérification à l’aide des données existantes: Si la personne qui fait la demande est déjà un client ou un utilisateur, les entreprises peuvent vérifier son identité à l’aide de données existantes (par exemple, l’adresse électronique ou le numéro de client).
    2. Authentification à deux facteurs: Un niveau de sécurité supplémentaire, tel que la vérification par SMS ou par courrier électronique, peut sécuriser l’identification.
    3. Documents et preuves: Dans les cas où aucune donnée existante n’est disponible, les entreprises peuvent demander la présentation d’un document d’identification. Toutefois, il faut veiller à ce que seules les informations nécessaires soient traitées.
    4. Outils automatisés: Les systèmes modernes de gestion de l’identité peuvent rendre le processus plus efficace tout en garantissant que l’identification est documentée.
    5. Formation et sensibilisation: Les employés doivent être régulièrement formés pour mener à bien le processus d’identification correctement et dans le respect des règles de protection des données.

    Un processus bien documenté et conforme à la législation protège non seulement les droits des personnes concernées, mais aussi l’entreprise contre les risques juridiques et opérationnels.

    #fraud #fraudprevention #betrugspraevention #suhlingtooling