anonym.legal

By · Last updated 2026-06-05

Terug na BlogGDPR & Nakoming

BfDI Duitsland: DPA-Nakomingsgids

Duitsland het 27 829 GDPR-skendingskennisgewings in 2024 ingedien -- meer as enige ander EU-lidstaat. Hier is wat BfDI se afdwingingsfokus vir tegniese PBI beteken.

June 5, 20268 min lees
BfDI GermanyGerman GDPRdata breach notificationLandesdatenschutzbehördeGerman DPA

BfDI Duitsland: GDPR-Nakoming vir Tegniese Spanne

Opgedateer vir 2026

Duitsland het 17 databeskermingesliggame. Een is die federale BfDI (Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit). Die ander 16 is staatsliggame genoem Landesdatenschutzbehorden (LfD). Geen ander EU-land werk so nie.

Die splitsing kom van Duitsland se federale struktuur. State het mag oor privaatsektor-toesig. Die BfDI dek federale openbare liggame en sommige staatsgrensoverschrydende firmas. Elke LfD dek privaatfirmas in sy eie staat. Bayern se BayLDA geld vir Munchen-gebaseerde firmas. Hamburg se HmbBfDI geld vir Hamburg-gebaseerde firmas. Berlyn se BlnBfDI dek Berlynse firmas.

'n Maatskappy met kantore in verskeie state moet uitwerk watter liggaam gesag het. Dit is nie altyd maklik nie. Firmas wat federale kliente bedien en kantore in twee state het, mag tegelyk met beide die BfDI en 'n LfD te doen kry.

Duitsland se Afdwingingsyfers

Duitsland het 27 829 skendingsverslae in 2024 ingedien. Dit was meer as enige ander EU-lidstaat. Dit was ongeveer 31% van alle EU-skendingsverslae daardie jaar (EDPB 2024-data). Die hoe telling toon 'n aktiewe verslagdoeningskultuur. Dit beteken nie Duitsland het meer skending as ander lande nie.

Totale boetes van die BfDI en LfDs het ongeveer €160 miljoen bereik tussen 2018 en 2024 (GDPR Afdwingingsopspoor). Drie gevalle staan uit:

  • Deutsche Wohnen -- €14,5M (2020): Swak uitwissingstelsels. Hierdie geval het getoon dat data-behoud 'n tegniese plig is, nie net 'n administratiewe taak nie.
  • 1&1 Telecom -- €9,55M (2020): Swak klientidentifikasiekontroles. Die boete is by appel verminder.
  • Gesondheidsorg- en versekeringsfirmas: Verskeie boetes vir die versuim van Artikel 32-sekuriteitsreels.

Drie temas kom die meeste in Duitse DPA-jaarverslae voor. Die eerste is swak tegniese sekuriteit onder Art. 32. Die tweede is verbanne grensoverschrydende oordragte onder Art. 46. Die derde is swak databeperking in KI-stelsels.

BfDI-Leiding oor KI en Databeperking

Die BfDI het in 2024 leiding uitgereik wat verder as die basis GDPR-reels gaan. [GEMERK: die presiese bindende status van hierdie leiding is nie van openbare BfDI-rekords bevestig nie -- behandel as sterk regulatoriese rigting.]

KI-invoerbeperkings: Die owerheid wil lewendige tegniese beheermaatreels, nie net skriftelike beleid nie. Stelsels moet persoonlike data vind en verwyder of masker voordat dit 'n KI-model tref. 'n Beleid wat se "personeel moet data minimeer" voldoen nie aan hierdie standaard nie.

Maskeerstandaarde: Die leiding wys op ISO/IEC 29101 as die raamwerk vir die maskering van data. Firmas wat Artikel 4(5) pseudonimisering beweer, moet sleutelbeheermaatreels en omkeerstaps toon wat by hierdie standaard pas.

Artikel 32-rekords: Inspekteurs wil geskrewe spesifikasies. Dit beteken presiese sifertipes, sleutelstappe, toegangsreels en toetsdatums. Om te se "ons enkripteer data" is nie genoeg op sy eie nie.

Spesiale kategoriee (Art. 9): Vir gesondheid, biometriese, genetiese en politieke data vereis die leiding toegangslogrekords, dataafsondering en sterker maskering as wat Art. 32 vereis.

Sien ons meertalige PBI-opsporingsgids vir hoe opsporingsgapings GDPR-nakoming oor die Duitse mark kan beinvloed.

Vier Tegniese Stappe vir BfDI-Nakoming

1. Artikel 32-rekordregistreer

Hou 'n geskrewe Tegniese Maatreelsregister. Dek hierdie gebiede: sifertipes en sleutelstappe, toegangsbeheerontwerp, maskeringsgereedskap en hul instellings, ouditlogrekords en toetsdatums. Duitse DPA's vra hierna in die meeste gevalle. Het dit gereed voordat jy gevra word.

2. KI-invoerfilter

Voeg 'n filterstap by vir enige stelsel waar personeel of kliente persoonlike data tik wat in 'n KI-model ingaan. Die filter moet name, telefoonnommers, ID-nommers en gesondheidsdata vang voordat dit na die model gaan. Dit voldoen aan die BfDI tegniese beperkingstandaard. Dit beskerm ook jou firma as die model invoere stoor of aanteken.

3. Outo-uitwissing op skedule

Die Deutsche Wohnen-geval het gewys dat swak uitwissing self 'n GDPR-skending is. Behoud moet op 'n tydhouer loop. Rekords verby hul bewaarhouddatum moet op skedule uitgewis of anoniem gemaak word. Ad-hoc-uitwissing voldoen nie aan die standaard nie. Outomatiseer dit.

4. 72-uur-skendingsrespons

Duitsland se skendingsverslagtellings wys dat dit 'n nakoming-aktiewe mark is. Jou insidentplan moet die 72-uur-venster tref. Dit beteken jy het die gereedskap nodig om geaffekteerde mense te vind, die blootgestelde data te lys en waarskynlike skade betyds te beoordeel. Toets jou plan voor jy dit nodig het.

Vir 'n breere blik op GDPR-boetepatrone, sien ons GDPR-boetegids vir VS-maatskappye.

Watter Staatsowerheid Geld

Vir privaatfirmas is die relevante LfD gewoonlik die een in die staat waar die firma gevestig is.

BayLDA (Beiere): Tegniese sekuriteit en gesondheidsrekords. Beiere se motor- en gesondheidsektore kry hier naby aandag.

HmbBfDI (Hamburg): Grensoverschrydende oordragte en gebruikers-profilering. Hamburg se finansies- en mediafirmas dra hoe risiko hier.

BlnBfDI (Berlyn): Toesiehulpmiddels en personeelmoniterring. Berlyn se tegniese sene hou KI-hulpmiddels onder hersien.

LDI NRW (Noord-Ryn-Wesfale): Finansies en kleinhandel-lojaliteitsprogramme. Dit is Duitsland se mees bevolkte staat.

ULD SH (Schleswig-Holstein): Koekietoestemming en digitale bemarking. Hierdie owerheid is bekend vir leidende tegniese leiding.

Firmas aktief in verskeie state kan die hoofvestigingsreel (Art. 56) gebruik. Dit stuur gevalle na die owerheid in die staat waar die hoof-EU-verwerkingsbesluite geneem word. Sien ons GDPR DSAR-grootmaatverwerkingsgids vir hoe dit hoe-volume-werkvloeie raak.

ISO 27001 en BfDI-Belyning

ISO 27001 kaart naby aan wat Duitse DPA-inspekteurs vra. As jou firma gesertifiseerd is, gebruik daardie dokumentasie om ouditversoeke te beantwoord.

  • Bylae A 8.11 (Datamaskering): Dek maskerings- en anonimiseringskontroles -- voldoen aan Art. 32-rekordbehoeftes
  • Bylae A 8.24 (Gebruik van Kriptografie): Dek sifertipes en sleutelstappe -- voldoen aan enkripsirekordbehoeftes
  • Bylae A 8.15 (Aantekenine): Dek ouditlogontwerp -- ondersteun toegangslogbehoeftes vir sensitiewe data
  • ISMS-ouditverslae: Derde-party-bewys dat beheermaatreels bestaan en werk

Duitse DPA-personeel ken ISO 27001. Sertifisering gee jou gestruktureerde bewys van sistematiese beheermaatreels. Dit is sterker as 'n geskrewe bewering sonder derde-party-hersien. Dit versnel ook oudits omdat die formaat vir inspekteurs bekend is.

Bronne

Verwante Artikels

GDPR & Nakoming

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Nakoming

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Nakoming

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gereed om u data te beskerm?

Begin om PII te anonimiseer met 285+ entiteitstipes in 48 tale.

Begin Gratis ProeflopieBesoek Kenmerke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.