BfDI Германия: GDPR съответствие за технически екипи
Актуализирано за 2026 г.
Германия има 17 органа за защита на данните. Единият е федералният BfDI (Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit). Другите 16 са органи на ниво федерална провинция, наречени Landesdatenschutzbehorden (LfD). Никоя друга страна в ЕС не работи по този начин.
Разделението произтича от федералната структура на Германия. Провинциите имат правомощия за надзор в частния сектор. BfDI покрива федерални публични органи и някои фирми, работещи в множество провинции. Всеки LfD покрива частни фирми в своята провинция. BayLDA на Бавария се прилага за фирми в Мюнхен. HmbBfDI на Хамбург се прилага за фирми в Хамбург. BlnBfDI на Берлин покрива берлинските фирми.
Компания с обекти в няколко провинции трябва да установи кой орган има юрисдикция. Това невинаги е лесно. Фирми, обслужващи федерални клиенти и имащи обекти в две провинции, могат да се занимават едновременно с BfDI и LfD.
Данни за правоприлагането в Германия
Германия е подала 27 829 уведомления за нарушения през 2024 г. Това е повече от всяка друга държава членка на ЕС. Съставлява около 31% от всички уведомления за нарушения в ЕС за тази година (данни на EDPB 2024). Високият брой показва активна култура на отчитане. Не означава, че Германия има повече нарушения от другите страни.
Общите глоби от BfDI и LfD достигнаха около 160 милиона евро между 2018 и 2024 г. (GDPR Enforcement Tracker). Три случая се открояват:
- Deutsche Wohnen — 14,5 млн. евро (2020 г.): Лоши системи за изтриване. Този случай показа, че задържането на данни е техническо задължение, а не само административна задача.
- 1&1 Telecom — 9,55 млн. евро (2020 г.): Слаба идентификация на клиенти. Глобата беше намалена при обжалване.
- Здравни и застрахователни фирми: Няколко глоби за нарушаване на правилата за сигурност по Член 32.
Три теми се появяват най-много в годишните доклади на германските органи за защита на данни. Първата е слабата техническа сигурност по Член 32. Втората са забранените трансгранични трансфери по Член 46. Третата са лошите ограничения на данните в AI системи.
Насоки на BfDI за AI и ограничения на данните
BfDI издаде насоки през 2024 г., излизащи извън базовите правила на GDPR. [МАРКИРАНО: точният задължителен статус на тези насоки не е потвърден от публичните записи на BfDI — третирайте ги като силна регулаторна насока.]
Ограничения при въвеждане в AI: Органът иска живи технически контроли, а не само писмена политика. Системите трябва да намират и премахват или маскират лични данни преди те да достигнат AI модел. Политика, указваща на служителите да минимизират данните, не отговаря на този стандарт.
Стандарти за маскиране: Насоките посочват ISO/IEC 29101 като рамка за маскиране на данни. Фирми, претендиращи за псевдонимизация по Член 4(5), трябва да покажат контроли върху ключовете и стъпки за обратното им извличане, съответстващи на този стандарт.
Документи по Член 32: Инспекторите искат писмени спецификации. Това означава точни типове шифри, стъпки за ключове, правила за достъп и дати на тестване. Само да се каже "криптираме данните" не е достатъчно само по себе си.
Специални категории (Член 9): За здравни, биометрични, генетични и политически данни, насоките изискват регистри за достъп, разделяне на данни и по-силно маскиране, отколкото изисква Член 32.
Вижте нашето ръководство за многоезично засичане на лични данни за начина, по който пропуските при засичането могат да засегнат спазването на GDPR на германския пазар.
Четири технически стъпки за съответствие с BfDI
1. Регистър с документи по Член 32
Поддържайте писмен Регистър на техническите мерки. Покрийте тези области: типове шифри и стъпки за ключове, дизайн на контрол на достъпа, инструменти за маскиране и техните настройки, одитни регистри и дати на тестване. Германските органи за защита на данни искат това в повечето случаи. Имайте го готово преди да бъдете попитани.
2. AI входен филтър
Добавете стъпка за филтриране за всяка система, където служителите или клиентите въвеждат лични данни, захранващи AI модел. Филтърът трябва да улавя имена, телефонни номера, идентификационни номера и здравни данни преди те да преминат към модела. Това отговаря на техническия стандарт за ограничение на BfDI. Защитава и фирмата ви, ако моделът съхранява или записва входящи данни.
3. Автоматично изтриване по график
Случаят Deutsche Wohnen показа, че лошото изтриване само по себе си е нарушение на GDPR. Задържането трябва да работи на таймер. Записите, надхвърлили срока за съхранение, трябва да бъдат изтрити или анонимизирани по график. Ситуативното изтриване не отговаря на стандарта. Автоматизирайте го.
4. 72-часов отговор при нарушения
Броят на уведомленията за нарушения в Германия показва, че това е пазар с активно правоприлагане в областта на съответствието. Планът ви за инциденти трябва да е в рамките на 72-часовия прозорец. Това означава, че трябва да разполагате с инструменти за намиране на засегнатите лица, изброяване на изложените данни и оценка на вероятната вреда в срок. Тествайте плана си преди да ви потрябва.
За по-широк поглед върху моделите на GDPR глоби вижте нашето ръководство за GDPR глоби за американски компании.
Кой провинциален орган е приложим
За частните фирми приложимият LfD обикновено е органът в провинцията, в която е базирана фирмата.
BayLDA (Бавария): Техническа сигурност и здравни записи. Автомобилните и здравните сектори на Бавария получават особено внимание тук.
HmbBfDI (Хамбург): Трансгранични трансфери и потребителско профилиране. Финансовите и медийните фирми на Хамбург носят висок риск тук.
BlnBfDI (Берлин): Инструменти за наблюдение и мониторинг на служители. Берлинската технологична сцена поддържа AI инструментите под наблюдение.
LDI NRW (Северен Рейн-Вестфалия): Програми за лоялност в сферата на финансите и търговията на дребно. Това е най-населената провинция на Германия.
ULD SH (Шлезвиг-Холщайн): Съгласие за бисквитки и дигитален маркетинг. Известен с водещи технически насоки.
Фирмите, активни в няколко провинции, могат да използват правилото за основно установяване (Член 56). То насочва случаите към органа в провинцията, където се вземат основните решения за обработка в ЕС. Вижте нашето ръководство за обработка на GDPR заявки на субекти на данни за начина, по който това засяга работни процеси с голям обем.
Съответствие между ISO 27001 и BfDI
ISO 27001 се съответства добре с това, за което германските инспектори на DPA питат. Ако фирмата ви е сертифицирана, използвайте тази документация, за да отговаряте на одитни заявки.
- Приложение A 8.11 (Маскиране на данни): Покрива контролите за маскиране и анонимизация — отговаря на нуждите по Член 32 за документиране
- Приложение A 8.24 (Използване на криптография): Покрива типовете шифри и стъпките за ключове — отговаря на нуждите за документиране на криптирането
- Приложение A 8.15 (Регистриране): Покрива дизайна на одитния регистър — поддържа нуждите от регистри за достъп до чувствителни данни
- Доклади от одит на ISMS: Доказателство от трета страна, че контролите съществуват и работят
Германският персонал на DPA познава ISO 27001. Сертификацията ви дава структурирано доказателство за системни контроли. Това е по-силно от писмено твърдение без преглед от трета страна. Ускорява и одитите, тъй като форматът е познат на инспекторите.