BfDI Německo: GDPR soulad pro technické týmy
Aktualizováno pro rok 2026
Německo má 17 orgánů pro ochranu osobních údajů. Jedním z nich je federální BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Dalších 16 jsou orgány na úrovni spolkových zemí zvané Landesdatenschutzbehörden (LfD). Žádná jiná země EU takto nefunguje.
Rozdělení pramení z německé federální struktury. Spolkové země mají pravomoc nad dohledem v soukromém sektoru. BfDI pokrývá federální veřejné orgány a některé mezizemské firmy. Každý LfD pokrývá soukromé firmy ve své zemi. Bavorský BayLDA se vztahuje na firmy se sídlem v Mnichově. Hamburský HmbBfDI se vztahuje na firmy se sídlem v Hamburku. Berlínský BlnBfDI pokrývá berlínské firmy.
Společnost se sídly v několika spolkových zemích musí zjistit, který orgán má pravomoc. To není vždy snadné. Firmy, které slouží federálním klientům a mají sídla ve dvou spolkových zemích, mohou jednat současně s BfDI i LfD.
Německá enforcement čísla
Německo podalo v roce 2024 celkem 27 829 hlášení o porušení. To bylo více než v jakémkoli jiném členském státě EU. Představovalo to přibližně 31 % všech hlášení o porušení EU v daném roce (data EDPB 2024). Vysoký počet ukazuje aktivní kulturu hlášení. Neznamená to, že Německo má více porušení než jiné země.
Celkové pokuty od BfDI a LfD dosáhly v letech 2018 až 2024 přibližně 160 milionů EUR (GDPR Enforcement Tracker). Tři případy vynikají:
- Deutsche Wohnen — 14,5 mil. EUR (2020): Špatné systémy mazání. Tento případ ukázal, že uchovávání dat je technická povinnost, nejen administrativní úkol.
- 1&1 Telecom — 9,55 mil. EUR (2020): Slabé kontroly identifikace zákazníků. Pokuta byla po odvolání snížena.
- Zdravotnické a pojišťovací firmy: Několik pokut za neplnění bezpečnostních pravidel článku 32.
V ročních zprávách německých DPA se opakují tři témata. Prvním je slabé technické zabezpečení podle čl. 32. Druhým jsou zakázané přeshraniční přenosy podle čl. 46. Třetím jsou špatná datová omezení v systémech AI.
Pokyny BfDI k AI a datovým omezením
BfDI vydal v roce 2024 pokyny, které jdou nad rámec základních pravidel GDPR. [POZNÁMKA: přesný závazný status těchto pokynů nebyl potvrzen z veřejných záznamů BfDI — zacházejte s nimi jako se silným regulačním směřováním.]
Omezení vstupu AI: Orgán chce živé technické kontroly, nikoli jen písemné zásady. Systémy musí najít a odstranit nebo zamaskovat osobní data, než se dostanou k modelu AI. Zásada říkající zaměstnanci by měli minimalizovat data tento standard nesplňuje.
Standardy maskování: Pokyny odkazují na ISO/IEC 29101 jako na rámec pro maskování dat. Firmy, které si nárokují pseudonymizaci podle článku 4(5), musí prokázat kontroly klíčů a kroky zpětného obnovení odpovídající tomuto standardu.
Záznamy podle článku 32: Inspektoři chtějí písemné specifikace. To znamená přesné typy šifer, kroky správy klíčů, pravidla přístupu a data testování. Pouhé tvrzení šifrujeme data samo o sobě nestačí.
Zvláštní kategorie (čl. 9): Pro zdravotní, biometrická, genetická a politická data pokyny vyžadují protokoly přístupu, oddělení dat a silnější maskování, než vyžaduje čl. 32.
Viz náš průvodce vícejazyčnou detekcí OÚ pro informace o tom, jak mezery v detekci mohou ovlivnit soulad s GDPR na německém trhu.
Čtyři technické kroky pro soulad s BfDI
1. Registr záznamů podle článku 32
Veďte písemný Registr technických opatření. Zahrňte tyto oblasti: typy šifer a kroky správy klíčů, návrh řízení přístupu, maskovací nástroje a jejich nastavení, auditní logy a data testování. Německé DPA to požadují ve většině případů. Mějte to připraveno dříve, než budete požádáni.
2. Filtr vstupu AI
Přidejte krok filtrování pro jakýkoli systém, kde zaměstnanci nebo zákazníci zadávají osobní data, která se přenášejí do modelu AI. Filtr by měl zachytit jména, telefonní čísla, čísla dokladů a zdravotní data, než se dostanou k modelu. To splňuje standard technického omezení BfDI. Chrání také vaši firmu v případě, že model ukládá nebo loguje vstupy.
3. Automatické mazání podle plánu
Případ Deutsche Wohnen ukázal, že špatné mazání je samo o sobě porušením GDPR. Uchovávání musí probíhat na základě časovače. Záznamy po uplynutí doby uchovávání musí být smazány nebo anonymizovány podle plánu. Mazání na vyžádání standard nesplňuje. Automatizujte ho.
4. Reakce na porušení do 72 hodin
Počet hlášení o porušení v Německu ukazuje, že jde o compliance-aktivní trh. Váš plán reakce na incidenty musí splnit 72hodinové okno. To znamená, že potřebujete nástroje k nalezení dotčených osob, seznamu exponovaných dat a posouzení pravděpodobné újmy včas. Otestujte svůj plán dříve, než ho budete potřebovat.
Pro širší pohled na vzorce pokut GDPR viz náš průvodce pokutami GDPR pro americké společnosti.
Který státní orgán se vztahuje
Pro soukromé firmy je příslušný LfD obvykle ten ve spolkové zemi, kde má firma sídlo.
BayLDA (Bavorsko): Technické zabezpečení a zdravotní záznamy. Bavorská automobilová a zdravotnická odvětví jsou zde pod přísnou kontrolou.
HmbBfDI (Hamburk): Přeshraniční přenosy a profilování uživatelů. Hamburské finanční a mediální firmy nesou zde vysoké riziko.
BlnBfDI (Berlín): Nástroje dohledu a monitorování zaměstnanců. Berlínská technologická scéna drží nástroje AI pod kontrolou.
LDI NRW (Severní Porýní-Vestfálsko): Finance a věrnostní programy v maloobchodu. Toto je nejlidnatější spolková země Německa.
ULD SH (Šlesvicko-Holštýnsko): Souhlas s cookies a digitální marketing. Tento orgán je znám tím, že vede technické pokyny.
Firmy působící v několika spolkových zemích mohou využít pravidlo hlavního sídla (čl. 56). To přesměruje případy na orgán ve spolkové zemi, kde jsou přijímána hlavní rozhodnutí o zpracování v EU. Viz náš průvodce dávkovým zpracováním GDPR DSAR pro informace o tom, jak to ovlivňuje vysokoobjemové pracovní postupy.
ISO 27001 a soulad s BfDI
ISO 27001 úzce odpovídá tomu, co němečtí inspektoři DPA požadují. Pokud je vaše firma certifikována, použijte tuto dokumentaci k odpovědi na požadavky auditu.
- Příloha A 8.11 (Maskování dat): Pokrývá maskovací a anonymizační kontroly — splňuje potřeby záznamů podle čl. 32
- Příloha A 8.24 (Používání kryptografie): Pokrývá typy šifer a kroky správy klíčů — splňuje potřeby záznamů šifrování
- Příloha A 8.15 (Logování): Pokrývá návrh auditního logu — podporuje potřeby přístupových protokolů pro citlivá data
- Zprávy z auditu ISMS: Důkaz třetí strany, že kontroly existují a fungují
Němečtí pracovníci DPA znají ISO 27001. Certifikace vám poskytuje strukturovaný důkaz systematických kontrol. To je silnější než písemné tvrzení bez recenze třetí strany. Urychluje také audity, protože formát je inspektorům povědomý.