Detekce PII v němčině pro soulad s DSGVO
Stav: 2026
Německo nahlásilo v roce 2024 celkem 27 829 narušení ochrany dat BfDI a 16 zemským úřadům pro ochranu dat — nový historický rekord. To odpovídá 31 % všech oznámení podle GDPR v EU. Tato čísla nevypovídají jen o aktivní kultuře hlášení, ale ukazují také na technickou mezeru: 65 % německých firem používá nástroje pro detekci PII s nedostatečnou podporou německého jazyka.
Třístupňové vymáhání v Německu
Vymáhání DSGVO v Německu je složité. Rozděluje se mezi 17 úřadů.
BfDI (Spolkový zmocněnec): Příslušný pro spolkové úřady, telekomunikaci, poštovní služby a organizace přesahující hranice spolkových zemí.
16 zemských úřadů pro ochranu dat: Každá spolková země má vlastní úřad s nezávislými pravomocemi k vymáhání. Nejaktivnější úřady:
- Bavorsko – BayLDA: Považováno za jeden z technicky nejnáročnějších úřadů pro ochranu dat v EU. V roce 2024 auditovalo více než 250 organizací.
- Hamburk: Průkopník ve vymáhání vůči provozovatelům amerických platforem.
- Bádensko-Württembersko – LfDI BW: Vydalo první pokyny specifické pro AI v rámci DSGVO v Německu.
Firmy v Německu mohou být kontrolovány současně na spolkové i zemské úrovni. To výrazně zvyšuje nároky na dokumentaci.
Složitost regionu DACH: tři právní rámce, jeden jazyk
Německy hovořící organizace v prostoru DACH pracují ve třech různých právních rámcích.
Německo: EU-DSGVO s BfDI a zemskými úřady. Specifické identifikátory: daňové identifikační číslo (11 číslic), číslo osobního průkazu (10 znaků), IBAN ve formátu DE.
Rakousko: EU-DSGVO s vymáháním DSB. Rakouské identifikátory: číslo sociálního pojištění (SVNR, 10 číslic), eAT (elektronický pobytový titul), číslo FinanzOnline.
Švýcarsko: revDSG (platné od září 2023) — není EU-DSGVO, ale úzce se na něj odvolává. Švýcarské identifikátory: číslo AHV (13 číslic, formát 756.XXXX.XXXX.XX), UID (identifikátor podniku).
Organizace působící ve všech třech zemích potřebují nástroj PII, který zpracuje německojazyčný text a všechny tři národní identifikátory. Jako čtvrtý rámec přistupuje ještě liechtensteinský zákon o ochraně dat.
Německé identifikátory podrobně
Daňové identifikační číslo (Steuer-ID): 11místné daňové číslo přidělované německým obyvatelům od narození. První číslice nesmí být nula. Kontrolní číslice na konci se vypočítává modulárním algoritmem. Vyskytuje se ve všech německých daňových, pracovních a finančních dokumentech.
Číslo osobního průkazu: Formát LNNNNNNNC (1 písmeno + 8 číslic + 1 kontrolní znak). Kontrolní znak vychází z algoritmu váženého součtu. Každý německý občan a každý občan EU s trvalým bydlištěm v Německu má číslo osobního průkazu.
Číslo sociálního pojištění (SV-Nummer): Formát NNDDMMYYAAAA (2místný kód oblasti + datum narození + 2 písmena příjmení + kontrolní číslice). Používá se v pracovních a důchodových dokumentech.
Německý IBAN: Formát DE + 2 kontrolní číslice + 8místný kód banky (BLZ) + 10místné číslo účtu. Kromě kontroly IBAN-Mod-97 je nutné ověřit také formát BLZ.
Číslo zdravotní pojišťovny (KVNr): 10místné číslo (1 písmeno + 9 číslic). Písmeno označuje pojišťovnu; číslice obsahují kontrolní číslici.
Mezera 65 % u nástrojů
Podle průzkumu BfDI z roku 2024 používá 65 % německých firem nástroje PII s nedostatečnou podporou němčiny. Konkrétní slabá místa:
Detekce Steuer-ID: Vzory se párují bez validace kontrolní číslice. To generuje mnoho falešně pozitivních výsledků u libovolných 11místných číselných sekvencí v německých dokumentech.
Detekce osobního průkazu: Chyby nastávají, pokud se formát vyskytuje bez explicitního označení „Personalausweis.“ Kontextuální rozpoznávání vyžaduje německojazyčný NER pro správné určení typu dokumentu.
Detekce německých jmen: NLP modely trénované na anglických textech špatně rozpoznávají německá jména. Zvlášť postižená jsou složená jména (Hans-Wilhelm, Anna-Katharina) a jména s přehláskou (Müller, Schröder, Böhm).
Německé formáty adres: Straße, Platz, Weg a Gasse se strukturálně liší od anglických formátů adres. Anglické parsery systematicky chybují u německých adres.
Standard souladu pro BfDI, BayLDA a další německé úřady pro ochranu dat zahrnuje: německojazyčný NER (spaCy de_core_news nebo ekvivalentní), detekci Steuer-ID a osobního průkazu s validací kontrolního součtu, podporu SVNR pro rakouské dokumenty a podporu čísla AHV pro švýcarské dokumenty.
Více o vícejazyčných problémech detekce najdete v průvodci vícejazyčnou detekcí PII pro soulad s DSGVO. Technické priority vymáhání BfDI jsou popsány v technickém průvodci BfDI pro německé firmy. K německým národním daňovým ID a identifikátorům v celé EU viz průvodce detekcí PII pro daňová ID v EU.