CNIL Frankreich: DPA PII-Toolanforderungen
Frankreichs CNIL ist die technisch anspruchsvollste Datenschutzbehörde in der EU. Die meisten EU-Behörden schreiben allgemeine Regeln. Die CNIL geht weiter. Sie veröffentlicht präzise technische Leitlinien, die recommandations genannt werden. Diese setzen genaue Standards für die Anonymisierung und den Einsatz von KI-Daten.
CNIL-Bescheide im Jahr 2024 nannten häufig schwache Anonymisierung in KI-Systemen als Grund. Die Behörde nahm 2023 insgesamt 16.433 Beschwerden entgegen. Das waren 43 % mehr als 2022.
CNIL-Leitlinien prägen die EU-Politik
Die technischen Texte der CNIL werden von anderen EU-Datenschutzbehörden häufig zitiert. Zwei Leitfäden sind besonders wichtig.
Guide pratique de l'anonymisation (2023): Dieser Leitfaden behandelt k-Anonymität, l-Diversität und Differential Privacy. Er zeigt, wie die einzelnen Methoden auf französische Daten angewendet werden. Schwedens IMY und andere EU-Behörden verweisen in ihren eigenen Regeln darauf.
KI-Systemleitlinien (2024): Die CNIL listet sechs Datentypen auf, die beim KI-Training berücksichtigt werden müssen. Keine andere EU-Datenschutzbehörde ist beim Thema KI so weit gegangen.
Cookie-Regeln: Die Cookie-Leitlinien der CNIL setzen den höchsten technischen Maßstab für Einwilligungswerkzeuge in der EU. Sie werden regelmäßig aktualisiert.
Das NIR: Frankreichs sensibelster Bezeichner
Das Numéro d'Inscription au Répertoire (NIR) — auch numéro de sécurité sociale genannt — ist eine 15-stellige französische Sozialversicherungsnummer.
Sein Format lautet: S AA MM DD CCC OOO K
- S — 1 Stelle: Geschlecht
- AA — Geburtsjahr
- MM — Geburtsmonat
- DD — Geburts-Département (01–95, 2A/2B für Korsika, 97–99 Übersee, 99 Ausland)
- CCC — Gemeindekode
- OOO — Geburtsreihenfolge
- K — 2-stelliger Prüfschlüssel (97 − (NIR mod 97))
Das NIR enthält Geschlecht, Geburtsdatum und Geburtsort in einer einzigen Zahl. Die CNIL behandelt es als hochriskante Daten. Es erfordert die gleiche Sorgfalt wie besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO.
Warum Werkzeuge NIR übersehen: Generische NLP-Werkzeuge scheitern aus drei Gründen am NIR. Erstens sehen die 15 Ziffern (oft ohne Leerzeichen) wie andere lange Zahlen aus. Zweitens enthalten die Stellen 7–11 einen Départementcode. Werkzeuge, die die Mod-97-Prüfung überspringen, lassen falsche Treffer durch. Drittens verwenden korsische Départements 2A und 2B statt reine Ziffern. Werkzeuge für reine Zahlenmuster versagen hier.
Eine gute NIR-Erkennung braucht drei Dinge: Mod-97-Schlüsselprüfung, ein geografisches Codebuch und Korsika-fähige Regeln.
Unsere Sicherheits-Compliance-Übersicht zeigt, wie die Erkennung von Identifikatoren in einen DSGVO-Schutzrahmen passt.
SIREN und SIRET: Unternehmenskenner in Personendateien
SIREN: Eine 9-stellige französische Unternehmens-ID mit Luhn-Prüfziffer. Sie erscheint in allen französischen Handelsunterlagen.
SIRET: Eine 14-stellige Nummer aus SIREN (9 Stellen) und einem Betriebscode (5 Stellen). SIRET bezeichnet einen Standort. SIREN bezeichnet das Unternehmen.
Geschäftsunterlagen enthalten oft SIRET-Nummern neben den Namen von Mitarbeitenden. Die CNIL behandelt SIRET zusammen mit einem Namen als personenbezogene Daten. Dieses Paar löst DSGVO-Pflichten aus, auch ohne ein eigenes Personendatenfeld.
Sechs Anonymisierungsschritte für das KI-Training
Die KI-Leitlinien der CNIL von 2024 nennen sechs Datentypen. Jeder muss bearbeitet werden, bevor französische Personendaten im KI-Training eingesetzt werden:
- Direkte Identifikatoren entfernen — Namen, NIR, SIREN müssen ersetzt oder gelöscht werden
- Quasi-Identifikatoren verallgemeinern — Alter, Département, Beruf können zusammen Personen identifizierbar machen; Präzision reduzieren
- Rauschen zu Zahlen hinzufügen — Numerische Felder benötigen kalibrierten Rauschzusatz, um Rückschlüsse zu blockieren
- k-Anonymität prüfen — Jede Person muss mindestens k-1 anderen ähneln; CNIL verweist auf k ≥ 5
- l-Diversität prüfen — Sensible Attribute müssen innerhalb jeder Gruppe variieren
- Re-Identifikationsrisiko bewerten — Vor jeder Weitergabe mit dokumentierter Methode prüfen
NIR und vollständigen Namen allein zu entfernen reicht nicht aus. Die CNIL hat dies in Durchsetzungsverfahren festgestellt. Quasi-Identifikatoren wie Postleitzahl und medizinische Fachrichtung müssen ebenfalls behandelt werden.
Unser DSGVO-Compliance-Leitfaden deckt die Unterlagen ab, die bei französischen DPA-Prüfungen erwartet werden.
Sprachlicher Kontext für die französische PII-Erkennung
Frankreich hat mehrere sprachliche Kontexte, die die Erkennung beeinflussen.
Standardfranzösisch ist die Sprache aller offiziellen Dokumente. NER-Modelle müssen Akzentbuchstaben verarbeiten: é, è, ê, ë, à, â, î, ô, û, ç, œ.
Überseegebiete (DOM-TOM): Martinique, Guadeloupe, Réunion, Guyane und Mayotte verwenden NIR-Codes im Bereich 97–98. Lokale Namensmuster unterscheiden sich vom Mutterland Frankreich.
Elsass-Mosel: Deutschstämmige Namen und einige deutsche Dokumentenformate erscheinen in französischen Akten. Modelle, die nur auf Standardfranzösisch trainiert sind, können diese Namen übersehen.
Grenzüberschreitender Einsatz: Belgisches Französisch verwendet ein anderes ID-Format. Werkzeuge, die in Frankreich und Belgien eingesetzt werden, benötigen Regeln für jedes Format.
Was Ihr Werkzeug abdecken muss
Die französische Compliance erfordert vier technische Fähigkeiten:
- NIR mit Mod-97-Prüfung — Mustererkennung allein reicht nicht. Werkzeuge müssen die Schlüsselprüfung ausführen und 2A/2B-Codes verarbeiten.
- SIREN/SIRET mit Luhn-Prüfung — Unternehmenskenner erscheinen in Personendateien und erzeugen DSGVO-relevante Namenskombinationen.
- Französisches NER mit vollständiger Akzentunterstützung — Muss zusammengesetzte Namen (Jean-Pierre), Partikel (de, du, des) und Akzentzeichen verarbeiten.
- Dokumentierter Sechsschritteprozess — Jede KI-Trainings-Pipeline mit französischen Daten benötigt einen schriftlichen Nachweis für jede Anonymisierungsaktivität.