Nur-Englische PII-Tools: Ein DSGVO-Risiko
Aktualisiert für 2026
Die Durchsetzungsrealität
Die DSGVO bewertet Ergebnisse, nicht Absichten. Ein Unternehmen kann ein PII-Erkennungstool in gutem Glauben einsetzen. Wenn dieses Tool jedoch französische, deutsche oder polnische IDs übersieht, hat das Unternehmen trotzdem gegen Artikel 32 verstoßen. Die Regel verlangt „geeignete technische Maßnahmen." Ein Tool, das die IDs in Ihren Daten nicht findet, erfüllt diese Anforderung nicht. Gute Absichten ändern daran nichts.
Die Verteidigung „wir haben ein Tool verwendet" hält nicht stand. Aufsichtsbehörden prüfen die konkret eingesetzten Tools. Wenn ein nur-englisches Tool mehrsprachige Daten verarbeitet hat, wird Artikel 32 zur zentralen Frage.
Dies ist ein echtes Durchsetzungsmuster. Es ist in DSGVO-Fällen in der gesamten EU dokumentiert.
Was Aufsichtsbehörden feststellen
DSGVO-Daten aus 2024 zeigen, dass Artikel-32-Verstöße zu den häufigsten Bußgeldgründen gehören. Unternehmen nennen automatisierte Anonymisierungstools als Belege für technische Maßnahmen. Aufsichtsbehörden prüfen dann, ob diese Tools tatsächlich funktionieren.
Für globale Arbeitgeber ist das Risiko systemisch. Nehmen wir eine HR-Plattform. Sie entfernt personenbezogene Daten vor der Analyse. Englische E-Mail-Adressen und Telefonnummern werden möglicherweise korrekt entfernt. Doch französische NIR-Nummern, deutsche Steuer-IDs und polnische PESEL-Nummern bleiben intakt. Schwedische Personnummer auch.
Das Unternehmen glaubt, die Datensätze seien bereinigt. Die Aufsichtsbehörde stellt fest, dass 40 % der IDs im „anonymisierten" Datensatz noch vorhanden sind. Es sind nationale IDs, die das Tool nie abgedeckt hat.
Identifier-Formate, die nur-englische Tools übersehen
Nationale EU-IDs unterscheiden sich von US- und generischen Formaten. Nur-englische Tools erkennen sie nicht zuverlässig:
Deutsches Steuer-Identifikationsnummer: 11-stelliges Format mit Prüfsumme. Tools, die nur für das US SSN-Format (9-stellig) entwickelt wurden, erkennen es nicht.
Französische NIR (numéro de sécurité sociale): 15-stelliges Format. Es kodiert Geschlecht, Geburtsjahr und Departement. Generische ID-Muster passen nicht.
Schwedisches Personnummer: 10 oder 12 Stellen mit einer Luhn-Prüfziffer. Das Format ändert sich für Personen, die vor 1990 geboren wurden. Generische Muster berücksichtigen das nicht.
Polnisches PESEL: 11 Stellen mit kodiertem Geburtsdatum und Geschlecht. Ohne Prüfsummenvalidierung werden die Falsch-Positiv-Raten zu hoch.
Diese Identifier sind weit verbreitet. Jeder EU-Arbeitgeber, jede Gesundheitseinrichtung und jedes Finanzunternehmen, das deutsche, französische, schwedische oder polnische Daten verarbeitet, wird ihnen begegnen. Sie sind nicht selten. Unsere Entities-Referenz enthält eine vollständige Liste der unterstützten ID-Typen.
DSGVO ist ergebnisbasiert
Artikel 32 der DSGVO verlangt „geeignete technische und organisatorische Maßnahmen." Die Messlatte liegt bei den Ergebnissen. Hat die Organisation ein Tool eingesetzt? Das ist nicht die richtige Frage. Hat das Tool die verarbeiteten personenbezogenen Daten geschützt? Das ist die richtige Frage.
Für Organisationen mit mehrsprachigen EU-Daten bedeutet „geeignet", deutsche Steuer-IDs im gleichen Durchlauf zu erkennen wie englische E-Mail-Adressen. Eine Organisation, die 95 % der englischen Inhalte, aber 0 % der deutschen nationalen IDs erkennt, hat die Anforderung für ihre deutschen Daten nicht erfüllt. Die Lücke versagt bei deutschen Datensätzen.
Mehrsprachige Abdeckung ist nicht optional. Sie ist Teil dessen, was Artikel 32 verlangt. Punkt. Unser DSGVO-Leitfaden erklärt den vollständigen Rahmen.
So bewerten Sie Ihr Tool
Die richtige Frage an Ihr Tool ist einfach. Kann es E-Mail-Adressen in jeder Sprache finden? Das ist weniger entscheidend. Kann es die nationalen ID-Formate in Ihren tatsächlichen Daten finden? Das ist der eigentliche Test.
Für EU-Betriebe, die Deutschland, Frankreich, Polen oder Schweden bedienen, bedeutet das eine locale-spezifische Erkennungsabdeckung. Wenn Ihr Tool keine soliden Erkennungsraten für diese Formate vorweisen kann, behandeln Sie die Lücke als aktuelles Compliance-Risiko. Unsere Sicherheits- und Compliance-Seite erklärt unseren Umgang mit mehrsprachiger Abdeckung.
anonym.legal erkennt deutsche Steuer-ID, französische NIR, schwedisches Personnummer, polnisches PESEL und nationale IDs aller EU-Staaten. Jeder Recognizer verwendet prüfsummenbewusste Validierung für genaue Ergebnisse.