EU-ID-Lücke: Steuer-ID, NIR, Personnummer
US-entwickelte PII-Tools wurden für amerikanische Daten gebaut. Sie erkennen SSNs, US-Telefonnummern und US-Führerscheine gut. EU-Identifikatoren funktionieren anders. Sie folgen anderen Strukturen und anderen Prüfregeln. Ein US-Regex wird eine deutsche Steuer-ID nicht erkennen. Diese strukturelle Lücke ist erheblich.
Warum EU-Identifikatoren anders sind
Die deutsche Steuer-ID hat 11 Stellen. Die erste Stelle darf nicht null sein. Keine Stelle darf mehr als dreimal in Folge wiederholt werden. Eine Prüfsummenformel validiert die letzte Stelle. Sie wird vom Bundeszentralamt für Steuern veröffentlicht. Kein US-SSN-Muster wird sie finden.
Die französische NIR hat insgesamt 15 Stellen. Jede trägt Bedeutung. Stelle 1 kodiert das Geschlecht. Stellen 2–3 kodieren das Geburtsjahr. Stellen 4–5 kodieren den Geburtsmonat. Stellen 6–7 kodieren das Geburts-Département. Stellen 14–15 bilden einen Prüfschlüssel. Kein US-Format-Muster wird eine NIR finden.
Der schwedische Personnummer folgt dem Format TTMMJJ-XXXX. Der norwegische Fødselsnummer hat 11 Stellen mit einer zweistufigen Prüfsumme. Diese Formate sind keine kleinen US-Variationen. Sie sind durch nationales Recht festgelegt. Es gibt kein US-Äquivalent.
Die Compliance-Lücke in der Praxis
Eine pan-europäische HR-Plattform, die ein US-Tool für 18 EU-Länder nutzt, wird die meisten nationalen IDs verpassen. Jede Datei mit einer Steuer-ID, NIR, Personnummer oder Fødselsnummer wird mit freiliegender ID verarbeitet.
Diese Lücke ist systematisch. Es ist kein Konfigurationsproblem. Das Tool wurde schlicht nicht gebaut, um diese Formate zu sehen.
Vollständige EU-Abdeckung
Für die DSGVO-Compliance sind Identifikatoren aus mehreren Regionen erforderlich.
DACH: Deutsche Steuer-ID und Reisepass; österreichische Sozialversicherungsnummer; schweizerische AHV-Nr mit Prüfwert.
Frankreich: NIR, Carte Vitale, SIRET und SIREN.
UK: NHS-Nummer, National Insurance Number (AA-NN-NN-NN-A), UTR.
Nordics: Schwedischer Personnummer (TTMMJJ-XXXX), norwegischer Fødselsnummer, finnischer Henkilötunnus (TTMMJJ-XXXX), dänischer CPR (TTMMJJ-XXXX).
Südliches EU: Spanische DNI/NIE, italienischer Codice Fiscale (16-stellig alphanumerisch), polnischer PESEL, tschechisches Rodné číslo.
Organisationen, die von US-Tools auf EU-Abdeckung umsteigen, stellen oft fest, dass ihre bisherigen Tools nur 30–40 % der EU-Identifikatoren erkannten. Die meisten europäischen nationalen IDs blieben unerkannt.
Mehr zu den technischen DSGVO-Pflichten finden Sie in unseren DSGVO-Compliance-Ressourcen.
Was vollständige Abdeckung bedeutet
Eine verwaltete EU-Entitätsbibliothek deckt alle oben genannten Formate ab. Updates werden veröffentlicht, wenn sich nationale Formate ändern. Kein eigener Code oder Pull Request ist erforderlich.
Für IDs außerhalb der Standardbibliothek können Sie mit einem Custom-Entity-Builder Muster hinzufügen — ohne Code zu schreiben. Details zu Updates und Prüfpfaden finden Sie auf der Sicherheits- und Compliance-Seite.