anonym.legal
Zurück zum BlogDSGVO & Compliance

GDPR-Konformität in den EU-Mitgliedstaaten...

Deutschlands Steueridentifikationsnummer, Frankreichs Numéro fiscal, Italiens Codice Fiscale, Spaniens NIF/NIE...

April 19, 20267 min Lesezeit
EU national identifiersSteueridentifikationsnummerCodice FiscaleNIFmultinational GDPRtax ID detection

GDPR-Konformität in den EU-Mitgliedstaaten: Welche nationalen Identifikatoren Ihrem PII-Tool fehlen

Steueridentifikationsnummern gehören zu den sensibelsten persönlichen Identifikatoren in jeder Gerichtsbarkeit. Sie werden für die Steuerberichterstattung, staatliche Leistungen, die Überprüfung von Beschäftigungen und die Eröffnung von Finanzkonten verwendet. In den falschen Händen ermöglichen sie Identitätsdiebstahl, Betrug und unbefugte Leistungsansprüche.

Die GDPR kategorisiert sie als reguläre personenbezogene Daten (nicht als besondere Kategorie), aber ihre Sensibilität ist hoch und ihre Exposition schafft erhebliche reale Risiken. Jeder EU-Mitgliedstaat hat sein eigenes Format für nationale Identifikatoren — und die meisten PII-Tools, die für den US- oder UK-Markt entwickelt wurden, erkennen SSNs und NINOs fließend, während sie die Steueridentifikationsnummer, Codice Fiscale und BSN, die europäische Organisationen täglich verarbeiten, vollständig übersehen.

Die europäische Steuer-ID-Landschaft

Jeder EU-Mitgliedstaat implementiert nationale Identifikationen unterschiedlich:

Deutschland: Steueridentifikationsnummer (Steuer-ID)

  • 11 Ziffern, bei der Geburt zugewiesen
  • Format: erste Ziffer nicht null, keine führenden Nullen im 10-stelligen Teil
  • Beispiel: 12345678901
  • Auch: Steuernummer (variiert je nach Bundesland: 10-11 Ziffern mit bundeslandspezifischen Formaten)

Frankreich: Numéro fiscal de référence (SPI)

  • 13 Ziffern
  • Ausgestellt von der Steuerverwaltung (DGFiP)
  • Erscheint oft als "Identifiant fiscal" auf Steuerdokumenten

Italien: Codice Fiscale

  • 16 alphanumerische Zeichen
  • Struktur: 3 Buchstaben (Nachname) + 3 Buchstaben (Vorname) + 2 Ziffern (Geburtsjahr) + 1 Buchstabe (Monat) + 2 Ziffern (Tag) + 4 alphanumerische (Gemeindecode)
  • Beispiel: RSSMRA85M01H501Z
  • Hochspezifisches Format, durch Prüfziffer verifizierbar

Spanien: NIF (Número de Identificación Fiscal)

  • Für spanische Staatsangehörige: DNI-Nummer + Prüfbuchstabe (8 Ziffern + Buchstabe), z.B. 12345678A
  • Für Ausländer: NIE (X/Y/Z + 7 Ziffern + Buchstabe), z.B. X1234567A
  • Für Unternehmen: CIF (Buchstabe + 8 Ziffern), z.B. B12345678

Niederlande: BSN (Burgerservicenummer)

  • 9 Ziffern mit Prüfziffernvalidierung (11-Proef-Algorithmus)
  • Wird für alle staatlichen Dienstleistungen verwendet und erscheint oft in Beschäftigungs- und Leistungsdokumenten

Polen: PESEL

  • 11 Ziffern, die Geburtsdatum, Geschlecht und Sequenznummer kodieren
  • Format: YYMMDDXXXXX (Geburtsdatum in den ersten 6 Ziffern kodiert)

Belgien: Numéro de registre national (RN)

  • 11 Ziffern, die Geburtsdatum, Sequenz und Prüfziffern kodieren

Portugal: NIF (Número de Identificação Fiscal)

  • 9 Ziffern mit Prüfziffer
  • Format unterscheidet sich von Spaniens NIF trotz gleicher Abkürzung

Schweden: Personnummer

  • 10 oder 12 Ziffern, die Geburtsdatum und Sequenz kodieren
  • Format: YYYYMMDD-XXXX oder YYMMDD-XXXX

Finnland: Henkilötunnus (HETU)

  • 11 Zeichen, die Datum, Trennzeichen, Sequenz und Prüfziffer kodieren
  • Format: DDMMYY-XXXC

Was Standardtools übersehen

PII-Erkennungstools, die für die US/UK-Märkte entwickelt wurden, umfassen typischerweise:

  • US SSN (XXX-XX-XXXX)
  • UK NINO (XX 99 99 99 X)
  • US-Passnummern
  • US-Führerscheinnummern
  • Hauptkreditkartennummern

Europäische nationale Identifikatoren — selbst große wie Codice Fiscale, BSN und Steuer-ID — fehlen häufig in den Standardkonfigurationen. Tools, die Presidios Standarderkennungssatz ohne EU-spezifische Erweiterungen unterstützen, werden diese vollständig übersehen.

Die betrieblichen Auswirkungen für multinationale Organisationen

Ein deutsches Lohnbuchhaltungs-Outsourcing-Unternehmen verarbeitet Dokumente für 500 Kundenunternehmen. Ihr Anonymisierungsworkflow entfernt korrekt:

  • Mitarbeiternamen ✓
  • E-Mail-Adressen ✓
  • IBAN-Nummern ✓
  • Telefonnummern ✓
  • Deutsche Steueridentifikationsnummern ✗ — nicht in ihrer Standardkonfiguration

Ein DPA-Auditbericht stellt fest, dass die Gehaltsabrechnungs-PDFs, die mit den Buchhaltungsabteilungen der Kunden geteilt werden, unredigierte Steuer-IDs enthalten. Das Unternehmen sieht sich folgenden Herausforderungen gegenüber:

  • Sanierungskosten für historische Dokumente
  • DPA-Durchsetzungsmaßnahmen (mögliche Geldstrafe gemäß Artikel 83 der GDPR)
  • Vertragliche Haftung gegenüber Kunden, deren Mitarbeiterdaten offengelegt wurden

Die Compliance-Lücke wurde nicht proaktiv entdeckt — sie wurde vom Regulierer entdeckt.

Hinzufügen von EU-nationalen Identifikatoren: Prioritätenliste

Für Organisationen, die in mehreren EU-Jurisdiktionen tätig sind, die Prioritätsreihenfolge für die benutzerdefinierte Entitätskonfiguration:

Stufe 1 (höchstes Datenverarbeitungsvolumen):

  1. Deutschland: Steueridentifikationsnummer (beschäftigungsintensive Dokumente)
  2. Frankreich: Numéro fiscal (Lohnabrechnung, Steuerdokumente)
  3. Italien: Codice Fiscale (extrem häufig, erscheint in allen offiziellen Dokumenten)
  4. Spanien: NIF/NIE (Lohnabrechnung, Verträge, Steuerdokumente)
  5. Niederlande: BSN (Beschäftigung, staatliche Leistungen)

Stufe 2 (signifikante, aber kleinere Märkte): 6. Polen: PESEL (wachsende Bedeutung mit der Größe der polnischen Arbeitskräfte) 7. Belgien: RN (Belgien beherbergt viele EU-Institutionen) 8. Schweden: Personnummer (hohes Bewusstsein für Datenschutz, strenge Durchsetzung) 9. Portugal: NIF (wachsende Technologiesektor) 10. Österreich: Sozialversicherungsnummer (Sozialversicherungskontext)

Stufe 3 (spezifische Anwendungsfälle): Verbleibende 17 EU-Mitgliedstaaten basierend darauf, wo Ihre Organisation Daten verarbeitet.

Implementierungsbeispiel: Hinzufügen der Steueridentifikationsnummer

Die deutsche Steueridentifikationsnummer (Steuer-ID) folgt einem spezifischen Format, das mit hoher Genauigkeit erkannt werden kann:

Mustermerkmale:

  • 11 Ziffern
  • Erste Ziffer: 1-9 (niemals 0)
  • Keine drei identischen aufeinanderfolgenden Ziffern
  • Prüfziffernvalidierung (benutzerdefinierter Algorithmus)

Einfache Sprachbeschreibung zur Mustererzeugung: "Deutsche Steueridentifikationsnummern: 11-stellige Nummern, bei denen die erste Ziffer zwischen 1 und 9 liegt und die verbleibenden 10 Ziffern Nullen enthalten können"

Generiertes Muster: Validierte Regex für Steueridentifikationsnummer mit geeigneter Kontextübereinstimmung (umgebender deutscher Steuerdokumentkontext verbessert die Präzision)

Validierung: Testen gegen einen Beispielsatz deutscher Gehaltsabrechnungen und Steuerbescheinigungen. Überprüfen Sie die Erkennungsrate und die Rate falscher Positiver vor der Produktionsbereitstellung.

Integration: Fügen Sie es Ihrem deutschen Dokumentenverarbeitungs-Voreinstellung hinzu. Wenn Sie gemischte Sprachdokumentensätze verarbeiten, kombinieren Sie es mit der Spracherkennung, um geeignete nationale Identifikatormuster pro Sprache anzuwenden.

Umgang mit mehreren nationalen Identifikatoren in einem einzigen Workflow

Für multinationale Lohnverarbeiter, die Dokumente aus mehreren EU-Ländern bearbeiten:

Option 1: Separate Voreinstellungen pro Land Erstellen Sie eine "Deutschland GDPR"-Voreinstellung, "Frankreich GDPR"-Voreinstellung usw. Wenden Sie die relevante Voreinstellung basierend auf dem Dokumentenursprung an.

Option 2: Kombinierte EU-Voreinstellung Erstellen Sie eine einzelne Voreinstellung mit allen aktiven nationalen Identifikatormustern der EU. Höheres Risiko für falsche Positive bei allgemeinem Text (11-stellige Zahlen, die zufällig mit einem Steuer-ID-Muster übereinstimmen, aber keine Steuer-IDs sind), aber einfacher im Betrieb. Geeignet für Dokumenttypen, bei denen nationale Identifikatoren durchgehend erwartet werden.

Für Lohnabrechnungsdokumente: Option 1 (landesspezifische Voreinstellungen) mit geeigneter Weiterleitung Für gemischte Dokumentensätze: Option 2 mit Schwellenwertanpassung

Fazit

Die GDPR gilt einheitlich in der EU, aber PII-Erkennungstools, die für den US-Markt entwickelt wurden, oft nicht. Die Codice Fiscale, BSN und Steueridentifikationsnummer sind ebenso sensibel wie SSNs — und ebenso wahrscheinlich in Dokumenten, die Organisationen teilen, exportieren und analysieren.

Die Erstellung benutzerdefinierter Entitäten schließt die Erkennungslücke für jedes nationale Identifikatorenformat in Stunden. Compliance-Teams können das Steuer-ID-Muster hinzufügen, gegen Beispieldaten deutscher Gehaltsabrechnungen testen und in alle Verarbeitungs-Workflows bereitstellen, ohne auf den Tool-Anbieter zu warten, um es in ihre Standardkonfiguration aufzunehmen.

Der DPA-Auditbericht, der die fehlende Steuer-ID-Erkennung entdeckte, hätte in einer proaktiven Compliance-Überprüfung, die einen Nachmittag dauerte, aufgefangen werden können.

Quellen:

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen