Das Problem der drei Regulierungen
Ein in Großbritannien ansässiger globaler Marktplatz, der Verkäuferverifizierungsdokumente aus 80 Ländern verarbeitet, sieht sich drei gleichzeitig geltenden regulatorischen Rahmenbedingungen gegenüber: GDPR für in der EU ansässige Verkäufer, LGPD (Lei Geral de Proteção de Dados) für brasilianische Verkäufer und Indiens Gesetz zum Schutz digitaler personenbezogener Daten (DPDP) für indische Verkäufer. Jeder Rahmen bezeichnet unterschiedliche nationale Identifikatoren als geschützte personenbezogene Daten, die einer spezifischen Handhabung bedürfen.
Brasilianischer CPF (Cadastro de Pessoas Fisicas): Die 11-stellige individuelle Steueridentifikationsnummer im Format XXX.XXX.XXX-XX. Die letzten beiden Ziffern sind Prüfziffern, die aus einem spezifischen modularen Arithmetikalgorithmus abgeleitet werden. Der brasilianische LGPD behandelt CPF als einzigartigen Identifikator für natürliche Personen — vergleichbar mit SSN in Bezug auf Sensibilität. Ein Tool, das das CPF-Format und den Prüfziffernalgorithmus nicht kennt, kann es nicht erkennen.
Indischer Aadhaar: Die 12-stellige biometrische Identitätsnummer, die von der Unique Identification Authority of India ausgegeben wird. Im Gegensatz zu CPF und SSN werden Aadhaar-Nummern zufällig mit einer Verhoeff-Algorithmus-Prüfziffer zugewiesen. Das DPDP-Gesetz Indiens auferlegt Organisationen, die mit Aadhaar-gebundenen Daten arbeiten, Verpflichtungen. Die Erkennung erfordert Format-Erkennung (12 aufeinanderfolgende Ziffern mit Verhoeff-Prüfziffer) und kontextbewusste Unterdrückung (nicht jede 12-stellige Zahl ist ein Aadhaar).
US-SSN: Die 9-stellige Sozialversicherungsnummer mit dokumentierten Bereichsnummerneinschränkungen (erste 3 Ziffern), Gruppenstruktur (mittlere 2 Ziffern) und Seriennummernbereich (letzte 4 Ziffern). Validierungsalgorithmen sind etabliert und gut dokumentiert.
Diese drei Identifikatoren haben unterschiedliche Formate, unterschiedliche Validierungsalgorithmen und unterschiedliche regulatorische Kontexte. Ein Compliance-System, das Dokumente aus Brasilien, Indien und den USA gleichzeitig verarbeitet, kann sich nicht auf ein einzelnes Tool verlassen, das für das Format eines Landes entwickelt wurde.
Die praktische Lücke in der Multi-Regulierung
Die Lücke zwischen der SSN-Erkennung und der globalen Abdeckung ist größer, als die meisten Compliance-Teams realisieren. Organisationen, die überprüfen, ob "unser PII-Tool funktioniert", indem sie es mit US-Daten testen, entdecken nie, dass es bei nicht-US-Formaten versagt, bis ein regulatorisches Ereignis das Versagen aufdeckt.
Artikel 28 der GDPR verlangt eine schriftliche Vereinbarung zur Datenverarbeitung mit jedem Datenverarbeiter. Die DPIA für das Anonymisierungstool muss klären, ob das Tool alle Identifikatorformate abdeckt, die in den verarbeiteten Daten vorhanden sind. Eine DPIA, die "SSN-Erkennung" als primäre PII-Kontrolle für einen Datensatz mit brasilianischen Verkäufern mit CPF-Nummern auflistet, enthält eine dokumentierte Compliance-Lücke — eine, die in einem regulatorischen Audit identifiziert werden kann.
Die Kombination aus der maximalen Geldbuße von 4 % des globalen Jahresumsatzes der GDPR, den entsprechenden Bestimmungen der LGPD und der aufkommenden Durchsetzung des DPDP schafft eine sich kumulierende regulatorische Risikolage für globale Organisationen, die sich auf PII-Erkennungstools aus einem einzelnen Land verlassen.
Quellen: