anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

Globale Datenschutz-Compliance aus einem Tool...

EU-Mitarbeiter unter GDPR, US-Mitarbeiter, die CCPA-Daten verarbeiten, APAC-Mitarbeiter unter PDPA. Drei Jurisdiktionen, ein verteiltes Team.

June 5, 20268 min Lesezeit
global privacyGDPR CCPA PDPAmulti-jurisdictionremote work complianceinternational data

DSGVO, CCPA und PDPA in einem Tool.

Aktualisiert für 2026.

Ihre EU-Mitarbeiter fallen unter die DSGVO. Ihre Mitarbeiter in Kalifornien verarbeiten CCPA-Daten. Ihre Mitarbeiter in Singapur arbeiten unter der PDPA. Drei Rechtsrahmen. Eine gemeinsame Datenbank.

Das ist die globale Datenschutz-Herausforderung für dezentrale Teams. Die Kundendaten, auf die sie zugreifen, sind dieselben. Die Regeln, die diese Daten regeln, sind es nicht.

Die Mehrländer-Lücke

Eine Support-Gruppe in Deutschland, Kalifornien und Singapur kann dasselbe Kundenkonto öffnen. Name, E-Mail und Kontodetails in diesem Datensatz unterliegen in jedem Land anderen Regeln.

Nach der DSGVO muss es für jede Nutzung eine Rechtsgrundlage geben. Nach dem CCPA kann der Kunde Löschung verlangen und dem Verkauf widersprechen. Nach der PDPA gelten Einwilligungs- und Übermittlungsregeln.

Das Teilen einer Kundendatei mit einem KI-Assistenten kann Pflichten nach allen drei Gesetzen auslösen. Eine Handlung. Drei Rechtsrahmen.

Regionale Software kann das nicht lösen. Sie macht das Problem schlimmer.

Warum eine Plattform pro Region scheitert

Der Instinkt ist, die Software dem Standort anzupassen. US-Mitarbeiter bekommen eine US-Lösung. EU-Mitarbeiter bekommen eine EU-Lösung. APAC-Mitarbeiter bekommen eine APAC-Lösung.

Das scheitert in der Praxis.

Die Daten folgen der Plattform nicht. Ein Mitarbeiter in Kalifornien, der die Beschwerde eines deutschen Kunden bearbeitet, ist weiterhin an die DSGVO gebunden. Das Recht des EU-Kunden auf Löschung gilt. Die US-Lösung enthält möglicherweise keine deutschen Ausweis-Formate oder IBAN-Nummern. Das ist eine Lücke.

Das Setup zerfällt in drei Systeme. Drei Plattformen bedeuten drei Prüfpfade. Drei Abdeckungs-Setups. Drei Sätze von Entitätstypen, die möglicherweise nicht übereinstimmen. Ein einheitlicher Bericht wird zur manuellen Zusammenführungsaufgabe.

Grenzüberschreitende Übermittlungen sind unklar. Ein US-Analyst erhält möglicherweise einen Export mit EU-Kundendaten. Nach der DSGVO folgt das Gesetz der betroffenen Person — nicht dem Standort des Analysten. Eine rein US-basierte Lösung behebt das nicht.

Siehe den Leitfaden zur rechtlichen Compliance für die Stapelwirkung grenzüberschreitender Pflichten.

Entitätsabdeckung nach Region

PII-Identifikatoren unterscheiden sich je nach Land. Eine Plattform für einen Markt übersieht Identifikatoren aus anderen Märkten.

EU-Entitäten (DSGVO):

  • Deutscher Personalausweis und Steuernummer.
  • Französische Numéro de Sécurité Sociale.
  • Spanische DNI und NIE.
  • IBAN und BIC für EU-Bankdaten.

US-Entitäten (CCPA / HIPAA):

  • Sozialversicherungsnummer (SSN) und EIN.
  • Führerschein-Formate der Bundesstaaten.
  • Medicare- und Medicaid-Nummern.
  • HIPAA's 18 geschützte Gesundheitsdaten-Identifikatoren.

APAC-Entitäten (PDPA, PIPL, PDPB):

  • Singapur NRIC und FIN.
  • Thailändische Personalausweis-Nummer (13-stellig).
  • Chinesischer Personalausweis (18-stellig) und Mobilnummern.
  • Indische Aadhaar- und PAN-Karte.

Eine US-orientierte Lösung erkennt SSNs zuverlässig. Sie übersieht einen deutschen Personalausweis. Eine EU-Lösung erkennt IBAN und nationale IDs. Sie erfasst möglicherweise keine Aadhaar-Nummer.

Volle Abdeckung bedeutet Entitätstypen für jeden relevanten Markt. Nicht nur für die Heimatregion der Software.

Durchsuchen Sie die vollständige Entitätsbibliothek unter /entities.

Preset-Konfiguration pro Region

Die praktische Antwort: eine Erkennungs-Engine mit Presets pro Region.

DSGVO-Standard-Preset (EU-Mitarbeiter): Alle 18 DSGVO-Datenkategorien. EU-Ausweis-Formate. EU-Bankdaten. Schwellenwerte für den weiten DSGVO-Anwendungsbereich.

CCPA / HIPAA-Preset (US-Mitarbeiter): SSN, EIN, Medicare- und Medicaid-Nummern. Ausweis- und Führerschein-Formate der Bundesstaaten. US-Finanzkontonummern. HIPAA's 18 PHI-Typen für Mitarbeiter mit Gesundheitsdaten.

APAC-Datenschutz-Preset (APAC-Mitarbeiter): Singapur NRIC und FIN. Thailändischer Personalausweis. Chinesischer Ausweis und Mobilnummern. Indische Aadhaar- und PAN-Karte. Länder-Flags bei Bedarf.

Jedes Preset wird einmal zentral eingestellt. Es steht allen Personen zur Verfügung. Wenden Sie es für die Region des Mitarbeiters oder die Region der betroffenen Person an. Nutzen Sie die strengere Variante. Die Engine wendet die strengere Regel an.

Lesen Sie über Presets in den FAQ.

Fallstudie: 50-Personen-SaaS-Unternehmen

Ein remote-first SaaS-Unternehmen führte sein jährliches Datenschutz-Audit durch. Mitarbeiter waren in Deutschland (18), Kalifornien (22) und Singapur (10).

Vor dem Wechsel:

Die Deutschland-Gruppe nutzte eine EU-Maskierungsplattform. Die Kalifornien-Gruppe nutzte eine US-Lösung mit begrenzter EU-Entitätsabdeckung. Die Singapur-Gruppe hatte keine Maskierungs-Software. Das Audit fand uneinheitliche Standards in allen drei Regionen. Der Befund für Singapur war eine offene Lücke.

Nach dem Wechsel zu einer Plattform:

  • DSGVO-Preset für Deutschland, mit EU-Entitätstypen und 48-Sprachen-Unterstützung.
  • CCPA-Preset für Kalifornien, mit US-Entitätstypen und CCPA-Kategorien.
  • PDPA-Preset für Singapur, mit APAC-Identifikatoren.
  • Ein zentraler Prüfpfad für alle 50 Mitarbeiter.
  • EU-Datenspeicherung für alle verarbeiteten Datensätze.

Dieses Setup erfüllt DSGVO Artikel 46 für grenzüberschreitende Übermittlungen innerhalb des Dienstes.

Audit-Ergebnis 2025: Keine Befunde zu Maskierungs-Abweichungen. Die offene Singapur-Lücke wurde geschlossen.

Sehen Sie, wie Unternehmen technische Maßnahmen dokumentieren, unter /security-compliance.

Fazit

Globaler Datenschutz ist nicht drei separate Probleme. Es ist eines: einheitliche technische Kontrollen in jeder Region.

Gleiche Erkennungs-Engine. Gleicher Prüfpfad. Unterschiedliche Presets für unterschiedliche Gesetze. Ein Dienst deckt alle drei ab.

Erfahren Sie, wie anonym.legal globale Teams unterstützt, unter /pricing.

Quellen

  • DSGVO Artikel 3: Räumlicher Anwendungsbereich. gdpr-info.eu/art-3-gdpr/
  • California Consumer Privacy Act (CCPA/CPRA). oag.ca.gov/privacy/ccpa
  • Thailändisches Datenschutzgesetz (PDPA). pdpa.go.th
  • DSGVO Artikel 46: Grenzüberschreitende Übermittlungen. gdpr-info.eu/art-46-gdpr/

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.