Die griechische Datenschutzbehörde (HDPA) gab 2024 89 Durchsetzungsentscheidungen bekannt, was einem Anstieg von 162% im Vergleich zu 34 Entscheidungen im Jahr 2022 entspricht. Die scharfe Beschleunigung der Durchsetzung spiegelt sowohl die wachsende Kapazität der HDPA als auch sektorenspezifische Compliance-Fehler im Tourismus wider — der 38% der HDPA-Fälle ausmacht — sowie im maritimen Betrieb.
AFM: Griechenlands primärer Handelsidentifier
Die ΑΦΜ (Αριθμός Φορολογικού Μητρώου, Steuerregistrierungsnummer) ist eine 9-stellige Nummer, die allen griechischen Bürgern, Bewohnern und Unternehmen zur Steuerverwaltung zugewiesen wird. Die Prüfziffer verwendet einen gewichteten Summenalgorithmus: multipliziere die Ziffern 1-8 mit Gewichten (256,128,64,32,16,8,4,2), summiere, nimm modulo 11. Wenn das Ergebnis = 10, ist die Nummer ungültig. Andernfalls ist die Prüfziffer = Ergebnis modulo 10.
AFM erscheint in allen griechischen Handelsdokumenten — Rechnungen, Verträgen, Arbeitsverträgen und Regierungsformularen. Es ist der primäre Handelsidentifier für sowohl Einzelpersonen als auch Unternehmen in Griechenland.
Erkennungsgenauigkeit: Generische NLP-Tools erkennen AFM mit einer Genauigkeit von 52% (HDPA-Analyse 2024). Die Fehlerquellen:
- Das 9-stellige Format der AFM stimmt mit vielen Referenznummern und Datumsbestandteilen in griechischen Dokumenten überein
- Die gewichtete modulo-11/modulo-10-Prüfziffer wird in generischen Tools nicht häufig implementiert
- Griechische Dokumente präsentieren AFM häufig ohne explizites Label im Kontext (eingebettet in Adressblöcke, nicht gekennzeichnet als "ΑΦΜ:")
AMKA: Griechenlands Sozialversicherungsidentifier
Die ΑΜΚΑ (Αριθμός Μητρώου Κοινωνικής Ασφάλισης, Sozialversicherungsregistrierungsnummer) ist eine 11-stellige Nummer, die Geburtsdatum und Geschlecht kodiert:
- Ziffern 1-6: Geburtsdatum im DDMMYY-Format
- Ziffer 7: Geschlecht (ungerade = männlich, gerade = weiblich)
- Ziffern 8-11: fortlaufende Nummer mit Prüfziffer
Die Kodierung von Geburtsdatum + Geschlecht macht AMKA strukturell ähnlich wie Schwedens personnummer — und schafft dasselbe GDPR-spezifische Kategoriebedenken: die Nummer offenbart das biologische Geschlecht als Teil des Aufzeichnungsprozesses.
AMKA erscheint in allen griechischen Gesundheitsdokumenten, Sozialversicherungsanmeldungen und Arbeitgeberunterlagen. Jeder griechische Bürger und rechtmäßige Bewohner hat eine AMKA, was sie dem Äquivalent einer Sozialversicherungsnummer für den Zugang zu Gesundheits- und Sozialleistungen macht.
Griechisches Alphabet: Die NLP-Infrastruktur-Herausforderung
Griechischer Text verwendet das griechische Alphabet — ein völlig anderes Schriftsystem als lateinische Schriftsprachen. Dies schafft eine grundlegende Infrastrukturherausforderung für die PII-Erkennung:
Unicode-Bereiche: Griechische Zeichen belegen den Unicode-Bereich U+0370 bis U+03FF (Griechisch und Koptisch Block) und U+1F00 bis U+1FFF (Griechisch erweitert für polytonische Formen). Tools, die nur ASCII oder lateinische erweiterte Zeichen verarbeiten, können griechischen Text überhaupt nicht verarbeiten.
Griechische NER-Modelle: spaCys el_core_news-Modell bietet griechische NER-Fähigkeiten — erfordert jedoch eine explizite Konfiguration der griechischen Sprache. Organisationen, die Standardsprachkonfigurationen (typischerweise Englisch) verwenden, erhalten keine Ausgabe für Dokumente in griechischer Schrift.
Gemischte Schrift-Dokumente: Griechische Geschäfts- und Regierungsdokumente mischen häufig griechische Schrift (Hauptinhalt) mit lateinischer Schrift (Markennamen, technische Begriffe, englische Anmerkungen). NLP-Pipelines müssen beide Schriften im selben Dokument verarbeiten.
Namenskennung im Griechischen: Griechische Namen erscheinen im Nominativ (Γεώργιος Παπαδόπουλος), aber auch in genitiven/akkusativen Formen in griechischen Sätzen (Γεωργίου Παπαδόπουλου im Genitiv). Fallbewusste NER-Erkennung erfordert eine griechische morphologische Analyse.
Tourismussektor: Compliance bei saisonalen Datenverarbeitungen
Der Tourismus macht 38% der HDPA-Durchsetzungsfälle aus. Die Compliance-Herausforderung ist Maßstab und Saisonalität:
Hotel-PMS-Systeme: Property-Management-Systeme verarbeiten vollständige Gästeinformationen — Reisepassnummern, Nationalität, Geburtsdaten, Kontaktdaten — für alle Gäste. Die HDPA-Durchsetzung stellte fest, dass viele Hotel-PMS-Systeme Gästedaten über 5 Jahre ohne dokumentierten Zweck und ohne Sicherheitsmaßnahmen, die dem Datenvolumen angemessen sind, aufbewahrten.
IBAN- und Zahlungsdaten: Griechische Tourismusunternehmen verarbeiten Zahlungsdaten von EU- und internationalen Gästen. Gästefolios (Hotelrechnungen) enthalten teilweise Kartennummern; Reservierungssysteme enthalten vollständige Zahlungsdetails mit Ablaufdaten. Die PCI DSS-Compliance überschneidet sich mit den GDPR-Anforderungen für Zahlungsdaten.
Mitarbeiterdatenumsatz: Saisonale Arbeiter im Gastgewerbe schließen typischerweise Verträge von 4-6 Monaten ab. Die HDPA-Durchsetzung stellte wiederholte Fehler fest, den Systemzugang für ausgeschiedene saisonale Mitarbeiter zu widerrufen — ein Muster, das in jeder Branche mit hoher Mitarbeiterfluktuation häufig vorkommt.
Für die HDPA-Compliance in griechischsprachigen Kontexten: AFM- und AMKA-Erkennung mit Prüfziffervalidierung, Unterstützung für griechisches Alphabet NER (spaCy el_core_news) und Erkennung von griechischen Pässen/nationalen Ausweisen sind die technischen Anforderungen. Für die Compliance im Tourismussektor speziell sind die Dokumentation der Datenaufbewahrung von Hotel-PMS und die Verfahren zum Widerruf des Zugangs für saisonale Mitarbeiter die zusätzlichen organisatorischen Anforderungen, die die HDPA-Durchsetzung klarstellt.
Quellen: