Die griechische Datenschutzbehörde (HDPA) erließ 2024 insgesamt 89 Durchsetzungsentscheidungen. Das entspricht einem Anstieg von 162 % gegenüber 34 Entscheidungen im Jahr 2022. Zwei Sektoren stehen besonders im Fokus: Tourismus und Schifffahrt.
Aktualisiert für 2026
Tourismus: Saisonale Massenverarbeitung
Griechenland verzeichnete 2024 mehr als 30 Millionen ausländische Besucher. Jeder Aufenthalt erzeugt personenbezogene Aufzeichnungen. Hotels, Kassensysteme, Reiseveranstalter und Restaurants erheben sie alle. Das Kernproblem ist die Zeit. Die Aufzeichnungen entstehen massenhaft zwischen Juni und September. Sie müssen jedoch weit länger geschützt werden.
Die HDPA-Hotelprüfungen 2024 fanden drei häufige Fehlertypen.
Verstöße bei der POS-Aufbewahrung: Restaurant-Kassensysteme speicherten Karten- und Belegnachweise über die angegebenen Fristen hinaus. Die meisten Hotelbetriebe hatten keinen schriftlichen Aufbewahrungsplan. Daten lagen ohne Enddatum vor, als „Buchhaltungszwecke" gekennzeichnet.
Lücken bei Buchungsplattformen: Hotels, die globale Buchungsplattformen nutzen, hatten oft keinen Auftragsverarbeitungsvertrag. Viele hatten auch keine Übertragungsfolgeabschätzungen für Transfers an Nicht-EU-Systeme durchgeführt.
Fehler beim saisonalen Zugriff: Saisonarbeitnehmer erhielten Zugang zu Gästemanagement-Systemen. Überprüfungen dieser Mitarbeiter waren selten. Zugangsdaten blieben oft noch Monate nach ihrem Ausscheiden aktiv.
Der Tourismus macht den größten Sektoranteil der HDPA-Fälle aus. Erfahren Sie, wie die Erkennung nationaler EU-Kennzeichen europaweit funktioniert.
Maritime Compliance: Besatzungsdaten in großem Maßstab
Nach Schiffstonnage führt das Land die Welt im Schiffsbesitz an. Die hellenische Flotte beschäftigt mehr als 90.000 Seeleute. Athener Unternehmen verwalten Besatzungsaufzeichnungen für Flotten mit Mitarbeitern aus vielen Ländern.
Besatzungsaufzeichnungen werfen vier DSGVO-Probleme auf.
Flaggenstaatrecht: Das Flaggenstaatrecht gilt auf dem Schiff, egal wo es fährt. Die DSGVO regelt die Verarbeitung von Besatzungsaufzeichnungen an Bord, nicht nur im Büro an Land.
Multinationale Besatzungen: Viele Besatzungen haben keine einheimischen Staatsangehörigen. Mitarbeiter aus den Philippinen, der Ukraine, Indien und Indonesien sind häufig vertreten. Ihre Pässe, STCW-Zertifikate und Gesundheitsunterlagen fließen durch Athener verwaltete Systeme.
Gesundheitsunterlagen: Seefahrtsjobs erfordern regelmäßige Tauglichkeitsprüfungen. Gesundheitsunterlagen sind eine besondere DSGVO-Kategorie nach Artikel 9. Sie brauchen eine klare Rechtsgrundlage, starke Sicherheit und strenge Zugriffsregeln.
Seemanns-ID-Nummern: STCW-Zertifikate und Seemannsbücher verwenden einzigartige Nummernformate nach ausstellendem Land. Diese IDs erscheinen in Besatzungssystemen und müssen für vollständigen PII-Schutz erkannt werden. Zum Confidence-Scoring über ID-Typen hinweg: Binäre PII-Erkennung und Confidence-Scoring.
Nationale Kennzeichen: AFM und AMKA
ΑΦΜ (Steuernummer): Die AFM ist eine 9-stellige Zahl. Eine Prüfziffer wird durch eine gewichtete Summenregel geprüft. Sie ist das wichtigste Handelsidentifikator des Landes. Sie erscheint in Geschäftsabschlüssen, Personalakten und Behördendiensten.
Generische NLP-Tools übersehen AFMs oft. Das 9-stellige Muster kollidiert mit Datumsangaben und Referenzcodes. Das führt zu falschen Positiven, wenn kein Prüfsummen-Schritt durchgeführt wird. Tools übersehen auch AFMs ohne Leerzeichen oder mit ungewöhnlichen Trennzeichen.
ΑΜΚΑ (Sozialversicherungsnummer): AMKA ist eine 11-stellige Zahl. Sie enthält Geburtsdatum, Geschlecht und einen Sequenzcode. Sie erscheint auf Arbeitsverträgen, Rezepten und Krankenhausformularen.
Personalausweis (Αστυνομική Ταυτότητα): Ein Buchstabe gefolgt von sechs oder sieben Ziffern, mit hellenischen Ausgaberegeln.
Reisepass: Standard-EU-Format mit lokalen Ausgaberegeln.
NER für hellenische Texte
Die lokale Schrift ist nicht lateinisch. Die meisten kommerziellen NLP-Modelle wurden auf lateinischem Text trainiert. Ein auf lateinischen Texten trainiertes Tool kann keine Namen oder Adressen in hellenischer Schrift erkennen.
Gute NER für diese Sprache braucht vier Dinge:
- spaCy el_core_news oder ein gleichwertiges hellenisches NLP-Modell
- Richtige Tokenisierung für lokale Zeichenbereiche
- Lokale Namensmuster, die sich von englischen und deutschen unterscheiden
- Adressbegriffe: „Οδός" (Straße), „Πλατεία" (Platz), „Λεωφόρος" (Allee)
Für Unternehmen im Tourismus oder in der Schifffahrt braucht die HDPA-konforme PII-Erkennung AFM- und AMKA-Prüfsummenvalidierung sowie hellenische NER in einer Pipeline.