anonym.legal
Zurück zum BlogDSGVO & Compliance

HDPA Griechenland: Tourismus, Schifffahrt und GDPR — Warum die griechische DPA saisonale Datenverarbeitung ins Visier nimmt

Die HDPA Griechenlands gab 2024 89 Durchsetzungsentscheidungen bekannt — ein Anstieg von 34 im Jahr 2022. Der Tourismus macht 38 % der Fälle aus. AFM- und AMKA-Identifikatoren erfordern griechenspezifische Validierung. Einhaltung der Vorschriften für Daten von Schiffsbesatzungen.

March 7, 20269 min Lesezeit
Greece HDPAAFM AMKA detectiontourism GDPRmaritime data protectionGreek identifiers

Die griechische Datenschutzbehörde (HDPA) gab 2024 89 Durchsetzungsentscheidungen bekannt — ein Anstieg um 162 % von 34 Entscheidungen im Jahr 2022. Der steile Anstieg spiegelt die wachsende digitale Wirtschaft Griechenlands, die zunehmende technische Kapazität der HDPA und zwei Sektoren mit einzigartigen Compliance-Herausforderungen wider: Tourismus und Schifffahrt.

Tourismus: Saisonale Massendatenverarbeitung

Der Tourismussektor Griechenlands verarbeitete 2024 über 30 Millionen internationale Besucher — jeder generierte persönliche Daten durch Hotel-Check-in, Zahlungsabwicklung, Buchungen von Touren und Restaurant-POS-Systeme. Die Compliance-Herausforderung ist zeitlich: Tourismusdaten werden in großen Mengen während der Hochsaison (Juni-September) erstellt und müssen über einen viel längeren Aufbewahrungszeitraum geschützt werden.

Der Schwerpunkt der Durchsetzung der HDPA 2024 auf den Datensystemen von Hotelgästen ergab systematische Verstöße:

Datenaufbewahrung von POS-Systemen: Restaurant- und Einzelhandels-POS-Systeme behielten Zahlungsdaten und Transaktionshistorien weit über die angegebenen Aufbewahrungsfristen hinaus. Die HDPA stellte fest, dass viele griechische Gastgewerbebetriebe keinen dokumentierten Aufbewahrungsplan hatten — Daten wurden unbegrenzt "zu Buchhaltungszwecken" aufbewahrt.

Integration von Buchungsplattformen: Hotels, die internationale Buchungsplattformen nutzen (die Gästedaten an ausländische Reservierungssysteme übermitteln), hatten häufig keine angemessenen Datenverarbeitungsvereinbarungen mit Plattformanbietern oder hatten keine Transferauswirkungsbewertungen für Transfers zu Nicht-EU-Plattformen durchgeführt.

Zugriff des Personals auf Gästedaten: Saisonale Arbeiter, die für die Hochsaison eingestellt wurden, erhielten Zugang zu den PMS-Systemen der Gäste ohne Hintergrundüberprüfung, angemessene Zugangskontrollen oder formelle Beendigung des Zugriffs am Saisonende. Die HDPA fand mehrere Fälle, in denen Zugangsdaten Monate nach dem Ende der saisonalen Beschäftigung aktiv blieben.

Der Tourismussektor macht 38 % der Durchsetzungsfälle der HDPA aus — die höchste Sektorenzusammensetzung in der griechischen GDPR-Durchsetzung.

Maritime Compliance: Über 90.000 Schiffsangestellte

Griechenland ist die größte Schifffahrtsnation der Welt nach registrierter Schiffs-Tonnage. Griechisch-flagge Schiffe beschäftigen über 90.000 Seeleute, und in Athen ansässige Reedereien verwalten die Besatzungsdaten für multinationale Flotten.

Die Daten von Schiffsbesatzungen stellen einzigartige Herausforderungen für die GDPR-Compliance dar:

Grenzüberschreitende Verarbeitung: Griechisch-flagge Schiffe, die international tätig sind, verarbeiten Besatzungsdaten über mehrere Jurisdiktionen hinweg. Das Recht des Flaggenstaates des Schiffes (griechisches Recht, das die GDPR anwendet) gilt für die Verarbeitung persönlicher Daten an Bord des Schiffes, unabhängig davon, wo sich das Schiff befindet.

Multinationale Besatzungen: Moderne Schiffsbesatzungen sind oft vollständig nicht griechisch, mit Besatzungsmitgliedern aus den Philippinen, der Ukraine, Indien und Indonesien. Ihre persönlichen Daten — Pässe, Seefahrerscheine (STCW), medizinische Fitnesszertifikate — werden in griechisch verwalteten Besatzungsmanagementsystemen verarbeitet.

Medizinische Daten: Maritime Beschäftigung erfordert regelmäßige medizinische Fitnesszertifikate. Gesundheitsakten der Besatzung sind besondere Kategorien von Daten gemäß Artikel 9 der GDPR, die ausdrückliche Zustimmung oder eine spezifische rechtliche Grundlage, erhöhte technische Sicherheit und eingeschränkten Zugang erfordern.

Seefahrerscheinnummern: STCW (Standards of Training, Certification and Watchkeeping) Zertifikate und Seemannsbücher haben einzigartige Nummernformate je nach ausstellendem Land. Diese Identifikatoren erscheinen in den Besatzungsmanagementsystemen und erfordern eine Erkennung für einen angemessenen PII-Schutz.

Griechische nationale Identifikatoren: AFM und AMKA

ΑΦΜ (Αριθμός Φορολογικού Μητρώου): Die 9-stellige Steuerregistrierungsnummer, mit einer Prüfziffer, die mit einem gewichteten Summenalgorithmus validiert wird. Die AFM ist der primäre kommerzielle Identifikator Griechenlands — erscheint in allen Geschäftstransaktionen, Beschäftigungsunterlagen und Regierungsdiensten.

Die technische Bewertung der HDPA 2024 ergab, dass die AFM nur mit 52 % Genauigkeit von generischen NLP-Tools erkannt wurde. Der Hauptfehler: Das 9-stellige Format der AFM stimmt mit Datumsstrings und Referenznummern überein, was hohe falsch-positive Ergebnisse ohne Prüfziffervalidierung erzeugt; und Tools erkennen AFM-Nummern, die ohne Leerzeichen oder mit atypischen Trennzeichen in griechischen Dokumenten formatiert sind, nicht.

ΑΜΚΑ (Αριθμός Μητρώου Κοινωνικής Ασφάλισης): Die 11-stellige Sozialversicherungsnummer. Die Kodierung umfasst Geburtsdatum, Geschlecht und eine sequenzielle Komponente. AMKA erscheint in allen griechischen Gesundheits- und Sozialversicherungsdokumenten — Arbeitsverträge, Rezeptunterlagen und Krankenhausaufnahmeformulare.

Griechischer Personalausweis (Αστυνομική Ταυτότητα): Format aus einem Buchstaben, gefolgt von 6-7 Ziffern, mit einzigartigen Ausgabekonventionen.

Griechischer Reisepass: Standard-EU-Reisepassformat mit griechenspezifischen Ausgabekonventionen.

Anforderungen an die griechische Sprach-NER

Das Griechische verwendet ein völlig anderes Alphabet (griechische Schrift) als die auf Latein basierenden NLP-Modelle, auf denen die meisten kommerziellen Tools trainiert sind. Dies schafft eine grundlegende Erkennungsherausforderung: Tools, die auf lateinisch geschriebenem Text trainiert sind, können keine Namensentitätserkennung in griechisch geschriebenen Dokumenten durchführen.

Die griechische Sprach-NER erfordert:

  • spaCy el_core_news Modell oder gleichwertiges griechischsprachiges NLP
  • Tokenisierung des griechischen Alphabets (andere Zeichenbereiche als Latein)
  • Griechisch-spezifische Namensmuster (griechische Namen unterscheiden sich erheblich von englischen/deutschen Mustern)
  • Erkennung des griechischen Adressformats ("Οδός," "Πλατεία," "Λεωφόρος")

Für Organisationen mit griechischen Aktivitäten — insbesondere im Tourismus und in der Schifffahrt — erfordert die PII-Erkennung, die GDPR-konform ist, die Erkennung von AFM und AMKA mit Prüfziffervalidierung sowie Unterstützung für griechische Sprach-NER.

Quellen:

Verwandte Artikel

DSGVO & Compliance

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

DSGVO & Compliance

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen