Was ist Quasi-PII?
Die DSGVO Art. 4 erfasst alle Daten, die eine Person identifizieren können. Die Daten müssen jemanden nicht direkt benennen. Es reicht, wenn eine Identifizierung durch zusätzliche Schritte möglich wird.
Interne Mitarbeiter-IDs sind ein klares Beispiel. Nehmen Sie den Wert „EMP-EU-123456." Diese Zeichenfolge nennt niemanden. Aber das HR-System enthält eine einfache Lookup-Tabelle. EMP-EU-123456 zeigt auf Maria Schmidt, Senior Engineer, München. Wer Zugriff auf diese Tabelle hat, kann sie finden. Nach DSGVO ist die ID personenbezogenes Datum.
Dieselbe Regel gilt für andere interne Codes:
- Kundennummern, die auf CRM-Einträge verweisen
- Projektcodes, die im Vertragssystem auf Kundennamen zeigen
- Aktenzeichen in Rechtsdokumenten
- Patientennummern, die auf Patientenakten verweisen
Namen und E-Mail-Adressen zu entfernen reicht nicht. Bleiben interne IDs in einer Datei, ist eine Re-Identifizierung nur zwei Schritte entfernt.
Warum diese Lücke zu Bußgeldern führt
34 % aller DSGVO-Bußgelder betreffen unzureichende technische Maßnahmen nach Art. 32. Das zeigt der DLA Piper DSGVO-Bericht 2025. Das Versäumnis, quasi-identifizierende interne Kennzeichen zu erkennen, fällt in diese Kategorie.
Der EDPB bearbeitete 2024 über 900 Konsistenz-Mechanismus-Fälle. Grenzüberschreitende Durchsetzung bedeutet: Eine Lücke in einem geteilten Datensatz kann koordinierte Maßnahmen in mehreren EU-Mitgliedstaaten auslösen.
Standard-PII-Tools erkennen universelle Muster: Namen, E-Mails, Telefonnummern, nationale IDs. Ihr internes ID-Format kennen sie nicht. Kein Tool kennt es, bis Sie es konfigurieren. Das ist die Lücke.
So funktioniert der No-Code-Pattern-Builder
Ein globales Logistikunternehmen muss Mitarbeiterdaten für ein externes Audit anonymisieren. Die Mitarbeiter-IDs folgen diesem Format: EMP-[REGION]-[6 Ziffern]. Drei Beispiele: EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678.
Das Compliance-Team gibt drei Beispiele in den KI-Pattern-Helper ein. Die KI liefert:
- Muster:
EMP-[A-Z]{2,4}-\d{6} - Trifft alle drei Beispiele
- Vorgeschlagener Entitätsname: EMPLOYEE-ID
- Empfohlener nächster Schritt: mit weiteren Regionscodes testen
Das Team testet zehn weitere Proben. Das Muster funktioniert bei allen.
Es wird als benutzerdefinierte Entität im gemeinsamen DSGVO-Preset gespeichert. Alle 47 Dokumente im Auditpaket werden in einem Batch verarbeitet. Jede Mitarbeiter-ID wird durch eine rollenbasierte Bezeichnung ersetzt. Das Prüfungsunternehmen erhält Dateien, die sich nicht mehr einzelnen Personen zuordnen lassen.
Kein Engineering-Aufwand nötig. Das gesamte Setup dauert weniger als eine Stunde.
Was danach passiert
Die benutzerdefinierte Entität wird im gemeinsamen Preset gespeichert. Alle Teammitglieder nutzen dieselbe Konfiguration. Neue Mitarbeitende erhalten sie ab Tag eins. Batch-Jobs, API-Aufrufe und manuelle Uploads wenden dasselbe Muster an.
Das Audit-Log zeigt, welches Preset für jede Datei verwendet wurde. Fragt eine Datenschutzbehörde nach Nachweisen, können Sie sie liefern.
Für den vollständigen Workflow zur Einrichtung benutzerdefinierter Entitäten siehe Benutzerdefinierte PII-Identifikatoren für organisatorische Anonymisierung. Für konsistente Teamkonfigurationen siehe Anonymisierungs-Presets für DSGVO-Audits.