anonym.legal
Zurück zum BlogDSGVO & Compliance

UODO und polnisches RODO: Warum PESEL, NIP und REGON die Identifikatoren sind, die Ihr PII-Tool verpasst

UODO stellte fest, dass 89 % der eingesetzten Tools die polnische PESEL-Nummer nicht korrekt erkennen. Polen verarbeitet täglich 2,3 Millionen EU-Kundenakten. PESEL-Prüfziffervalidierung, NIP und REGON — die technischen Anforderungen für die polnische Compliance.

March 7, 20267 min Lesezeit
Poland UODOPESEL validationPolish RODO complianceNIP REGON detectionBPO GDPR

Polens Urząd Ochrony Danych Osobowych (UODO) — die Datenschutzbehörde, die RODO (der polnische Name für GDPR) durchsetzt — identifizierte in seiner Durchsetzungsumfrage 2024 eine systematische technische Lücke: 89 % der in polnischen Organisationen eingesetzten PII-Tools erkennen die PESEL-Nummer nicht korrekt. Für ein Land, das täglich 2,3 Millionen EU-Kundenakten über seinen BPO-Sektor verarbeitet, schafft diese Lücke Compliance-Risiken, die sich über die Zuständigkeit von UODO und die Datenschutzbehörden (DPAs) jedes EU-Landes erstrecken, dessen Bürgerdaten polnische Organisationen verarbeiten.

PESEL: Der technische Standard, den UODO verlangt

Die PESEL (Powszechny Elektroniczny System Ewidencji Ludności) ist eine 11-stellige nationale Bevölkerungsregisternummer, die kodiert:

  • Ziffern 1-2: Geburtsjahr (letzte zwei Ziffern)
  • Ziffern 3-4: Geburtsmonat (modifiziert nach Jahrhundert: 1800er = 80+Monat, 1900er = Monat wie er ist, 2000er = 20+Monat, 2100er = 40+Monat, 2200er = 60+Monat)
  • Ziffern 5-6: Geburtsdatum
  • Ziffern 7-10: Fortlaufende Nummer (ungerade Zahl für Männer, gerade für Frauen)
  • Ziffer 11: Prüfziffer unter Verwendung des Algorithmus: multipliziere Ziffern mit Gewichten (1,3,7,9,1,3,7,9,1,3), summiere, modulo 10, wenn das Ergebnis ≠ 0, ziehe von 10 ab

Die Jahrhundert-Monatskodierung (80+Monat für Geburten in den 1800er Jahren, 20+Monat für Geburten in den 2000er Jahren) ist einzigartig für PESEL und verursacht systematische Fehlalarme in Tools, die nur das Standardformat der 1900er Jahre erkennen.

UODOs technische Anforderung: Tools müssen den vollständigen Prüfziffernalgorithmus und alle fünf Jahrhundert-Monatskodierungen implementieren. Tools, die nur das Geburtsjahrformat der 1900er Jahre validieren, übersehen in den 2000er Jahren geborene Polen (die Monatscodes 21-32 anstelle von 01-12 verwenden) — die 25-jährige Demografie, die am aktivsten in digitalen Dienstleistungen ist.

NIP und REGON: Die Lücke bei Geschäftsdokumenten

NIP (Numer Identyfikacji Podatkowej): 10-stellige polnische Steueridentifikationsnummer mit Prüfziffer. Die Prüfziffer verwendet einen Algorithmus zur gewichteten Summe: multipliziere die ersten 9 Ziffern mit Gewichten (6,5,7,2,3,4,5,6,7), summiere, modulo 11, prüfe gegen Ziffer 10.

NIP erscheint in nahezu jedem polnischen Geschäftsdokument — Rechnungen, Verträge, Steuererklärungen, Lohnunterlagen. Es ist sowohl ein individueller (NIP osoby fizycznej) als auch ein geschäftlicher (NIP podmiotu) Identifikator.

REGON: 9-stellige oder 14-stellige Unternehmensstatistiknummer. Die 9-stellige REGON verwendet einen Prüfziffernalgorithmus; die 14-stellige REGON (die spezifische Unternehmensbereiche identifiziert) verwendet einen anderen Algorithmus. Beide erscheinen in Geschäftsanträgen und Lieferantendokumentationen.

Die Kombination von NIP und REGON in Geschäftsdokumenten, zusammen mit persönlichen Identifikatoren wie PESEL in HR-Daten, bedeutet, dass eine umfassende polnische PII-Erkennung die Unterstützung aller drei Identifikatortypen gleichzeitig erfordert.

Polens BPO-Sektor: Die multiplizierte Compliance-Exposition

Der BPO-Sektor Polens verarbeitet personenbezogene Daten im Auftrag von westeuropäischen Unternehmen:

  • Finanzunterlagen deutscher Bankkunden, die von polnischen Verarbeitungszentren bearbeitet werden
  • Ansprüche französischer Versicherungsnehmer, die in polnischen Shared Service Centern bearbeitet werden
  • Verwaltungsdaten des britischen Gesundheitswesens, die von polnischen digitalen Gesundheits-Backoffice-Teams bearbeitet werden

Wenn eine polnische BPO-Organisation die PESEL in einer Datei mit polnischen Mitarbeiterdaten nicht erkennt — oder die deutschen Steuer-IDs in deutschen Kundendaten, die zusammen mit polnischen Daten verarbeitet werden, nicht erkennt — führt der Verstoß zu gleichzeitiger Exposition gegenüber:

  1. UODO (Polnische DPA): Für unzureichende technische Maßnahmen, die die Daten polnischer Staatsangehöriger betreffen
  2. BfDI/Landesdatenschutzbehörden: Für unzureichende technische Maßnahmen, die die Daten deutscher Staatsangehöriger betreffen
  3. CNIL: Für die Daten französischer Staatsangehöriger
  4. ICO: Für die Daten britischer Staatsangehöriger

Die Multi-Jurisdiktion RODO-Compliance erfordert PII-Tools, die alle nationalen Identifikatoren abdecken, die in der Verarbeitungsumgebung vorhanden sind — nicht nur polnische Identifikatoren für polnische BPO-Organisationen, sondern die gesamte EU-Identifikatorenlandschaft für Organisationen, die EU-Bürgerdaten in Polen verarbeiten.

Quellen:

Verwandte Artikel

DSGVO & Compliance

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

DSGVO & Compliance

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen