anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

UODO und polnisches RODO: Warum PESEL...

UODO stellte fest, dass 89 % der eingesetzten Tools die polnische PESEL-Nummer nicht korrekt erkennen.

June 5, 20267 min Lesezeit
Poland UODOPESEL validationPolish RODO complianceNIP REGON detectionBPO GDPR

UODO Polen: PESEL, NIP & RODO-Compliance

Aktualisiert für 2026

Was ist UODO?

UODO ist die polnische Datenschutzbehörde. Der vollständige Name lautet Urząd Ochrony Danych Osobowych. Sie setzt RODO durch — den polnischen Namen für die DSGVO.

Im Jahr 2024 führte die Behörde eine Durchsetzungserhebung durch. Das Ergebnis war deutlich. 89 % der PII-Tools, die von Organisationen in Polen eingesetzt werden, erkennen PESEL nicht korrekt.

Polen ist ein bedeutendes BPO-Zentrum. Es verarbeitet täglich 2,3 Millionen EU-Kundendatensätze. Diese Lücke schafft echtes Risiko. Sie betrifft die Zuständigkeit der Behörde. Sie betrifft auch jede EU-Datenschutzbehörde, deren Bürger von polnischen Firmen verarbeitet werden. Siehe unseren DSGVO-Leitfaden für mehr Kontext.

PESEL: Der technische Standard

PESEL steht für Powszechny Elektroniczny System Ewidencji Ludności. Es ist eine 11-stellige nationale Ausweisnummer. Sie kodiert fünf Datenfelder:

  • Stellen 1–2: Letzte zwei Ziffern des Geburtsjahres
  • Stellen 3–4: Geburtsperioden-Code (siehe unten)
  • Stellen 5–6: Geburtstag
  • Stellen 7–10: Fortlaufende Seriennummer (ungerade = männlich, gerade = weiblich)
  • Stelle 11: Prüfziffer

Die Prüfziffer verwendet eine gewichtete Summe. Multiplizieren Sie die ersten zehn Ziffern mit den Gewichten (1, 3, 7, 9, 1, 3, 7, 9, 1, 3). Addieren Sie die Produkte. Nehmen Sie Modulo 10. Ein Ergebnis von null bedeutet, die Prüfziffer ist korrekt. Ein Ergebnis ungleich null bedeutet, die Nummer ist ungültig.

Das Problem mit dem Geburtsperioden-Code

Die Stellen 3–4 kodieren sowohl die Geburtsperiode als auch das Jahrhundert. Die Behörde fordert Unterstützung für alle fünf Bereiche:

JahrhundertCode-Bereich
1800er81–92
1900er01–12
2000er21–32
2100er41–52
2200er61–72

Die meisten Tools verarbeiten nur den 1900er-Bereich. Sie übersehen alle nach 1999 Geborenen. Die Codes 21–32 ersetzen 01–12 für Geburten nach 1999. Das betrifft die digital aktivste Altersgruppe. Die vollständige Fünf-Bereiche-Prüfung ist eine zentrale Compliance-Anforderung.

NIP und REGON: Geschäftliche Identifikatoren

NIP (Numer Identyfikacji Podatkowej) ist eine 10-stellige Steuer-ID. Sie erscheint auf Rechnungen, Verträgen und Gehaltsabrechnungen. Multiplizieren Sie die ersten neun Ziffern mit den Gewichten (6, 5, 7, 2, 3, 4, 5, 6, 7). Nehmen Sie Modulo 11. Das ergibt die Prüfziffer.

NIP gibt es in zwei Formen: persönlich (NIP osoby fizycznej) und geschäftlich (NIP podmiotu).

REGON ist eine statistische Unternehmensnummer. Sie kommt in 9-stelligen und 14-stelligen Varianten vor. Jede verwendet einen eigenen Prüfzifferalgorithmus. REGON erscheint in Verträgen und Lieferantendokumenten.

Personalakten enthalten häufig PESEL zusammen mit NIP und REGON. Eine vollständige Compliance erfordert die Erkennung aller drei Typen. Siehe unsere Sicherheits- und Compliance-Seite für technische Details.

Die BPO-Mehrzuständigkeits-Exposition

BPO-Unternehmen in Polen verarbeiten Daten für westeuropäische Kunden:

  • Datensätze von Kunden deutscher Banken, verarbeitet in Warschau
  • Französische Versicherungsansprüche, verarbeitet in Krakau
  • Britische Gesundheitsdaten, verwaltet von Back-Office-Teams in Breslau

Ein Erkennungsfehler schafft gleichzeitige Exposition gegenüber vier Aufsichtsbehörden:

  1. UODO — für unzureichende Maßnahmen zum Schutz polnischer Betroffener
  2. BfDI / Landesdatenschutzbehörden — für Daten deutscher Staatsangehöriger
  3. CNIL — für Daten französischer Staatsangehöriger
  4. ICO — für Daten britischer Staatsangehöriger

Grenzüberschreitende Compliance erfordert Tools, die das gesamte EU-Identifikatoren-Set abdecken. PESEL, NIP und REGON sind die lokale Grundlage. Steuer-ID, NIR und BSN sind ebenfalls erforderlich, wenn diese Datensätze im Umfang liegen. Jede nationale ID hat ihr eigenes Format und ihre eigene Prüflogik. Tools, die eine verfehlen, erzeugen Lücken. Siehe unseren mehrsprachigen PII-Erkennungsleitfaden für EU-Entitätsabdeckung in allen Mitgliedstaaten.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.