anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

UODO Polen: Warum Polen mehr GDPR-Strafen als...

Die UODO in Polen bearbeitete 8.234 Beschwerden im Jahr 2023 und verhängte 47 Strafen.

June 5, 20269 min Lesezeit
GDPR enforcementPoland UODOPESEL detectionPolish data protectionCentral Europe compliance

UODO Polen: Mehr DSGVO-Bußgelder als Frankreich

Aktualisiert für 2026

Polen schlägt über seinem Gewicht

Polens Datenschutzbehörde ist das Urząd Ochrony Danych Osobowych (UODO). Es verhängte 2023 insgesamt 47 DSGVO-Bußgelder. Gesamtbetrag: 2,8 Millionen Euro. Im selben Jahr bearbeitete die Behörde 8.234 Beschwerden. Pro Kopf übertrifft diese Bußgeldquote Frankreich, Deutschland und die meisten westlichen Peers.

Für Firmen in Polen ist das ein reales Risiko — nicht nur Papierkram.

Warum Polen mehr durchsetzt als der Westen

Beschwerdekultur. Polen hat 38 Millionen Einwohner mit starkem Bewusstsein für digitale Rechte. Datenschutzgruppen reichen regelmäßig große Beschwerdemengen ein. Die Behörde bearbeitet jährlich tausende Fälle.

BPO-Sektor-Risiko. Polen ist eines der größten EU-Outsourcing-Zentren. Polnische Call Center verarbeiten Daten für Kunden in Deutschland, Frankreich, Großbritannien und den Niederlanden. Jeder Datenfluss birgt zwei Risiken: Maßnahmen der polnischen Aufsicht und Maßnahmen der federführenden Behörde betroffener EU-Bürger.

Gesundheitsdatenpannen. Meldungen zu Gesundheitsdaten stiegen 2024 um 45 %. Gesundheitsdaten sind besondere Kategorien nach Artikel 9 DSGVO. Das bedeutet höheres Bußgeldrisiko für Gesundheitsverarbeiter.

Fehlende Aufzeichnungen. 34 % der polnischen Firmen verfügen über kein dokumentiertes Verzeichnis von Verarbeitungstätigkeiten (VVT). Prüfer suchen danach als Erstes. Ein fehlendes VVT führt zu einer vertieften Prüfung.

Das PESEL-Problem

PESEL ist Polens 11-stellige nationale Ausweisnummer. Ziffern 1–6 kodieren das Geburtsdatum. Ziffern 7–10 sind eine Sequenznummer. Die letzte Ziffer ist eine Prüfziffer. Sie verwendet eine gewichtete Formel des polnischen Ministeriums für Digitalisierung.

Generische PII-Tools scheitern bei PESEL auf zwei Arten.

Mustererkennung. Die meisten Tools kennen US- oder UK-Ausweisformate. Eine US-Sozialversicherungsnummer hat 9 Stellen. Eine UK-NI-Nummer ist alphanumerisch. PESELs 11-stelliges Format fehlt in deren Trainingsdaten. Sie erkennen es nicht.

Validierungsfehler. Selbst wenn ein Tool 11 Stellen findet, kann es die Prüfziffer nicht bestätigen. Das erzeugt falsch positive und falsch negative Treffer. Echte PESELs mit vertauschten Ziffern werden übersehen.

PESEL erscheint in fast jedem polnischen Dokument: Gesundheitsakte, Personalakte, Steuerformular und Versicherungspolice. Fehlt die Erkennung, bleibt der wichtigste Identifier ungeschützt.

89 % der an polnischen Dokumenten getesteten PII-Tools erkennen PESEL nicht korrekt.

Weitere polnische Identifier mit Erkennungslücken

NIP (Numer Identyfikacji Podatkowej). 10-stellige Steuer-ID mit gewichtetem Prüfsum. In Rechnungen, Verträgen und Arbeitsnachweisen zu finden.

REGON. 9- oder 14-stellige Unternehmensnummer für alle polnischen Firmen. Erscheint in Lieferanten- und Kaufdokumenten.

Dowód osobisty. Polnischer Personalausweis im Format XXX NNNNNN — drei Buchstaben, dann sechs Ziffern — mit eigener Prüfzifferregel. Pflichtnachweis im Bank-, Gesundheits- und Behördenverkehr.

Alle drei zeigen ähnliche Lücken wie PESEL.

Durchsetzungsschwerpunkte 2024–2025

Gesundheitsdaten. Pannenmeldungen von Gesundheitsanbietern stiegen 2024 um 45 %. Proaktive Prüfungen laufen. Häufige Befunde: schwache Zugriffskontrollen, keine Verschlüsselung und fehlende Datenschutz-Folgenabschätzungen (DSFA).

Mitarbeiterüberwachung. Fernarbeit veranlasste viele Firmen, Tastaturprotokollierung und Bildschirmerfassung einzuführen. Die meisten verstoßen gegen DSGVO-Zweckbindungsregeln. Mitarbeiterdatenfälle machen 28 % der Durchsetzungsmaßnahmen aus.

Unterauftragnehmer-Ketten. Polens Outsourcing-Sektor nutzt komplexe Lieferantennetzwerke. Prüfer finden fehlende Auftragsverarbeitungsverträge (AVV) zwischen Hauptverarbeitern und Unterauftragnehmern. Auch Tools der Unterauftragnehmer müssen Artikel 32 DSGVO erfüllen.

Technische Maßnahmen, die die Prüfung bestehen

Durchsetzungsentscheidungen verweisen auf drei Pflichtkontrollen.

Verschlüsselung. Alle personenbezogenen Daten müssen im Ruhezustand und bei der Übertragung verschlüsselt sein. Zugriffskontrollen allein reichen nicht. Firmen, die sich nur auf Zugriffsregeln stützten, wurden bebußt.

Dokumentierte Anonymisierung. Firmen, die Daten als anonymisiert bezeichnen, müssen das belegen. Die Behörde verlangt technischen Nachweis, dass eine Reidentifikation nicht möglich ist.

PII-Erkennungsabdeckung. Schutzmaßnahmen müssen polnische Identifier erfassen. PESEL mit Prüfsummenvalidierung, NIP, REGON und Dowód osobisty müssen erkennbar sein. Englischsprachige Tools erfüllen diesen Standard nicht.

Polens BPO-Sektor verarbeitet täglich 2,3 Millionen EU-Kundendatensätze. Firmen ohne polnisch-spezifische PII-Erkennung tragen hohes Bußgeldrisiko — von der nationalen Behörde und von federführenden Behörden in der EU.

Unser DSGVO-Leitfaden deckt Dokumentationsanforderungen ab. Unsere Sicherheits-Compliance-Übersicht erläutert technische Kontrollen. Zur mehrsprachigen PII-Erkennung siehe unseren mehrsprachigen PII-Erkennungsleitfaden.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.