Die tschechische Úřad pro ochranu osobních údajů (ÚOOÚ) hat 2024 58 Durchsetzungsentscheidungen erlassen, wobei Organisationen aus der Fertigungs- und Automobilbranche 34 % ausmachen — die höchste Sektorenzusammenstellung in der Durchsetzung des tschechischen GDPR.
Für die tschechische Automobilwirtschaft — in der Škoda Auto, Foxconn, Toyota Manufacturing und Dutzende von deutschen Automobil-Zulieferern tätig sind — erfordert die Einhaltung des GDPR spezifische technische Fähigkeiten, die die meisten eingesetzten PII-Tools nicht bieten.
Das Problem der deutschen Muttergesellschaft-Tools
Das Durchsetzungsverhalten der ÚOOÚ zeigt einen spezifischen Fehlermodus: Deutsche Muttergesellschaften setzen deutsche konfigurierten PII-Tools bei tschechischen Tochtergesellschaften ein.
Wenn eine in München ansässige Automobilgruppe die standardmäßige PII-Erkennung in tschechischen Betrieben einführt:
- Das Tool ist für die deutsche Sprache und Identifikatoren (Steuernummer, Personalausweis, IBAN/DE) konfiguriert
- Tschechischsprachige Mitarbeiterakten, Verträge und Gesundheitsdokumente werden durch deutsche konfigurierten Modelle verarbeitet
- Die Genauigkeit der tschechischen NER ist 23 % niedriger als die deutschen Äquivalente (technische Anleitung der ÚOOÚ 2024)
- Das tschechische rodné číslo wird in Dokumenten, die nicht ausdrücklich als tschechisch gekennzeichnet sind, übersehen
- Tschechische Gesundheits- und HR-Daten werden ohne den erforderlichen Schutz auf Identifikatorebene verarbeitet, den die ÚOOÚ verlangt
67 % der tschechischen Unternehmen setzen deutsche oder englischsprachige PII-Tools ein, die tschechische spezifische Identifikatoren übersehen. Die ÚOOÚ macht den tschechischen Verantwortlichen (lokale Tochtergesellschaft) verantwortlich — nicht den deutschen Anbieter des Muttergesellschaft-Tools.
Rodné Číslo: Eine spezielle Kategorie durch Design
Das rodné číslo (Geburtsnummer) ist der tschechische nationale Identifikator im Format RRMMDD/XXXX. Wichtige Merkmale:
- Ziffern 3-4: Geburtsmonat — Frauen haben 50 hinzugefügt (eine Frau, die im Januar geboren wurde, hat 51, nicht 01)
- Trennzeichen: Schrägstrich
- Suffix: 3-4-stellige Sequenz mit Prüfziffer (Modulus 11)
Die Geschlechterkodierung — 50 hinzugefügt für Frauen — macht rodné číslo zu einem speziellen Kategorieindikator gemäß Artikel 9 der GDPR. Die Nummer offenbart das Geschlecht als eine Frage des Protokolls, was einen erhöhten Schutz erfordert.
Die ÚOOÚ verlangt die Erkennung des rodné číslo mit:
- Korrekte Handhabung der Geschlechtermonatskodierung (50 Offset)
- Validierung der Prüfziffer nach Modulus-11
- Erkennung sowohl im 9-stelligen (Geburten vor 1954) als auch im 10-stelligen Format
Tools, die rodné číslo durch Mustererkennung des Formats RRMMDD/XXXX erkennen, ohne die Handhabung des Geschlechter-Offsets und die Validierung der Prüfziffer, erfüllen nicht den technischen Angemessenheitsstandard der ÚOOÚ.
Weitere tschechische Identifikatoren in Fertigungsdokumenten
Číslo občanského průkazu (OP): Nationale ID-Karte im Format XXXXXXXXX (9 alphanumerisch). Erscheint in Arbeitsverträgen, Gesundheitsakten, Besucherprotokollen.
IČO: 8-stellige Unternehmensidentifikationsnummer. Erscheint in Lieferantenverträgen zusammen mit persönlichen Daten der gesetzlichen Vertreter.
DIČ: Format CZ + rodné číslo (Einzelpersonen) oder CZ + IČO (Unternehmen). Persönliches DIČ in Verträgen mit Freiberuflern erfordert Erkennung.
Tschechisches IBAN-Format: CZ + 22 Ziffern. Häufig in Gehaltsabrechnungen und Spesenberichten.
Fertigungsspezifische Compliance-Herausforderungen
Die GDPR-Exposition der tschechischen Fertigung umfasst:
Mitarbeiterakten: HR-Daten für tschechische Mitarbeiter umfassen rodné číslo, nationale ID, Krankenversicherungsnummern und Bankkontodaten. Grenzüberschreitende HR-Übertragungen zu deutschen, japanischen oder US-Muttergesellschaftssystemen erfordern Transfer Impact Assessments.
Produktionsqualitätsverfolgbarkeit: Automobilproduktionssysteme verknüpfen häufig Qualitätsaufzeichnungen mit einzelnen Arbeitern. Dies erzeugt persönliche Daten in Systemen, die als operationale Technologie klassifiziert sind — unterliegen dem GDPR, obwohl sie nicht in traditionellen HR-Systemen sind.
Kundendaten in Autohäusern: VW Group, Toyota und andere Automobilhersteller-Netzwerke in Tschechien verarbeiten Kundentestfahrten, Finanzierungsanträge und Servicehistorien, die rodné číslo enthalten.
Für die Compliance der tschechischen Fertigung besteht die Anforderung: rodné číslo-Erkennung mit Geschlechter-Offset-Handhabung und Prüfziffervalidierung, tschechischsprachige NER für die Dokumentenverarbeitung und Unterstützung mehrerer Jurisdiktionen für gemischte deutsch/tschechisch/englisch Dokumentenpipelines.
Quellen: