anonym.legal

By · Last updated 2026-06-05

Zurück zum BlogDSGVO & Compliance

ÚOOÚ Tschechische Republik: GDPR für die...

Die tschechische ÚOOÚ hat 2024 58 Durchsetzungsentscheidungen erlassen; die Fertigung macht 34 % der Verstöße aus.

June 5, 20268 min Lesezeit
Czech Republic ÚOOÚrodné číslomanufacturing GDPRCentral Europe complianceCzech identifiers

ÚOOÚ und DSGVO in der tschechischen Industrie

Das Úřad pro ochranu osobních údajů (ÚOOÚ) erließ 2024 58 Durchsetzungsentscheidungen. Fertigungs- und Automobilunternehmen machten 34 % davon aus. Das ist der höchste Anteil aller Sektoren.

Škoda Auto, Toyota, Foxconn und viele Zulieferer sind in Tschechien tätig. Für die DSGVO-Compliance werden dort Werkzeuge benötigt, die lokale Daten verarbeiten können. Die meisten eingesetzten Werkzeuge können das nicht.

Das Problem mit dem Konzerntool

Die ÚOOÚ-Daten zeigen ein klares Fehlermuster. Muttergesellschaften im Ausland setzen fremdkonfigurierte PII-Werkzeuge in ihren lokalen Einheiten ein.

Wenn eine große Unternehmensgruppe ihr Standardwerkzeug in einem Prager Büro einführt:

  1. Das Werkzeug ist für ausländische Kennungen konfiguriert. Lokale Kennungen werden nicht abgedeckt.
  2. Arbeitsverträge und Personaldateien sind auf Tschechisch. Das Werkzeug wurde nicht auf tschechischen Texten trainiert.
  3. Die NER-Genauigkeit für Tschechisch ist 23 % geringer als für gleichwertige Texte in anderen Sprachen. (ÚOOÚ-Technikleitfaden, 2024)
  4. Das rodné číslo wird in Dateien, die nicht als tschechisch gekennzeichnet sind, übersehen.
  5. Gesundheits- und Personaldaten von Mitarbeitern werden ohne den von den Behörden geforderten Schutz übertragen.

67 % der lokalen Unternehmen verlassen sich auf Werkzeuge, die länderspezifische Kennungen übersehen. Die ÚOOÚ macht den lokalen Verantwortlichen haftbar. Der Anbieter des Mutterkonzerns wird nicht haftbar gemacht.

Rodné Číslo: Besondere Kategorie von Daten

Das rodné číslo ist eine Geburtsregisternummer. Es wird im Format TTMMJJ/XXXX verwendet.

  • Stellen 3–4 codieren den Geburtsmonat. Bei Frauen wird 50 addiert. Eine im Januar geborene Frau zeigt 51, nicht 01.
  • Ein Schrägstrich trennt das Datum vom Suffix.
  • Das Suffix hat 3–4 Stellen mit einer Prüfziffer nach Modulus 11.

Die Geschlechtskodierung macht diese Nummer zu besonderen Kategorien personenbezogener Daten gemäß DSGVO Artikel 9. Sie gibt das Geschlecht strukturell preis. Ein erhöhter Schutz ist erforderlich.

Drei Aspekte müssen abgedeckt werden. Erstens der Monatsversatz für Frauen — die 50-Regel. Zweitens die Prüfziffernvalidierung nach Modulus 11. Drittens sowohl das 9-stellige (vor 1954) als auch das 10-stellige Format.

Nur Mustererkennung ohne Versatz und Prüfsumme erfüllt den ÚOOÚ-Standard nicht.

Weitere wichtige Kennungen

Číslo občanského průkazu (OP): Nationaler Personalausweis. Neun alphanumerische Zeichen. Auf Verträgen, Besucherlisten und Krankenakten zu finden.

IČO: Achtstellige Unternehmensnummer. Erscheint in Lieferantenverträgen neben personenbezogenen Daten von gesetzlichen Vertretern.

DIČ: Format CZ + Geburtsregisternummer (Privatpersonen) oder CZ + IČO (Unternehmen). Persönliche DIČ erscheint in Freiberuflerverträgen.

IBAN: Format CZ + 22 Stellen. Häufig in Gehaltsabrechnungen und Spesenberichten.

Wo die Industrie exponiert ist

Personalakten: Die Gehaltsabrechnung lokaler Mitarbeiter enthält Geburtsregisternummern, Ausweisdaten und Bankdaten. Grenzüberschreitende HR-Übermittlungen erfordern Transfer Impact Assessments.

Qualitätsverfolgung: Automobilproduktionssysteme verknüpfen Defektdaten oft mit einzelnen Mitarbeitern. Das sind personenbezogene Daten in der Betriebstechnologie. Sie unterliegen der DSGVO auch außerhalb von HR-Systemen.

Händlerdaten: Große Herstellernetzwerke verarbeiten Probefahrtdaten, Finanzierungsformulare und Servicehistorien. Viele davon enthalten Geburtsregisternummern.

Weitere Informationen finden Sie in unserem DSGVO-Compliance-Leitfaden und der Übersicht zur mehrsprachigen PII-Erkennung. Die vollständige Entitätsabdeckung finden Sie in der Entitätsreferenz.

Der Kernbedarf ist klar. Die Erkennung von Geburtsregisternummern muss die Geschlechtsversatz-Behandlung und die Prüfsummenvalidierung umfassen. Native NER für die Textverarbeitung ist ebenfalls erforderlich. Mehrsprachige Pipelines müssen unterstützt werden.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.