anonym.legal

By · Last updated 2026-06-05

Takaisin BlogiinGDPR & Vaatimustenmukaisuus

BfDI Saksa: DPA-vaatimustenmukaisuusopas

Saksa teki 27 829 GDPR-rikkomusilmoitusta vuonna 2024 — enemmän kuin mikään muu EU-jäsenvaltio. Tässä on, mitä BfDI:n täytäntöönpanon painopiste tarkoittaa tekniselle henkilötietojen käsittelylle.

June 5, 20268 min lukuaika
BfDI GermanyGerman GDPRdata breach notificationLandesdatenschutzbehördeGerman DPA

BfDI Saksa: GDPR-vaatimustenmukaisuus teknisille tiimeille

Päivitetty vuodelle 2026

Saksassa on 17 tietosuojaelintä. Yksi on liittovaltion BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Muut 16 ovat osavaltiontason elimiä nimeltä Landesdatenschutzbehörden (LfD). Mikään muu EU-maa ei toimi näin.

Jako johtuu Saksan liittovaltion rakenteesta. Osavaltiot pitävät vallan yksityissektorin valvonnassa. BfDI kattaa liittovaltion julkiset elimet ja joitain osavaltioiden rajat ylittäviä yrityksiä. Jokainen LfD kattaa yksityiset yritykset omassa osavaltiossaan. Baijerin BayLDA koskee Münchenissä toimivia yrityksiä. Hampurin HmbBfDI koskee Hampurissa toimivia yrityksiä. Berliinin BlnBfDI kattaa Berliinin yritykset.

Usean osavaltion alueella toimivan yrityksen on selvitettävä, millä elimellä on toimivalta. Se ei ole aina helppoa. Yrityksillä, jotka palvelevat liittovaltion asiakkaita ja joilla on toimipaikkoja kahdessa osavaltiossa, voi olla tekemisissä sekä BfDI:n että jonkin LfD:n kanssa samanaikaisesti.

Saksan täytäntöönpanoluvut

Saksa teki 27 829 rikkomusilmoitusta vuonna 2024. Se oli enemmän kuin mikään muu EU-jäsenvaltio. Se oli noin 31 % kaikista EU:n rikkomusilmoituksista sinä vuonna (EDPB 2024 -data). Korkea luku osoittaa aktiivista ilmoittamiskulttuuria. Se ei tarkoita, että Saksassa olisi enemmän rikkomuksia kuin muissa maissa.

BfDI:n ja LfD:iden yhteenlasketut sakot olivat noin 160 miljoonaa euroa vuosina 2018–2024 (GDPR Enforcement Tracker). Kolme tapausta erottuu joukosta:

  • Deutsche Wohnen — 14,5 miljoonaa euroa (2020): Heikot poistojärjestelmät. Tämä tapaus osoitti, että tietojen säilyttäminen on tekninen velvollisuus, ei vain hallinnollinen tehtävä.
  • 1&1 Telecom — 9,55 miljoonaa euroa (2020): Heikot asiakkaan tunnistustarkistukset. Sakkoa leikattiin muutoksenhaun jälkeen.
  • Terveydenhuolto- ja vakuutusyritykset: Useita sakkoja 32 artiklan turvamääräysten noudattamatta jättämisestä.

Kolme teemaa nousee esiin useimmiten Saksan tietosuojaviranomaisten vuosiraporteissa. Ensimmäinen on heikko tekninen turvallisuus 32 artiklan nojalla. Toinen on kielletyt rajat ylittävät siirrot 46 artiklan nojalla. Kolmas on huonot datarajoitukset tekoälyjärjestelmissä.

BfDI:n ohjeistus tekoälystä ja dataminimistä

BfDI julkaisi ohjeistuksen vuonna 2024, joka menee perus-GDPR-sääntöjä pidemmälle. [MERKINTÄ: tämän ohjeistuksen täsmällinen sitovuusasema ei ole vahvistettu julkisista BfDI-tietueista — kohtele vahvana sääntelysuuntana.]

Tekoälyn syötteen rajoitukset: Viranomainen haluaa toiminnallisia teknisiä kontrolleja, ei vain kirjallisia käytäntöjä. Järjestelmien on löydettävä ja poistettava tai peittää henkilötiedot ennen kuin ne päätyvät tekoälymalliin. Käytäntö, jossa sanotaan "henkilöstön on minimoitava data", ei täytä tätä standardia.

Peittämisstandardit: Ohjeistus viittaa ISO/IEC 29101:een kehyksenä datan peittämiselle. Yritysten, jotka väittävät soveltavansa 4(5) artiklan pseudonymisointia, on osoitettava avainhallinnan kontrollit ja palautusaskeleet, jotka vastaavat tätä standardia.

32 artiklan tietueet: Tarkastajat haluavat kirjallisia spesifikaatioita. Se tarkoittaa tarkkoja salaustyyppejä, avainvaiheita, pääsysääntöjä ja testipäiviä. "Salaamme datan" ei yksin riitä.

Erityiset kategoriat (9 art.): Terveys-, biometristen, geneettisten ja poliittisten tietojen osalta ohjeistus edellyttää käyttölokeja, tietojen erottelua ja vahvempaa peittämistä kuin 32 artikla vaatii.

Katso monikielinen henkilötietojen tunnistusopas siitä, miten tunnistusaukot voivat vaikuttaa GDPR-vaatimustenmukaisuuteen Saksan markkinoilla.

Neljä teknistä askelta BfDI-vaatimustenmukaisuuteen

1. 32 artiklan toimenpiderekisteri

Pidä kirjallinen teknisten toimenpiteiden rekisteri. Kattaa nämä alueet: salaustyypit ja avainvaiheet, käyttöoikeuksien hallinnan rakenne, peittämistyökalut ja niiden asetukset, auditointilokit ja testipäivät. Saksan tietosuojaviranomaiset pyytävät tätä useimmissa tapauksissa. Pidä se valmiina ennen pyyntöä.

2. Tekoälyn syötteen suodatin

Lisää suodatinvaihe mihin tahansa järjestelmään, jossa henkilöstö tai asiakkaat kirjoittavat henkilötietoja, jotka syötetään tekoälymalliin. Suodattimen tulee havaita nimet, puhelinnumerot, henkilötunnukset ja terveystiedot ennen kuin ne siirtyvät mallille. Tämä täyttää BfDI:n teknisen minimirajoituksen standardin. Se myös suojaa yritystäsi, jos malli tallentaa tai lokittaa syötteitä.

3. Automaattinen poisto aikataulussa

Deutsche Wohnen -tapaus osoitti, että huono poisto on itsessään GDPR-rikkomus. Säilyttämisen on toimittava ajastimella. Säilytysaikansa ylittäneet tietueet on poistettava tai anonymisoitava aikataulussa. Ad-hoc-poisto ei täytä standardia. Automatisoi se.

4. 72 tunnin rikkomusvaste

Saksan rikkomusilmoitusten määrä osoittaa, että tämä on vaatimustenmukaisuusaktiivinen markkina. Tapahtumapakettisi on osuttava 72 tunnin ikkunaan. Se tarkoittaa, että sinulla on oltava työkalut asianosaisten löytämiseen, paljastuneen datan listaamiseen ja todennäköisen haitan arviointiin ajoissa. Testaa suunnitelmasi ennen kuin tarvitset sitä.

Laajempi katsaus GDPR-sakkojen malleihin: GDPR-sakot yhdysvaltalaisille yrityksille.

Mikä osavaltion viranomainen on sovellettava

Yksityisille yrityksille sovellettava LfD on yleensä se, jossa yritys sijaitsee.

BayLDA (Baijeri): Tekninen turvallisuus ja terveystiedot. Baijerin auto- ja terveyssektorit saavat täällä tarkkaa huomiota.

HmbBfDI (Hampuri): Rajat ylittävät siirrot ja käyttäjäprofilointi. Hampurin rahoitus- ja media-alan yrityksillä on korkea riski tässä.

BlnBfDI (Berliini): Valvontatyökalut ja henkilöstön seuranta. Berliinin teknologiakentällä tekoälytyökalut ovat jatkuvassa tarkastelussa.

LDI NRW (Nordrhein-Westfalen): Rahoitus ja vähittäiskaupan kanta-asiakasohjelmat. Tämä on Saksan väkirikkain osavaltio.

ULD SH (Schleswig-Holstein): Evästesuostumus ja digitaalinen markkinointi. Tämä viranomainen tunnetaan teknisen ohjeistuksen johtajana.

Usean osavaltion alueella toimivat yritykset voivat käyttää pääasiallisen toimipaikan sääntöä (56 art.). Tämä ohjaa tapaukset sen osavaltion viranomaiselle, jossa pääasialliset EU-käsittelypäätökset tehdään. Katso GDPR DSAR -eräkäsittelyopas siitä, miten tämä vaikuttaa suuren volyymin työnkulkuihin.

ISO 27001 ja BfDI-yhdenmukaisuus

ISO 27001 karttuu tiiviisti sen kanssa, mitä Saksan tietosuojaviranomaisten tarkastajat pyytävät. Jos yrityksesi on sertifioitu, käytä tuota dokumentaatiota vastataksesi auditointipyyntöihin.

  • Liite A 8.11 (Datan peittäminen): Kattaa peittämis- ja anonymisointikontrollit — täyttää 32 artiklan tietuevaatimukset
  • Liite A 8.24 (Kryptografian käyttö): Kattaa salaustyypit ja avainvaiheet — täyttää salauksen tietuevaatimukset
  • Liite A 8.15 (Lokitus): Kattaa auditointilokin suunnittelun — tukee arkaluonteisten tietojen käyttölokivaatimuksia
  • ISMS-auditointiraportit: Kolmannen osapuolen todiste siitä, että kontrollit ovat olemassa ja toimivat

Saksan tietosuojaviranomaisten henkilöstö tuntee ISO 27001:n. Sertifiointi antaa sinulle jäsenneltyä näyttöä systemaattisista kontrolleista. Se on vahvempaa kuin kirjallinen väite ilman kolmannen osapuolen tarkastusta. Se myös nopeuttaa auditointeja, koska muoto on tuttu tarkastajille.

Lähteet

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.