anonym.legal

By · Last updated 2026-06-05

Vissza a BlograGDPR & Megfelelés

BfDI Németország: adatvédelmi hatósági megfelelőségi útmutató

Németország 27 829 GDPR-sértési értesítést nyújtott be 2024-ben — ez több, mint bármely más EU-tagállamban. Íme, mit jelent a BfDI végrehajtási fókusza a technikai személyiadat-megfelelőség szempontjából.

June 5, 20268 perc olvasás
BfDI GermanyGerman GDPRdata breach notificationLandesdatenschutzbehördeGerman DPA

BfDI Németország: GDPR-megfelelőség technikai csapatoknak

2026-ra frissítve

Németországnak 17 adatvédelmi testülete van. Az egyik a szövetségi BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). A másik 16 tartományi szintű testület, az úgynevezett Landesdatenschutzbehörden (LfD). Egyetlen más EU-ország sem működik ilyen módon.

A megosztás Németország szövetségi struktúrájából adódik. A tartományok hatáskörrel rendelkeznek a magánszektor feletti felügyelet felett. A BfDI szövetségi közintézményeket és néhány több tartomány területére kiterjedő céget felügyel. Minden LfD a saját tartományán belüli magáncégeket felügyeli. A bajor BayLDA a müncheni cégekre vonatkozik. A hamburgi HmbBfDI a hamburgiak esetén érvényes. A berlini BlnBfDI a berlini cégekre vonatkozik.

Egy több tartományban irodákkal rendelkező cégnek ki kell találnia, melyik testület az illetékes. Ez nem mindig könnyű. A szövetségi ügyfeleket kiszolgáló és két tartományban irodákkal rendelkező cégek egyidejűleg foglalkozhatnak a BfDI-vel és egy LfD-vel.

Németország végrehajtási adatai

Németország 27 829 adatvédelmi incidenst jelentett 2024-ben. Ez több volt, mint bármely más EU-tagállamban. Az összes EU-s incidens-bejelentés körülbelül 31%-át tette ki abban az évben (EDPB 2024-es adatok). A magas szám aktív bejelentési kultúrát mutat. Nem azt jelenti, hogy Németországban több incidens van, mint más országokban.

A BfDI-től és LfD-ktől összesített bírságok 2018 és 2024 között körülbelül 160 millió eurót tettek ki (GDPR Enforcement Tracker). Három eset emelkedik ki:

  • Deutsche Wohnen — 14,5 millió euró (2020): Rossz törlési rendszerek. Ez az eset megmutatta, hogy az adatmegőrzés technikai kötelezettség, nem csupán adminisztrációs feladat.
  • 1&1 Telecom — 9,55 millió euró (2020): Gyenge ügyfél-azonosítási ellenőrzések. A bírságot fellebbezés után csökkentették.
  • Egészségügyi és biztosítási cégek: Több bírság a 32. cikk szerinti biztonsági szabályok megsértéséért.

A német adatvédelmi hatóságok éves jelentéseiben három téma jelenik meg leggyakrabban. Az első a gyenge technikai biztonság a 32. cikk alapján. A második a tiltott határon átnyúló adattovábbítás a 46. cikk alapján. A harmadik az AI-rendszerek gyenge adatminimalizálása.

A BfDI útmutatása az AI-ről és az adatminimalizálásról

A BfDI 2024-ben útmutatást adott ki, amely meghaladja az alap GDPR-szabályokat. [JELZET: az útmutatás pontos kötelező jellege nem igazolt nyilvánosan elérhető BfDI-nyilvántartásokból — erős szabályozói iránymutatásként kezelendő.]

AI-bemeneti korlátok: A hatóság élő technikai ellenőrzéseket vár el, nem csupán írásos szabályzatot. A rendszereknek meg kell találniuk és el kell távolítaniuk vagy el kell rejteniük a személyes adatokat, mielőtt azok elérnek egy AI-modellt. Egy szabályzat, amely arra utasítja a munkatársakat, hogy minimalizálják az adatokat, önmagában nem felel meg ennek a standardnak.

Anonimizálási standardok: Az útmutatás az ISO/IEC 29101 szabványra hivatkozik az adatok anonimizálásának kereteként. A 4. cikk (5) bekezdése szerinti álnevesítést igénylő cégeknek meg kell mutatniuk a kulcsellenőrzéseket és a visszaállítási lépéseket, amelyek megfelelnek ennek a standardnak.

32. cikkhez szükséges nyilvántartások: Az ellenőrök írásos specifikációkat kérnek. Ez pontos titkosítási típusokat, kulcslépéseket, hozzáférési szabályokat és tesztelési dátumokat jelent. Az „adatokat titkosítjuk” kijelentés önmagában nem elegendő.

Különleges kategóriák (9. cikk): Egészségügyi, biometrikus, genetikai és politikai adatoknál az útmutatás hozzáférési naplókat, adatelkülönítést és erősebb anonimizálást ír elő, mint amennyit a 32. cikk megkövetel.

A többnyelvű személyiadat-észlelési útmutatónkból megtudhatja, hogyan érinthetik az észlelési hiányosságok a GDPR-megfelelőséget a német piacon: többnyelvű személyiadat-észlelési útmutató.

Négy technikai lépés a BfDI-megfelelőséghez

1. A 32. cikk szerinti nyilvántartások regisztere

Tartson fenn írásos Technikai Intézkedések Regisztert. Fedje le ezeket a területeket: titkosítási típusok és kulcslépések, hozzáférés-ellenőrzési terv, anonimizáló eszközök és beállításaik, auditnaplók és tesztelési dátumok. A német adatvédelmi hatóságok a legtöbb esetben ezt kérik. Tartsa készen, mielőtt kérnék.

2. AI-bemeneti szűrő

Adjon hozzá szűrési lépést minden olyan rendszerhez, amelybe a munkatársak vagy az ügyfelek személyes adatokat tartalmazó szöveget írnak, amely AI-modellbe kerül. A szűrőnek el kell fognia a neveket, telefonszámokat, azonosítószámokat és egészségügyi adatokat, mielőtt azok eljutnak a modellhez. Ez megfelel a BfDI technikai korlát standardjának. Védi a céget is, ha a modell naplózza vagy tárolja a bemeneteket.

3. Automatikus törlés ütemterv szerint

A Deutsche Wohnen-ügy megmutatta, hogy a rossz törlés önmagában GDPR-sértés. A megőrzésnek időzítőn kell futnia. A megőrzési idejüket letöltött nyilvántartásokat ütemterv szerint kell törölni vagy anonimizálni. Az eseti törlés nem felel meg a standardnak. Automatizálja.

4. 72 órás incidens-reagálás

Németország magas incidens-bejelentési száma azt mutatja, hogy ez egy aktív megfelelőségi piac. Az incidenskezelési tervnek el kell érnie a 72 órás határidőt. Ez azt jelenti, hogy rendelkeznek az érintett személyek azonosításához, az érintett adatok listázásához és a valószínű kár időben történő felméréséhez szükséges eszközökkel. Tesztelje a tervét, mielőtt szüksége lenne rá.

A GDPR-bírságok trendjeinek átfogóbb áttekintéséhez lásd: GDPR-bírságok útmutató USA-s cégeknek.

Melyik tartományi hatóság illetékes?

Magáncégek esetén az illetékes LfD általában az a testület, amelynek tartományában a cég székhelye van.

BayLDA (Bajorország): Technikai biztonság és egészségügyi nyilvántartások. Bajorország autóipara és egészségügyi szektora kap kiemelt figyelmet.

HmbBfDI (Hamburg): Határon átnyúló adattovábbítás és felhasználói profilalkotás. Hamburg pénzügyi és médiacégei hordozzák a legmagasabb kockázatot.

BlnBfDI (Berlin): Megfigyelési eszközök és munkavállalók monitorozása. Berlin technológiai szektora az AI-eszközöket veszi górcső alá.

LDI NRW (Észak-Rajna-Vesztfália): Pénzügy és kiskereskedelmi hűségprogramok. Ez Németország legnépesebb tartománya.

ULD SH (Schleswig-Holstein): Cookie-hozzájárulás és digitális marketing. Ez a hatóság ismert az élenjáró technikai útmutatásáról.

Több tartományban aktív cégek a fő tevékenységi hely szabályát alkalmazhatják (56. cikk). Ez az ügyet ahhoz a testülethez irányítja, amelynek tartományában a fő EU-s feldolgozási döntéseket hozzák. Arról, hogyan érinti ez a nagy volumenű munkafolyamatokat, lásd: GDPR-DSAR kötegelt feldolgozási útmutató.

ISO 27001 és BfDI-illeszkedés

Az ISO 27001 szorosan illeszkedik ahhoz, amit a német adatvédelmi hatóság ellenőrei kérnek. Ha a cége tanúsítvánnyal rendelkezik, az adott dokumentációt használja az audit-kérelmekre való válaszadáshoz.

  • A melléklet 8.11 (Adatmaszkolás): Lefedi az anonimizálási és álnevesítési ellenőrzéseket — megfelel a 32. cikk nyilvántartási igényeinek
  • A melléklet 8.24 (Kriptográfia alkalmazása): Lefedi a titkosítási típusokat és kulcslépéseket — megfelel a titkosítási nyilvántartási igényeknek
  • A melléklet 8.15 (Naplózás): Lefedi az auditnapló-tervezést — támogatja az érzékeny adatok hozzáférési napló igényeit
  • ISMS audit-jelentések: Harmadik fél általi bizonyíték arra, hogy az ellenőrzések léteznek és működnek

A német adatvédelmi hatóság munkatársai ismerik az ISO 27001-et. A tanúsítvány strukturált bizonyítékot nyújt a szisztematikus ellenőrzésekről. Ez erősebb, mint egy írásos állítás harmadik fél felülvizsgálata nélkül. Az auditokat is felgyorsítja, mert az ellenőrök számára ismerős a formátum.

Források

Kapcsolódó Cikkek

GDPR & Megfelelés

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Megfelelés

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Megfelelés

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Készen áll az adatai védelmére?

Kezdje el a PII anonimizálását 285+ entitástípuson 48 nyelven.

Ingyenes Próbát KezdFunkciók Megtekintése

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.