BfDI Jerman: Kepatuhan GDPR untuk Tim Teknis
Diperbarui untuk 2026
Jerman memiliki 17 badan perlindungan data. Salah satunya adalah BfDI federal (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Enam belas lainnya adalah badan tingkat negara bagian yang disebut Landesdatenschutzbehörden (LfD). Tidak ada negara EU lain yang bekerja seperti ini.
Pemisahan ini berasal dari struktur federal Jerman. Negara bagian memegang kekuasaan atas pengawasan sektor swasta. BfDI mencakup badan publik federal dan beberapa perusahaan lintas negara bagian. Setiap LfD mencakup perusahaan swasta di negara bagiannya sendiri. BayLDA Bayern berlaku untuk perusahaan berbasis Munich. HmbBfDI Hamburg berlaku untuk perusahaan berbasis Hamburg. BlnBfDI Berlin mencakup perusahaan Berlin.
Perusahaan dengan lokasi di beberapa negara bagian harus menentukan badan mana yang berwenang. Hal itu tidak selalu mudah. Perusahaan yang melayani klien federal dan memiliki lokasi di dua negara bagian mungkin berurusan dengan BfDI dan LfD secara bersamaan.
Angka Penegakan Jerman
Jerman mengajukan 27.829 laporan pelanggaran pada 2024. Itu lebih dari negara anggota EU mana pun. Jumlahnya sekitar 31% dari semua laporan pelanggaran EU tahun itu (data EDPB 2024). Jumlah yang tinggi menunjukkan budaya pelaporan yang aktif. Ini tidak berarti Jerman memiliki lebih banyak pelanggaran dari negara lain.
Total denda dari BfDI dan LfD mencapai sekitar €160 juta antara 2018 dan 2024 (GDPR Enforcement Tracker). Tiga kasus menonjol:
- Deutsche Wohnen — €14,5 juta (2020): Sistem penghapusan yang buruk. Kasus ini menunjukkan bahwa retensi data adalah kewajiban teknis, bukan hanya tugas administratif.
- 1&1 Telecom — €9,55 juta (2020): Pemeriksaan ID pelanggan yang lemah. Denda dikurangi dalam banding.
- Perusahaan layanan kesehatan dan asuransi: Beberapa denda untuk kegagalan memenuhi aturan keamanan Pasal 32.
Tiga tema paling sering muncul dalam laporan tahunan DPA Jerman. Pertama adalah keamanan teknis yang lemah di bawah Pasal 32. Kedua adalah transfer lintas batas yang dilarang di bawah Pasal 46. Ketiga adalah batasan data yang buruk dalam sistem AI.
Panduan BfDI tentang AI dan Batasan Data
BfDI mengeluarkan panduan pada 2024 yang melampaui aturan dasar GDPR. [CATATAN: status mengikat yang tepat dari panduan ini tidak dikonfirmasi dari catatan BfDI publik — anggap sebagai arahan regulasi yang kuat.]
Batasan input AI: Otoritas menginginkan kontrol teknis langsung, bukan hanya kebijakan tertulis. Sistem harus menemukan dan menghapus atau menyamarkan data pribadi sebelum mencapai model AI. Kebijakan yang menyatakan "staf harus meminimalkan data" tidak memenuhi standar ini.
Standar masking: Panduan menunjuk ISO/IEC 29101 sebagai kerangka untuk masking data. Perusahaan yang mengklaim pseudonimisasi Pasal 4(5) harus menunjukkan kontrol kunci dan langkah pembalikan yang sesuai standar ini.
Catatan Pasal 32: Inspektur menginginkan spesifikasi tertulis. Itu berarti tipe sandi yang tepat, langkah kunci, aturan akses, dan tanggal pengujian. Mengatakan "kami mengenkripsi data" saja tidak cukup.
Kategori khusus (Pasal 9): Untuk data kesehatan, biometrik, genetik, dan politik, panduan mewajibkan log akses, pemisahan data, dan masking yang lebih kuat dari yang dipersyaratkan Pasal 32.
Lihat panduan deteksi PII multibahasa kami untuk cara celah deteksi dapat memengaruhi kepatuhan GDPR di pasar Jerman.
Empat Langkah Teknis untuk Kepatuhan BfDI
1. Register catatan Pasal 32
Simpan Register Langkah Teknis tertulis. Cakup area-area ini: tipe sandi dan langkah kunci, desain kontrol akses, alat masking dan pengaturannya, log audit, dan tanggal pengujian. DPA Jerman meminta ini dalam sebagian besar kasus. Siapkan sebelum diminta.
2. Filter input AI
Tambahkan langkah filter untuk sistem mana pun di mana staf atau pelanggan mengetikkan data pribadi yang masuk ke model AI. Filter harus menangkap nama, nomor telepon, nomor ID, dan data kesehatan sebelum diteruskan ke model. Ini memenuhi standar batasan teknis BfDI. Ini juga melindungi perusahaan Anda jika model menyimpan atau mencatat input.
3. Penghapusan otomatis sesuai jadwal
Kasus Deutsche Wohnen menunjukkan bahwa penghapusan yang buruk sendiri merupakan pelanggaran GDPR. Retensi harus berjalan pada timer. Catatan yang melewati tanggal penyimpanan harus dihapus atau dianonimkan sesuai jadwal. Penghapusan ad-hoc tidak memenuhi standar. Otomatiskan.
4. Respons pelanggaran 72 jam
Jumlah laporan pelanggaran Jerman menunjukkan ini adalah pasar yang aktif secara kepatuhan. Rencana insiden Anda harus mencapai jendela 72 jam. Itu berarti Anda perlu alat untuk menemukan orang yang terdampak, mencantumkan data yang terekspos, dan menilai kemungkinan kerugian tepat waktu. Uji rencana Anda sebelum dibutuhkan.
Untuk tinjauan lebih luas tentang pola denda GDPR, lihat panduan denda GDPR untuk perusahaan AS kami.
Otoritas Negara Bagian Mana yang Berlaku
Untuk perusahaan swasta, LfD yang relevan biasanya adalah yang ada di negara bagian tempat perusahaan berdomisili.
BayLDA (Bavaria): Keamanan teknis dan catatan kesehatan. Sektor otomotif dan kesehatan Bavaria mendapat perhatian ketat di sini.
HmbBfDI (Hamburg): Transfer lintas batas dan profiling pengguna. Perusahaan keuangan dan media Hamburg menanggung risiko tinggi di sini.
BlnBfDI (Berlin): Alat pengawasan dan pemantauan staf. Ekosistem teknologi Berlin membuat alat AI tetap dalam peninjauan.
LDI NRW (North Rhine-Westphalia): Program loyalitas keuangan dan ritel. Ini adalah negara bagian paling padat penduduk di Jerman.
ULD SH (Schleswig-Holstein): Persetujuan cookie dan pemasaran digital. Otoritas ini dikenal memimpin panduan teknis.
Perusahaan yang aktif di beberapa negara bagian dapat menggunakan aturan pendirian utama (Pasal 56). Ini merutekan kasus ke otoritas di negara bagian tempat keputusan pemrosesan EU utama dibuat. Lihat panduan pemrosesan batch DSAR GDPR kami untuk cara ini memengaruhi alur kerja volume tinggi.
ISO 27001 dan Keselarasan BfDI
ISO 27001 sangat selaras dengan apa yang diminta inspektur DPA Jerman. Jika perusahaan Anda tersertifikasi, gunakan dokumentasi tersebut untuk merespons permintaan audit.
- Lampiran A 8.11 (Masking Data): Mencakup kontrol masking dan anonimisasi — memenuhi kebutuhan catatan Pasal 32
- Lampiran A 8.24 (Penggunaan Kriptografi): Mencakup tipe sandi dan langkah kunci — memenuhi kebutuhan catatan enkripsi
- Lampiran A 8.15 (Pencatatan): Mencakup desain log audit — mendukung kebutuhan log akses untuk data sensitif
- Laporan audit ISMS: Bukti pihak ketiga bahwa kontrol ada dan berfungsi
Staf DPA Jerman mengenal ISO 27001. Sertifikasi memberi Anda bukti terstruktur kontrol sistematis. Itu lebih kuat dari klaim tertulis tanpa tinjauan pihak ketiga. Ini juga mempercepat audit karena formatnya sudah dikenal inspektur.