BfDI Þýskaland: GDPR-reglufylgni fyrir tækniteymi
Uppfært fyrir 2026
Þýskaland hefur 17 gagnaverndarlíkön. Eitt er hið alríkislega BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Hin 16 eru ríkisstig líkön sem kallast Landesdatenschutzbehörden (LfD). Ekkert annað ESB-land virkar þannig.
Skiptingin kemur frá alríkisbyggingu Þýskalands. Ríki hafa vald yfir eftirliti einkageirans. BfDI nær yfir alríkislegar opinberar stofnanir og sum þverríkjaleg fyrirtæki. Hvert LfD nær yfir einkafyrirtæki í sínu ríki. BayLDA Bavariur gildir um München-byggð fyrirtæki. HmbBfDI Hamburg gildir um Hamburg-byggð fyrirtæki. BlnBfDI Berlín nær yfir Berlín-fyrirtæki.
Fyrirtæki með starfsstöðvar í nokkrum ríkjum verða að finna út hvaða líkan hefur vald. Það er ekki alltaf auðvelt. Fyrirtæki sem þjóna alríkisviðskiptavinum og hafa starfsstöðvar í tveimur ríkjum gætu átt við bæði BfDI og LfD á sama tíma.
Framfylgnitölur Þýskalands
Þýskaland skilaði 27.829 brotaskýrslum árið 2024. Það var fleiri en nokkurt annað ESB-aðildarríki. Það nam um 31% allra ESB-brotaskýrslna þetta ár (EDPB-gögn 2024). Hátt talning sýnir virka skýrslugjöfarmenningu. Það þýðir ekki að Þýskaland hafi fleiri brot en önnur lönd.
Heildarbruðar frá BfDI og LfD námu um 160 milljónum evra á milli 2018 og 2024 (GDPR Enforcement Tracker). Þrjú mál skera sig úr:
- Deutsche Wohnen — 14,5 milljónar evra (2020): Léleg eyðingarkerfi. Þetta mál sýndi að geymsla gagna er tæknileg skylda, ekki bara stjórnunarverkefni.
- 1&1 Telecom — 9,55 milljónar evra (2020): Veik auðkennisathuganir viðskiptavinar. Brotið var minnkað við kæru.
- Heilbrigðis- og tryggingafyrirtæki: Nokkrar bruðar fyrir brot á öryggisreglum greinar 32.
Þrjú þemu koma mest upp í þýskum DPA-ársskýrslum. Fyrsta er veikt tæknilegt öryggi samkvæmt gr. 32. Annað er bönnuð þverlandar flutningar samkvæmt gr. 46. Þriðja eru léleg gagnatakmörk í AI-kerfum.
BfDI-leiðbeiningar um AI og gagnatakmörk
BfDI gaf út leiðbeiningar árið 2024 sem ganga lengra en grunnar GDPR-reglur. [FLAGGAÐ: nákvæm bindandi staða þessara leiðbeininga er ekki staðfest frá opinberum BfDI-skrám — meðhöndlaðu sem sterka reglulega stefnu.]
AI-innsetningstakmarkanir: Yfirvaldið vill lifandi tæknilegar stjórnir, ekki bara skriflegar stefnur. Kerfi verða að finna og fjarlægja eða grímubúa persónuupplýsingar áður en þær ná AI-líkani. Stefna sem segir "starfsmenn ættu að lágmarka gögn" uppfyllir ekki þennan staðal.
Grímustöðlar: Leiðbeiningarnar vísa til ISO/IEC 29101 sem ramma fyrir grímubúning gagna. Fyrirtæki sem gera tilkall til dulnefnis samkvæmt grein 4(5) verða að sýna lykilstjórnir og bakfærsluþrep sem samsvara þessum staðli.
Skrár skv. grein 32: Eftirlitsmenn vilja skriflegar skýringar. Það þýðir nákvæmar dulmálstegundir, lykil þrep, aðgangsreglur og prófunardagsetningar. Að segja "við dulkóðum gögn" er ekki nóg eitt og sér.
Sérstakar flokkar (gr. 9): Fyrir heilbrigðis-, lífrænt-, erfðafræðilegar og pólitískar gögn krefst leiðbeiningarnar aðgangsannáls, gagnaafstigi og sterkari grímubúningu en gr. 32 krefst.
Sjá leiðarvísir okkar um fjöltungumála PII-greiningu um hvernig greinigarbil geta haft áhrif á GDPR-reglufylgni á þýska markaðnum.
Fjögur tæknileg þrep fyrir BfDI-reglufylgni
1. Skrá tæknilegra ráðstafana skv. grein 32
Haldið skriflegri Skrá tæknilegra ráðstafana. Nái yfir þessi svæði: dulmálstegundir og lykil þrep, hönnun aðgangsstjórnunar, grímubúningsverkfæri og stillingar þeirra, endurskoðunarannálar og prófunardagsetningar. Þýskir DPA-eftirlitsmenn biðja um þetta í flestum tilvikum. Hafðu það tilbúið áður en spurt er.
2. AI-innsetninga sía
Bættu síuþrepi við hvert kerfi þar sem starfsmenn eða viðskiptavinir slá inn persónuupplýsingar sem fara inn í AI-líkan. Sían ætti að fanga nöfn, símanúmer, kennitölu og heilsugögn áður en þær fara til líkansins. Þetta uppfyllir BfDI-tæknilegar takmörkunarstaðal. Það verndar einnig fyrirtækið þitt ef líkanið geymir eða skráir innsendingar.
3. Sjálfvirk eyðing á áætlun
Deutsche Wohnen-málið sýndi að léleg eyðing er sjálf GDPR-brot. Varðveisla verður að keyra á tímar. Skrár sem hafa farið yfir geymsludagsetninguna verða að vera eyddar eða gerðar nafnlausar á áætlun. Sérhæft eyðing uppfyllir ekki staðalinn. Gera hana sjálfvirka.
4. 72-klukkustunda brotaviðbrögð
Brotaskýrslutala Þýskalands sýnir að þetta er reglufylgni-virkt markaður. Atviksáætlun þín verður að ná 72-klukkustundaglugganum. Það þýðir að þú þarft verkfærin til að finna þá sem urðu fyrir, skrá gögn sem voru afhjúpuð og meta líklega skaða í tíma. Prófaðu áætlunina áður en þú þarft hana.
Sjá víðara yfirlit yfir GDPR-brutamynstur í GDPR-brutaleið okkar fyrir bandarísk fyrirtæki.
Hvaða ríkisyfirvald gildir
Fyrir einkafyrirtæki er viðeigandi LfD venjulega það í ríkinu þar sem fyrirtækið er staðsett.
BayLDA (Bavarí): Tæknilegt öryggi og heilsuskrár. Bavarska bíl- og heilbrigðisgeirinn fær náið eftirlit hér.
HmbBfDI (Hamborg): Þverlandar flutningar og notandasnið. Fjármála- og miðlafyrirtæki í Hamborg bera mikla áhættu hér.
BlnBfDI (Berlín): Eftirlitsverkfæri og eftirlit starfsmanna. Tæknigeirinn í Berlín heldur AI-verkfærum undir skoðun.
LDI NRW (Norður-Rín-Vestfalía): Fjármál og smásöludygðunarforrit. Þetta er fjölmennasta ríki Þýskalands.
ULD SH (Schleswig-Holstein): Vafrakaflisamþykki og stafrænar markaðssetningar. Þetta yfirvald er þekkt fyrir leiðandi tæknilegar leiðbeiningar.
Fyrirtæki sem eru virk í nokkrum ríkjum geta notað meginuppsetningarregluna (gr. 56). Þetta beinir málum til yfirvaldsins í ríkinu þar sem helstu ESB-vinnsluákvarðanirnar eru teknar. Sjá GDPR DSAR runuvinnslu leiðarvísir okkar um hvernig þetta hefur áhrif á mikilvægar vinnuferli.
ISO 27001 og BfDI-samræming
ISO 27001 stemur vel við hvað þýskir DPA-eftirlitsmenn biðja um. Ef fyrirtæki þitt er vottuð, notaðu þá skráningarólu til að svara endurskoðunarbeiðnum.
- Viðbætur A 8.11 (Gagnagrímur): Nær yfir grímur og nafnleysisráðstafanir — uppfyllir skráningaþarfir gr. 32
- Viðbætur A 8.24 (Notkun dulmáls): Nær yfir dulmálstegundir og lykil þrep — uppfyllir dulkóðunarskráningaþarfir
- Viðbætur A 8.15 (Skráning): Nær yfir hönnun endurskoðunarannáls — styður þarfir aðgangsannáls fyrir viðkvæm gögn
- ISMS endurskoðunarskýrslur: Þriðja-aðila sönnun að stjórnir séu til staðar og virki
Þýskur DPA-starfsfólk þekkir ISO 27001. Vottuning gefur þér skipulagða sönnun kerfislægra stjórna. Það er sterkara en skrifleg fullyrðing án þriðja-aðila yfirferðar. Það flýtir einnig fyrir endurskoðunum vegna þess að sniðið er kunnuglegt eftirlitsmönnum.