BfDI Vācija: GDPR atbilstība tehniskajām komandām
Atjaunināts 2026. gadam
Vācijai ir 17 datu aizsardzības iestādes. Viena ir federālā BfDI (Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit). Pārējās 16 ir valsts līmeņa iestādes, ko sauc par Landesdatenschutzbehorden (LfD). Neviena cita ES valsts tā nestrādā.
Sadalījums izriet no Vācijas federālās struktūras. Valstis tur varu pār privātā sektora pārraudzību. BfDI aptver federālos publiskos dienestus un dažus starpvalstu uzņēmumus. Katra LfD aptver privātos uzņēmumus savā valstī. Bavārijas BayLDA attiecas uz Minhenes uzņēmumiem. Hamburgas HmbBfDI attiecas uz Hamburgas uzņēmumiem. Berlīnes BlnBfDI aptver Berlīnes uzņēmumus.
Uzņēmumam ar objektiem vairākās valstīs ir jāizprot, kurai iestādei ir jurisdikcija. Tas ne vienmēr ir vienkārši. Uzņēmumi, kas apkalpo federālos klientus un kuriem ir objekti divās valstīs, var vienlaikus saskarties gan ar BfDI, gan ar LfD.
Vācijas izpildes skaitļi
Vācija 2024. gadā reģistrēja 27 829 pārkāpumu ziņojumus. Tas bija vairāk nekā jebkura cita ES dalībvalsts. Tas veidoja apmēram 31% no visiem ES pārkāpumu ziņojumiem tajā gadā (EDPB 2024. gada dati). Augstais skaits parāda aktīvu ziņošanas kultūru. Tas nenozīmē, ka Vācijā ir vairāk pārkāpumu nekā citās valstīs.
Kopējie sodi no BfDI un LfD sasniedza apmēram 160 miljonus eiro laikā no 2018. līdz 2024. gadam (GDPR Enforcement Tracker). Trīs gadījumi izceļas:
- Deutsche Wohnen — 14,5 milj. EUR (2020): Sliktas dzēšanas sistēmas. Šis gadījums parādīja, ka datu glabāšana ir tehnisks pienākums, ne tikai administratīvs uzdevums.
- 1&1 Telecom — 9,55 milj. EUR (2020): Vāja klientu ID pārbaude. Sods tika samazināts pēc apelācijas.
- Veselības aprūpes un apdrošināšanas uzņēmumi: Vairāki sodi par 32. panta drošības noteikumu neievērošanu.
Vācu DPA gada pārskatos visbiežāk parādās trīs tēmas. Pirmā ir vāja tehniskā drošība saskaņā ar 32. pantu. Otrā ir aizliegti pārrobežu pārvedumi saskaņā ar 46. pantu. Trešā ir slikti datu ierobežojumi AI sistēmās.
BfDI norādījumi par AI un datu ierobežojumiem
BfDI 2024. gadā izdeva norādījumus, kas pārsniedz GDPR pamata noteikumus. [ATZĪMĒTS: šo norādījumu precīzais saistošais statuss no publiskajiem BfDI ierakstiem nav apstiprināts — uzskatiet kā spēcīgu regulatīvo virzienu.]
AI ievades ierobežojumi: Iestāde vēlas dzīvas tehniskas kontroles, ne tikai rakstiskas politikas. Sistēmām ir jāatrod un jānoņem vai jāmaskē personas dati, pirms tie sasniedz AI modeli. Politika, kas saka "darbiniekiem jāminimizē dati", neatbilst šim standartam.
Maskēšanas standarti: Norādījumi norāda uz ISO/IEC 29101 kā maskēšanas datu ietvaru. Uzņēmumiem, kas pieprasa 4. panta 5. punkta pseidonimizāciju, ir jāparāda atslēgu kontroles un atjaunošanas soļi, kas atbilst šim standartam.
32. panta ieraksti: Inspektori vēlas rakstiskas specifikācijas. Tas nozīmē precīzus šifru tipus, atslēgu soļus, piekļuves noteikumus un testa datumus. "Mēs šifrējam datus" pats par sevi nav pietiekami.
Īpašās kategorijas (9. pants): Veselības, biometrisko, ģenētisko un politisko datu gadījumā norādījumi prasa piekļuves protokolus, datu nošķiršanu un stingrāku maskēšanu nekā prasa 32. pants.
Skatiet mūsu daudzvalodu PII noteikšanas rokasgrāmatu par to, kā noteikšanas plaisas var ietekmēt GDPR atbilstību Vācijas tirgū.
Četri tehniskie soļi BfDI atbilstībai
1. 32. panta ierakstu reģistrs
Uzturiet rakstisku Tehnisko pasākumu reģistru. Aptveriet šīs jomas: šifru tipos un atslēgu soļos, piekļuves kontroles dizainā, maskēšanas rīkos un to iestatījumos, audita protokolus un testa datumus. Vācu DPA to pieprasa lielākajā daļā gadījumu. Sagatavojiet to pirms jautājuma.
2. AI ievades filtrs
Pievienojiet filtra soli jebkurai sistēmai, kurā darbinieki vai klienti raksta personas datus, kas nonāk AI modelī. Filtram jānoķer vārdi, tālruņu numuri, ID numuri un veselības dati, pirms tie nonāk modelī. Tas atbilst BfDI tehniskā ierobežojuma standartam. Tas arī aizsargā jūsu uzņēmumu, ja modelis glabā vai protokolē ievadi.
3. Automātiskā dzēšana pēc grafika
Deutsche Wohnen gadījums parādīja, ka slikta dzēšana pati par sevi ir GDPR pārkāpums. Glabāšana ir jādarbina pēc taimeris. Ieraksti, kas pārsnieguši glabāšanas termiņu, ir jādzēš vai jāpadara anonīmi pēc grafika. Vienreizēja dzēšana neatbilst standartam. Automatizējiet to.
4. 72 stundu pārkāpumu atbilde
Vācijas pārkāpumu ziņojumu skaits parāda, ka šis ir aktīvs atbilstības tirgus. Jūsu incidentu plānam ir jāatbilst 72 stundu logam. Tas nozīmē, ka jums ir nepieciešami rīki, lai laikus atrastu skartās personas, uzskaitītu atklātos datus un novērtētu iespējamo kaitējumu. Pārbaudiet savu plānu pirms tas ir nepieciešams.
Plašāku GDPR sodu modeļu pārskatam skatiet mūsu GDPR sodu rokasgrāmatu ASV uzņēmumiem.
Kura valsts iestāde piemērojama
Privātajiem uzņēmumiem attiecīgā LfD parasti ir tā, kas atrodas valstī, kur uzņēmums ir reģistrēts.
BayLDA (Bavārija): Tehniskā drošība un veselības ieraksti. Bavārijas auto un veselības sektori šeit saņem ciešu uzmanību.
HmbBfDI (Hamburga): Pārrobežu pārvedumi un lietotāju profilēšana. Hamburgas finanšu un mediju uzņēmumiem šeit ir augsts risks.
BlnBfDI (Berlīne): Novērošanas rīki un darbinieku uzraudzība. Berlīnes tehnoloģiju aina turpina AI rīku pārskatīšanu.
LDI NRW (Ziemeļreina-Vestfālene): Finanses un mazumtirdzniecības lojalitātes programmas. Šī ir Vācijas apdzīvotākā valsts.
ULD SH (Šlēsviga-Holšteina): Sīkdatņu piekrišana un digitālais mārketings. Šī iestāde ir pazīstama ar vadošiem tehniskajiem norādījumiem.
Uzņēmumi, kas darbojas vairākās valstīs, var izmantot galvenās uzņēmējdarbības vietas noteikumu (56. pants). Tas novirza gadījumus uz iestādi valstī, kur tiek pieņemti galvenie ES apstrādes lēmumi. Skatiet mūsu GDPR DSAR partijas apstrādes rokasgrāmatu par to, kā tas ietekmē liela apjoma darbplūsmas.
ISO 27001 un BfDI saskaņošana
ISO 27001 cieši atbilst tam, ko Vācu DPA inspektori pieprasa. Ja jūsu uzņēmums ir sertificēts, izmantojiet šo dokumentāciju, lai atbildētu uz audita pieprasījumiem.
- A pielikums 8.11 (Datu maskēšana): Aptver maskēšanas un anonimizācijas kontroles — atbilst 32. panta ierakstu vajadzībām
- A pielikums 8.24 (Kriptogrāfijas izmantošana): Aptver šifru tipus un atslēgu soļus — atbilst šifrēšanas ierakstu vajadzībām
- A pielikums 8.15 (Protokolēšana): Aptver audita protokolu dizainu — atbalsta piekļuves protokolu vajadzības sensitīvajiem datiem
- ISMS audita pārskati: Trešo pušu pierādījumi, ka kontroles pastāv un darbojas
Vācu DPA darbinieki pārzina ISO 27001. Sertifikācija sniedz strukturētus sistemātisko kontroles pierādījumus. Tas ir stiprāks nekā rakstisks apgalvojums bez trešo pušu pārskatīšanas. Tas arī paātrina auditus, jo formāts ir inspektoriem pazīstams.