BfDI Германија: GDPR усогласеност за технички тимови
Ажурирано за 2026 година
Германија има 17 тела за заштита на податоци. Едно е федералниот BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Другите 16 се тела на ниво на држави наречени Landesdatenschutzbehörden (LfD). Ниедна друга земја во ЕУ не работи на овој начин.
Поделбата произлегува од федералната структура на Германија. Државите имаат власт над надзорот на приватниот сектор. BfDI ги покрива федералните јавни тела и некои меѓу-државни фирми. Секој LfD ги покрива приватните фирми во сопствената држава. Баварскиот BayLDA се применува на фирмите со седиште во Минхен. Хамбуршкиот HmbBfDI се применува на фирмите со седиште во Хамбург. Берлинскиот BlnBfDI ги покрива берлинските фирми.
Компанија со локации во неколку држави мора да утврди кое тело има надлежност. Тоа не е секогаш лесно. Фирмите кои служат федерални клиенти и имаат локации во две држави може да работат и со BfDI и со LfD истовремено.
Германски бројки за извршување
Германија поднела 27 829 известувања за прекршувања во 2024. Тоа беше повеќе од која било друга земја-членка на ЕУ. Изнесувало околу 31% од сите ЕУ известувања за прекршувања таа година (податоци на EDPB за 2024). Високиот број покажува активна култура на известување. Не значи дека Германија има повеќе прекршувања од другите земји.
Вкупните казни на BfDI и LfD достигнале околу 160 милиони евра меѓу 2018 и 2024 година (GDPR Enforcement Tracker). Три случаи се истакнуваат:
- Deutsche Wohnen — 14,5 милиони евра (2020): Лоши системи за бришење. Овој случај покажа дека задржувањето на податоците е техничка должност, а не само административна задача.
- 1&1 Telecom — 9,55 милиони евра (2020): Слаби проверки на идентитет на клиентот. Казната беше намалена на жалба.
- Здравствени и осигурителни фирми: Неколку казни за неисполнување на безбедносните правила по член 32.
Три теми се pojavuvaat најчесто во годишните извештаи на германскиот DPA. Прво е слаба техничка безбедност под член 32. Второ се забранети прекугранични преноси под член 46. Трето е лоши ограничувања на податоците во AI системи.
Насоки на BfDI за AI и ограничувања на податоците
BfDI издал насоки во 2024 година кои ги надминуваат основните правила на GDPR. [ОЗНАЧЕНО: точниот обврзувачки статус на овие насоки не е потврден од јавните евиденции на BfDI — третирајте ги како силна регулаторна насока.]
Ограничувања на AI влез: Органот сака живи технички контроли, а не само писмена политика. Системите мора да ги пронајдат и отстранат или маскираат личните податоци пред да достигнат до AI модел. Политика која вели "персоналот треба да минимизира податоци" не го исполнува овој стандард.
Стандарди за маскирање: Насоките укажуваат на ISO/IEC 29101 како рамка за маскирање на податоци. Фирмите кои тврдат псевдонимизација по член 4(5) мора да покажат контроли на клучеви и чекори на поврат кои одговараат на овој стандард.
Евиденции по член 32: Инспекторите сакаат писмени спецификации. Тоа значи точни типови шифри, чекори на клучеви, правила за пристап и датуми на тестирање. Самото кажување "ги шифрираме податоците" не е доволно.
Специјални категории (член 9): За здравствени, биометриски, генетски и политички податоци, насоките бараат дневници за пристап, одделување на податоците и посилно маскирање отколку бара член 32.
Видете го нашиот водич за повеќејазична детекција на лични податоци за тоа како јазовите во детекцијата можат да влијаат на GDPR усогласеноста на германскиот пазар.
Четири технички чекори за усогласеност со BfDI
1. Регистар на евиденции по член 32
Водете писмен Регистар на технички мерки. Покрете ги овие области: типови шифри и чекори на клучеви, дизајн на контрола на пристап, алатки за маскирање и нивните поставувања, ревизорски дневници и датуми на тестирање. Германскиот DPA ова го бара во повеќето случаи. Имајте го подготвено пред да бидете прашани.
2. Филтер за AI влез
Додајте чекор за филтрирање за кој и да е систем каде персоналот или клиентите внесуваат лични податоци кои влегуваат во AI модел. Филтерот треба да ги фати имињата, телефонските броеви, ID броевите и здравствените податоци пред да поминат до моделот. Ова го исполнува техничкиот стандард за ограничување на BfDI. Исто така ја штити вашата фирма ако моделот складира или евидентира влезови.
3. Автоматско бришење по распоред
Случајот Deutsche Wohnen покажа дека лошото бришење само по себе е прекршување на GDPR. Задржувањето мора да работи на тајмер. Евиденциите поминати низ датумот на чување мора да се бришат или да се направат анонимни по распоред. Ад хок бришењето не го исполнува стандардот. Автоматизирајте го.
4. Одговор на прекршување за 72 часа
Бројот на известувања за прекршувања во Германија покажува дека ова е пазар активен во однос на усогласеноста. Вашиот план за инциденти мора да го достигне прозорецот од 72 часа. Тоа значи дека ви требаат алатки за да ги пронајдете засегнатите луѓе, да ги наброите изложените податоци и да ја процените веројатната штета навреме. Тестирајте го вашиот план пред да ви треба.
За поширок поглед на шаблоните на GDPR казни, видете го нашиот водич за GDPR казни за американски компании.
Кој државен орган се применува
За приватните фирми, релевантниот LfD е обично оној во државата каде е со седиште фирмата.
BayLDA (Баварија): Техничка безбедност и здравствени евиденции. Авто и здравствениот сектор на Баварија добиваат внимателно следење тука.
HmbBfDI (Хамбург): Прекугранични преноси и профилирање на корисници. Финансиските и медиумските фирми во Хамбург носат висок ризик тука.
BlnBfDI (Берлин): Алатки за надзор и мониторинг на персонал. Технолошката сцена во Берлин ги одржува AI алатките под преглед.
LDI NRW (Северна Рајна-Вестфалија): Финансии и програми за лојалност во малопродажба. Ова е најнаселената германска држава.
ULD SH (Шлезвиг-Холштајн): Согласност за колачиња и дигитален маркетинг. Овој орган е познат по водечките технички насоки.
Фирмите активни во неколку држави можат да го користат правилото за главно основање (член 56). Ова ги упатува случаите до органот во државата каде се донесуваат главните одлуки за обработка на ЕУ. Видете го нашиот водич за пакетна обработка на GDPR DSAR за тоа како ова влијае на работните текови со голем обем.
ISO 27001 и усогласеноста со BfDI
ISO 27001 блиско се совпаѓа со тоа што инспекторите на германскиот DPA го бараат. Ако вашата фирма е сертифицирана, користете ја таа документација за одговарање на барања за ревизија.
- Анекс A 8.11 (Маскирање на податоци): Ги покрива контролите за маскирање и анонимизација — ги исполнува потребите за евиденции по член 32
- Анекс A 8.24 (Употреба на криптографија): Ги покрива типовите шифри и чекорите на клучеви — ги исполнува потребите за евиденции за шифрирање
- Анекс A 8.15 (Евидентирање): Го покрива дизајнот на ревизорски дневник — ги поддржува потребите за дневник за пристап за чувствителни податоци
- Извештаи за ревизија на ISMS: Трето-страна доказ дека контролите постојат и работат
Германскиот DPA персонал го познава ISO 27001. Сертификацијата ви дава структуриран доказ за систематски контроли. Тоа е посилно од писмено тврдење без трето-страна преглед. Исто така ги забрзува ревизиите бидејќи форматот е познат на инспекторите.