anonym.legal

By · Last updated 2026-06-05

Terug naar BlogGDPR & Naleving

BfDI Duitsland: DPA Compliancegids

Duitsland diende in 2024 27.829 AVG-inbreuknotificaties in — meer dan enige andere EU-lidstaat. Dit is wat de handhavingsfocus van de BfDI betekent voor technische PII-controles.

June 5, 20268 min lezen
BfDI GermanyGerman GDPRdata breach notificationLandesdatenschutzbehördeGerman DPA

BfDI Duitsland: AVG-Compliance Voor Technische Teams

Bijgewerkt voor 2026

Duitsland heeft 17 gegevensbeschermingsinstanties. Eén is de federale BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). De andere 16 zijn deelstaat-instanties genaamd Landesdatenschutzbehörden (LfD). Geen ander EU-land werkt op deze manier.

De splitsing komt voort uit Duitslands federale structuur. Deelstaten hebben de bevoegdheid over toezicht op de particuliere sector. De BfDI dekt federale publieke instanties en sommige cross-state bedrijven. Elke LfD dekt particuliere bedrijven in zijn eigen deelstaat. Bayern's BayLDA geldt voor in München gevestigde bedrijven. Hamburg's HmbBfDI geldt voor in Hamburg gevestigde bedrijven. Berlijn's BlnBfDI dekt Berlijnse bedrijven.

Een bedrijf met vestigingen in meerdere deelstaten moet uitzoeken welke instantie bevoegd is. Dat is niet altijd gemakkelijk. Bedrijven die federale cliënten bedienen en vestigingen in twee deelstaten hebben, werken mogelijk tegelijkertijd met zowel de BfDI als een LfD.

Duitslands Handhavingscijfers

Duitsland diende in 2024 27.829 inbreukrapportages in. Dat was meer dan enige andere EU-lidstaat. Het vertegenwoordigde ongeveer 31% van alle EU-inbreukrapportages dat jaar (EDPB 2024-data). Het hoge aantal toont een actieve rapportencultuur. Het betekent niet dat Duitsland meer inbreuken heeft dan andere landen.

Totale boetes van de BfDI en LfD's bedroegen ongeveer €160 miljoen tussen 2018 en 2024 (GDPR Enforcement Tracker). Drie zaken vallen op:

  • Deutsche Wohnen — €14,5M (2020): Slechte verwijderingssystemen. Deze zaak toonde aan dat dataretentie een technische plicht is, niet alleen een administratieve taak.
  • 1&1 Telecom — €9,55M (2020): Zwakke klant-ID-controles. De boete werd na beroep verminderd.
  • Zorg- en verzekeringsbedrijven: Meerdere boetes voor het niet naleven van artikel 32-beveiligingsregels.

Drie thema's komen het meest voor in jaarlijkse rapporten van de Duitse DPA. Het eerste is zwakke technische beveiliging onder artikel 32. Het tweede zijn verboden grensoverschrijdende overdrachten onder artikel 46. Het derde zijn slechte datalimieten in AI-systemen.

BfDI-Leidraad Over AI En Datalimieten

De BfDI publiceerde in 2024 leidraad die verder gaat dan de basisregels van de AVG. [GEMARKEERD: de exacte bindende status van deze leidraad is niet bevestigd vanuit publieke BfDI-dossiers — behandel als sterke regulatoire richting.]

AI-invoerlimieten: De instantie wil live technische controles, niet alleen schriftelijk beleid. Systemen moeten persoonsgegevens vinden en verwijderen of maskeren vóór het een AI-model bereikt. Een beleid dat medewerkers vertelt data te minimaliseren voldoet niet aan deze norm.

Maskeringsnormen: De leidraad wijst naar ISO/IEC 29101 als kader voor het maskeren van data. Bedrijven die aanspraak maken op artikel 4(5) pseudonimisering moeten sleutelcontroles en terugkeersstappen aantonen die overeenkomen met deze norm.

Artikel 32-records: Inspecteurs willen schriftelijke specificaties. Dat betekent exacte coderingstypen, sleutelstappen, toegangsregels en testdatums. Alleen zeggen "we versleutelen data" is op zichzelf niet voldoende.

Bijzondere categorieën (art. 9): Voor gezondheids-, biometrische, genetische en politieke data vereist de leidraad toegangslogs, dataseparatie en sterkere maskering dan artikel 32 vereist.

Zie onze meertalige PII-detectiegids voor hoe detectielacunes AVG-naleving op de Duitse markt kunnen beïnvloeden.

Vier Technische Stappen Voor BfDI-Compliance

1. Artikel 32-recordsregister

Houd een schriftelijk Technische Maatregelen-register bij. Dek deze gebieden: coderingstypen en sleutelstappen, toegangscontrol-ontwerp, maskeringstools en hun instellingen, auditlogs en testdatums. Duitse DPA's vragen hierom in de meeste gevallen. Zorg dat het klaar is vóór u wordt gevraagd.

2. AI-invoerfilter

Voeg een filterstap toe voor elk systeem waarbij medewerkers of klanten persoonsgegevens typen die in een AI-model worden gevoerd. Het filter moet namen, telefoonnummers, ID-nummers en gezondheidsdata onderscheppen vóór ze naar het model gaan. Dit voldoet aan de BfDI technische limiet-norm. Het beschermt ook uw bedrijf als het model invoer opslaat of logt.

3. Automatisch verwijderen op schema

De Deutsche Wohnen-zaak toonde aan dat slechte verwijdering op zichzelf een AVG-inbreuk is. Retentie moet op een timer draaien. Records voorbij hun bewaardatum moeten op schema worden verwijderd of anoniem gemaakt. Ad-hoc verwijdering voldoet niet aan de norm. Automatiseer het.

4. 72-uur inbreukrespons

Het inbreukrapportcijfer van Duitsland toont dat dit een compliance-actieve markt is. Uw incidentplan moet het 72-uur venster halen. Dat betekent dat u de tools nodig heeft om getroffen personen te vinden, de blootgestelde data op te sommen en waarschijnlijke schade in tijd te beoordelen. Test uw plan vóór u het nodig heeft.

Voor een breder overzicht van AVG-boetepatronen, zie onze AVG-boetegids voor US-bedrijven.

Welke Deelstaatinstantie Van Toepassing Is

Voor particuliere bedrijven is de relevante LfD doorgaans die in de deelstaat waar het bedrijf is gevestigd.

BayLDA (Beieren): Technische beveiliging en gezondheidsrecords. De auto- en zorgsectoren van Beieren krijgen hier nauwlettend aandacht.

HmbBfDI (Hamburg): Grensoverschrijdende overdrachten en gebruikersprofilering. De financiële en mediabedrijven van Hamburg dragen hier hoog risico.

BlnBfDI (Berlijn): Bewakingstools en personeelsmonitoring. De techscene van Berlijn houdt AI-tools onder beoordeling.

LDI NRW (Noordrijn-Westfalen): Financiën en retail-loyaliteitsprogramma's. Dit is Duitslands meest bevolkte deelstaat.

ULD SH (Sleeswijk-Holstein): Cookie-toestemming en digitale marketing. Deze instantie staat bekend om het leiden van technische leidraad.

Bedrijven actief in meerdere deelstaten kunnen de hoofdvestigingsregel (artikel 56) gebruiken. Dit leidt zaken naar de instantie in de deelstaat waar de belangrijkste EU-verwerkingsbeslissingen worden genomen. Zie onze AVG DSAR-batchverwerkingsgids voor hoe dit hoge-volume workflows beïnvloedt.

ISO 27001 En BfDI-Afstemming

ISO 27001 sluit nauw aan bij wat Duitse DPA-inspecteurs vragen. Als uw bedrijf is gecertificeerd, gebruik dan die documentatie om op auditverzoeken te reageren.

  • Bijlage A 8.11 (Datamaskering): Dekt maskerings- en anonimiseringscontroles — voldoet aan artikel 32-recordbehoeften
  • Bijlage A 8.24 (Gebruik van cryptografie): Dekt coderingstypen en sleutelstappen — voldoet aan versleutelingsrecordbehoeften
  • Bijlage A 8.15 (Logging): Dekt auditlogontwerp — ondersteunt toegangslogbehoeften voor gevoelige data
  • ISMS-auditrapporten: Derdenpartijbewijs dat controles bestaan en werken

Duits DPA-personeel kent ISO 27001. Certificering geeft u gestructureerd bewijs van systematische controles. Dat is sterker dan een schriftelijke bewering zonder derdenpartijbeoordeling. Het versnelt ook audits omdat het formaat vertrouwd is bij inspecteurs.

Bronnen

Gerelateerde Artikelen

GDPR & Naleving

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Naleving

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Naleving

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Klaar om uw gegevens te beschermen?

Begin met het anonimiseren van PII met 285+ entiteitstypen in 48 talen.

Start Gratis ProefperiodeBekijk Kenmerken

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.