BfDI Німеччина: відповідність GDPR для технічних команд
Оновлено для 2026 року.
У Німеччині є 17 органів захисту даних. Один із них — федеральний BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit). Інші 16 — земельні органи, які називаються Landesdatenschutzbehörden (LfD). Жодна інша країна ЄС не працює таким чином.
Таке розмежування пояснюється федеральним устроєм Німеччини. Землі мають повноваження щодо нагляду за приватним сектором. BfDI охоплює федеральні державні органи та деякі компанії, що діють у кількох землях. Кожний LfD відповідає за приватні компанії у своїй землі. Баварський BayLDA застосовується до фірм у Мюнхені. Гамбурзький HmbBfDI — до фірм у Гамбурзі. Берлінський BlnBfDI — до фірм у Берліні.
Компанія, що має офіси в кількох землях, повинна з'ясувати, який орган є компетентним. Це не завжди просто. Фірми, що обслуговують федеральних клієнтів і мають офіси в двох землях, можуть одночасно мати справу як із BfDI, так і з LfD.
Показники правозастосування в Німеччині
У 2024 році Німеччина подала 27 829 повідомлень про порушення. Це більше, ніж будь-яка інша країна-член ЄС. Це приблизно 31% від усіх повідомлень про порушення в ЄС за той рік (дані EDPB за 2024 рік). Висока кількість свідчить про активну культуру звітності. Це не означає, що в Німеччині більше порушень, ніж в інших країнах.
Загальна сума штрафів від BfDI та LfD склала близько 160 мільйонів євро за період 2018–2024 років (GDPR Enforcement Tracker). Три справи є показовими:
- Deutsche Wohnen — 14,5 млн євро (2020): Недоліки систем видалення. Ця справа показала, що зберігання даних є технічним обов'язком, а не просто адміністративним.
- 1&1 Telecom — 9,55 млн євро (2020): Слабка ідентифікація клієнтів. Штраф було зменшено за апеляцією.
- Компанії у сфері охорони здоров'я та страхування: Кілька штрафів за порушення правил безпеки за статтею 32.
У щорічних звітах німецьких OЗД найчастіше фігурують три теми. Перша — слабка технічна безпека за статтею 32. Друга — заборонені транскордонні передачі за статтею 46. Третя — недостатнє обмеження даних у системах ШІ.
Настанови BfDI щодо ШІ та обмеження даних
BfDI видав настанови у 2024 році, що виходять за межі базових правил GDPR. [ПРИМІТКА: точний обов'язковий статус цих настанов не підтверджений з публічних записів BfDI — слід трактувати як вагомий регуляторний напрям.]
Обмеження вхідних даних для ШІ: Орган очікує живих технічних засобів контролю, а не просто письмових політик. Системи мають знаходити й видаляти або маскувати персональні дані ще до їх потрапляння до моделі ШІ. Політика, яка зобов'язує персонал мінімізувати дані, не відповідає цьому стандарту.
Стандарти маскування: Настанови посилаються на ISO/IEC 29101 як на рамку для маскування даних. Компанії, що заявляють про псевдонімізацію за статтею 4(5), повинні демонструвати засоби контролю ключів і кроки відновлення, що відповідають цьому стандарту.
Записи за статтею 32: Інспектори хочуть бачити письмові специфікації. Це означає точні типи шифрів, кроки управління ключами, правила доступу та дати тестування. Одного твердження «ми шифруємо дані» недостатньо.
Спеціальні категорії (стаття 9): Для даних про здоров'я, біометричних, генетичних і політичних даних настанови вимагають журналів доступу, поділу даних і більш суворого маскування, ніж передбачає стаття 32.
Читайте наш посібник з багатомовного виявлення ПДн про те, як прогалини у виявленні можуть впливати на відповідність GDPR на німецькому ринку.
Чотири технічних кроки для відповідності вимогам BfDI
1. Реєстр технічних заходів за статтею 32
Ведіть письмовий Реєстр технічних заходів. Охопіть такі сфери: типи шифрів і кроки управління ключами, структуру контролю доступу, інструменти маскування та їх налаштування, журнали аудиту та дати тестування. Німецькі OЗД запитують це в більшості справ. Майте реєстр готовим до того, як вас про це попросять.
2. Фільтр вхідних даних для ШІ
Додайте крок фільтрації для будь-якої системи, де персонал або клієнти вводять персональні дані, що потрапляють до моделі ШІ. Фільтр має перехоплювати імена, номери телефонів, ідентифікаційні номери та медичні дані до їх передачі до моделі. Це відповідає стандарту технічного обмеження BfDI. Це також захищає вашу компанію, якщо модель зберігає або записує вхідні дані.
3. Автоматичне видалення за розкладом
Справа Deutsche Wohnen показала: недоліки у видаленні самі по собі є порушенням GDPR. Зберігання має працювати за таймером. Записи, термін зберігання яких минув, мають видалятися або знеособлюватися за розкладом. Разове видалення не відповідає стандарту. Автоматизуйте його.
4. Реагування на порушення протягом 72 годин
Кількість повідомлень про порушення в Німеччині свідчить про те, що це ринок з активним правозастосуванням. Ваш план реагування на інциденти має вкластися у 72-годинне вікно. Це означає наявність інструментів для виявлення постраждалих осіб, переліку розкритих даних та оцінки ймовірної шкоди вчасно. Перевіряйте свій план до того, як він вам знадобиться.
Для ширшого огляду тенденцій штрафів GDPR читайте наш посібник зі штрафів GDPR для американських компаній.
Який земельний орган є компетентним
Для приватних компаній відповідним LfD зазвичай є той, що знаходиться в землі, де розташована компанія.
BayLDA (Баварія): Технічна безпека та медичні записи. Автомобільний та медичний сектори Баварії перебувають тут під пильною увагою.
HmbBfDI (Гамбург): Транскордонні передачі та профілювання користувачів. Фінансові та медіакомпанії Гамбурга несуть тут підвищений ризик.
BlnBfDI (Берлін): Інструменти стеження та моніторинг персоналу. Берлінська технологічна сцена тримає інструменти ШІ під постійним наглядом.
LDI NRW (Північний Рейн-Вестфалія): Фінанси та програми лояльності в роздрібній торгівлі. Це найбільш населена земля Німеччини.
ULD SH (Шлезвіг-Гольштейн): Згода на cookie та цифровий маркетинг. Цей орган відомий своїми провідними технічними настановами.
Компанії, що діють у кількох землях, можуть скористатися правилом основного місця знаходження (стаття 56). Воно спрямовує справи до органу в тій землі, де приймаються основні рішення щодо обробки в ЄС. Читайте наш посібник з пакетної обробки DSAR за GDPR про те, як це впливає на робочі процеси з великими обсягами.
ISO 27001 та відповідність вимогам BfDI
ISO 27001 тісно пов'язаний із тим, що запитують інспектори німецьких OЗД. Якщо ваша компанія сертифікована, використовуйте цю документацію для відповіді на запити аудиторів.
- Додаток A 8.11 (Маскування даних): Охоплює засоби маскування та анонімізації — відповідає потребам записів за статтею 32
- Додаток A 8.24 (Використання криптографії): Охоплює типи шифрів і управління ключами — відповідає потребам записів про шифрування
- Додаток A 8.15 (Журналювання): Охоплює структуру журналів аудиту — підтримує потреби журналів доступу для чутливих даних
- Звіти аудиту СУІБ: Стороннє підтвердження того, що засоби контролю існують і працюють
Співробітники німецьких OЗД знайомі з ISO 27001. Сертифікація дає вам структурований доказ систематичних засобів контролю. Це сильніше, ніж письмове твердження без стороннього перегляду. Це також прискорює аудити, оскільки формат знайомий інспекторам.