DSGVO + BDSG — Deutschland

DSGVO-Compliance-Dashboard — BfDI-Konformität

Das Bundesdatenschutzgesetz (BDSG) konkretisiert die DSGVO für den deutschen Kontext. Unternehmen unterliegen strengen DSB-Pflichten, Verarbeitungsverzeichnissen und BfDI-Audits. Anonymisieren Sie personenbezogene Daten — Steuer-ID, SVN, Personalausweis und 285+ weitere Entitätstypen — und erbringen Sie den Nachweis gegenüber der Behörde.

Compliance starten Zurück

BfDI & BDSG — Deutsche Datenschutzbehörde

🏛️ Bundesbeauftragte für Datenschutz (BfDI)

  • Zuständigkeit: Bundesbehörden + regulierte Sektoren (Post, TK)
  • Sitz: Bonn, Deutschland
  • Bußgeld (DSGVO): bis zu 20 Mio. EUR oder 4% Jahresumsatz
  • Bußgeld (BDSG): bis zu 300.000 EUR (§ 43 BDSG)
  • Landesbehörden: 16 Landesdatenschutzbehörden für Privatwirtschaft

📋 BDSG — Spezifische Anforderungen

  • § 38: DSB-Pflicht ab 20 Beschäftigten mit automatisierter Verarbeitung
  • § 26: Beschäftigtendatenschutz (Sonderregelung)
  • § 22: Besondere Kategorien mit strengeren Anforderungen
  • § 43: Bußgeldtatbestände (bis 300.000 EUR)
  • § 4: Videoüberwachung öffentlich zugänglicher Räume

📁 Verzeichnis von Verarbeitungstätigkeiten (VVT)

  • Pflicht für alle Unternehmen > 250 Mitarbeiter
  • Auch kleinere, wenn Verarbeitung Risiken birgt
  • Inhalt: Zweck, Kategorien, Empfänger, Speicherfristen
  • Anonymisierte Verarbeitungen: vereinfachte Dokumentation
  • Auf Anfrage dem BfDI vorzulegen

⚖️ Datenschutz-Folgenabschätzung (DSFA)

  • Pflicht bei hohem Risiko (Art. 35 DSGVO)
  • BfDI-Positionsliste: Pflicht-DSFAs in Deutschland
  • Biometrische Daten, Gesundheitsdaten, Scoring
  • Anonymisierung reduziert Risikoniveau — DSFA oft entbehrlich
  • Muster-DSFA-Vorlagen für DSBs verfügbar

Deutsche PII-Entitätstypen — 285+ erkannte Typen

Alle deutschen Identifikatoren im anonym.legal-Analyseengine

Entität Code Format / Beschreibung Validierung
Steuerliche Identifikationsnummer DE_TAX_ID 11-stellig, z.B. 12 345 678 901 Modulus 10 + Prüfziffer
Sozialversicherungsnummer DE_SVN 10-stellig, z.B. 12 345 678 90 Format AABBCCDDDE
Personalausweis DE_ID_CARD 10 Zeichen, z.B. T22000129 Prüfziffer (ICAO TD3)
Gesundheitskarte (eGK) DE_HEALTH_INSURANCE 10-stellige Versichertennummer GKV-Format + Prüfziffer
Reisepass DE_PASSPORT 9 Zeichen, z.B. C01X00T478 Prüfziffer (ICAO)
Führerschein DE_DRIVER_LICENSE 2–3 Buchstaben + 5–10 Ziffern Regex + Format-Norm
Handelsregisternummer DE_HANDELSREGISTER HRA/HRB + Ziffern, z.B. HRB 12345 B Regex + Amtsgericht-Code
Kfz-Kennzeichen DE_LICENSE_PLATE z.B. B-AB 1234, MUC-XY 999 Regex + Kreiszeichen-Liste

DSGVO-Audit-Checkliste für Deutschland

BfDI-Checkliste: Anonymisierungsnachweis

  • ✓ Verarbeitungsverzeichnis (VVT) vollständig und aktuell
  • ✓ Anonymisierungsmaßnahmen im VVT dokumentiert
  • ✓ Technische und organisatorische Maßnahmen (TOMs) nach Art. 32
  • ✓ Datenschutzbeauftragte(r) (DSB) benannt und gemeldet
  • ✓ Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern
  • ✓ Datenpannen-Meldeprozess (72h-Frist) dokumentiert
  • ✓ DSFA für Hochrisikoverarbeitungen durchgeführt
  • ✓ Löschkonzept mit Fristen für alle Datenkategorien
  • ✓ Betroffenenrechte-Prozess (Auskunft, Löschung, Berichtigung)
  • ✓ Einwilligungsmanagement und Widerrufsprozess
  • ✓ Drittlandtransfers: SCCs oder Angemessenheitsbeschluss
  • ✓ Pseudonymisierung / Anonymisierung als Schutzmaßnahme belegt

Verwenden Sie den anonym.legal-419-Test-Bericht als technischen Nachweis gegenüber dem BfDI.

Anwendungsfall: Steuer-ID und SVN anonymisieren

Vor der Anonymisierung (nicht DSGVO-konform)

Max Mustermann, Steuer-ID 12 345 678 901, SVN 12 345 678 90.
Personalausweis: T22000129. Führerschein: K0215R5U18.
HRB 54321 B, Kfz: B-AB 1234. Krankenkasse: AOK Nr. 1234567890.

⚠ Unkompliant: personenbezogene Daten mehrerer Kategorien offen

Nach der Anonymisierung (Art. 4 Nr. 5 DSGVO)

[PERSON], Steuer-ID [DE_TAX_ID], SVN [DE_SVN].
Personalausweis: [DE_ID_CARD]. Führerschein: [DE_DRIVER_LICENSE].
[DE_HANDELSREGISTER], Kfz: [DE_LICENSE_PLATE]. Krankenkasse: [DE_HEALTH_INSURANCE].

✓ Art. 4 Nr. 5 DSGVO: Identifikation natürlicher Personen nicht mehr möglich — kein personenbezogenes Datum

Live testen

DSB-Pflichten — Datenschutzbeauftragte (§ 38 BDSG)

Wann ist ein DSB erforderlich?

  • ≥ 20 Beschäftigte mit automatisierter Datenverarbeitung
  • Verarbeitung besonderer Kategorien (Art. 9)
  • Umfangreiche Profilerstellung oder Videoüberwachung
  • Öffentliche Stellen: immer
  • Freiwillig jederzeit möglich — empfohlen

Aufgaben des DSB

  • Informierung und Beratung der Verantwortlichen
  • Überwachung der Einhaltung von DSGVO + BDSG
  • Ansprechpartner für Betroffene und Behörden
  • Mitwirkung bei DSFA-Verfahren
  • Unabhängigkeit: keine Interessenkonflikte (§ 38 Abs. 6)

BfDI-Meldung des DSB

  • Name und Kontaktdaten an BfDI melden (Art. 37 Abs. 7)
  • Interne Benennung vor externer Meldung
  • Amtszeit: Mindestkündigungsschutz (§ 38 Abs. 2)
  • Abberufung nur aus wichtigem Grund

BfDI-Berichterstattung

  • Tätigkeitsberichte: jährlich veröffentlicht
  • Aktuelle Schwerpunkte: KI-Systeme, Profiling, Cloud
  • DSBs sollten BfDI-Empfehlungen aktiv umsetzen
  • BfDI-Leitfäden zur Anonymisierung als Referenz nutzen

Häufige Herausforderungen für deutsche Unternehmen

🔴 Englische DLP-Tools erkennen deutsche IDs nicht

Globale DLP-Lösungen fokussieren auf US/UK-Identifikatoren. Steuer-ID (11-stellig), SVN (10-stellig) und Handelsregisternummern werden regelmäßig nicht erkannt.

Lösung: Lokale KI-Modelle mit deutschem NLP und Prüfziffer-Validierung.

🔴 BfDI-Audits und unzureichende Nachweise

BfDI/LDA-Audits decken regelmäßig unzureichend anonymisierte Daten in Backups, Testdatenbanken und Drittanbieter-Konfigurationen auf. Fehlende technische Nachweise sind ein häufiger Bußgeldgrund.

Lösung: 419/419 Testbericht als Compliance-Nachweis für Prüfer.

🔴 BDSG-Beschäftigtendatenschutz

§ 26 BDSG regelt die Verarbeitung von Mitarbeiterdaten streng. HR-Systeme, Bewerbermanagementsysteme und Leistungsbewertungen enthalten häufig nicht ausreichend anonymisierte PII.

Lösung: Batch-Anonymisierung von HR-Exporten vor Archivierung oder Drittlandtransfer.

🔴 72-Stunden-Meldepflicht (Art. 33)

Bei Datenpannen müssen Unternehmen innerhalb von 72 Stunden an die Landesbehörde melden. Ohne automatisierte PII-Erkennung ist die Schadensbewertung in dieser Zeit kaum möglich.

Lösung: Regelmäßige Batch-Scans minimieren PII-Exposition und beschleunigen die Pannenbewertung.

Demo ansehen

Sehen Sie, wie anonym.legal PII in Echtzeit erkennt und anonymisiert

DSGVO-Konformität in 3 Schritten

Erkennung → Anonymisierung → Audit. CSV hochladen, Steuer-ID, SVN, Personalausweis und 285+ Entitätstypen scannen. Anonymisierte Daten herunterladen. Keine Cloud-Speicherung.

Kostenlos starten

Also from anonym.legal

EU DPA Coverage → Enterprise DLP → HIPAA Compliance → Anonymization Platform →

Frequently Asked Questions

Das Verarbeitungsverzeichnis nach DSGVO Art. 30 dokumentiert alle Datenverarbeitungsaktivitäten. anonym.legal hilft dabei, personenbezogene Daten in Ihren Systemen zu identifizieren und zu katalogisieren — ein kritischer Schritt für ein vollständiges Verarbeitungsverzeichnis.

Die DSFA nach Art. 35 DSGVO bewertet die Risiken einer Datenverarbeitung für die Rechte natürlicher Personen. Sie ist Pflicht bei Profiling, großflächiger Überwachung oder Verarbeitung sensibler Daten. anonym.legal liefert die technischen Nachweise für Ihre DSFA.