Auf einen Blick
Deutschland hat strenge Datenschutzregeln. Der BfDI wacht über den Bund. Jedes Bundesland hat zudem eine eigene Aufsichtsbehörde. Die DSGVO gilt EU-weit. Das BDSG ergänzt sie national. Bußgelder reichen bis zu 20 Millionen Euro. Oder bis zu 4 Prozent vom Jahresumsatz. anonym.plus läuft nur auf Ihrem Gerät. Kein Dokument geht ins Netz. Keine Cloud ist im Spiel. Die App erkennt Steuer-ID, IBAN und mehr. Sie ersetzt, schwärzt oder verschlüsselt PII vor Ort. So entsteht kein Übermittlungsrisiko. Das spart Prüfaufwand. Das senkt Haftungsrisiko. Das hält Daten dort, wo sie hingehören: bei Ihnen.
Wer in Deutschland personenbezogene Daten verarbeitet, bewegt sich in einem besonders dicht regulierten Umfeld. Neben der DSGVO gilt zusätzlich das Bundesdatenschutzgesetz, und die Aufsicht liegt nicht bei einer einzigen Behörde, sondern bei 17 parallel zuständigen Stellen — dem Bund und den 16 Ländern. Für Unternehmen, Kanzleien, Praxen und Behörden bedeutet das: Dokumente mit Steuer-IDs, Sozialversicherungsnummern, IBANs oder Gesundheitsdaten müssen besonders sorgfältig behandelt werden, bevor sie archiviert, weitergegeben oder in externe Systeme — etwa KI-Anwendungen — eingespeist werden. Die folgenden Abschnitte zeigen, welche Behörden zuständig sind, welche deutschen Datenfelder anonym.plus zuverlässig erkennt, und warum eine rein lokale Verarbeitung die einfachste Antwort auf die deutschen Übermittlungsregeln ist.
Zuständige Datenschutzbehörden in Deutschland
Deutschland verteilt die DSGVO-Aufsicht auf eine föderale Struktur: eine Bundesbehörde und 16 eigenständige Landesbehörden.
BfDI — Bund
Behörde: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Zuständigkeit: Bundesbehörden, Telekommunikations- und Postdienstleister sowie weitere bundesunmittelbare öffentliche Stellen
Rechtsgrundlage: DSGVO in Verbindung mit dem Bundesdatenschutzgesetz (BDSG)
Bußgeldrahmen: bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO)
Landesdatenschutzbehörden
Struktur: Jedes der 16 Bundesländer unterhält eine eigene Aufsichtsbehörde für den privatwirtschaftlichen und landesöffentlichen Bereich
Zuständigkeit: Unternehmen, Vereine und öffentliche Stellen des jeweiligen Bundeslandes — also der Großteil aller privaten Datenverarbeitung in Deutschland
Beispiele: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Bayerisches Landesamt für Datenschutzaufsicht, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
Koordination: Abstimmung über die Datenschutzkonferenz (DSK) der Bundes- und Länderaufsichtsbehörden
BDSG — nationales Recht
Gesetz: Bundesdatenschutzgesetz (BDSG), zuletzt umfassend novelliert zur Ergänzung der DSGVO seit 25. Mai 2018
Funktion: Nutzt die Öffnungsklauseln der DSGVO — u. a. zu Beschäftigtendatenschutz, Datenschutzbeauftragten-Pflicht und Videoüberwachung
Praxisfolge: Deutsche Unternehmen müssen DSGVO und BDSG parallel einhalten, nicht nur die EU-Verordnung allein
Deutsche PII-Entitätstypen
anonym.plus erkennt über 340 PII-Entitätstypen — darunter die folgenden deutschen Identifikatoren, die generische, englischsprachige Tools regelmäßig übersehen.
| Entität | Format / Beschreibung | Hinweis zur Prüfung |
|---|---|---|
| Steuer-ID (steuerliche Identifikationsnummer) | 11-stellig, z. B. 12 345 678 901; wird jeder Person einmalig und lebenslang zugewiesen | Letzte Ziffer ist eine Prüfziffer; das genaue Prüfverfahren wird hier nicht spezifiziert |
| IBAN (deutsches Bankkonto) | 22 Zeichen: DE + 2 Prüfziffern + 8-stellige Bankleitzahl + 10-stellige Kontonummer | Prüfziffern nach dem international genormten IBAN-Verfahren (ISO 7064, MOD 97-10) |
| Personalausweisnummer | 10-stelliger alphanumerischer Code auf der Vorderseite des Personalausweises | Enthält eingebettete Prüfziffern; Format ohne Bindestriche |
| Krankenversicherungsnummer (Versichertennummer) | 10-stellig, ein Buchstabe gefolgt von neun Ziffern, gesetzliche Krankenversicherung | Bleibt lebenslang unverändert, enthält eine Prüfziffer |
| Sozialversicherungsnummer (Rentenversicherungsnummer) | 12-stellig; enthält u. a. das Geburtsdatum und den Anfangsbuchstaben des Geburtsnamens sowie eine Prüfziffer | Format ist gesetzlich in § 147 SGB VI geregelt |
| Handelsregisternummer | z. B. HRB 12345 oder HRA 6789 plus zuständiges Amtsgericht | Reines Format-Matching, kein Prüfzifferverfahren |
| Kfz-Kennzeichen | Unterscheidungszeichen der Zulassungsbehörde + Buchstaben + Ziffern, z. B. B-AB 1234 | Regelbasiertes Muster je nach Landkreis-Kürzel |
| Telefonnummer / E-Mail-Adresse | Deutsche Rufnummernformate (+49) sowie Standard-E-Mail-Syntax | Regex- und Kontextprüfung |
| Postanschrift | Straße, Hausnummer, 5-stellige Postleitzahl, Ort | NLP-gestützte Erkennung mit Ortsverzeichnis-Abgleich |
Vorher/Nachher: Anonymisierung in der Praxis
Ein Beispielsatz, wie er in Rechnungen, Personalakten oder Formularen vorkommt — vor und nach der lokalen Anonymisierung durch anonym.plus.
Zentrale DSGVO-Vorschriften für die Anonymisierung
Art. 4 Abs. 1 — Personenbezogene Daten
Definiert, was als personenbezogenes Datum gilt: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Definition entscheidet, ob ein Dokument überhaupt der DSGVO unterliegt.
Art. 5 Abs. 1 lit. c — Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen und auf das notwendige Maß beschränkt sein. Anonymisierung vor der Weitergabe an Dritte oder an KI-Systeme ist eine direkte Umsetzung dieses Grundsatzes.
Art. 9 — Besondere Kategorien personenbezogener Daten
Gesundheitsdaten, biometrische Daten und weitere sensible Kategorien unterliegen einem grundsätzlichen Verarbeitungsverbot mit engen Ausnahmen. Krankenversicherungsnummern und Gesundheitsangaben in Dokumenten fallen typischerweise hierunter.
Art. 17 — Recht auf Löschung
Betroffene können die Löschung ihrer Daten verlangen. Eine wirksame, irreversible Anonymisierung erfüllt diese Anforderung oft gleichwertig, wenn eine vollständige Löschung technisch nicht praktikabel ist.
Art. 32 — Sicherheit der Verarbeitung
Verlangt geeignete technische und organisatorische Maßnahmen entsprechend dem Risiko — Pseudonymisierung und Verschlüsselung werden in Art. 32 Abs. 1 lit. a ausdrücklich als Beispielmaßnahmen genannt.
Art. 44–49 — Übermittlung in Drittländer
Regeln, unter welchen Voraussetzungen personenbezogene Daten außerhalb der EU/des EWR verarbeitet werden dürfen — Angemessenheitsbeschluss, Standardvertragsklauseln oder Ausnahmetatbestände. Genau dieses Kapitel entfällt, wenn keine Übermittlung stattfindet.
Der Offline-Vorteil: Keine Übermittlung, kein Risiko
„Es gibt keine Übermittlungsfrage — die Daten verlassen Ihr Gerät nie.“
Der BfDI und die 16 Landesdatenschutzbehörden beschränken die grenzüberschreitende Datenübermittlung streng und verlangen konsequente Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Cloud-basierte PII-Tools müssen genau deshalb Angemessenheitsbeschlüsse, Standardvertragsklauseln oder Auftragsverarbeitungsverträge prüfen, bevor ein Dokument die eigene Infrastruktur verlässt.
anonym.plus kann diese Übermittlungsregeln gar nicht erst verletzen — weil kein Dokument das Gerät verlässt. Die gesamte Erkennung und Anonymisierung läuft lokal: Presidio + spaCy sind im Installer gebündelt, es gibt keine API-Aufrufe zur Texterkennung, und ein unabhängiger Penetrationstest (März 2026) bestätigte null ausgehende Netzwerkaufrufe während der Verarbeitung. Wo verschlüsselt wird, geschieht dies lokal mit AES-256-GCM — der Schlüssel bleibt bei Ihnen.
Das Ergebnis: keine Auftragsverarbeitungsvereinbarung, keine Prüfung von Drittlandtransfers, kein Cloud-Anbieter in der Kette. Nur die App, das Dokument und Ihr Gerät.
Jetzt starten
anonym.plus als Desktop-App für Windows, macOS und Linux herunterladen. Kostenloser Einstiegsplan verfügbar, Einmallizenzen ohne Abo ab 149 €.