🇩🇪 Deutschland

Deutschland: PII-Anonymisierung, die niemals das Gerät verlässt

DSGVO- und BDSG-konforme Erkennung deutscher Datenfelder — Steuer-ID, IBAN, Personalausweisnummer, Sozialversicherungsnummer — vollständig offline, ohne Cloud, ohne Upload.

Auf einen Blick

Deutschland hat strenge Datenschutzregeln. Der BfDI wacht über den Bund. Jedes Bundesland hat zudem eine eigene Aufsichtsbehörde. Die DSGVO gilt EU-weit. Das BDSG ergänzt sie national. Bußgelder reichen bis zu 20 Millionen Euro. Oder bis zu 4 Prozent vom Jahresumsatz. anonym.plus läuft nur auf Ihrem Gerät. Kein Dokument geht ins Netz. Keine Cloud ist im Spiel. Die App erkennt Steuer-ID, IBAN und mehr. Sie ersetzt, schwärzt oder verschlüsselt PII vor Ort. So entsteht kein Übermittlungsrisiko. Das spart Prüfaufwand. Das senkt Haftungsrisiko. Das hält Daten dort, wo sie hingehören: bei Ihnen.

Wer in Deutschland personenbezogene Daten verarbeitet, bewegt sich in einem besonders dicht regulierten Umfeld. Neben der DSGVO gilt zusätzlich das Bundesdatenschutzgesetz, und die Aufsicht liegt nicht bei einer einzigen Behörde, sondern bei 17 parallel zuständigen Stellen — dem Bund und den 16 Ländern. Für Unternehmen, Kanzleien, Praxen und Behörden bedeutet das: Dokumente mit Steuer-IDs, Sozialversicherungsnummern, IBANs oder Gesundheitsdaten müssen besonders sorgfältig behandelt werden, bevor sie archiviert, weitergegeben oder in externe Systeme — etwa KI-Anwendungen — eingespeist werden. Die folgenden Abschnitte zeigen, welche Behörden zuständig sind, welche deutschen Datenfelder anonym.plus zuverlässig erkennt, und warum eine rein lokale Verarbeitung die einfachste Antwort auf die deutschen Übermittlungsregeln ist.

Zuständige Datenschutzbehörden in Deutschland

Deutschland verteilt die DSGVO-Aufsicht auf eine föderale Struktur: eine Bundesbehörde und 16 eigenständige Landesbehörden.

BfDI — Bund

Behörde: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Zuständigkeit: Bundesbehörden, Telekommunikations- und Postdienstleister sowie weitere bundesunmittelbare öffentliche Stellen

Rechtsgrundlage: DSGVO in Verbindung mit dem Bundesdatenschutzgesetz (BDSG)

Bußgeldrahmen: bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 DSGVO)

Landesdatenschutzbehörden

Struktur: Jedes der 16 Bundesländer unterhält eine eigene Aufsichtsbehörde für den privatwirtschaftlichen und landesöffentlichen Bereich

Zuständigkeit: Unternehmen, Vereine und öffentliche Stellen des jeweiligen Bundeslandes — also der Großteil aller privaten Datenverarbeitung in Deutschland

Beispiele: Berliner Beauftragte für Datenschutz und Informationsfreiheit, Bayerisches Landesamt für Datenschutzaufsicht, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit

Koordination: Abstimmung über die Datenschutzkonferenz (DSK) der Bundes- und Länderaufsichtsbehörden

BDSG — nationales Recht

Gesetz: Bundesdatenschutzgesetz (BDSG), zuletzt umfassend novelliert zur Ergänzung der DSGVO seit 25. Mai 2018

Funktion: Nutzt die Öffnungsklauseln der DSGVO — u. a. zu Beschäftigtendatenschutz, Datenschutzbeauftragten-Pflicht und Videoüberwachung

Praxisfolge: Deutsche Unternehmen müssen DSGVO und BDSG parallel einhalten, nicht nur die EU-Verordnung allein

Deutsche PII-Entitätstypen

anonym.plus erkennt über 340 PII-Entitätstypen — darunter die folgenden deutschen Identifikatoren, die generische, englischsprachige Tools regelmäßig übersehen.

EntitätFormat / BeschreibungHinweis zur Prüfung
Steuer-ID (steuerliche Identifikationsnummer)11-stellig, z. B. 12 345 678 901; wird jeder Person einmalig und lebenslang zugewiesenLetzte Ziffer ist eine Prüfziffer; das genaue Prüfverfahren wird hier nicht spezifiziert
IBAN (deutsches Bankkonto)22 Zeichen: DE + 2 Prüfziffern + 8-stellige Bankleitzahl + 10-stellige KontonummerPrüfziffern nach dem international genormten IBAN-Verfahren (ISO 7064, MOD 97-10)
Personalausweisnummer10-stelliger alphanumerischer Code auf der Vorderseite des PersonalausweisesEnthält eingebettete Prüfziffern; Format ohne Bindestriche
Krankenversicherungsnummer (Versichertennummer)10-stellig, ein Buchstabe gefolgt von neun Ziffern, gesetzliche KrankenversicherungBleibt lebenslang unverändert, enthält eine Prüfziffer
Sozialversicherungsnummer (Rentenversicherungsnummer)12-stellig; enthält u. a. das Geburtsdatum und den Anfangsbuchstaben des Geburtsnamens sowie eine PrüfzifferFormat ist gesetzlich in § 147 SGB VI geregelt
Handelsregisternummerz. B. HRB 12345 oder HRA 6789 plus zuständiges AmtsgerichtReines Format-Matching, kein Prüfzifferverfahren
Kfz-KennzeichenUnterscheidungszeichen der Zulassungsbehörde + Buchstaben + Ziffern, z. B. B-AB 1234Regelbasiertes Muster je nach Landkreis-Kürzel
Telefonnummer / E-Mail-AdresseDeutsche Rufnummernformate (+49) sowie Standard-E-Mail-SyntaxRegex- und Kontextprüfung
PostanschriftStraße, Hausnummer, 5-stellige Postleitzahl, OrtNLP-gestützte Erkennung mit Ortsverzeichnis-Abgleich

Vorher/Nachher: Anonymisierung in der Praxis

Ein Beispielsatz, wie er in Rechnungen, Personalakten oder Formularen vorkommt — vor und nach der lokalen Anonymisierung durch anonym.plus.

Original
Rechnung für Max Mustermann, Steuer-ID 12 345 678 901, IBAN DE89 3704 0044 0532 0130 00, wohnhaft in 10115 Berlin. Versichertennummer: A123456789.
↓ lokal, auf dem Gerät ↓
Anonymisiert
Rechnung für [NAME], Steuer-ID [TAX_ID], IBAN [IBAN], wohnhaft in [POSTAL_CODE] [CITY]. Versichertennummer: [HEALTH_INSURANCE_ID].

Zentrale DSGVO-Vorschriften für die Anonymisierung

Art. 4 Abs. 1 — Personenbezogene Daten

Definiert, was als personenbezogenes Datum gilt: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Definition entscheidet, ob ein Dokument überhaupt der DSGVO unterliegt.

Art. 5 Abs. 1 lit. c — Datenminimierung

Personenbezogene Daten müssen dem Zweck angemessen und auf das notwendige Maß beschränkt sein. Anonymisierung vor der Weitergabe an Dritte oder an KI-Systeme ist eine direkte Umsetzung dieses Grundsatzes.

Art. 9 — Besondere Kategorien personenbezogener Daten

Gesundheitsdaten, biometrische Daten und weitere sensible Kategorien unterliegen einem grundsätzlichen Verarbeitungsverbot mit engen Ausnahmen. Krankenversicherungsnummern und Gesundheitsangaben in Dokumenten fallen typischerweise hierunter.

Art. 17 — Recht auf Löschung

Betroffene können die Löschung ihrer Daten verlangen. Eine wirksame, irreversible Anonymisierung erfüllt diese Anforderung oft gleichwertig, wenn eine vollständige Löschung technisch nicht praktikabel ist.

Art. 32 — Sicherheit der Verarbeitung

Verlangt geeignete technische und organisatorische Maßnahmen entsprechend dem Risiko — Pseudonymisierung und Verschlüsselung werden in Art. 32 Abs. 1 lit. a ausdrücklich als Beispielmaßnahmen genannt.

Art. 44–49 — Übermittlung in Drittländer

Regeln, unter welchen Voraussetzungen personenbezogene Daten außerhalb der EU/des EWR verarbeitet werden dürfen — Angemessenheitsbeschluss, Standardvertragsklauseln oder Ausnahmetatbestände. Genau dieses Kapitel entfällt, wenn keine Übermittlung stattfindet.

Der Offline-Vorteil: Keine Übermittlung, kein Risiko

„Es gibt keine Übermittlungsfrage — die Daten verlassen Ihr Gerät nie.“

Der BfDI und die 16 Landesdatenschutzbehörden beschränken die grenzüberschreitende Datenübermittlung streng und verlangen konsequente Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Cloud-basierte PII-Tools müssen genau deshalb Angemessenheitsbeschlüsse, Standardvertragsklauseln oder Auftragsverarbeitungsverträge prüfen, bevor ein Dokument die eigene Infrastruktur verlässt.

anonym.plus kann diese Übermittlungsregeln gar nicht erst verletzen — weil kein Dokument das Gerät verlässt. Die gesamte Erkennung und Anonymisierung läuft lokal: Presidio + spaCy sind im Installer gebündelt, es gibt keine API-Aufrufe zur Texterkennung, und ein unabhängiger Penetrationstest (März 2026) bestätigte null ausgehende Netzwerkaufrufe während der Verarbeitung. Wo verschlüsselt wird, geschieht dies lokal mit AES-256-GCM — der Schlüssel bleibt bei Ihnen.

Das Ergebnis: keine Auftragsverarbeitungsvereinbarung, keine Prüfung von Drittlandtransfers, kein Cloud-Anbieter in der Kette. Nur die App, das Dokument und Ihr Gerät.

Jetzt starten

anonym.plus als Desktop-App für Windows, macOS und Linux herunterladen. Kostenloser Einstiegsplan verfügbar, Einmallizenzen ohne Abo ab 149 €.