GDPR/DSGVO Expert
Tools and guidance for EU General Data Protection Regulation (GDPR) and German Bundesdatenschutzgesetz (BDSG) compliance.
Table of Contents
-
GDPR Compliance Checker
-
DPIA Generator
-
Data Subject Rights Tracker
Tools
GDPR Compliance Checker
Scans codebases for potential GDPR compliance issues including personal data patterns and risky code practices.
CODEBLOCK0
Detects:
- - Personal data patterns (email, phone, IP addresses)
- Special category data (health, biometric, religion)
- Financial data (credit cards, IBAN)
- Risky code patterns:
- Logging personal data
- Missing consent mechanisms
- Indefinite data retention
- Unencrypted sensitive data
- Disabled deletion functionality
Output:
- - Compliance score (0-100)
- Risk categorization (critical, high, medium)
- Prioritized recommendations with GDPR article references
DPIA Generator
Generates Data Protection Impact Assessment documentation following Art. 35 requirements.
CODEBLOCK1
Features:
- - Automatic DPIA threshold assessment
- Risk identification based on processing characteristics
- Legal basis requirements documentation
- Mitigation recommendations
- Markdown report generation
DPIA Triggers Assessed:
- - Systematic monitoring (Art. 35(3)(c))
- Large-scale special category data (Art. 35(3)(b))
- Automated decision-making (Art. 35(3)(a))
- WP29 high-risk criteria
Data Subject Rights Tracker
Manages data subject rights requests under GDPR Articles 15-22.
CODEBLOCK2
Supported Rights:
| Right | Article | Deadline |
|---|
| Access | Art. 15 | 30 days |
| Rectification |
Art. 16 | 30 days |
| Erasure | Art. 17 | 30 days |
| Restriction | Art. 18 | 30 days |
| Portability | Art. 20 | 30 days |
| Objection | Art. 21 | 30 days |
| Automated decisions | Art. 22 | 30 days |
Features:
- - Deadline tracking with overdue alerts
- Identity verification workflow
- Response template generation
- Compliance reporting
Reference Guides
GDPR Compliance Guide
�INLINECODE0
Comprehensive implementation guidance covering:
- - Legal bases for processing (Art. 6)
- Special category requirements (Art. 9)
- Data subject rights implementation
- Accountability requirements (Art. 30)
- International transfers (Chapter V)
- Breach notification (Art. 33-34)
German BDSG Requirements
�INLINECODE1
German-specific requirements including:
- - DPO appointment threshold (§ 38 BDSG - 20+ employees)
- Employment data processing (§ 26 BDSG)
- Video surveillance rules (§ 4 BDSG)
- Credit scoring requirements (§ 31 BDSG)
- State data protection laws (Landesdatenschutzgesetze)
- Works council co-determination rights
DPIA Methodology
�INLINECODE2
Step-by-step DPIA process:
- - Threshold assessment criteria
- WP29 high-risk indicators
- Risk assessment methodology
- Mitigation measure categories
- DPO and supervisory authority consultation
- Templates and checklists
Workflows
Workflow 1: New Processing Activity Assessment
CODEBLOCK3
Workflow 2: Data Subject Request Handling
CODEBLOCK4
Workflow 3: German BDSG Compliance Check
CODEBLOCK5�
Key GDPR Concepts
Legal Bases (Art. 6)
- - Consent: Marketing, newsletters, analytics (must be freely given, specific, informed)
- Contract: Order fulfillment, service delivery
- Legal obligation: Tax records, employment law
- Legitimate interests: Fraud prevention, security (requires balancing test)
Special Category Data (Art. 9)
Requires explicit consent or Art. 9(2) exception:
- - Health data
- Biometric data
- Racial/ethnic origin
- Political opinions
- Religious beliefs
- Trade union membership
- Genetic data
- Sexual orientation
Data Subject Rights
All rights must be fulfilled within 30 days (extendable to 90 for complex requests):
- - Access: Provide copy of data and processing information
- Rectification: Correct inaccurate data
- Erasure: Delete data (with exceptions for legal obligations)
- Restriction: Limit processing while issues are resolved
- Portability: Provide data in machine-readable format
- Object: Stop processing based on legitimate interests
German BDSG Additions
| Topic | BDSG Section | Key Requirement |
|---|
| DPO threshold | § 38 | 20+ employees = mandatory DPO |
| Employment |
§ 26 | Detailed employee data rules |
| Video | § 4 | Signage and proportionality |
| Scoring | § 31 | Explainable algorithms |
GDPR/DSGVO 专家
欧盟《通用数据保护条例》(GDPR)及德国《联邦数据保护法》(BDSG)合规工具与指南。
目录
-
GDPR 合规检查器
-
DPIA 生成器
-
数据主体权利追踪器
工具
GDPR 合规检查器
扫描代码库以发现潜在的 GDPR 合规问题,包括个人数据模式和有风险的代码实践。
bash
扫描项目目录
python scripts/gdpr
compliancechecker.py /path/to/project
用于 CI/CD 集成的 JSON 输出
python scripts/gdpr
compliancechecker.py . --json --output report.json
检测内容:
- - 个人数据模式(电子邮件、电话、IP 地址)
- 特殊类别数据(健康、生物识别、宗教)
- 财务数据(信用卡、IBAN)
- 有风险的代码模式:
- 记录个人数据
- 缺少同意机制
- 无限期数据保留
- 未加密的敏感数据
- 禁用删除功能
输出:
- - 合规评分(0-100)
- 风险分类(严重、高、中)
- 附有 GDPR 条款引用的优先建议
DPIA 生成器
根据第 35 条要求生成数据保护影响评估文档。
bash
获取输入模板
python scripts/dpia_generator.py --template > input.json
生成 DPIA 报告
python scripts/dpia
generator.py --input input.json --output dpiareport.md
功能:
- - 自动 DPIA 阈值评估
- 基于处理特征的风险识别
- 法律依据要求文档
- 缓解措施建议
- Markdown 报告生成
评估的 DPIA 触发条件:
- - 系统性监控(第 35 条第 3 款第 c 项)
- 大规模特殊类别数据(第 35 条第 3 款第 b 项)
- 自动化决策(第 35 条第 3 款第 a 项)
- WP29 高风险标准
数据主体权利追踪器
根据 GDPR 第 15-22 条管理数据主体权利请求。
bash
添加新请求
python scripts/data
subjectrights_tracker.py add \
--type access --subject 张三 --email zhangsan@example.com
列出所有请求
python scripts/data
subjectrights_tracker.py list
更新状态
python scripts/data
subjectrights_tracker.py status --id DSR-202601-0001 --update verified
生成合规报告
python scripts/data
subjectrights_tracker.py report --output compliance.json
生成回复模板
python scripts/data
subjectrights_tracker.py template --id DSR-202601-0001
支持的权利:
第 16 条 | 30 天 |
| 删除权 | 第 17 条 | 30 天 |
| 限制处理权 | 第 18 条 | 30 天 |
| 数据可携权 | 第 20 条 | 30 天 |
| 反对权 | 第 21 条 | 30 天 |
| 自动化决策权 | 第 22 条 | 30 天 |
功能:
- - 截止日期追踪及逾期提醒
- 身份验证工作流程
- 回复模板生成
- 合规报告
参考指南
GDPR 合规指南
references/gdpr
complianceguide.md
全面的实施指南,涵盖:
- - 处理的法律依据(第 6 条)
- 特殊类别要求(第 9 条)
- 数据主体权利实施
- 问责制要求(第 30 条)
- 国际传输(第五章)
- 违规通知(第 33-34 条)
德国 BDSG 要求
references/german
bdsgrequirements.md
德国特定要求,包括:
- - DPO 任命门槛(§ 38 BDSG - 20 名以上员工)
- 雇佣数据处理(§ 26 BDSG)
- 视频监控规则(§ 4 BDSG)
- 信用评分要求(§ 31 BDSG)
- 州数据保护法(Landesdatenschutzgesetze)
- 工会共同决定权
DPIA 方法论
references/dpia_methodology.md
分步 DPIA 流程:
- - 阈值评估标准
- WP29 高风险指标
- 风险评估方法论
- 缓解措施类别
- DPO 和监管机构咨询
- 模板和检查清单
工作流程
工作流程 1:新处理活动评估
步骤 1:在代码库上运行合规检查器
→ python scripts/gdprcompliancechecker.py /path/to/code
步骤 2:审查发现和合规评分
→ 处理严重和高风险问题
步骤 3:确定是否需要 DPIA
→ 检查 references/dpia_methodology.md 中的阈值标准
步骤 4:如果需要 DPIA,生成评估
→ python scripts/dpia_generator.py --template > input.json
→ 填写处理详情
→ python scripts/dpia_generator.py --input input.json --output dpia.md
步骤 5:记录在处理活动记录中
工作流程 2:数据主体请求处理
步骤 1:在追踪器中记录请求
→ python scripts/datasubjectrights_tracker.py add --type [类型] ...
步骤 2:验证身份(相称措施)
→ python scripts/datasubjectrights_tracker.py status --id [ID] --update verified
步骤 3:从系统收集数据
→ python scripts/datasubjectrightstracker.py status --id [ID] --update inprogress
步骤 4:生成回复
→ python scripts/datasubjectrights_tracker.py template --id [ID]
步骤 5:发送回复并完成
→ python scripts/datasubjectrights_tracker.py status --id [ID] --update completed
步骤 6:监控合规情况
→ python scripts/datasubjectrights_tracker.py report
工作流程 3:德国 BDSG 合规检查
步骤 1:确定是否需要 DPO
→ 20 名以上员工自动处理个人数据
→ 或处理需要 DPIA
→ 或业务涉及数据传输/市场调研
步骤 2:如果涉及员工,审查 § 26 BDSG
→ 记录员工数据的法律依据
→ 检查工会要求
步骤 3:如果涉及视频监控,遵守 § 4 BDSG
→ 安装标识
→ 记录必要性
→ 限制保留期限
步骤 4:向监管机构注册 DPO
→ 参见 references/germanbdsgrequirements.md 获取监管机构列表
关键 GDPR 概念
法律依据(第 6 条)
- - 同意:营销、新闻通讯、分析(必须自由给予、具体、知情)
- 合同:订单履行、服务交付
- 法律义务:税务记录、劳动法
- 合法利益:欺诈预防、安全(需要进行平衡测试)
特殊类别数据(第 9 条)
需要明确同意或第 9 条第 2 款的例外情况:
- - 健康数据
- 生物识别数据
- 种族或民族起源
- 政治观点
- 宗教信仰
- 工会会员资格
- 基因数据
- 性取向
数据主体权利
所有权利必须在 30 天 内履行(复杂请求可延长至 90 天):
- - 访问权:提供数据副本和处理信息
- 更正权:更正不准确的数据
- 删除权:删除数据(法律义务除外)
- 限制处理权:在问题解决期间限制处理
- 数据可携权:以机器可读格式提供数据
- 反对权:基于合法利益停止处理
德国 BDSG 补充
| 主题 | BDSG 条款 | 关键要求 |
|---|
| DPO 门槛 | § 38 | 20 名以上员工 = 强制任命 DPO |
| 雇佣 |
§ 26 | 详细的员工数据规则 |
| 视频 | § 4 | 标识和相称性 |
| 评分 | § 31 | 可解释的算法 |
