Salta al contenuto
News

CNIL: 23 neue vereinfachte Sanktionen für Videoüberwachung, Cookies und Rechte

CNIL: 23 neue vereinfachte Sanktionen für Videoüberwachung, Cookies und Rechte

Auf einen Blick

Seit Januar 2026 hat die französische CNIL 23 neue Sanktionen im Rahmen des vereinfachten Verfahrens verhängt, in Höhe von insgesamt 133.750 Euro. Die Verstöße betreffen hauptsächlich die exzessive Nutzung von Videoüberwachung, die Nichteinhaltung der Cookie-Vorschriften und die Missachtung der Rechte der betroffenen Personen. Das vereinfachte Verfahren ermöglicht es der CNIL, schneller zu handeln, um die Rechte der Personen zu schützen.

Hintergrund

Die französische CNIL hat seit Januar 2026 23 neue Sanktionen im Rahmen ihres vereinfachten Verfahrens verhängt, in Höhe von insgesamt 133.750 Euro an Bußgeldern. Davon gingen 19 auf Beschwerden zurück. Das vereinfachte Verfahren, das 2022 für Fälle ohne besondere rechtliche Komplexität eingeführt wurde, ermöglicht es der CNIL, schneller zu handeln. Die Höchststrafen betragen 20.000 Euro, und die Namen der Organisationen werden nicht offengelegt. Die vom französischen Staatsschatzamt eingezogenen Bußgelder fließen in den Staatshaushalt ein. Die Hauptverstöße betreffen Videoüberwachung, Cookies und die Nichteinhaltung der Rechte von Personen, oft verbunden mit einer mangelnden Zusammenarbeit mit der CNIL. Im Bereich der Videoüberwachung wurden Unternehmen wie Schnellrestaurants, Stadtverkehrsunternehmen und Geschäfte in Bahnhöfen bestraft, weil sie ihre Mitarbeiter ohne Rechtfertigung kontinuierlich filmten und damit gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und deren Privatsphäre verstießen, oder weil sie Geräte ohne präfektorale Genehmigung installierten. Bezüglich der Cookies stellte die CNIL auf Online-Ticketverkaufsseiten oder im Telemarketing fest, dass Informationsbanner unvollständig über die Zwecke und den Verantwortlichen der Verarbeitung informierten oder dass es nicht möglich war, die Einwilligung mit der gleichen Leichtigkeit zu verweigern, mit der sie erteilt wurde. Viele Organisationen setzten einwilligungspflichtige Cookies (z. B. Werbe-Cookies) vor jeder Nutzeraktion. Schließlich betreffen 8 der Sanktionen die Nichteinhaltung der Zugangs- oder Löschrechte (Art. 15 und 17 DSGVO), wobei 4 davon auch mit einem Mangel an Zusammenarbeit mit der CNIL zusammenhängen, wie die ausbleibende oder verspätete Beantwortung von Anfragen der Datenverantwortlichen oder Aufforderungen der Behörde selbst (Art. 18 des Gesetzes 'Informatique et Libertés').

Warum es wichtig ist

Dieser Bericht der CNIL ist für DPO und IT-Verantwortliche von grundlegender Bedeutung, da er die konstante und schnelle Sanktionstätigkeit der Aufsichtsbehörden aufzeigt, selbst bei Verstößen, die gewöhnlich oder geringfügig erscheinen mögen, aber Kernprinzipien der DSGVO berühren. Das vereinfachte Verfahren ermöglicht der CNIL ein schnelleres Eingreifen, was die Wahrscheinlichkeit erhöht, für offensichtliche Nichtkonformitäten sanktioniert zu werden. Die Sanktionen betrafen ein breites Spektrum von Sektoren und Organisationstypen, von großen Unternehmen bis hin zu Freiberuflern, was zeigt, dass keine Einheit von der Überwachung ausgenommen ist. Für Organisationen ist es entscheidend, die Auswirkungen nicht konformer Praktiken in Bereichen wie der Videoüberwachung von Mitarbeitern (Einhaltung der Datenminimierung und der Privatsphäre), der Verwaltung von Cookies auf Websites (Informationstransparenz und gleiche Bedingungen für die Annahme/Ablehnung der Einwilligung) und der Beantwortung von Anträgen auf Ausübung von Rechten der betroffenen Personen nicht zu unterschätzen. Ein kritisch hervorgehobener Aspekt ist auch die Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde; eine ausbleibende Antwort oder ungerechtfertigte Verzögerung kann zu zusätzlichen Sanktionen führen. Alle diese Bereiche sind Pfeiler der DSGVO-Compliance und stellen Risiken dar, die im Rahmen eines Informationssicherheits-Managementsystems gemäß ISO 27001, das strenge Kontrollen zum Schutz personenbezogener Daten vorsieht, verwaltet werden müssen.

Was zu tun ist

  • Überprüfung der Videoüberwachungsrichtlinien am Arbeitsplatz, um die Achtung der Privatsphäre und die Datenminimierung zu gewährleisten.
  • Überprüfung der Konformität von Cookie-Bannern, um vollständige Informationen und einfache sowie gleichwertige Zustimmungs-/Ablehnungsmechanismen zu gewährleisten.
  • Implementierung robuster und zeitnaher Prozesse zur Bearbeitung von Anfragen zur Ausübung der Rechte der betroffenen Personen (Zugang, Löschung).
  • Sicherstellung einer schnellen und transparenten Zusammenarbeit mit der Aufsichtsbehörde bei Anfragen oder Kontrollen.
  • Schulung des Personals in den relevanten Datenschutzvorschriften für ihre Aufgaben, insbesondere im Hinblick auf die Verwaltung sensibler Daten und die Interaktion mit betroffenen Personen.

Was zu vermeiden ist

  • Kontinuierliche Aufnahmen von Mitarbeitern ohne gerechtfertigte Notwendigkeit oder Genehmigung.
  • Cookie-Banner mit unvollständigen Informationen oder solchen, die die Ablehnung schwieriger machen als die Annahme.
  • Ignorieren oder Verzögern von Anfragen zur Ausübung der Rechte der betroffenen Personen.
  • Nichtzusammenarbeit mit der Aufsichtsbehörde während Ermittlungen oder Verfahren.

Praktische Auswirkungen

Organisationen müssen robuste Systeme und Prozesse implementieren, um die Einhaltung der DSGVO in den von der CNIL sanktionierten kritischen Bereichen zu gewährleisten. Die Schnelligkeit und Wirksamkeit des vereinfachten Verfahrens bedeutet, dass selbst weit verbreitete oder scheinbar 'geringfügige' Verstöße zu erheblichen Sanktionen führen können, sowohl finanziell als auch reputativ, wodurch ein proaktiver Ansatz zur Compliance unerlässlich wird.

Zu vermeidende Fehler

  • Fortsetzung intrusiver oder nicht durch legitime Zwecke gerechtfertigter Videoüberwachungspraktiken.
  • Verwendung von Cookies ohne eine gültige, informierte und leicht widerrufbare Einwilligung der Nutzer.
  • Vernachlässigung von Anfragen betroffener Personen oder ungerechtfertigte Verzögerung der Kommunikation mit der Aufsichtsbehörde.

Fragen zur Selbsteinschätzung

  • Respektieren unsere Kameras am Arbeitsplatz den Grundsatz der Datenminimierung und die Privatsphäre der Mitarbeiter?
  • Bietet unser Cookie-Banner vollständige Informationen und ermöglicht es, die Einwilligung mit der gleichen Einfachheit zu verweigern, mit der sie erteilt wird?
  • Haben wir wirksame und zeitnahe Verfahren zur Bearbeitung von Anträgen auf Zugang und Löschung personenbezogener Daten?
  • Sind wir bereit, bei Kontrollen oder Beschwerden voll und zeitnah mit der Aufsichtsbehörde zusammenzuarbeiten?

Verweise

Nationales Recht: GDPR art. 5.1.a (liceità del trattamento) · GDPR art. 5.1.c (minimizzazione dei dati) · GDPR art. 12 (trasparenza e modalità di esercizio dei diritti) · GDPR art. 15 (diritto di accesso) · GDPR art. 17 (diritto all'effacemento o diritto all'oblio) · Legge Informatique et Libertés art. 18 (cooperazione con la CNIL) · Legge Informatique et Libertés art. 82 (regole relative ai cookie e altri traccianti) · Codice Civile francese art. 9 (diritto alla vita privata)

Zum Originalartikel auf CNIL (Francia) ↗

Lesen Sie auch