Unser Krisenreaktions-Hub deckt alle Durchsetzungsszenarien mit sofortigen nächsten Schritten ab — Abmahnung, CNIL-Untersuchung und mehr. Wichtig: konsultieren Sie eine qualifizierte Anwältin oder einen qualifizierten Anwalt, bevor Sie auf ein förmliches Schreiben reagieren.
Eine der häufigsten Annahmen über die behördliche Durchsetzung lautet, dass sie reaktiv erfolge – dass die CNIL erst dann ermittelt, wenn etwas Gravierendes passiert ist.
Diese Annahme ist falsch – und das zunehmend.
Die CNIL – die Commission Nationale de l'Informatique et des Libertés – ist die französische Datenschutzbehörde und hat in den vergangenen Jahren die Infrastruktur aufgebaut, um nicht-konforme Websites in großem Umfang aufzuspüren. Die CNIL erhält jährlich Zehntausende Beschwerden – ihr zuletzt veröffentlichter Jahresbericht verzeichnete über 16.400 Beschwerden in einem einzigen Jahr – eine Zahl, die seit Beginn der DSGVO-Durchsetzung jedes Jahr gestiegen ist. Ihr Durchsetzungsbudget und ihre technischen Kapazitäten sind seit 2021 erheblich gewachsen.
Es ist wichtig zu verstehen, wie die CNIL Unternehmen aufspürt – denn wenn Ihre Website Compliance-Lücken aufweist, lautet die Frage nicht, ob die CNIL sie finden könnte. Sondern wann, und über welchen Kanal.
⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Die Durchsetzungsverfahren und Prioritäten der CNIL können sich im Laufe der Zeit ändern. Wenn Sie eine Mitteilung der CNIL erhalten haben, konsultieren Sie unverzüglich einen qualifizierten Anwalt.
📌 Dieser Artikel behandelt, wie die CNIL nicht-konforme Websites aufspürt. Was danach geschieht – die Phasen der Untersuchung, die zeitlichen Abläufe und wie Sie reagieren sollten – erfahren Sie hier: Was während einer CNIL-Untersuchung geschieht
Seit 2021 setzt die CNIL zunehmend auf Online-Kontrollen — die direkte technische Prüfung aktiver Websites durch ihre Ermittler — neben Beschwerden und branchenweiten Kampagnen.
Die wegweisenden Cookie-Entscheidungen der CNIL gegen große Online-Konzerne (SAN-2021-023 und SAN-2021-024, beide vom 31. Dezember 2021, sowie SAN-2022-023 vom 19. Dezember 2022) begannen jeweils mit Beschwerden, gefolgt von einer manuellen Online-Kontrolle durch CNIL-Prüferinnen und -Prüfer — nicht mit einem automatisierten Scanner. Die Richtung ist dennoch klar: Die CNIL prüft Websites direkt im Live-Betrieb, und ihre veröffentlichten Entscheidungen bilden ein dauerhaft öffentliches Register.
Das Entscheidende: Die CNIL benötigt keine Beschwerde, um einen Verstoß zu entdecken. Ihr Forschungslabor (LINC) hat Tracker-Visualisierungsforschung veröffentlicht — u.a. eine Studie von 2021 auf Basis des Open-Source-Tools CookieViz — die zeigt, dass verstecktes Tracking technisch im großen Maßstab erkennbar ist. Dies war eine einmalige Forschungsveröffentlichung und keine Beschreibung eines laufenden automatisierten Durchsetzungs-Scans; der bestätigte Durchsetzungskanal der CNIL bleibt die oben beschriebene manuelle Online-Kontrolle.
Die größte einzelne Quelle für CNIL-Untersuchungen sind Beschwerden von Einzelpersonen. Französische Bürgerinnen und Bürger können online auf cnil.fr binnen Minuten eine Beschwerde einreichen, und die CNIL ist verpflichtet, Beschwerden nachzugehen, die in ihren Zuständigkeitsbereich fallen.
Die CNIL erhält jährlich Zehntausende Beschwerden, wobei die Zahl seit Inkrafttreten der DSGVO jedes Jahr steigt. Die häufigsten Beschwerdegründe: ohne Einwilligung versandte Marketing-E-Mails und die Nichtwahrung von Betroffenenrechten.
Was das in der Praxis bedeutet: Ein einziger unzufriedener Kunde, eine ehemalige Mitarbeiterin oder ein datenschutzbewusster Wettbewerber kann eine förmliche CNIL-Untersuchung gegen Ihr Unternehmen auslösen. Eine Beschwerde einzureichen ist kostenlos, auf Wunsch anonym und dauert etwa fünf Minuten.
Jedes Jahr veröffentlicht die CNIL ihre thematischen Schwerpunkte – die Branchen und Compliance-Bereiche, auf die sie ihre Durchsetzungsaktivitäten konzentrieren will. Frühere branchenweite Kampagnen richteten sich auf:
Wenn Ihr Unternehmen in einer Branche tätig ist, die ins Visier genommen wurde oder wahrscheinlich genommen wird, ist die Wahrscheinlichkeit überdurchschnittlich hoch, in eine koordinierte Untersuchung hineingezogen zu werden – unabhängig von der Größe Ihres Betriebs.
Die DSGVO hat einen Kooperationsmechanismus zwischen den EU-Datenschutzbehörden eingeführt. Wenn ein Unternehmen Websites betreibt, die sich an französische Verbraucher richten, aber in Deutschland, Irland oder anderswo ansässig ist, kann die CNIL mit anderen Datenschutzbehörden zusammenarbeiten, um diese Unternehmen zu untersuchen – und tut dies auch.
Das bedeutet: geografische Distanz zu Frankreich schützt Sie nicht. Ein in Deutschland oder im Vereinigten Königreich ansässiges Unternehmen, das mit einer nicht-konformen Website französische Verbraucher anspricht, liegt im Zugriffsbereich der CNIL.
Datenschutzorganisationen – darunter noyb (die Organisation von Max Schrems), La Quadrature du Net und andere – reichen aktiv koordinierte Beschwerden bei der CNIL im Namen betroffener Personen ein. Allein noyb reichte nach dem Schrems-II-Urteil Hunderte von Beschwerden bei EU-Datenschutzbehörden ein. Mehrere französische Durchsetzungsmaßnahmen gegen Analyse-Tools und Datenübermittlungen gingen auf Beschwerden von noyb zurück.
Auch investigativer Journalismus löst CNIL-Untersuchungen aus. Ein aufsehenerregender Medienbericht über eine Datenpanne oder eine nicht-konforme Geschäftspraxis ging in dokumentierten Fällen wiederholt förmlichen CNIL-Untersuchungen voraus.
Die CNIL verlässt sich nicht auf zufällige Entdeckungen. Sie hat ein Mehrkanalsystem aufgebaut, das nicht-konforme Unternehmen durch Online-Kontrollen, Beschwerdeeingänge, koordinierte branchenweite Kampagnen und grenzüberschreitende Zusammenarbeit identifizieren kann.
Eine Website mit einem nicht-konformen Cookie-Banner, einer fehlenden Datenschutzerklärung oder einem Cookie, das Google Analytics vor der Einwilligung lädt, ist nicht unsichtbar. Sie ist jederzeit identifizierbar – durch die Systeme der CNIL, durch einzelne Beschwerdeführer und durch organisierte Datenschutzgruppen.
Die Frage ist nicht, ob die CNIL über die Mittel verfügt, Ihre Website zu finden. Die Frage ist, ob es etwas zu finden gibt, wenn sie es tut.
Sehen Sie, was die Werkzeuge der CNIL auf Ihrer Seite finden würden.
Ein kostenloser Sitetals-Scan prüft Ihre Website anhand der wichtigsten Compliance-Kategorien, die die CNIL untersucht – Cookie-Einwilligung, rechtliche Hinweise, Datenschutzerklärung und Risiken bei Datenübermittlungen.
Scannen Sie Ihre Website jetzt – Ergebnisse in unter 60 SekundenQuellen: CNIL-Jahresbericht 2023 (Tätigkeitsdaten, Durchsetzungsstatistiken), CNIL-Entscheidung SAN-2021-023, CNIL-Entscheidung SAN-2021-024, CNIL-Entscheidung SAN-2022-023 (Verfahren gegen große Online-Konzerne, jeweils mit erheblichen Bußgeldern), DSGVO Art. 60–62 (Kooperationsmechanismus), veröffentlichte Untersuchungsprioritäten der CNIL