Unser Krisenreaktions-Hub deckt alle Durchsetzungsszenarien mit konkreten nächsten Schritten ab — Abmahnung, CNIL-Untersuchung und mehr. Wichtig: Ziehen Sie vor der Reaktion auf eine förmliche Mitteilung qualifizierten anwaltlichen Rat hinzu.
⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Wenn Sie eine Mitteilung der CNIL erhalten haben, ziehen Sie unverzüglich qualifizierten anwaltlichen Rat mit Erfahrung in der DSGVO-Durchsetzung hinzu.
📌 Dieser Artikel behandelt, was während einer CNIL-Untersuchung geschieht. Wie die CNIL nicht regelkonforme Websites überhaupt erst aufspürt — automatisierte Prüfungen, Beschwerdekanäle und Branchenkampagnen — erfahren Sie hier: Wie die CNIL nicht regelkonforme Websites aufspürt
Wenn Sie eine Mitteilung der CNIL erhalten haben und jetzt handeln müssen, sind dies die fünf wichtigsten Punkte:
Der weitere Artikel beschreibt den gesamten Untersuchungsablauf und was Sie in jeder Phase erwartet.
Die meisten Unternehmen kommen auf eine von zwei Arten erstmals mit der CNIL in Berührung: Entweder trifft ein Schreiben mit einer Auskunftsanforderung ein, oder sie lesen von einem Bußgeld gegen ein anderes Unternehmen und fragen sich, ob ihr eigenes Risiko vergleichbar ist. Es lohnt sich zu verstehen, wie das Untersuchungsverfahren der CNIL tatsächlich abläuft. Das Verfahren ist gesetzlich geregelt, gliedert sich in klar abgegrenzte Phasen, und was Sie in jeder Phase tun — oder unterlassen — wirkt sich unmittelbar auf das Ergebnis aus.
Eine CNIL-Untersuchung kann auf drei Wegen beginnen:
Beschwerde. Eine Privatperson, eine Organisation oder eine Interessenvertretung reicht über cnil.fr eine Beschwerde ein. 2023 gingen bei der CNIL 16.433 Beschwerden ein. Jede wird auf Zuständigkeit und Plausibilität geprüft. Eine gut dokumentierte Beschwerde aus glaubwürdiger Quelle führt fast immer zur weiteren Bearbeitung.
Untersuchung von Amts wegen. Die CNIL leitet Untersuchungen aus eigener Initiative ein — auf Grundlage ihrer veröffentlichten Jahresschwerpunkte, der Ergebnisse ihrer automatisierten Prüfungen oder von Medienberichten. Möglicherweise erfahren Sie erst mit der ersten förmlichen Mitteilung der CNIL, dass eine Untersuchung eröffnet wurde.
Grenzüberschreitende Verweisung. Im Rahmen des One-Stop-Shop-Mechanismus der DSGVO kann eine andere EU-Datenschutzbehörde Fälle, die französische Nutzer betreffen, an die CNIL verweisen, oder die CNIL kann in einem grenzüberschreitenden Fall um Zusammenarbeit ersuchen.
Sobald eine Beschwerde oder Initiative die Untersuchungsstelle erreicht, führt die CNIL eine Vorprüfung durch. Dies ist noch keine förmliche Untersuchung — es wird lediglich geklärt, ob eine förmliche Untersuchung gerechtfertigt ist.
In dieser Phase prüft die CNIL die Beschwerde, nimmt gegebenenfalls eine grundlegende Online-Prüfung der Website der Organisation vor und beurteilt ihre Zuständigkeit. Kommt die Vorprüfung zu dem Ergebnis, dass eine förmliche Untersuchung gerechtfertigt ist, wird ein Vorgang angelegt. Die Organisation wird in der Regel in dieser Phase nicht benachrichtigt.
Zeitrahmen: Wochen bis einige Monate, abhängig von der Arbeitsbelastung der CNIL und der Komplexität der Beschwerde.
Hier kommen die eigentlichen Untersuchungsbefugnisse der CNIL zum Tragen. Es gibt zwei Formen der Untersuchung:
Die Ermittler der CNIL greifen aus der Ferne auf die Website der Organisation zu und dokumentieren ihre Feststellungen. Sie können die Website wie ein gewöhnlicher Nutzer aufrufen, beobachten, welche Cookies gesetzt werden, mit Einwilligungsmechanismen interagieren und die Ergebnisse festhalten. Für Online-Prüfungen ist keine vorherige Ankündigung erforderlich. Die Ermittler können jederzeit ohne Vorankündigung auf Ihre Website zugreifen.
Die Ermittler der CNIL können die Räumlichkeiten einer Organisation persönlich aufsuchen. Bei einer Prüfung vor Ort können sie auf Systeme, Server und technische Infrastruktur zugreifen, Unterlagen anfordern und kopieren sowie Mitarbeitende befragen. Prüfungen vor Ort bleiben in der Regel größeren, komplexeren Untersuchungen vorbehalten.
In vielen Untersuchungen versendet die CNIL förmliche schriftliche Fragebögen und fordert bestimmte Unterlagen an: Datenschutzerklärungen, Verzeichnisse von Verarbeitungstätigkeiten, Verträge mit Auftragsverarbeitern, Aufzeichnungen des Einwilligungsmanagements, Vereinbarungen zur Datenübermittlung. Organisationen sind gesetzlich zur Antwort verpflichtet. Es besteht kein Recht, eine Prüfung oder einen Fragebogen der CNIL zu verweigern. Behinderung oder mangelnde Kooperation stellt selbst einen Verstoß dar, der die endgültige Sanktion verschärfen kann.
Bevor eine Sanktion verhängt wird, muss die CNIL der Organisation Gelegenheit zur Stellungnahme geben. Dies ist das procédure contradictoire — ein grundlegender Rechtsgrundsatz.
Die Organisation erhält einen förmlichen Bericht, der die mutmaßlichen Verstöße dokumentiert, und wird aufgefordert, schriftlich und mitunter persönlich in einer Anhörung Stellung zu nehmen. Dies ist keine bloße Formsache. In dokumentierten Fällen haben Stellungnahmen in dieser Phase das Ergebnis maßgeblich beeinflusst.
Was in dieser Phase zu tun ist:
2022 eingeführt. Wird von der Generaldirektion der CNIL ohne vollständige Anhörung bearbeitet. Kommt bei weniger schwerwiegenden Verstößen zum Einsatz. Maximale Sanktionen: förmliche Verwarnung oder Bußgeld in begrenzter Höhe. Entscheidungen werden in der Regel nicht veröffentlicht es sei denn, die Organisation kommt einer förmlichen Aufforderung nicht nach.
Wird von der formation restreinte — dem Sanktionsausschuss der CNIL — bearbeitet. Dies ist das Verfahren für schwerwiegende Verstöße. Zu den Befugnissen zählen:
Veröffentlichung: das Bußgeld, das sich nicht verbergen lässt. Bedeutende Entscheidungen werden auf cnil.fr veröffentlicht, in der Regel mit dem Namen der Organisation, der Art des Verstoßes und der Höhe des Bußgelds. Sie bleiben dauerhaft online abrufbar. Für Unternehmen mit Endkundengeschäft wiegt die Reputationswirkung eines veröffentlichten CNIL-Bußgelds oft schwerer als die unmittelbaren finanziellen Kosten.
Befolgung. Setzen Sie die Abhilfemaßnahmen um und zahlen Sie ein etwaig verhängtes Bußgeld. Die CNIL überwacht die Einhaltung ihrer Anordnungen und kann bei Nichtbefolgung zusätzliche Sanktionen verhängen.
Rechtsmittel. Gegen Entscheidungen der CNIL kann beim Conseil d'État (dem höchsten französischen Verwaltungsgericht) Rechtsmittel eingelegt werden. In der Praxis gelingt es nur wenigen Organisationen, Bußgelder im Rechtsmittelverfahren aufzuheben — manche haben jedoch eine Herabsetzung der Bußgeldhöhe erreicht.
| Fallart | Typische Dauer |
|---|---|
| Einfache Beschwerde → Verwarnung oder geringes Bußgeld | 6–18 Monate |
| Verstoß bei Cookie-Einwilligung / Pflichtangaben | 12–24 Monate |
| Untersuchung einer schweren Datenpanne | 18–36 Monate |
| Grenzüberschreitend (unter Beteiligung weiterer Aufsichtsbehörden) | 24–48 Monate |
Unmittelbare finanzielle Folgen:
Mittelbare Kosten: Für die Untersuchung gebundene Managementzeit, mögliche Benachrichtigungspflichten gegenüber betroffenen Nutzern, Reputationsschäden bei Veröffentlichung der Entscheidung. Bei kleineren Unternehmen erreichen oder übersteigen die Kosten der rechtlichen Reaktion häufig das Bußgeld selbst.
Die Entscheidungen der CNIL nennen durchgängig mildernde Umstände, die Sanktionen verringern:
Erschwerende Umstände: Mangelnde Kooperation oder Behinderung; Verstöße, die trotz früherer Verwarnungen fortbestanden; eine große Zahl betroffener Nutzer; betroffene sensible Daten; aus dem Verstoß gezogener finanzieller Vorteil.
Die Lehre aus dokumentierten CNIL-Fällen: Die Qualität Ihrer Reaktion auf eine CNIL-Untersuchung wiegt ebenso schwer wie der zugrunde liegende Vorwurf. Organisationen, die uneingeschränkt kooperierten, erzielten durchweg bessere Ergebnisse als jene, die es nicht taten — selbst bei vergleichbaren Verstößen.
Kennen Sie Ihr Risiko, bevor die CNIL es tut.
Ein Sitetals-Scan prüft Ihre Website anhand der zentralen Compliance-Kategorien, die die CNIL untersucht — Cookie-Einwilligung, Pflichtangaben, Datenschutzerklärung und Risiken bei der Datenübermittlung.
Scannen Sie Ihre Website jetzt — Ergebnisse in unter 60 SekundenQuellen: CNIL-Jahresbericht 2023, veröffentlichte Sanktionsentscheidungen der CNIL (cnil.fr/fr/les-sanctions), DSGVO Art. 57–58 (Befugnisse der Aufsichtsbehörden), DSGVO Art. 60–62 (Kooperationsmechanismus), Loi Informatique et Libertés Art. 20–22 (CNIL-Verfahren), CNIL-Entscheidung SAN-2021-023, CNIL-Entscheidung SAN-2023-009