Am 30. Dezember 2025 verhängte die Nationale Kommission für Informatik und Freiheiten (CNIL) eine Geldstrafe von 3,5 Millionen Euro gegen ein Unternehmen, das illegal die Daten seiner Mitglieder aus dem Treueprogramm an ein soziales Netzwerk übermittelt hatte. Diese Maßnahme steht im Rahmen der Werbung, wurde jedoch ohne die gültige Zustimmung der Betroffenen durchgeführt. Dieser Fall verdeutlicht die entscheidenden Herausforderungen des Schutzes personenbezogener Daten in einer sich ständig weiterentwickelnden digitalen Welt.
Der Kontext der Sanktion
Im Januar 2023 stellte die CNIL nach Kontrollmaßnahmen fest, dass das betroffene Unternehmen seit Februar 2018 die E-Mail-Adressen und/oder Telefonnummern seiner Mitglieder übermittelte. Diese Informationen wurden verwendet, um gezielte Werbung auf einem sozialen Netzwerk anzuzeigen, um die Produkte des Unternehmens zu bewerben. Diese Feststellung führte dazu, dass das Beschlussgremium der CNIL das Unternehmen wegen mehrerer Verstöße gegen die im Allgemeinen Datenschutzverordnung (DSGVO) und dem Datenschutzgesetz vorgesehenen Verpflichtungen bestrafte.
Die festgestellten Verstöße
Fehlende rechtliche Grundlage für die Datenübermittlung
Der erste von der CNIL hervorgehobene Verstoß betrifft die Pflicht, eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten zu haben. Indem das Unternehmen angeblich eine Zustimmung geltend machte, die bei der Mitgliedschaft im Treueprogramm eingeholt wurde, versäumte es, klare Informationen über die Verwendung der Daten zu Werbezwecken bereitzustellen. Die den Mitgliedern zur Verfügung gestellten Informationen waren nicht nur unzulänglich, sondern auch schwer zugänglich, was eine informierte Zustimmung unmöglich machte.
Unpräzise Information der betroffenen Personen
Darüber hinaus stellte die CNIL fest, dass die auf der Unternehmenswebsite bereitgestellten Informationen ungenau waren. Die Ziele der Datenverarbeitungen waren nicht eindeutig mit den entsprechenden rechtlichen Grundlagen verknüpft. Infolgedessen waren die Mitglieder nicht in der Lage, das Ausmaß ihrer Verpflichtungen im Hinblick auf den Datenschutz zu erfassen.
Defizite in der Datensicherheit
Die CNIL stellte außerdem bedeutende Lücken in der Datensicherheit der gespeicherten Daten fest. Die Regeln zur Komplexität von Passwörtern waren unzureichend, und die verwendete Methode zur Speicherung der Passwörter, genannt SHA-256, gewährte keine optimale Sicherheit. Diese Verstöße setzen die personenbezogenen Daten einem erhöhten Risiko von Hacking aus.
Unterlassung einer Datenschutzfolgeabschätzung
Es wurde auch festgestellt, dass das Unternehmen keine Datenschutzfolgeabschätzung (DSFA) durchgeführt hatte, obwohl die Verarbeitung ein hohes Volumen personenbezogener Daten und deren Zusammenführung umfasste. Eine solche Nachlässigkeit stellt einen Verstoß gegen die Verpflichtungen dar, die Unternehmen im Bereich des Datenschutzes obliegen.
Nichtübereinstimmung mit Cookies und Trackern
Schließlich identifizierte die CNIL Verstöße im Zusammenhang mit der Verwendung von Cookies und Trackern auf der Website des Unternehmens. Cookies, die der Zustimmung bedurften, wurden automatisch auf dem Endgerät der Nutzer abgelegt, bevor diese ihre Wahl geäußert hatten. Diese Praxis verstößt gegen die geltenden Regeln bezüglich Zustimmung und Transparenz.
Eine Entscheidung in internationaler Kooperation
Die gegen dieses Unternehmen verhängte Sanktion ist Teil eines größeren Rahmens, der 16 europäische Gleichgestellte der CNIL einbezieht. Die Daten von Bürgern, die in diesen Ländern wohnen, waren ebenfalls von dieser illegalen Verarbeitung betroffen. Die CNIL hielt es für entscheidend, dieses Urteil öffentlich zu machen, um die Öffentlichkeit für die Einhaltung der Datenschutzstandards zu sensibilisieren, insbesondere im Bereich der Online-Werbung.
Die Herausforderungen des Datenschutzes in der digitalen Werbung
Dieser Fall hebt die Herausforderungen hervor, mit denen Unternehmen konfrontiert sind, die personenbezogene Daten und gezielte Werbung kombinieren möchten, während sie die geltenden Gesetze einhalten. Die festgestellten Verstöße werfen grundlegende Fragen zur Transparenz, Sicherheit und Achtung der Privatsphäre der Nutzer auf. Um dieses wichtige Thema weiter zu vertiefen, könnte es sinnvoll sein, die Implikationen des Datenschutzes zu erkunden oder sich mit den Herausforderungen von sozialen Netzwerken und jungen Nutzern zu befassen.
