Am 30. Dezember 2025 verhängte die nationale Kommission für Informatik und Freiheiten (CNIL) eine Rekordstrafe von 3,5 Millionen Euro gegen ein Unternehmen, das illegal die personenbezogenen Daten der Mitglieder seines Treueprogramms an ein soziales Netzwerk übermittelt hatte, hauptsächlich für gezielte Werbeaktionen. Dieser Beschluss folgte auf Kontrollen, die im Januar 2023 durchgeführt wurden und mehrere Verstöße gegen die Verpflichtungen gemäß der Datenschutz-Grundverordnung (DSGVO) aufdeckten, wobei die Bedeutung der Einwilligung und der Transparenz bei der Verarbeitung personenbezogener Daten hervorgehoben wurde.
Die Kontrollen der CNIL und die festgestellten Verstöße
Während ihrer Ermittlungen stellte die CNIL fest, dass das betroffene Unternehmen seit Februar 2018 begann, die E-Mail-Adressen und/oder die Telefonnummern der Mitglieder seines Programms an ein soziales Netzwerk zu übermitteln. Diese Informationen wurden verwendet, um gezielte Werbung zu schalten, die darauf abzielte, die Produkte des Unternehmens zu fördern. Die von der CNIL identifizierten Verstöße sind erheblich und beziehen sich hauptsächlich auf grundlegende Prinzipien des Datenschutzes.
Analyse der Verstöße gegen die Datenschutzgesetzgebung
Ein zentraler Punkt, den die CNIL ansprach, ist der Mangel an gültiger Einwilligung. Tatsächlich versuchte das Unternehmen, seine Handlungen zu rechtfertigen, indem es argumentierte, dass die Einwilligung der Mitglieder bei ihrer Anmeldung zum Treueprogramm eingeholt wurde. Die CNIL stellte jedoch fest, dass diese Zustimmung nicht gültig war. Die im Anmeldeformular bereitgestellten Informationen erwähnten nicht die Übermittlung von Daten zu Werbezwecken, was die Fähigkeit der Mitglieder beeinträchtigt, eine informierte Zustimmung zu geben.
Informationspflicht und Transparenz
Ein weiterer bedeutender Verstoß, den die CNIL feststellte, betrifft die Informationspflicht gegenüber den betroffenen Personen. Die Kommission befand, dass die auf der Website des Unternehmens bereitgestellten Informationen nicht nur ungenau, sondern auch unvollständig waren. Es fehlten entscheidende Details zu dem Zweck der Datenverarbeitung, wie der Dauer der Speicherung, was die Informationen unzureichend machte, um den Benutzern eine informierte Entscheidung zu ermöglichen.
Datensicherheit: Eine Nachlässigkeit, die nicht ignoriert werden kann
Die CNIL hob auch Mängel in Bezug auf die Datensicherheit hervor. Die Anforderungen an die Komplexität der Passwörter für Benutzerkonten wurden nicht eingehalten. Daher waren die Benutzer einem erhöhten Risiko für die Sicherheit ihrer persönlichen Informationen ausgesetzt. Darüber hinaus bot die verwendete Hash-Methode zur Speicherung der Passwörter keinen angemessenen Schutz.
Wirkungsanalyse und Einhaltung der Cookies
Ein grundlegender Aspekt, der ebenfalls vernachlässigt wurde, ist das Fehlen einer Wirkungsanalyse zum Datenschutz (AIPD), bevor die Werbepraxis im sozialen Netzwerk initiiert wurde. Angesichts des Umfangs der verarbeiteten personenbezogenen Daten stellte die CNIL fest, dass dies eine solche Analyse hätte auslösen müssen, da die Risiken für die Rechte der Nutzer erheblich waren.
Schließlich wurde die Frage der Cookies und Tracker angesprochen. Die CNIL beobachtete, dass elf Cookies, die einer Einwilligung bedurften, ohne eine vorherige Wahl der Benutzer auf deren Endgerät gesetzt wurden. Darüber hinaus blieben diese Cookies aktiv, selbst wenn die Benutzer deren Verwendung ablehnten, was einen klaren Verstoß gegen die Regeln zur Nutzung von Cookies darstellt.
Eine gemeinsame Entscheidung auf europäischer Ebene
Es ist wichtig zu beachten, dass diese Entscheidung in Zusammenarbeit mit sechzehn anderen europäischen Datenschutzbehörden getroffen wurde. Daher waren auch Daten von Personen, die in diesen Ländern leben, betroffen. Die Höhe der Geldbuße von 3,5 Millionen Euro wurde unter Berücksichtigung der Schwere der Verstöße sowie der hohen Zahl der betroffenen Personen, die auf über 10,5 Millionen geschätzt wird, festgelegt.
Die CNIL beschloss außerdem, die Deliberation öffentlich zu machen und die Öffentlichkeit über die einzuhaltenden Regeln in Bezug auf Werbung in sozialen Netzwerken zu informieren, eine Praxis, die unter Unternehmen weit verbreitet ist. Durch die Information der Öffentlichkeit möchte die Regulierungsbehörde das Bewusstsein für den Schutz personenbezogener Daten und die Rechte der Nutzer stärken.
Um mehr über die Auswirkungen dieser Regulierung in anderen Kontexten zu erfahren, können Sie Artikel über die Auswirkungen der Blockchain oder die Altersfragen in sozialen Netzwerken lesen, wie in diesem beschrieben. Darüber hinaus zeigen aktuelle Entscheidungen zur Einschränkung des Zugangs zu Konten auf sozialen Plattformen, wie sie in diesem Artikel zusammengetragen sind, die verschiedenen Praktiken, die zur Regulierung der Nutzung sozialer Netzwerke eingeführt wurden.
