Rechtsbeobachtung Nr. 91 – Januar 2026. 

 

Datensicherung angesichts der Sanktionen gegen France Travail.

Die von der CNIL am 29. Januar gegen France Travail verhängte Sanktion ist insofern beispielhaft, als sie uns an die wesentlichen Elemente einer effektiven Sicherheitspolitik erinnert.

Angesichts der zunehmenden massenhaften Datenschutzverletzungen hebt die CNIL drei grundlegende Aspekte des Datenschutzes hervor:

• Robuste Authentifizierung,
• Effektive Protokollierung,
• Eine auf die Verantwortlichkeiten der Beauftragten zugeschnittene Autorisierungsrichtlinie.

Die von der CNIL verhängte Sanktion in Höhe von 5 Millionen Euro ist der jüngste Akt in einem Fall, der 2024 begann, als es Hackern gelang, sich Zugang zu den Konten von Beratern von Cap Emploi zu verschaffen.

Dieser Zugriff ermöglichte es ihnen, auf die Daten aller Personen zuzugreifen, die bei France Travail registriert sind oder in den letzten 20 Jahren registriert waren, sowie auf die Daten von Personen mit einem Kandidatenplatz auf francetravail.fr.

Das bedeutet, dass die Daten von mehr als 36 Millionen Menschen von den Hackern heruntergeladen werden konnten.

Hinsichtlich der Verantwortung ist festzuhalten, dass die CNIL zwar die Verantwortung der Berater von Cap Emploi nicht bestreitet, aber auf der Hauptverantwortung von France Travail beharrt.

• France Travail ist verantwortlich für „die Initiative zur Umsetzung und Verwaltung der Maßnahmen, die die Sicherheit des Informationssystems gewährleisten sollen, zu dem Cap Emploi Zugang erhalten hat (...)“.
• Es war auch France Travail, die beschloss, die vorherigen Empfehlungen der Folgenabschätzung hinsichtlich der Authentifizierung zu ignorieren.

Zeitliche Beschränkungen, bedingt durch technische Schwierigkeiten bei der Umsetzung, hätten ihn dazu veranlasst, diese Vorsichtsmaßnahmen zu missachten.

In diesem Zusammenhang bekräftigt die CNIL ihre Doktrin zur Authentifizierung und legt fest, dass die Verwendung von Passwörtern durch zusätzliche Maßnahmen (Captcha, Zugriffsverzögerung oder Kontosperrung nach maximal zehn falschen Versuchen) ergänzt werden muss, es sei denn, das Passwort besteht aus: entweder mindestens 12 Zeichen einschließlich Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen; oder mindestens 14 Zeichen einschließlich Großbuchstaben, Kleinbuchstaben und Zahlen, ohne obligatorische Sonderzeichen; oder einer Phrase mit mindestens 7 Wörtern.

In diesem speziellen Fall war das Passwort nur acht Zeichen lang, und die Authentifizierungsrichtlinie sah eine Schwelle von 50 erfolglosen Versuchen vor, bevor der Zugriff auf die virtuellen Maschinen der Berater gesperrt wurde. 

France Travail, die eine große Menge sensibler Daten verarbeitet, die sich beispielsweise auf den Ursprung der Behinderung, die Einschränkungen eines Arbeitsplatzes, die Entwicklung der Behinderungssituation beziehen, die Zugangsbedingungen hätten viel strenger sein müssen.

Insbesondere hätten sie eine Multi-Faktor-Authentifizierung vorsehen müssen, ein Prinzip, das laut CNIL insbesondere für die Verarbeitung sensibler Daten und für Verarbeitungsvorgänge oder Operationen, die ein Risiko für die betroffenen Personen darstellen, unerlässlich ist.

„Die Schwierigkeit, ein Telefon als zweiten Faktor zu nutzen, hätte aufgrund der Unabhängigkeit von Cap Emploi durch andere Maßnahmen überwunden werden können, beispielsweise durch die Verteilung von OTP-Rechnern (Einmalpasswort) an die Mitarbeiter (…).“

Die CNIL betont außerdem die entscheidende Rolle von Protokollierungsmaßnahmen.

Diese Maßnahmen ermöglichten es nicht, ein abnormales Verhalten im Informationssystem, in diesem Fall ein abnormales Daten-Downloadvolumen, zu erkennen.

Der CNIL-Berichterstatter kritisiert France Travail für das Fehlen einer regelmäßigen automatischen Überwachung der Protokolle zur Erkennung und Analyse von Sicherheitsvorfällen sowie zur Gewährleistung einer schnellen und effektiven Reaktion.

„Die durchgeführten Operationen waren angesichts des Zeitpunkts und der Häufigkeit der Anfragen, des beträchtlichen Datenvolumens (25 GB Textdaten), der Fehlerrate bestimmter Anfragen (69 % auf einem der kompromittierten Konten (…)) und der Tatsache, dass die Daten extrahiert wurden, obwohl die Tätigkeit der Cap Emploi-Berater keinen signifikanten Ressourcenverbrauch oder eine signifikante Datenextraktion erfordert (beispielsweise wurden allein am Dienstag, dem 6. Februar 2024, 9 GB Daten extrahiert, was mehr als 13 Millionen Datensätzen für einen einzelnen Berater an einem einzigen Tag entsprechen würde).“

Abschließend betont die CNIL, wie wichtig es ist, Zugriffsberechtigungen auf die Bedürfnisse und Aufgaben der Mitarbeiter zu beschränken.

Sie merkt an, dass die Kontoeinstellungen der Berater zu weit gefasst waren, wodurch diese Zugriff auf die Daten von Personen erhielten, die sie nicht betreuten, was die Menge der für Angreifer zugänglichen Daten erhöhte.

Die CNIL begründet die Höhe der Strafe damit, dass France Travail sich gegen die Umsetzung der Empfehlungen ihrer Folgenabschätzung entschieden habe, was zur Gefährdung der personenbezogenen Daten von mehr als 36,8 Millionen Menschen geführt habe, darunter auch Daten, die einem besonderen Schutz unterliegen, wie beispielsweise das NIR, das aufgrund seiner bedeutenden, einzigartigen und dauerhaften Natur ein spezifisches Risiko der widerrechtlichen Aneignung oder Verknüpfung birgt.

Es mag offensichtlich erscheinen, zu dem Schluss zu kommen, dass man nicht erst auf eine Datenschutzverletzung warten sollte, um die Sicherheit eines Systems zu gewährleisten.

Es ist außerdem zu beachten, dass die CNIL regelmäßig Verstöße gegen die Sicherheitsverpflichtung sanktioniert, ohne dass diese notwendigerweise die Ursache einer Datenschutzverletzung sein müssen, wie beispielsweise eine nicht ausreichend robuste Passwortrichtlinie.

Die Datensicherheit gehörte auch zu den Hauptthemen der Sanktionen der Aufsichtsbehörde im Jahr 2025, wie aus ihrem Anfang Februar veröffentlichten Bericht hervorgeht.

 

Ein Datenleck, das achtzehn Monate lang unbemerkt blieb, hat eines der größten digitalen Vertrauensunternehmen in Frankreich getroffen.

Die Plattform für Identitätsprüfung und Betrugsprävention Sumsub meldet, im Juli 2024 einen „Sicherheitsvorfall“ erlitten zu haben.

Das Unternehmen wurde erst im Zuge einer im Januar 2026 durchgeführten Sicherheitsprüfung auf den Einbruch aufmerksam. Der Cyberangriff basiert, wie im Fall von France Travail, auf der Kompromittierung eines Dritten.

Zu den kompromittierten Daten gehören Namen, E-Mail-Adressen und Telefonnummern.

Am 30. Dezember 2025 verhängte die CNIL eine Geldbuße von 3,5 Millionen Euro. an ein Unternehmen, dessen Namen es leider nicht nennt, weil es sechs Jahre lang in regelmäßigen Abständen die Daten von Mitgliedern seines Treueprogramms ohne gültige Einwilligung an ein soziales Netzwerk zu Werbezwecken übermittelt hat.

Nach einer öffentlichen Konsultation veröffentlichte die CNIL am 16. Januar ihre Empfehlungen zur Einholung der Einwilligung zur Nutzung mehrerer Medizinprodukte. (geräteübergreifend) im Kontext der Verwendung von Cookies und anderen Trackern.

Ziel ist es, die Beteiligten dabei zu unterstützen, eine den Anforderungen der DSGVO entsprechende Einwilligung zu erhalten und insbesondere eine transparente Einwilligungserhebung zu gewährleisten.

Die Kommission veröffentlichte am 14. Januar außerdem zwei Karten, auf denen die genehmigten Zertifizierungen und Verhaltenskodizes aufgeführt sind. von nationalen Behörden oder vom Europäischen Datenschutzausschuss (EDPB) seit Inkrafttreten der DSGVO, um die Ermittlung verfügbarer Compliance-Instrumente zu erleichtern.

Abschließend erinnert die CNIL im Hinblick auf die Kommunalwahlen am 15. und 22. März an bewährte Verfahren bei der politischen Wahlwerbung und reaktiviert ihre Wahlbeobachtungsstelle.

Die 2012 gegründete Organisation hat zum Ziel, sicherzustellen, dass politische Parteien und Kandidaten die Datenschutzgesetze in ihren Vorgehensweisen berücksichtigen.

Insbesondere ermöglicht es die Überwachung von Anfragen an die CNIL im Zusammenhang mit Wahlkämpfen, wie etwa Anfragen nach Ratschlägen von Kandidaten oder Meldungen über unlautere Praktiken.

Anfang Februar gab der Staat drei Verpflichtungen zugunsten der digitalen Souveränität ab:

• In Bezug auf Gesundheitsdaten hat er eine Ausschreibung gestartet, um die Gesundheitsdaten französischer Bürger einer „sicheren europäischen Plattform“ anzuvertrauen.
• Generell ist der Staat bestrebt, seine öffentlichen Einkäufe massiv auf französische und europäische Lösungen auszurichten und investiert 4,5 Milliarden Euro in diese.

Laut David Amiel, dem für den öffentlichen Dienst zuständigen Minister, „besteht ein dringender Bedarf, uns von amerikanischen Lösungsansätzen zu befreien“.

• Schließlich legt ein kürzlich veröffentlichter Rundbrief des Premierministers fest, dass die Verwaltungen Marktlösungen bevorzugen sollten (anstatt sie intern zu entwickeln), sofern diese den Kriterien der Souveränität und Sicherheit entsprechen.

Der Staatsrat entschied am 30. Januar 2026 zugunsten der CNIL in einem Streitfall um algorithmische Überwachung, in dem die CNIL gegen die Stadt Nizza vorging.

Er bestätigt, dass die von der Gemeinde durchgeführte algorithmische Bildverarbeitung von Überwachungskameras an den Eingängen von Schulen nach geltendem Recht nicht zulässig ist. 

Zwar erlaubt der innere Sicherheitskodex die Installation von Videoüberwachungssystemen im öffentlichen Raum, doch kann er durch sein Schweigen nicht so ausgelegt werden, als ob er die Implementierung algorithmischer Verarbeitungsmethoden zur systematischen und automatisierten Analyse von Bildern, die im öffentlichen Raum mittels solcher Systeme erfasst wurden, autorisiert. Keine andere Bestimmung autorisiert die Implementierung einer solchen Verarbeitung.

„Unbeabsichtigte“ Amerikaner bitten die CNIL, die Übermittlung ihrer Bankdaten in die Vereinigten Staaten auszusetzen.

Gemäß dem Foreign Account Tax Compliance Act (FATCA) müssen französische Bankinstitute eine große Menge sensibler Daten über sich selbst an die amerikanischen Steuerbehörden übermitteln, um möglichen Betrug zu bekämpfen – Amerikaner müssen ihr Einkommen in den Vereinigten Staaten tatsächlich angeben, unabhängig davon, wo auf der Welt sie wohnen.

Die Vereinigung der zufälligen Amerikaner verurteilt das derzeitige Abkommen zwischen den Vereinigten Staaten und Frankreich, das die Bedingungen für den Austausch dieser Informationen regelt.

 

Europäische Institutionen und Gremien

Am 20. Januar 2026 legte die Europäische Kommission ein neues Paket von Cybersicherheitsmaßnahmen vor, das darauf abzielt, die Widerstandsfähigkeit der EU zu stärken und ihre Fähigkeit zur Bewältigung von Bedrohungen zu verbessern.

Das Projekt beinhaltet einen Vorschlag zur Überarbeitung der Cybersicherheitsverordnung, der die Sicherheit der Lieferketten für Informations- und Kommunikationstechnologie (IKT) in der EU stärkt.

Es gewährleistet durch ein vereinfachtes Zertifizierungsverfahren, dass Produkte, die für EU-Bürger bestimmt sind, bereits in der Entwurfsphase cybersicher sind.

Darüber hinaus erleichtert es die Einhaltung der bestehenden EU-Cybersicherheitsvorschriften und stärkt die Europäische Agentur für Cybersicherheit (ENISA) in ihrer Rolle als Unterstützerin der Mitgliedstaaten und der EU bei der Bewältigung von Cybersicherheitsbedrohungen.

Die Europäische Kommission und Brasilien haben am 27. Januar zwei gegenseitige Angemessenheitsbeschlüsse verabschiedet und damit bestätigt, dass ihre Datenschutzstandards vergleichbar sind.

„Diese Abkommen anerkennen die hohen Standards des Datenschutzes, die Verbraucher und Bürger auf beiden Seiten schützen, und ermöglichen es Unternehmen, Behörden und Forschern nun, Daten zwischen der EU und Brasilien frei auszutauschen.“

Die Kommission hat am 26. Januar gemäß der Verordnung über digitale Dienste (DSA) eine neue förmliche Untersuchung gegen X eingeleitet.

Sie vermutet, dass die in X integrierten Grok-Funktionen ein nicht bewertetes und ungemindertes Risiko der Erzeugung und Verbreitung illegaler Inhalte bergen, wie zum Beispiel sexuell explizite manipulierte Bilder, einschließlich Inhalte, die Kinderpornografie darstellen könnten.

Außerdem wurde das im Dezember 2023 eingeleitete formelle Verfahren gegen X verlängert, um festzustellen, ob das Unternehmen alle systemischen Risiken im Zusammenhang mit seinen Inhaltsempfehlungssystemen ordnungsgemäß bewertet und gemindert hat.

Ebenfalls am 26. Januar stufte die Europäische Kommission WhatsApp offiziell als sehr große Online-Plattform (VLOP) gemäß DSA ein, da die Funktion „Kanäle“ die erforderliche Schwelle von mindestens 45 Millionen Nutzern in der EU erreicht hat.

Meta hat vier Monate Zeit, bis Mitte Mai 2026, um sicherzustellen, dass WhatsApp die durch den DSA auferlegten zusätzlichen Verpflichtungen erfüllt.

Zu diesen Verpflichtungen gehört auch die Bewertung und Minderung systemischer Risiken, wie etwa Verstöße gegen grundlegende Menschenrechte und die Meinungsfreiheit, Wahlmanipulation, die Verbreitung illegaler Inhalte und Datenschutzprobleme, die sich aus den Dienstleistungen ergeben.

Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben am 21. Januar eine gemeinsame Stellungnahme zum Vorschlag der Europäischen Kommission für den „Digitalen Omnibus zur KI“ verabschiedet, der darauf abzielt, die Umsetzung bestimmter harmonisierter Regeln der KI-Verordnung zu vereinfachen, um deren effektive Anwendung zu gewährleisten.

Beide Behörden unterstützen das Ziel, die praktischen Herausforderungen bei der Umsetzung der Gesetzgebung anzugehen, betonen jedoch, dass die administrative Vereinfachung den Schutz der Grundrechte nicht beeinträchtigen darf. Die Regulierungsbehörden befürchten, dass einige der vorgeschlagenen Änderungen den Schutz von Einzelpersonen im Kontext von KI gefährden könnten.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

In Griechenland hat die Datenschutzbehörde (DPA) vor dem Einsatz eines Systems zur „intelligenten Polizeiarbeit“ gewarnt, bei dem Streifenbeamte mithilfe von tragbaren Smart-Geräten die Identität von Bürgern bei Kontrollen vor Ort anhand biometrischer Daten ermitteln und überprüfen. Die DPA hält diese Datenverarbeitung für rechtswidrig, da sie in der geltenden Gesetzgebung nicht ausdrücklich vorgesehen ist.

Die spanische Datenschutzbehörde (APD) hat gegen den IDCQ-Krankenhaus- und Gesundheitskonzern eine Geldstrafe in Höhe von 1.200.000 € verhängt. weil Patientendaten zu schnell gelöscht wurden, wodurch die Behörde ihrer Verpflichtung, die betroffenen Personen zu informieren, nicht nachkommen konnte.

Die norwegische Datenschutzbehörde (APD) hat Timegrip AS mit einer Geldstrafe von 250.000 NOK (ca. 25.000 €) belegt, weil das Unternehmen ehemaligen Mitarbeitern nach der Insolvenz ihres Arbeitgebers unrechtmäßig den Zugang zu ihren Arbeitszeitaufzeichnungen verweigert und sich fälschlicherweise als bloßer Unterauftragnehmer dargestellt hatte, obwohl es die tatsächliche Kontrolle über personenbezogene Daten ausübte.

Insbesondere übernahm Timegrip nach dem Konkurs die Rolle des Verantwortlichen, da es als einziges Unternehmen die technische und praktische Kontrolle über die Daten ausübte.

Der Präsident der polnischen Datenschutzbehörde (APD) verhängte gegen Poczta Polska SA eine Verwaltungsstrafe in Höhe von 978.000 PLN (250.000 €), weil das Unternehmen die Unabhängigkeit des Datenschutzbeauftragten (DSB) nicht gewährleisten konnte.

Die Aufsichtsbehörde stellte fest, dass das Unternehmen einen Interessenkonflikt bei der Wahrnehmung der Aufgaben des Datenschutzbeauftragten zugelassen hatte.

In Großbritannien verhängte die APD gegen ZMLUK Limited, eine Finanzmakler- und Werbeagentur, eine Geldstrafe in Höhe von 105.000 Pfund (120.000 Euro), weil das Unternehmen mehr als 67 Millionen unerwünschte Direktmarketing-E-Mails ohne die Zustimmung der betroffenen Personen oder ohne gültige Ausnahme verschickt hatte.

Die schwedische Datenschutzbehörde (APD) hat gegen den Subunternehmer Sportadmin i Skandinavien AB eine Geldstrafe in Höhe von 6.000.000 SEK (560.000 €) verhängt. Ein Anbieter digitaler Dienste für Sportvereine und -verbände wurde nach einem Cyberangriff, bei dem die persönlichen Daten von mehr als 2,1 Millionen Menschen offengelegt wurden, in die Kritik geraten.

Der Subunternehmer wurde für schuldig befunden, nicht ausreichende Sicherheitsmaßnahmen umgesetzt zu haben, was einen Verstoß gegen Artikel 32 der DSGVO darstellt.

Die Schweizer Regierung will die Online-Überwachung ausweiten, indem sie eine Verordnung über die Überwachung des Postverkehrs und der Telekommunikation überarbeitet.

Der Vorschlag würde die Menge der gespeicherten personenbezogenen Daten erheblich erhöhen, indem er große Kommunikationsdienstleister zur Speicherung von Metadaten verpflichtet und praktisch allen Dienstanbietern Anforderungen an die Benutzeridentifizierung auferlegt.

Diese Organisationen sollten diese Daten mindestens sechs Monate lang aufbewahren und den Strafverfolgungsbehörden bei der Entschlüsselung der Inhalte helfen. Neunzehn zivilgesellschaftliche Organisationen haben einen Brief an das Eidgenössische Justiz- und Polizeidepartement der Schweiz geschickt, in dem sie ihre Bedenken äußern.

 

In Großbritannien verhängte die APD gegen ZMLUK Limited, eine Finanzmakler- und Werbeagentur, eine Geldstrafe in Höhe von 105.000 Pfund (120.000 Euro), weil das Unternehmen mehr als 67 Millionen unerwünschte Direktmarketing-E-Mails ohne die Zustimmung der betroffenen Personen oder ohne gültige Ausnahme verschickt hatte.

Die Schweizer Regierung will die Online-Überwachung ausweiten durch Überarbeitung einer Verordnung über die Überwachung der Postkorrespondenz und der Telekommunikation.

Der Vorschlag würde die Menge der gespeicherten personenbezogenen Daten erheblich erhöhen, indem er große Kommunikationsdienstleister zur Speicherung von Metadaten verpflichtet und praktisch allen Dienstanbietern Anforderungen an die Benutzeridentifizierung auferlegt.

Sie sollten diese Daten mindestens sechs Monate lang aufbewahren und den Strafverfolgungsbehörden bei der Entschlüsselung ihres Inhalts helfen.

19 zivilgesellschaftliche Organisationen haben einen Brief an das Eidgenössische Justiz- und Polizeidepartement der Schweiz geschickt, um ihre Bedenken zum Ausdruck zu bringen.

Am 3. Februar 2026 veröffentlichte der Justizausschuss des US-Repräsentantenhauses einen Bericht, in dem er den European Digital Services Act (DSA) angriff und ihn als Instrument der Zensur bezeichnete. „Die Bedrohung durch ausländische Zensur, Teil II: Europas zehnjährige Kampagne zur Zensur des globalen Internets und ihre schädlichen Folgen für die Meinungsfreiheit in den Vereinigten Staaten“

In diesem Bericht werden mehrere europäische Nichtregierungsorganisationen, darunter Bits of Freedom und Justice for Prosperity, als „Zensur-NGOs“ bezeichnet.

Fünf Sanktionen, über die bereits in diesem Newsletter berichtet wurde, wurden bereits in Form von Einreiseverboten in die Vereinigten Staaten gegen Europäer verhängt, die an der Anwendung des DSA, der Forschung und der Kritik an der Macht von Plattformen beteiligt sind.

Die Europäische Kommission antwortete durch ihren Sprecher und erinnerte daran, dass die DSA die Verantwortung dort verortet, wo sie hingehört, nämlich bei den Online-Plattformen.

Australiens Verbot sozialer Medien für Minderjährige unter 16 Jahren ist zu einem internationalen Vorbild geworden. Trotz der in der Anfangsphase der Umsetzung festgestellten Mängel beobachten die Europäische Union, das Vereinigte Königreich und die Vereinigten Staaten die australischen Erfahrungen daher genau. Einige Länder haben bereits ähnliche Gesetzesvorschläge eingebracht, wie die IAPP (International Association of Privacy Professionals) in einem Artikel vom 5. Februar feststellte.