Rechtsbeobachtung Nr. 88 – Oktober 2025. 

 

Videoüberwachung, das Hauptziel der Sanktionen der CNIL.

Die CNIL hat Folgendes getan der Punkt im Oktober über sein vereinfachtes Sanktionsverfahren.

Die 16 seit Mai letzten Jahres verhängten Sanktionen gingen mit Geldstrafen in Höhe von insgesamt 108.000 € einher, zusätzlich zu den 104.000 € aus den 10 Entscheidungen. ausgesprochen seit Januar.

Zusätzlich zur Videoüberwachung umfassen die Sanktionen auch kommerzielle Akquisepraktiken, die ohne die Zustimmung der betroffenen Personen durchgeführt werden, sowie die mangelnde Kooperation bei der Ausübung der in der DSGVO vorgesehenen Rechte (Recht auf Auskunft, Berichtigung oder Widerspruch).

Videoüberwachung bleibt ein Hauptthema bei Sanktionen, insbesondere wenn sie am Arbeitsplatz stattfindet.

Die CNIL prangert systematisch das Versäumnis von Datenverantwortlichen an, den Grundsatz der Datenminimierung einzuhalten.

Ein Pharmaunternehmen und ein Krankenhaus wurden sanktioniert, weil sie Gewerkschaftsräume und deren direkten Zugang gefilmt hatten. Dies stellt einen Verstoß gegen Artikel 5 Absatz 1 Buchstabe c der DSGVO dar, der besagt, dass die Daten angemessen, relevant und auf das für den verfolgten Zweck notwendige Maß beschränkt sein müssen.

Die CNIL erinnert daran, dass in Betrieben installierte Überwachungskameras, unabhängig davon, ob sie öffentlich zugänglich sind oder nicht, die Privatsphäre der Beschäftigten respektieren müssen.

„Kameras dürfen unter keinen Umständen Gewerkschaftsräume oder deren direkte Zugänge filmen.“

Jede übermäßige Beeinträchtigung der Privatsphäre der gefilmten Personen verstößt somit gegen diesen Grundsatz der Minimierung, wie die CNIL auch in einem Internat feststellte, dessen Videoüberwachungssystem Schüler während des Frühstücks und im Innenhof filmte.

Die Installation von Kameras am Arbeitsplatz ist nicht gestattet.

• Nur dann, wenn sie ein legitimes Ziel verfolgen, wie beispielsweise die Sicherheit von Eigentum und Personen.
• In abgegrenzten und nicht störenden Bereichen wie Gebäudeeingängen und -ausgängen, Durchgängen oder Lagerhallen.

Es gelten außerdem Sicherheits- und Transparenzverpflichtungen:

• Der Zugriff auf die Bilder muss sicher sein und darf nur autorisiertem Personal gestattet sein. Die Daten dürfen nur für einen begrenzten Zeitraum, in der Regel von wenigen Tagen bis zu einem Monat, aufbewahrt werden.
• Die verantwortliche Person muss die Arbeitnehmervertreter im Voraus informieren und konsultieren und dafür sorgen, dass ein Aushang für die Mitarbeiter und die Öffentlichkeit angebracht wird.

Ausnahmen hinsichtlich der Transparenzpflichten sind weiterhin möglich: In Ausnahmefällen und unter bestimmten Voraussetzungen kann der Verantwortliche für die Datenverarbeitung vorübergehend Kameras installieren, die für die Mitarbeiter nicht sichtbar sind, vorausgesetzt, die Vereinbarkeit des Geräts mit der DSGVO wird geprüft und er kann dies begründen.

Dass eine solche Folgenabschätzung fehlte und der Datenschutzbeauftragte nicht in die Implementierung eines verdeckten Videoüberwachungssystems einbezogen wurde, führte dazu, dass La Samaritaine im vergangenen September von der CNIL sanktioniert wurde.

Das Unternehmen hatte zwar Diebstähle in den Reserven gemeldet und erklärt, dass es sich bei dem System um eine temporäre Lösung handele, hatte aber weder eine vorherige Analyse durchgeführt noch die temporäre Natur der Installation dokumentiert.

Das Versäumnis, das Gleichgewicht zwischen dem verfolgten Ziel und dem Schutz der Privatsphäre der Mitarbeiter zu wahren, führte dazu, dass das Unternehmen mit einer Geldstrafe von 100.000 € belegt wurde.

Abschließend sei darauf hingewiesen, dass für öffentlich zugängliche Orte das Gerät vom Präfekten des jeweiligen Départements bzw. im Falle von Paris vom Polizeipräfekten genehmigt werden muss.

 

      

Der Rechnungshof veröffentlichte am 31. Oktober einen Bericht über „die Souveränitätsfragen der zivilen Informationssysteme des Staates“.

Sie macht mehrere Beobachtungen:

• Einige Ministerien nutzen außereuropäische IT-Lösungen, mitunter auch für sensible Daten, was der digitalen Souveränität schadet.

Der Bericht verweist in diesem Zusammenhang auf die Gesundheitsdatenplattform, die seit mehr als fünf Jahren von einem amerikanischen Unternehmen betrieben wird.

Er merkt außerdem an, dass private Betreiber Anwendungen für den öffentlichen Dienst anbieten, ohne den gleichen Verpflichtungen wie der Staat zu unterliegen.

• Es gibt keine systematische Erfassung sensibler Daten durch die Verwaltung, die einen Bezugsrahmen darstellen würde, der die Identifizierung derjenigen ermöglicht, deren Souveränität vorrangig gewahrt werden muss.
• Die Nutzung von Sovereign Cloud Computing durch Regierungsbehörden ist nach wie vor begrenzt, interne staatliche Clouds erreichen nur schwer eine ausreichende Größe, und die Vereinbarkeit von Souveränitätsanforderungen mit Leistungserfordernissen erweist sich als komplex.
• DINUM verwaltet zwei souveräne Infrastrukturen: das interministerielle Netzwerk des Staates (RIE) und das digitale Identitätssystem (FranceConnect), die als Erfolge gelten, auch wenn noch Fortschritte nötig sind, insbesondere im Hinblick auf die Resilienz.
• Über die Kontrolle sensibler Daten hinaus strebt der Staat keine totale Souveränität an, sondern vielmehr ein ausreichend hohes Maß an Vertrauen durch öffentliche Beschaffung, Bündelung von Einkäufen und Validierung durch die ANSSI zu schaffen, um Risiken zu begrenzen.

Am 15. Oktober bestätigte der Staatsrat eine von der CNIL gegen Apple verhängte Geldbuße in Höhe von 8.000.000 €, weil das Unternehmen die Daten französischer Nutzer ohne deren Einwilligung zu personalisierten Werbezwecken verarbeitet hatte.

• Der Staatsrat befand, dass die Sanktion angesichts der Zahl der Betroffenen – fast 27,5 Millionen Nutzer zwischen Juli 2020 und Juli 2021 – und der wirtschaftlichen Bedeutung der Gruppe nicht unverhältnismäßig sei.
• Er bestätigte auch die Zuständigkeit der CNIL für die Beurteilung ihrer Aktivitäten in Frankreich und wies damit das Argument des Unternehmens zurück, dass nur ihre irische Niederlassung unter die Zuständigkeit der europäischen Regulierungsbehörde falle.

Das Ministerium für Arbeit und Solidarität, die CNIL und die AFCDP haben die Afpa mit der Durchführung einer neuen Umfrage unter den Berufsverbänden der Datenschutzbeauftragten beauftragt, die sich mit den Auswirkungen von KI auf diesen Beruf befasst.

Die Studie untersucht KI-Governance-Modelle in Unternehmen, die Rolle des Datenschutzbeauftragten (DSB), die wichtigsten Herausforderungen für DSB sowie deren Bedarf an Tools und Schulungen. Die Ergebnisse werden in der ersten Hälfte des Jahres 2026 veröffentlicht.

Am 28. Oktober veröffentlichte die CNIL den Bericht über ihre Veranstaltung vom 20. Mai mit dem Titel „DSGVO: Welche wirtschaftlichen Auswirkungen?“. 

Die Veranstaltung brachte Ökonomen sowie französische (CNIL) und europäische (britische Datenschutzbehörde, Europäische Kommission) Regulierungsbehörden zusammen und trug zur nachträglichen Bewertung der Umsetzung der DSGVO bei.

Da die Akteure im Vertriebssektor die Portabilität von Daten im Zusammenhang mit Treueprogrammen nutzten, wurde Mitte Oktober auch präzisiert, welche Informationen übermittelt werden müssen, insbesondere in Bezug auf den Barcode und Daten zu Werbeaktionen, auf die Kunden Zugriff hatten.

 

Europäische Institutionen und Gremien

Laut einer informellen, der Presse zugespielten Version des Dokuments könnten die im Digital Omnibus Act geplanten Änderungen der DSGVO weiter gehen als ursprünglich angekündigt.

Der Vorschlag, dessen offizielle Veröffentlichung für den 19. November erwartet wird, würde bestimmte Schlüsseldefinitionen präzisieren (wenn auch einschränken), bestimmte Regeln hinsichtlich der Vertraulichkeit lockern und die Verwendung personenbezogener Daten für das KI-Training genehmigen.

Die Zivilgesellschaft hat bereits reagiert und auf die Gefahren einer solchen Vereinfachung der Grundrechte hingewiesen.

Am Donnerstag, dem 9. Oktober, kündigte die Europäische Kommission den Start einer öffentlichen Konsultation zu ihren Leitlinienentwürfen bezüglich des Zusammenspiels zwischen der Verordnung über digitale Märkte (DMA) und der DSGVO an.

Dieses Projekt wurde in Zusammenarbeit mit dem Europäischen Datenschutzausschuss (EDPB) entwickelt.

Im Mittelpunkt dieser Leitlinien steht Artikel 5(2): Die DMA verlangt von den „Gatekeepern“, die Einwilligung der Nutzer zur Weitergabe ihrer Daten zwischen verschiedenen Diensten einzuholen, definiert aber nicht die genauen Bedingungen dieser Einwilligung.

Der Text legt nun fest, dass diese Einwilligung im Sinne der DSGVO gültig sein muss, vor allem aber, dass sie für jeden einzelnen Verarbeitungszweck (Inhaltspersonalisierung und zielgerichtete Werbung) separat eingeholt werden muss.

Die Konsultationsphase läuft bis zum 4. Dezember.

Am 24. Oktober kam die Europäische Kommission vorläufig zu dem Schluss, dass Meta und TikTok gegen das Gesetz über digitale Dienste (Digital Services Act, DSA) verstoßen haben.

Unternehmen gewähren Forschern keinen ausreichenden Zugang zu öffentlich verfügbaren Daten.

Die Kommission kommt vorläufig zu dem Schluss, dass Facebook und Instagram ihren Verpflichtungen nicht nachgekommen sind, (1) den Nutzern einfache Mechanismen zur Meldung illegaler Inhalte wie Kinderpornografie oder terroristischer Inhalte bereitzustellen und (2) den Nutzern die Möglichkeit zu geben, Entscheidungen der Inhaltsmoderation durch Meta wirksam anzufechten.

TikTok und Meta haben die Möglichkeit, auf die Ermittlungsakte zuzugreifen und darauf zu reagieren.

Die Europäische Kommission hat ihren Rahmen für eine souveräne Cloud für öffentliche Vergabestellen veröffentlicht.

Das Dokument stützt sich auf verschiedene europäische Initiativen, darunter den europäischen Rahmen für Cybersicherheitszertifizierungen (ENISA, NIS2, DORA).

Es bezieht sich auch auf nationale Strategien wie „Cloud im Zentrum“ in Frankreich mit der SecNumCloud von Anssi und die deutsche Sovereign Cloud.

Die Kommission schlägt einen Souveränitätswert für Cloud-Angebote vor, der auf unterschiedlichen Kriterien basiert und gemischte Reaktionen hervorruft.

Die Methode stößt bei den europäischen Cloud-Anbietern, die im Verband Cispe zusammengeschlossen sind, auf wenig Gegenliebe. Sie halten sie für intransparent und in ihrer jetzigen Form für eine Bevorzugung ausländischer Anbieter.

Mitglieder des Europäischen Parlaments fordern eine Untersuchung der DSA gegen Shein, Temu und AliExpress.

Nach der Einleitung von Ermittlungen durch die Pariser Staatsanwaltschaft gegen diese vier Unternehmen wegen des Verkaufs von „kindähnlichen Sexpuppen“ haben laut einem Bericht von Euractiv mehr als 40 Europaabgeordnete die Kommission aufgefordert, ebenfalls Ermittlungen einzuleiten.

Der Vorschlag der CSAM für eine Verordnung zur Verhütung und Bekämpfung des sexuellen Missbrauchs von Kindern stand am 14. Oktober erneut auf der Tagesordnung des Europäischen Rates.

Nachdem Deutschland, das zuvor ein starker Befürworter des Gesetzesentwurfs gewesen war, seine Unterstützung für den Verordnungsentwurf zurückgezogen hatte, wurde die Abstimmung verschoben.

Der umstrittene Vorschlag sah vor, die Kommunikation auf dem Endgerät des Nutzers vor dem Absenden zu scannen; dieses Element wurde von der dänischen Ratspräsidentschaft gestrichen, um eine ausreichende Unterstützung der Mitgliedstaaten zu erhalten.

Dänemark beabsichtigt dennoch, die derzeitige befristete Genehmigung für „freiwillige“ CSAM-Analysen auf unbestimmte Zeit zu verlängern, und „Hochrisiko-Dienstleister […] könnten weiterhin verpflichtet werden, Maßnahmen zu ergreifen, um relevante Technologien zu entwickeln, um das Risiko des sexuellen Missbrauchs von Kindern, die in ihren Diensten identifiziert werden, zu mindern“.

Die EU-Innenminister werden sich Anfang Dezember erneut treffen.

Auf seiner Plenarsitzung im Oktober wählte der Europäische Datenschutzausschuss das Thema seiner fünften koordinierten Kontrollmaßnahme, die sich auf die Einhaltung der in der DSGVO vorgesehenen Transparenz- und Informationspflichten konzentrieren wird.

Die Verordnung stellt sicher, dass die betroffenen Personen über die Verarbeitung ihrer Daten informiert werden (gemäß Artikel 12, 13 und 14).

Der Europäische Datenschutzausschuss (EDPB) bekräftigt, dass dieses Recht auf Information ein zentrales Element der Transparenz ist und Einzelpersonen eine bessere Kontrolle über ihre Daten garantiert.

Die teilnehmenden Datenschutzbehörden werden sich dieser Aktion in den kommenden Wochen auf freiwilliger Basis anschließen, und die Aktion selbst wird im Laufe des Jahres 2026 gestartet.

Eine Untersuchung über Händler personenbezogener Daten, durchgeführt von der belgischen Tageszeitung L'Echo, der deutschen Fachpublikation Netzpolitik.org, dem niederländischen Radiosender BNR, dem deutschen Radiosender BR und Le Monde, zeigt das Ausmaß der Überwachung, die durch geolokalisierte Werbedaten ermöglicht wird.

Mithilfe dieser Daten, die von „Le Monde“ und seinen Partnern erhoben wurden, konnten mehrere Würdenträger der Europäischen Union identifiziert und verfolgt werden, manchmal sogar bis zu ihren Wohnorten.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Das deutsche Bundesland Schleswig-Holstein hat seine staatlichen E-Mail- und Kalendersysteme zugunsten von Open-Source-Software aufgegeben.

Die Migration, die sechs Monate dauerte, ersetzte Microsoft Exchange und Outlook durch Open-Xchange und Mozilla Thunderbird.

Die Übertragung umfasste mehr als 40.000 E-Mail-Konten und mehr als 100 Millionen Nachrichten und Kalendereinträge.

In Österreich berichtet die NGO Noyb, dass die Datenschutzbehörde ein Urteil gefällt hat, in dem sie zu dem Schluss kommt, dass Microsoft 365 Education Schüler illegal verfolgt und ihre Daten für eigene Zwecke von Microsoft verwendet.

Der Softwaregigant reagierte auch nicht auf eine Anfrage bezüglich des Zugangs zu Microsoft 365 Education, das in europäischen Schulen weit verbreitet ist.

Ein österreichisches Gericht hat eine Geldstrafe von 1.500.000 Euro gegen IKEA bestätigt, weil das Unternehmen in und um eine seiner Filialen illegale und übermäßige Videoüberwachung betrieben hatte, bei der unter anderem Kunden bei der Eingabe ihrer PIN-Codes aufgezeichnet wurden.

Damit hob er eine Entscheidung der APD auf, die lediglich den Verkäufer für Verstöße während des Kaufvorgangs verantwortlich machte.

In Belgien rügte die belgische Datenschutzbehörde (APD) ein Unternehmen, das die E-Mail-Adresse und Telefonnummer eines ehemaligen Mitarbeiters nach Beendigung des Arbeitsvertrags unrechtmäßig aufbewahrt hatte. Die APD stellte fest, dass der Verantwortliche gegen mehrere Bestimmungen der DSGVO verstoßen hatte, darunter das Prinzip der Zweckbindung, das Prinzip der Datenminimierung und Speicherbegrenzung, das Prinzip der Information der betroffenen Person sowie das Recht auf Löschung.

Schließlich gab es keine Rechtsgrundlage mehr für die weitere Verarbeitung dieser Daten.

In Spanien verhängte die APD eine Geldstrafe von 1.500.000 € gegen ein Finanzdienstleistungsunternehmen (Servicios Financieros Carrefour), weil dieses die Sicherheit und Vertraulichkeit der Datenverarbeitung im Zusammenhang mit einer Datenschutzverletzung, die zum Versand zahlreicher Phishing-E-Mails führte, nicht gewährleisten konnte.

In Irland hat die Ernennung der ehemaligen Meta-Lobbyistin Niamh Sweeney zur Leiterin der irischen Datenschutzbehörde in letzter Zeit erneut Aufmerksamkeit erregt.

Der Irish Civil Liberties Council (ICCL) reichte am 25. Oktober eine Beschwerde gegen Irland bei der Europäischen Kommission ein, in der er behauptete, Irland habe keine ausreichenden Garantien hinsichtlich der Unabhängigkeit und Unparteilichkeit seines Nominierungsverfahrens gegeben.

Die Europäische Kommission soll geantwortet haben, dass sie keine Zuständigkeit für nationale Ernennungen im Zusammenhang mit ODAs habe.

Die niederländische Datenschutzbehörde (APD) hat Experian Nederland wegen mehrfacher Verstöße gegen die DSGVO mit einer Geldstrafe von 2,7 Millionen Euro belegt.

Bis zum 1. Januar 2025 stellte Experian seinen Kunden Bonitätsbewertungen zur Verfügung, für die es beispielsweise Daten über negatives Zahlungsverhalten, unbezahlte Schulden oder Insolvenzen sammelte.

Die APD bemängelte das Fehlen einer gültigen Rechtsgrundlage für die Erhebung der Informationen und das Versäumnis, die betroffenen Personen zu informieren.

Das Unternehmen musste seine Geschäftstätigkeit in dem Land einstellen und verpflichtete sich, seine gesamte personenbezogene Datenbank noch vor Jahresende zu löschen.

 

 

Die britische Datenschutzbehörde (DPA) hat einen auf die Rentenverwaltung spezialisierten Dienstleistungsanbieter und dessen Subunternehmer mit Geldstrafen in Höhe von 8.000.000 £ bzw. 6.000.000 £ belegt, nachdem ein Cyberangriff unbefugten Dritten den Zugriff auf die Daten von mehr als 6 Millionen Menschen ermöglicht hatte.

Die Polizei von Austin (APD) bemängelte das Fehlen angemessener Sicherheitsvorkehrungen.

Die IAPP berichtet, dass die Internationale Organisation für Normung (ISO) zum ersten Mal seit 2019 ihren internationalen Standard für das Management von Datenschutz-Compliance-Programmen, ISO 27701, aktualisiert hat.

Der Standard ist nun ein in sich geschlossenes Managementsystem, was bedeutet, dass Organisationen kein nach ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem mehr benötigen.

Diejenigen mit einer SGSI-Zertifizierung können jedoch beide Managementsysteme integrieren.

Der Standard beschreibt detailliert die übergeordneten Anforderungen an die Implementierung eines PIMS, die von jeder Organisation, die eine Zertifizierung anstrebt, erfüllt und umgesetzt werden müssen.

Auch wenn es nicht als Ersatz für Gesetze angesehen werden kann, orientiert es sich eng an der EU- und der britischen Datenschutz-Grundverordnung (DSGVO).

In den Vereinigten Staaten scannt die Einwanderungspolizei die Gesichter von Menschen auf der Straße, um deren Staatsbürgerschaft zu überprüfen.

Laut dem amerikanischen Medienportal 404 zeigen Videos, die in den sozialen Medien kursieren, dass Beamte der Einwanderungs- und Zollbehörde (ICE) und der Zoll- und Grenzschutzbehörde (CBP) im Einsatz Gesichtserkennungstechnologie an Passanten anwenden.

Die verwendete Anwendung, Mobile Fortify, verknüpfte Gesichter mit einer Datenbank von 200 Millionen Bildern aus Datenbanken des FBI, des Außenministeriums und anderer Behörden.

Die Anwendung könnte auch Querverweise zu Fahrzeugen, Telefonen, Adressen und Schusswaffen durchführen.

Während das US-Heimatschutzministerium die Fähigkeiten von „Mobile Fortify“ weder bestätigt noch dementiert, räumt die US-Zoll- und Grenzschutzbehörde (CBP) Berichten zufolge ein, auf „verschiedene technologische Hilfsmittel zur Steigerung der Effektivität der Beamten“ zurückzugreifen.

Der Wettbewerb um die Integration von KI in Internetbrowser nimmt zu und stellt die dominante Stellung des mittlerweile klassischen Google Chrome in Frage.

Microsoft hat daher sein KI-Tool Copilot in den Edge-Browser integriert.

Die vorgeschlagenen „Aktionen“ ermöglichen es Copilot, Formulare auszufüllen oder Hotels zu buchen, und die „Reisen“ ermöglichen es Copilot, die Verknüpfungen zwischen den vom Benutzer geöffneten Tabs nachzuverfolgen.

Die Ankündigung von Microsoft erfolgte zwei Tage nach einer ähnlichen Produkteinführung durch OpenAI, die ihren neuen Atlas-Browser vorstellten, der dem von Microsoft optisch sehr ähnlich ist.