Datenschutzverletzungen: Die CNIL schlägt Alarm, und wir stimmen ihr zu.

Vor zwei Wochen rief mich ein Manager panisch an. Einer seiner Dienstleister war gerade Opfer eines Cyberangriffs geworden. Seine Kundendaten, die er bei einem „zertifizierten“ SaaS-Anbieter für gut geschützt gehalten hatte, waren plötzlich ungeschützt. Seine erste Frage war: „Na ja, das ist doch deren Problem, oder?“ Nein. Es ist auch seins. Und genau das ist eine der wichtigsten Erkenntnisse aus dem Jahresbericht, der von der [Name der Organisation/Institution] veröffentlicht wurde. CNIL 18. Mai: Datenlecks Wenn es zu einer Explosion kommt, ist die Unterauftragskette fast immer mit von der Partie.

6.167 Benachrichtigungen Datenschutzverletzung Im Jahr 2025 wurde ein Rekordwert von 9,5 Millionen Fällen verzeichnet – 9,5 Millionen mehr als im Vorjahr. Auch das erste Quartal 2026 setzt diesen Trend mit 2.730 Vorfällen fort. Hinter diesen Zahlen stehen Millionen betroffener Franzosen, erschütterte Unternehmen und eine klare Botschaft von Marie-Laure Denis, Präsidentin der französischen Polizei. CNIL : Dort Cybersicherheit Die des Staates sowie die der Unternehmen ist „alles andere als zufriedenstellend“.

Zusammenfassend

  • Absoluter Rekord von Datenschutzverletzungen In Frankreich im Jahr 2025: 6.167 Meldungen, +9,5 % innerhalb eines Jahres, und das erste Quartal 2026 bestätigt den Trend.
  • DER Datenlecks werden immer umfangreicher, wobei die öffentliche Verwaltung eine führende Rolle spielt, und sehr oft ist auch ein Dienstleister beteiligt.
  • Der Bewertungs- und Vertragsrahmen der DSGVO-Unterauftragnehmer sind zu einer Hauptverpflichtung geworden: ein DPA Die Grundlage bilden Compliance, Audits und Monitoring.
  • Multi-Faktor-Authentifizierung (MFA) ist nun das Maß, das die CNIL wartet standardmäßig. Im Jahr 2026 werden sich 50 % seiner Kontrollfunktionen auf die Cybersicherheit.
  • Ein Verfahren von Verstoßmitteilung getestet, das Update von Verarbeitungstätigkeitenregister und die Verwirklichung von AIPD Das kann am großen Tag den entscheidenden Unterschied machen.
  • Die Einhaltung der Vorschriften wird nicht durch Absichten, sondern durch Dokumente nachgewiesen: So einfach ist das.Rechenschaftspflicht.

Was der Jahresbericht der CNIL (wirklich) aussagt

„Immer massivere“ Verstöße

Der Bericht zählt nicht nur, er zeichnet ein Bild. Rund vierzig Vorfälle im Jahr 2025 betrafen jeweils mehr als eine Million Menschen – zehn mehr als im Jahr 2024. Die öffentliche Verwaltung führt mit 19 Millionen gemeldeten Vorfällen, gefolgt vom Gesundheitswesen, den Sozialdiensten und dem Finanz- und Versicherungswesen. Und das ist noch nicht alles: Diese Zahl beinhaltet noch nicht einmal Cyberangriffe auf die Software von Weda und Harvest, die allein über 11.600 Kundenbenachrichtigungen auslösten. Ein einziger Vorfall im vorgelagerten Bereich, Tausende von Unternehmen im nachgelagerten Bereich. Das spricht für sich.

Drei Lektionen, die man lernen muss

Dort CNIL Drei zentrale Erkenntnisse lassen sich festhalten, die jede Führungskraft im Vorstand prominent vermerken sollte. Erstens: Niemand ist ausgenommen. Sportverbände, Hotelketten, Versicherungsvereine auf Gegenseitigkeit, Kommunen, KMU und Großkonzerne – die Bedrohung hat kein typisches Profil mehr. Zweitens: die Datenlecks Es handelt sich um zunehmend beträchtliche Mengen. Drittens, und hier knüpft das Thema an unsere vorherigen Artikel an: Bei diesen Vorfällen sind häufig Dienstleister beteiligt. DSGVO-Unterauftragnehmer ist zum am stärksten exponierten Glied geworden.

Die Vorgehensweise der Angreifer wird immer üblicher.

Hacking macht die Hälfte aller gemeldeten Vorfälle aus. Hinter diesem Begriff verbirgt sich eine ganze Reihe von Problemen: Ransomware, Phishing, Credential StuffingDiebstahl legitimer Benutzerkonten. Hinzu kommen 13 Vorfälle, bei denen ein falscher Empfänger in eine E-Mail in Kopie gesetzt wurde, 7 Fälle von Hardwareverlust und 7 Fälle von versehentlichem Absenden. Kurz gesagt: Menschliches Versagen bleibt ein bedeutender Faktor. Und dann ist da noch die generative KI, die, um es mit den Worten des Präsidenten von CNILDer ANTS-Fall, in dem ein 15-jähriger Minderjähriger – „kein Wunderkind“, wie der Staatsanwalt betonte – nach dem Hackerangriff auf die Behörde für sichere Dokumente verwickelt ist, ist ein erschreckendes Beispiel dafür.

Warum Ihre Subunternehmer (immer noch) das Kernproblem darstellen

Wenn ein Dienstleister scheitert, scheitern auch seine Kunden.

Kehren wir zur Geschichte der Weda- und Harvest-Software zurück. Es handelte sich um zwei Cyberangriffe, doch die Behörden erhielten 11.600 Benachrichtigungen. Denn hinter jedem Softwarehersteller stehen Hunderte von Arztpraxen und Vermögensberatern, die ebenfalls betroffen sind. Datenverantwortlicher und müssen das Leck ihren eigenen Kunden melden. Genau dies ist das Szenario des Subunternehmers Mobius/Deezer, der CNIL Es wurde eine Geldstrafe von einer Million Euro bis Ende 2025 verhängt – doch hier vervielfachen sich die Kosten. Ein Anschlag, tausend professionelle Opfer, Millionen Betroffene.

Die vorläufige Einschätzung: Ihr bester (und einziger) Schutz

Die DSGVO lässt keinen Raum für Zweifel: Datenverantwortlicher „nur Subunternehmer einsetzen, die ausreichende Garantien bieten.“ Diese in Artikel 28 Absatz 1 festgelegte Verpflichtung ist kein Wunschdenken. Genau darauf werden die Prüfer achten. Konkret: Senden Sie jedem Dienstleister einen Bewertungsfragebogen? Fragen Sie nach dessen Sicherheitsrichtlinien, deren Verarbeitungstätigkeitenregister, der Name ihrer DatenschutzbeauftragterIhre Zertifizierungen? Haben Sie Ihre identifiziert? Datentransfers Außerhalb der EU? Wenn die Antwort auf eine dieser Fragen „äh“ lautet, haben Sie Ihre erste operative Priorität gefunden.

Der Vertrag allein genügt nicht, auch die Prüfung nicht, aber beides zusammen, ja.

A DSGVO-Unterauftragsvereinbarung gut geschrieben – das heißt, ein DPA Die Wiederholung der acht zwingenden Klauseln von Artikel 28 §3 ist der Ausgangspunkt, nicht das Endziel. Langfristiges Management ist ebenfalls unerlässlich: jährliche Audits, Überprüfung nachfolgender Subunternehmer, Überwachung von technische und organisatorische Maßnahmen effektiv angewendet. Um diesen Ansatz zu strukturieren, Viqtor-Subunternehmermodul Bewertungen, Verträge, Prüfungen und Transaktionshistorie werden in einem zentralen System zusammengeführt. Dies ist die Art von Nachweis, die ein Controller benötigt. CNIL Ich würde es gerne sehen.

Sind Ihre Subunternehmerverträge und -bewertungen auf dem neuesten Stand? Lassen Sie sich von einem Viqtor-Experten informieren.

Was die Regierung tut – und was Sie ihrerseits tun sollten

200 Millionen Euro und eine neue digitale Behörde

Ende April stellte Premierminister Sébastien Lecornu seinen Plan vor: 200 Millionen Euro zur Stärkung der Cybersicherheit des Staates, Zusammenlegung der interministeriellen Direktion für digitale Angelegenheiten und der Direktion für öffentliche Transformation zur Schaffung einer dem Büro des Premierministers angegliederten Digitalbehörde. Im Anschluss daranANSSI hat neue Richtlinien für Ministerien veröffentlicht: Jedes Ministerium muss einen Berater ernennen. CybersicherheitDas ist nicht unerheblich. Wenn der Staat auf dieser Ebene umstrukturiert, bedeutet das, dass er die Lage als äußerst prekär einschätzt. Allerdings lagern Regierungsbehörden innerhalb der Kette viele Aufgaben aus – und jeder Dienstleister stellt ein potenzielles Einfallstor dar.

Multifaktor-Authentifizierung: Die Maßnahme, die viele Tragödien hätte verhindern können

Dort CNIL verdeutlicht eine einfache Botschaft: Die Mehrheit der jüngsten größeren Anschläge hätte durch eine Multi-Faktor-Authentifizierung korrekt eingesetzt. MFAEs ist dieser doppelte Faktor, der einen Großteil der Techniken wirkungslos macht. Credential Stuffing Und PhishingDie Behörde veröffentlichte ihre Empfehlung bereits im März 2025, um Organisationen Zeit zur Anpassung zu geben, und kündigt nun gezielte Kontrollmaßnahmen an. Im Jahr 2026 werden sich 50 % der Durchsetzungsmaßnahmen auf die folgenden Punkte konzentrieren: CybersicherheitIm Vergleich dazu wird es im Jahr 2025 nur noch ein Viertel bis ein Drittel sein. Für Stützpunkte mit mehr als einer Million Einwohnern werden Kontrollen Priorität haben.

Einige konkrete Projekte, die diese Woche gestartet werden sollen.

Ohne die Teams zu überlasten, gibt es einige Maßnahmen, die schnell ergriffen werden können und im Falle eines Zwischenfalls einen echten Unterschied machen. Hier sind meine Empfehlungen für Führungskräfte, wenn sie mich fragen, wo sie anfangen sollen.

  • Aktivieren Sie die MFA auf allen privilegierten Konten und beim Zugriff auf Tools, die personenbezogene Daten.
  • Aktualisieren Sie Ihre Liste der Subunternehmer und überprüfen Sie, ob jeder von ihnen über eine DPA unterschrieben und diejenigen identifizieren, die dies ausführen Datentransfers außerhalb der EU.
  • Testen Sie Ihr Verfahren Verstoßmitteilung Wer benachrichtigt wen? Können Sie die Ereigniskette bis zum Anfang zurückverfolgen? CNIL innerhalb der gesetzlichen Frist von 72 Stunden ?
  • Dokumentation eines AIPD (Wirkungsanalyse) für Ihre Hochrisikobehandlungen – das ist der andere Punkt, den die CNIL systematische Kontrollen.
  • Werfen Sie noch einmal einen kurzen Blick auf Ihren Verarbeitungstätigkeitenregister Es ist selten so aktuell, wie man vielleicht annehmen würde.

Und was passiert nach dem Datenleck? Das Krisenmanagement, bei dem alles von entscheidender Bedeutung ist.

Die ersten 72 Stunden entscheiden über den Rest

Wenn Sie von einem Dienstanbieter benachrichtigt werden, haben Sie 72 Stunden um die CNIL wenn Datenleck stellt ein Risiko für die Bevölkerung dar. Drei Wochen reichen nicht aus, um einen Lenkungsausschuss einzuberufen. Das Verfahren muss fertig, schriftlich festgehalten, getestet und am Sonntagabend einsatzbereit sein. Unsere Seite ist dem Thema gewidmet. Erklärung zu Datenschutzverletzungen beschreibt detailliert die Schritte, um zu vermeiden, dass man es rückwärts macht.

Die Betroffenen informieren: Der Moment der Wahrheit

Wenn die Datenschutzverletzung ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt, schreibt die DSGVO zudem vor, dass jede betroffene Person direkt informiert werden muss. Oftmals hat in diesem Stadium die Krisenkommunikation Vorrang vor rechtlichen Schritten. Wird sie schlecht gemanagt, bricht das Vertrauen zusammen – Marie-Laure Denis spricht im Zusammenhang mit Leaks von Regierungsbehörden sogar von einer „Aushöhlung des Vertrauensverhältnisses zwischen Staat und Bürgern“. Für ein privates Unternehmen bedeutet dies, dass der Kunde abspringt und ein Anwalt eingeschaltet wird.

Die Sanktion und was sie über die Reife der Organisation aussagt.

Dort CNIL Es bestraft nicht die Flucht an sich, sondern die Versäumnisse, die sie ermöglichten oder verschlimmerten. Fehlen vonMulti-Faktor-Authentifizierungunvollständiges Register, generische Unterauftragsverträge, verspätete Benachrichtigung Rechenschaftspflicht nicht existent. Hier wird die Verteidigung – oder die Verurteilung – aufgebaut. Um dieses gesamte Gebilde verlässlich zu machen, unsere Ein vollständiger Leitfaden für DSGVO-Compliance-Audits beschreibt die von unseren Beratern angewandte Methodik.

Häufig gestellte Fragen

Da DatenverantwortlicherJa, Sie bleiben für die Datenverarbeitung rechtlich verantwortlich, auch wenn die Datenpanne von Ihrem Subunternehmer ausgeht. Sie müssen das Risiko analysieren und den/die zuständige(n) Sachverständige(n) benachrichtigen. CNIL falls erforderlich in der 72 Stundenund gegebenenfalls die betroffenen Personen zu informieren. Unterauftragsvereinbarung DSGVO Sie müssen planen, wie der Dienstanbieter Sie benachrichtigt und mit Ihnen zusammenarbeitet.

Es ist in der DSGVO nicht explizit erwähnt, aber CNIL hält es für eine zu erwartende technische Maßnahme für jeden Zugriff auf personenbezogene Daten Sensible oder groß angelegte Projekte. Die Empfehlung vom März 2025 ist eindeutig, und die Prüfungen im Jahr 2026 werden sich vorrangig an Organisationen richten, die sie noch nicht umgesetzt haben. Kurz gesagt: Sie ist nicht länger optional.

72 Stunden Ab dem Zeitpunkt der Meldung des Vorfalls muss die Meldung erfolgen, es sei denn, die Verletzung stellt voraussichtlich kein Risiko für die Rechte und Freiheiten von Einzelpersonen dar. Eine verspätete Meldung muss begründet werden. Die Meldung erfolgt über den Online-Dienst der [Name der Organisation/des Dienstes einfügen]. CNIL und muss die Art des Verstoßes, die betroffenen Datenkategorien und die ergriffenen Maßnahmen beschreiben.

Kartierung von Behandlungen und Aufrechterhaltung einer Verarbeitungstätigkeitenregister auf dem Laufenden bleiben, jeden Subunternehmer identifizieren und ordnungsgemäß über ein DPAeinsetzen MFASchreiben Sie eine Prozedur für Verstoßmitteilungund einen Bezugspunkt oder eine DatenschutzbeauftragterDiese fünf Baustellen decken die wichtigsten Kontrollpunkte ab. CNIL.

L'AIPD (WirkungsanalyseEine Risikobewertung ist obligatorisch für Verarbeitungstätigkeiten, die ein hohes Risiko für Rechte und Freiheiten darstellen: großflächige Überwachung, sensible Daten, automatisierte Profilerstellung usw. Sie dokumentiert die Risiken, die Maßnahmen zu deren Minderung und zeigt Ihren Risikomanagementansatz auf.RechenschaftspflichtDies ist eines der ersten Dokumente, die die CNIL Bitte um Aufforderung im Falle einer Inspektion.

Möchten Sie diese Erkenntnisse in einen konkreten Aktionsplan umsetzen?

Um mehr zu erfahren, finden Sie alle unsere Ressourcen auf der Datenverwaltung und die Einhaltung der DSGVO in Bezug auf Viqtor-Plattform.

de_ATDE_AT