Politische Werbung, Aufgaben und Ressourcen der Datenschutzbeauftragten, Datensicherheit, Zusammenarbeit mit der CNIL oder Achtung der Rechte von Personen: Die CNIL setzt die Entwicklung ihrer Strafverfolgungsmaßnahmen mit fünfzehn neuen Sanktionen im Rahmen ihres vereinfachten Verfahrens fort.
Seit Januar 2024 hat die CNIL im Rahmen ihres vereinfachten Verfahrens 15 neue Sanktionsentscheidungen über einen Gesamtbetrag von 98 500 Euro erlassen. Zum Vergleich: Im gesamten Jahr 2023 verhängte die CNIL 24 solcher Entscheidungen.
Die wichtigsten festgestellten Verstöße sind :
- ein Verstoß in Bezug auf die Aufgaben und Ressourcen des Datenschutzbeauftragten ;
- ein Mangel an Zusammenarbeit mit der CNIL ;
- ein Mangel an Datensicherheit (Verwendung des TLS-Protokolls und kryptographischer Suiten) ;
- eine Nichteinhaltung der Rechte von Personen (Ausübung der Rechte auf Löschung und Widerspruch sowie des Rechts auf Zugang zu einer Krankenakte) ;
- eine Verletzung der Informationspflicht in Bezug auf politische Werbung ;
- eine Nichteinhaltung der Pflichten des Auftragsverarbeiters.
Was ist das vereinfachte Verfahren?
Im Gegensatz zum ordentlichen Verfahren sind die Durchführungsmodalitäten des vereinfachten Verfahrens leichter: Der Vorsitzende des eingeschränkten Gremiums (oder ein von ihm ernanntes Mitglied) entscheidet allein und es findet keine öffentliche Sitzung statt, es sei denn, die Organisation beantragt, angehört zu werden.
Die Sanktionen, die verhängt werden können, sind eine Geldstrafe von bis zu 20 000 €, eine einstweilige Verfügung mit einem Zwangsgeld von bis zu 100 € pro Tag Verspätung oder ein Ordnungsruf. Die Namen der betroffenen Organisationen dürfen nicht veröffentlicht werden.
Dieses Verfahren ermöglicht es der CNIL, in Fällen, die keine besonderen Schwierigkeiten darstellen, schnell Maßnahmen zu ergreifen.
Ein Verstoß gegen die Aufgaben und Ressourcen des behördlichen Datenschutzbeauftragten
Eine Organisation hatte ihren Datenschutzbeauftragten (DSB) nicht in Sitzungen einbezogen, die für den Datenschutz und die Sicherheit von Informationssystemen relevant waren.
DSB haben jedoch die Aufgabe, den für die Verarbeitung Verantwortlichen über seine rechtlichen Verpflichtungen zu informieren und zu beraten und deren Einhaltung zu überwachen (Artikel 39 DSGVO). Sie müssen daher in den Austausch einbezogen werden, der den Schutz personenbezogener Daten betrifft.
Darüber hinaus waren die Kontaktdaten und Aufgaben des DSB seit mehreren Jahren nicht mehr an die Beschäftigten kommuniziert worden. Schließlich hatte der DSB keinen Zugang zum E-Mail-System der Website der Organisation, über das die betroffenen Personen ihre Rechte ausüben konnten. Er war daher nicht in der Lage, seine Aufgaben ordnungsgemäß zu erfüllen, was die CNIL dazu veranlasste, eine Geldstrafe gegen die Organisation zu verhängen.
Ein Informationsversäumnis bei der politischen Werbung
Im Rahmen einer Wahlwerbekampagne, die während der Präsidentschafts- und Parlamentswahlen 2022 durchgeführt wurde, kam eine politische Vereinigung ihren Verpflichtungen zur Information von Personen nicht nach.
Insbesondere waren die in den Artikeln 12, 13 und 14 der DSGVO vorgesehenen Informationen, die auf den verschiedenen von der Vereinigung herausgegebenen Websites zur politischen Kommunikation enthalten sein mussten, nicht transparent: Sie fehlten entweder auf den meisten Websites oder waren unvollständig.
Darüber hinaus enthielten im Rahmen von Wahlwerbung die Sprachnachrichten für politische Werbung und die versendeten SMS, Postsendungen oder E-Mails nicht systematisch Informationen über die Ausübung der Rechte von Personen, insbesondere über die Möglichkeit, ihr Widerspruchsrecht auszuüben. Wahlkandidaten oder Parteien müssen die Personen jedoch ordnungsgemäß informieren und können sich an dem von der CNIL vorgeschlagenen Modell orientieren.
Die CNIL verhängte eine Geldstrafe gegen die politische Vereinigung.
Ein Sicherheitsmangel bei personenbezogenen Daten
Mehrere Organisationen waren gemahnt worden, ihre Websites an die Vorschriften anzupassen, da sie keine aktuellen und anfälligen Versionen des TLS-Protokolls und keine dem Stand der Technik entsprechenden kryptografischen Suiten verwendeten.
Nach Ablauf der in den Mahnschreiben genannten Frist für die Einhaltung der Vorschriften führte die CNIL Überprüfungen auf den Websites der Organisationen durch, die zum Teil noch immer nicht konform waren.
Es wurde ein vereinfachtes Sanktionsverfahren eingeleitet, und die CNIL verhängte Geldbußen gegen diese Organisationen, die weiterhin :
- das Protokoll TLS 1.0 oder 1.1, obwohl diese beiden Versionen laut dem Leitfaden zum TLS-Protokoll der französischen Behörde für Sicherheit und Informationssysteme (ANSSI) nicht verwendet werden sollten,
- die Hashfunktion SHA-1, die nicht mehr als sicher gilt, da sie die Integrität und Vertraulichkeit der Daten bei der Übertragung zwischen dem Server und dem Browser des Nutzers nicht gewährleisten kann.