CNIL Commission nationale de l'informatique et des libertés.

Die CNIL ist die französische Datenschutzbehörde, gegründet 1978. Sie setzt den GDPR in Frankreich durch, erlässt verbindliche Entscheidungen und Bußgelder, veröffentlicht Leitlinien (Cookies, Biometrie, KI) und betreibt das PIA-Tool. Sie gehört zu den aktivsten Aufsichtsbehörden in der EU; ihre Entscheidungen setzen häufig EU-weite Maßstäbe.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyStandards bodiesAll entries

Die Einschätzung der Cyber Academy

Die CNIL ist die französische Datenschutzbehörde, gegründet 1978. Sie setzt den GDPR in Frankreich durch, erlässt verbindliche Entscheidungen und Bußgelder, veröffentlicht Leitlinien (Cookies, Biometrie, KI) und betreibt das PIA-Tool. Sie gehört zu den aktivsten Aufsichtsbehörden in der EU; ihre Entscheidungen setzen häufig EU-weite Maßstäbe.

Die CNIL ist die Aufsichtsbehörde, die das europäische Datenschutzrecht in Frankreich in konkrete Konsequenzen übersetzt. Sie ist Jahrzehnte älter als die DSGVO, weshalb ihr Aufgabenbereich über die reine Durchsetzung hinausgeht: Sie berät die Regierung bei Gesetzentwürfen, akkreditiert und prüft, betreibt öffentlich zugängliche Beratung und fungiert als zentrale Anlaufstelle sowohl für betroffene Personen, die sich beschweren, als auch für Verantwortliche, die Verletzungen melden. Für eine französische Organisation ist die CNIL das praktische Gesicht der Compliance. Sie ist die Stelle, die Ihre Fragen beantwortet, die Stelle, die Sie prüft, und die Stelle, die entscheidet, ob ein Problem mit einer Verwarnung oder einem Bußgeld endet.

Was die CNIL tatsächlich tut

Betrachten Sie die CNIL als vier sich überschneidende Funktionen und nicht als eine einzige Regulierungsbehörde. Erstens erstellt sie Leitlinien, die in Frankreich zur operativen Grundlinie werden: Ihre Cookie-Regeln, ihre Rahmenwerke zu Biometrie und Personalbeschaffung sowie ihre Positionspapiere zur künstlichen Intelligenz werden als das gelesen, was gute Praxis ausmacht, selbst dort, wo der zugrunde liegende DSGVO-Text allgemein gehalten ist.

Zweitens führt sie den Aufsichtsdialog, bearbeitet Beschwerden, kontrolliert Organisationen durch Aktenprüfung und Vor-Ort-Inspektion und erlässt förmliche Aufforderungen zur Herstellung der Konformität. Drittens sanktioniert sie, mit der Befugnis, verbindliche Abhilfemaßnahmen und Geldbußen zu verhängen. Viertens stattet sie die Fachleute mit Werkzeugen aus, am sichtbarsten mit der PIA-Software, die zur Strukturierung einer Datenschutz-Folgenabschätzung verwendet wird.

Die meisten Verantwortlichen bekommen nie die Schlagzeilen-Bußgeld-Version der CNIL zu sehen. Sie sehen die Dialog-Version: eine Anforderung von Unterlagen, eine Frage zur Rechtsgrundlage, eine förmliche Aufforderung mit einer Frist, etwas zu beheben. Ihr Verzeichnis von Verarbeitungstätigkeiten, Ihre Folgenabschätzungen und Ihre DPO-Regelungen in Ordnung zu bringen, ist das, was eine Interaktion in diesem niedrigeren Register hält.

CNIL, DSGVO und der Single Point of Contact der EU

Die CNIL schreibt nicht das Gesetz, das sie durchsetzt. Die DSGVO ist die Verordnung; die CNIL ist eine der nationalen Aufsichtsbehörden, die sie anwenden. Diese Unterscheidung ist für die grenzüberschreitende Verarbeitung von Bedeutung. Im Rahmen des One-Stop-Shop-Mechanismus befasst sich eine Organisation mit Hauptniederlassung in Frankreich vorrangig mit der CNIL als federführender Behörde, und die CNIL stimmt sich mit anderen europäischen Behörden über die Verfahren der Zusammenarbeit und Kohärenz ab, statt isoliert zu handeln.

Bei rein inländischer Verarbeitung handelt die CNIL eigenständig. Die CNIL gehört zudem zu den aktiveren Behörden in der EU, sodass ihre Begründungen und ihre Sanktionsentscheidungen weit über Frankreich hinaus als Hinweis darauf studiert werden, wohin sich die europäische Durchsetzung entwickelt.

Auch hier fügen sich die umgebenden Rollen ineinander. Die DSGVO schafft Pflichten; der DPO ist die Rolle innerhalb der Organisation, die die Einhaltung überwacht und als Kontaktstelle zur Behörde dient; die CNIL ist die Behörde am anderen Ende dieses Kontakts. Ein Praktiker, der erklären kann, wie diese drei zusammenhängen, ist selten derjenige, der bei einer Inspektion ertappt wird.

Was Praktiker mit der CNIL tun

In der Praxis besteht gute Zusammenarbeit mit der CNIL überwiegend aus Vorbereitung statt aus Reaktion. Die konkreten Gewohnheiten sind in reifen französischen Organisationen durchgängig dieselben.

  • Bringen Sie die aktuellen Leitlinien der CNIL in Übereinstimmung mit Ihrer eigenen Verarbeitung, insbesondere Cookies, Biometrie, Personalbeschaffung und allen KI-gestützten Entscheidungen, und halten Sie diese Zuordnung aktuell.
  • Halten Sie die Rechenschaftsnachweise bereit, die die CNIL zuerst sehen möchte: das Verzeichnis von Verarbeitungstätigkeiten, abgeschlossene Folgenabschätzungen und die dokumentierte Grundlage für jeden Verarbeitungszweck.
  • Nutzen Sie das PIA-Werkzeug der CNIL, um Folgenabschätzungen so zu strukturieren, dass das Ergebnis die Sprache der Behörde selbst spricht.
  • Kennen Sie Ihren Meldeweg für Verletzungen im Voraus, damit ein meldepflichtiger Vorfall zu einem Prozess statt zu einem hektischen Durcheinander wird.
  • Behandeln Sie eine förmliche Aufforderung als ein fristgetriebenes Projekt, nicht als eine Verhandlung, und dokumentieren Sie jeden Schritt, den Sie zur Herstellung der Konformität unternehmen.

Nichts davon ist exotisch. Es ist dieselbe Rechenschaftsdisziplin, die die DSGVO verlangt, so organisiert, dass die eine Stelle, die sie am ehesten verlangt, schnell und glaubwürdig eine Antwort erhält.

Frequently asked questions

01Ist die CNIL dasselbe wie die DSGVO?

Nein. Die DSGVO ist die europäische Verordnung; die CNIL ist die französische nationale Behörde, die sie durchsetzt. Die CNIL wendet das Gesetz an, gibt Leitlinien heraus, prüft Organisationen und kann Bußgelder verhängen, sie schreibt jedoch nicht die Verordnung selbst.

02Hat jedes französische Unternehmen direkt mit der CNIL zu tun?

Jede Organisation, die personenbezogene Daten in Frankreich verarbeitet, unterliegt der Zuständigkeit der CNIL. Bei grenzüberschreitender Verarbeitung innerhalb der EU bedeutet der One-Stop-Shop-Mechanismus, dass eine Organisation in der Regel mit einer federführenden Behörde befasst ist, und das ist die CNIL, wenn Frankreich ihre Hauptniederlassung ist.

03Was ist das PIA-Werkzeug der CNIL?

Es ist eine kostenlose Software, die die CNIL veröffentlicht, um Organisationen bei der Durchführung und Strukturierung einer Datenschutz-Folgenabschätzung zu unterstützen. Ihre Nutzung erzeugt eine Bewertung, die in dem Format aufgebaut ist, das die CNIL selbst erwartet.

04Warum verfolgen Praktiker außerhalb Frankreichs die Entscheidungen der CNIL?

Die CNIL ist eine der aktivsten Aufsichtsbehörden in der EU, sodass ihre Sanktionsentscheidungen und Leitlinien oft signalisieren, wie sich die europäische Durchsetzung entwickeln wird, und weit über Frankreich hinaus als Präzedenzfall zitiert werden.

05Spielt die CNIL nur dann eine Rolle, wenn es eine Beschwerde oder ein Bußgeld gibt?

Nein. Die meiste Interaktion mit der CNIL ist der Aufsichtsdialog: Fragen, Dokumentenanforderungen und förmliche Aufforderungen zur Herstellung der Konformität. Verzeichnisse, Folgenabschätzungen und DPO-Regelungen in Ordnung zu halten, ist das, was diesen Dialog vor einer Eskalation bewahrt.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.