Digitale Unterstützung, KI, Cybersicherheit: Das Wichtigste aus dem Tätigkeitsbericht 2024 der CNIL

Das Jahr 2024 war durch eine Intensivierung der Maßnahmen der CNIL gekennzeichnet, um auf die beschleunigte digitale Transformation zu reagieren. Zwischen dem Aufschwung mobiler Anwendungen, dem Einsatz künstlicher Intelligenz, der Zunahme von Datenschutzverletzungen und der Veränderung der Nutzungsgewohnheiten im öffentlichen Raum nehmen die Herausforderungen im Bereich des Datenschutzes weiter zu. Um diesen zu begegnen, hat die Behörde neue praxisorientierte Leitfäden veröffentlicht, ihre Zusammenarbeit mit anderen Institutionen verstärkt und die Zahl ihrer Kontrollen und Sanktionen erhöht. Ein Rückblick auf die wichtigsten Prioritäten des Jahres und die zur Verfügung gestellten Werkzeuge für öffentliche und private Akteure.

Begleitung des sektoralen und technologischen Wandels

Mobile Anwendungen: Empfehlungen für einen besseren Schutz der Privatsphäre

Im Jahr 2023 haben die Französinnen und Franzosen im Durchschnitt 30 Anwendungen heruntergeladen, um zu kommunizieren, sich zu unterhalten, fortzubewegen, einzukaufen oder viele andere Zwecke zu erfüllen. Eine Feststellung drängt sich auf: Die mobile Umgebung stellt für den Datenschutz ein größeres Risiko dar als das Web. Anwendungen greifen nämlich auf vielfältigere und teilweise sensiblere personenbezogene Daten zu, wie etwa den aktuellen Standort, Fotos oder Gesundheitsdaten. Zudem sind viele Akteure am Betrieb beteiligt, was potenziell die Zahl der Personen erhöht, die Zugang zu diesen Daten haben.

Nach einer breiten öffentlichen Konsultation und in Zusammenarbeit mit der Wettbewerbsbehörde hat die CNIL schließlich Empfehlungen veröffentlicht. Diese richten sich an das gesamte Ökosystem – Herausgeber, Entwickler und verschiedene Anbieter.

Videoüberwachung: Ein Leitfaden für den Einsatz von Videoprotektionskameras

Anlässlich des Salon des maires 2024 haben die CNIL und der Verband der Bürgermeister Frankreichs einen gemeinsamen Leitfaden veröffentlicht, um kommunale Gebietskörperschaften bei der datenschutzkonformen Einführung von Videoüberwachungssystemen zu unterstützen.

Zudem wurden mehrere praxisnahe Merkblätter zum Einsatz von Videoüberwachung im öffentlichen Raum veröffentlicht oder aktualisiert, insbesondere zu intelligenten Kameras, zur Video-Verwarnung sowie zum Verbot der Tonaufnahme.

Une intensification de l’action répressive

Un nouveau record de plaintes

Die Zahl der bei der CNIL eingegangenen Beschwerden ist im Vergleich zu 2023 um über 8 % gestiegen, von 16.443 auf 17.772. Zum dritten Jahr in Folge ist es der Behörde gelungen, so viele Beschwerden zu bearbeiten, wie sie erhält.

Dazu führt die CNIL zunächst eine Vorprüfung durch, um festzustellen, ob sie zuständig ist und ob die eingereichten Unterlagen ausreichend präzise sind. Bei zulässigen Beschwerden, die stichhaltige Beweise wie Screenshots enthalten, kann die Datenschutzbehörde – je nach Art und Schwere des Falls – entweder die geltenden Vorschriften in Erinnerung rufen oder vertiefte Ermittlungen einleiten. Falls erforderlich, kann sie auch eine formelle Abstellung des Verstoßesanordnen oder eine Sanktion verhängen.

Un nombre de sanctions ayant plus que doublé

Das Jahr 2024 ist durch einen starken Anstieg aller von der CNIL verhängten Korrekturmaßnahmen gekennzeichnet. Die Zahl der Sanktionen hat sich mehr als verdoppelt. Auch die Mahnschreiben und Erinnerungen an die rechtlichen Verpflichtungen sind stetig gestiegen.

Insgesamt wurden 331 Korrekturmaßnahmen ergriffen, darunter 87 Sanktionen, 180 Mahnschreiben und 64 Erinnerungen an die rechtlichen Verpflichtungen durch die Präsidentin. Von den insgesamt verhängten Sanktionen wurden 69 nach einem vereinfachten Verfahren ausgesprochen, fast dreimal so viele wie 2023. Häufig vorgeworfen wurden: Mangelnde Kooperation mit der CNIL (bei 27 Organisationen), Nichteinhaltung der Rechte der betroffenen Personen (bei 23), Verstöße gegen die Datenminimierung (bei 10) sowie Verstöße gegen die Datensicherheit (bei 11).

Es ist anzumerken, dass mehr als die Hälfte der Fälle, die zu einer Sanktion führten, auf einer Beschwerde beruhten.

L’indispensable encadrement de l’IA et des algorithmes

Angesichts der extrem hohen Zahl von Systemen, die auf der Nutzung personenbezogener Daten beruhen, bereitet sich die CNIL aktiv darauf vor, als nationale Marktüberwachungsbehörde benannt zu werden. Jedes Mitgliedsland ist verpflichtet, eine solche Behörde bis zum 2. August 2025 zu benennen, um eine gute Koordination zwischen den verschiedenen nationalen Behörden zu gewährleisten. Die CNIL hat bereits einen Aktionsplan gestartet, um Unternehmen, die KI-Systeme entwickeln, bei der korrekten Anwendung der DSGVO zu unterstützen.

Zudem hat die CNIL 12 praxisorientierte Merkblätter veröffentlicht, um die Entwicklung von KI-Systemen zu regeln, nachdem zahlreiche Akteure vor Ort Bedenken hinsichtlich der Anwendung der DSGVO geäußert hatten. Die Merkblätter bieten konkrete Antworten und Beispiele zu den rechtlichen und technischen Herausforderungen der DSGVO-Anwendung auf KI. Beispielsweise gibt es Merkblätter, die bei der Bestimmung des anzuwendenden rechtlichen Rahmens, des Zwecks oder der Rechtsgrundlage helfen.

Digitale Bildung und der Schutz von Minderjährigen

Der Schutz von Minderjährigen ist eines der Schlüsselfelder im strategischen Plan der CNIL für 2025-2028. Mehrere Partnerschaften wurden geschlossen, um Minderjährige und ihre Familien anzusprechen.

Insbesondere unterstützt die CNIL Veranstaltungen und Initiativen des Ministeriums für nationale Bildung zur digitalen Bildung. Sie tritt in Schulen im ganzen Land auf, um eine bürgerliche Kultur der digitalen Nutzung zu fördern, das Bewusstsein für die Rechte und Pflichten im Zusammenhang mit der Nutzung des Internets zu schärfen und zu erklären, wie man seine Privatsphäre online schützt.

Über die Interventionen, die auf die Sensibilisierung von Minderjährigen und ihren Familien abzielen, hinaus hat die CNIL auch alle Zielgruppen angesprochen, einschließlich derjenigen, die mit digitalen Technologien die größten Schwierigkeiten haben. Intergenerationelle Workshops zum Datenschutz und Sitzungen für Menschen mit Behinderungen wurden zu diesem Zweck durchgeführt.

Digitale Bildung und der Schutz von Minderjährigen.

Der Schutz von Minderjährigen ist eines der Schlüsselfelder im strategischen Plan der CNIL für 2025-2028. Mehrere Partnerschaften wurden geschlossen, um sich an Minderjährige und ihre Familien zu wenden.

Insbesondere unterstützt die CNIL Veranstaltungen und Initiativen des Ministeriums für nationale Bildung zur digitalen Bildung. Sie tritt in Schulen im ganzen Land auf, um eine bürgerliche Kultur der digitalen Nutzung zu fördern, das Bewusstsein für die Rechte und Pflichten im Zusammenhang mit der Nutzung des Internets zu schärfen und zu erklären, wie man seine Privatsphäre online schützt.

Über die Interventionen, die auf die Sensibilisierung von Minderjährigen und ihren Familien abzielen, hinaus hat die CNIL auch alle Zielgruppen angesprochen, einschließlich derjenigen, die mit digitalen Technologien die größten Schwierigkeiten haben. Intergenerationelle Workshops zum Datenschutz und Sitzungen für Menschen mit Behinderungen wurden zu diesem Zweck durchgeführt.

Datensicherheit angesichts zunehmend höherer Risiken

2024 war nicht nur von einer höheren Anzahl an Datenschutzverletzungen geprägt, sondern auch von einer beispiellosen Dimension, die zum Diebstahl von Daten von Millionen von Franzosen führte. Die CNIL wurde über 5.629 Datenschutzverletzungen informiert, was eine Steigerung von 20 % im Vergleich zu 2023 darstellt. Besonders besorgniserregend ist, dass die Zahl der Verstöße, die mehr als eine Million Menschen betreffen, sich innerhalb eines Jahres verdoppelt hat, von etwa zwanzig auf rund vierzig erfolgreiche Angriffe.

Alle Wirtschaftssektoren sind betroffen. Angesichts dieser Herausforderung hat die CNIL die Cybersicherheit zu einem der Hauptziele ihres strategischen Plans für 2025-2028 gemacht.

Verstärkte Kooperationen in Frankreich, Europa und international

Auf nationaler Ebene sowie international hat die CNIL ihre Partnerschaften im Laufe des Jahres intensiviert. Sie hat eine Vereinbarung mit der Arcom und der DGCCRF unterzeichnet, um die Modalitäten der Zusammenarbeit zwischen den drei Behörden im Rahmen der Umsetzung der Verordnung über digitale Dienste (DSA) zu präzisieren. Diese Vereinbarung ermöglicht eine bessere Koordination der Regulierung der digitalen Plattformen in einer Logik der Kompetenzergänzung.

Die CNIL hat auch ihre Partnerschaft mit der Vereinigung der französischen Departements erneuert. Diese Erneuerung für die Periode 2024-2027 beruht auf zwei Hauptprioritäten: die Förderung des Datenaustauschs in den lokalen Verwaltungen und die Begleitung der Nutzung von Künstlicher Intelligenz in den lokalen öffentlichen Diensten, unter Wahrung der Konformität der Projekte mit den Datenschutzvorschriften.

Auf europäischer Ebene hat die CNIL ihr aktives Engagement im Europäischen Ausschuss für den Datenschutz (EDPB) fortgesetzt, um zur Harmonisierung der Praktiken zwischen den nationalen Behörden beizutragen. Sie nahm insbesondere an den Diskussionen über das Geschäftsmodell „pay or consent“ („zahlen oder zustimmen“) teil, im Rahmen von Stellungnahmeanfragen mehrerer Behörden, was die Zusammenarbeit zu dieser heiklen Frage stärkte.

Schließlich hat diese Dynamik der europäischen Zusammenarbeit zu bedeutenden Sanktionen geführt. Die CNIL hat eng an einem gemeinsamen Verfahren mit ihrer niederländischen Kollegin gegen das Unternehmen Uber B.V. mitgewirkt, das mit einer Geldstrafe von 290 Millionen Euro für nicht konforme Datenübertragungen belegt wurde. Diese gemeinsame Arbeit veranschaulicht die Wirksamkeit der durch die DSGVO auf Unionsebene eingerichteten Kooperationsmechanismen.

Für weitere Informationen zu den Verpflichtungen im Bereich Datenschutz oder für eine persönliche Beratung, zögern Sie nicht, unsere Website zu konsultieren oder uns zu kontaktieren.