Datenschutz in Frankreich: Rahmenbedingungen, Besonderheiten und praktische Implikationen für deutsche Unternehmen

Deutsche Unternehmen, die ihre Tätigkeit auf Frankreich ausweiten oder ihre Dienstleistungen französischen Nutzerinnen und Nutzern anbieten, treffen dort, trotz des identischen unionsrechtlichen Ausgangspunkts, auf ein deutlich anders strukturiertes Datenschutzsystem. Diese Unterschiede liegen weniger im materiellen Recht als in der institutionellen Ausgestaltung, der Auslegungstiefe der Aufsicht und dem normativen Umfeld. Neben dem « Règlement Général sur la Protection des Données » (RGPD, die französische Übersetzung der DSGVO) setzen nationale Ausführungsgesetze sowie eine ausgeprägte Behördenpraxis den französischen Datenschutzrahmen[1]. Diese Besonderheiten sollten deutschen Unternehmen bekannt sein, um Compliance- und Reputiationsrisiken zuverlässig zu vermeiden.

I.                   Die CNIL als zentrale und normprägende Aufsicht

Die Commission nationale de l'informatique et des libertés (CNIL) ist die älteste Datenschutzaufsicht Europas und fungiert als zentrale staatliche Kontrollinstanz. Als « autorité administrative indépendante » (unabhängige Verwaltungsbehörde) ist sie funktional völlig unabhängig und unterliegt weder politischer noch ministerieller Weisung. Ihre Besonderheit liegt darin, dass sie, anders als das in Deutschland föderalismusbedingt zersplitterte System aus Landesaufsichten und Bundesdatenschutzbeauftragtem, eine einheitliche fachliche Linie vorgibt, die für sämtliche datenverarbeitenden Stellen in Frankreich gilt.

Die CNIL verbindet regulatorische Beratung mit intensiver Aufsichtstätigkeit. Sie informiert Verantwortliche und Betroffene über Rechte und Pflichten, veröffentlicht detaillierte technische und organisatorische Empfehlungen und wirkt durch Stellungnahmen an der Gesetzgebung mit. Ebenso zertifiziert sie auf Antrag bestimmte Verfahren oder Systeme.

Neben diesen beratenden Kompetenzen verfügt sie über weitreichende Kontrollbefugnisse: Sie führt sowohl anlassbezogene als auch thematische Prüfungen durch, bearbeitet Beschwerden und leitet förmliche Sanktionsverfahren ein. Die in den vergangenen Jahren erlassenen Leitlinien – zu nennen sind beispielsweise eine Anleitung zur Informationssicherheit[2], die Empfehlungen zur Multifaktorauthentifizierung[3] oder andere sektorspezifische Verarbeitungstätigkeiten wie im Apothekerwesen[4]– stellen eine faktische Konkretisierung der gesetzlichen Anforderungen dar und gelten in der französischen Kontrolle als verbindlicher Maßstab ordnungsgemäßer Datenverarbeitung.

Für deutsche Unternehmen hat dies erhebliche praktische Konsequenzen, da sie in Frankreich auf ein kohärentes, durchgesetztes und technisch anspruchsvolles Aufsichtskonzept treffen. Dieses besteht nicht nur aus dem RGPD und der Loi « Informatique et Libertés », sondern ist maßgeblich von den zahlreichen Veröffentlichungen und der Sanktionspraxis der CNIL geprägt. Im Unterschied zum deutschen Vollzugsmodell, in dem unterschiedliche Landesaufsichten unterschiedliche Schwerpunkte setzen und die Kontrolldichte variieren kann, ist die französische Aufsicht einheitlich, zentralisiert und in der Durchsetzung nachweislich strenger. Unternehmen müssen daher davon ausgehen, dass Compliance-Defizite in Frankreich mit deutlich höherer Wahrscheinlichkeit aufgegriffen und sanktioniert werden. Die CNIL bildet somit ein klar strukturiertes, aber zugleich sehr konsequent angewandtes Orientierungssystem, das eine sorgfältige Vorbereitung und Anpassung der eigenen Datenschutzorganisation erfordert.

II.                 Materiell-rechtliche Besonderheiten der französischen Auslegung

Die praktische Umsetzung des Datenschutzrechts weist in Frankreich mehrere materielle Besonderheiten auf, die sich weniger aus abweichenden gesetzlichen Normen als aus der detaillierten und technisch geprägten Auslegung durch die CNIL ergeben. Diese Besonderheiten betreffen insbesondere drei Themenkomplexe, die in der französischen Kontroll- und Sanktionspraxis eine herausgehobene Rolle spielen und vorliegend exemplarisch herangezogen werden sollen. Dies sind namentlich die Anforderungen an Transparenz und die loyale Datenerhebung (1) sowie die strikten Maßstäbe zur Datenminimierung und Speicherbegrenzung (2), in der praktischen Umsetzung, die erhöhte Aufmerksamkeit für IT-Sicherheitsstandards.

1.       Transparenz und loyale Erhebung

Frankreich misst der « loyauté » (Treu und Glauben) besonderes Gewicht bei. Die CNIL legt Art. 5 RGPD so aus, dass personenbezogene Daten grundsätzlich direkt bei der betroffenen Person erhoben werden sollen. Indirekte Erhebungen, etwa Datenzukäufe oder Datenzusammenführungen, gelten als problematisch. Sie sind nicht verboten, werden aber streng reglementiert. Die Information der betroffenen Person muss spätestens binnen eines Monats, und bei erstmaligem Kontakt unverzüglich, erfolgen[5].

2.       Minimierung, Zweckbindung und Speicherbegrenzung

Die CNIL legt Art. 5 Abs. 1 lit. c und e RGPD restriktiv aus. Sie verlangt, dass die Datenerhebung auf das unbedingt Erforderliche beschränkt bleiben muss. Speicherfristen müssen konkret festgelegt und dokumentiert werden. Die CNIL veröffentlichte im Jahr 2020 einen Leitfaden[6] zur Aufbewahrungsdauer, der im Vollzug als Orientierung dient. Diese Vorgaben wirken unmittelbar auf typische Geschäftspraktiken wie etwa Registrierungsformulare, Marketingmaßnahmen, Kundendatenmanagement oder Videoüberwachung.

Praktisch besonders relevant ist in Frankreich zudem die Handhabung von Cookies und ähnlichen Tracking-Technologien. Einzelne Cookies bzw. Cookie-Kategorien sind transparent darzustellen. Es genügt regelmäßig nicht, pauschal auf „Marketing-“ oder „Analyse-Cookies“ zu verweisen. Vielmehr müssen Zweck, Funktionsweise und, soweit einschlägig, auch die jeweilige Speicherdauer bzw. Aufbewahrungsdauer nachvollziehbar und für den Nutzer verständlich angegeben werden.

Ein spezielles Augenmerk liegt dabei auf Cookies, die nicht rein technisch erforderlich sind, sondern etwa der Reichweitenmessung, Profilbildung oder personalisierten Werbung dienen. Für solche Cookies gelten erhöhte Anforderungen, weil sie typischerweise nicht notwendig für den Betrieb des Dienstes sind. Eine strikte Einordnung im Rahmen der datenschutzrechtlichen Zulässigkeitsvoraussetzungen ist dann erforderlich. Unternehmen, die ihre Cookie-Banner oder Consent-Management-Lösungen aus dem deutschen Markt übernehmen, sollten daher prüfen, ob sie diese französische Konzeption der Transparenzpflicht erfüllen.

III.              Fazit

Frankreich verfügt über ein ausgereiftes, kohärent aufgebautes und technisch geprägtes Datenschutzsystem, das sich durch eine deutlich stärkere Zentralisierung und Auslegungstiefe auszeichnet als das deutsche Modell. Für deutsche Unternehmen bedeutet dies, dass sich die Herausforderungen weniger aus abweichenden materiellen Vorgaben, sondern vor allem aus der spezifischen Vollzugskultur ergeben: Die CNIL kontrolliert konsequent, setzt einheitliche Maßstäbe und konkretisiert den RGPD durch umfangreiche Leitlinien und etablierte Verwaltungspraxis zu einem handhabbaren, aber anspruchsvollen Regelwerk. Wer seine Datenerhebung und Speicherbegrenzung an die Vorgaben der CNIL anlehnt, insbesondere bei Transparenzpflichten, Speicherbegrenzung und Cookie-Regelungen, reduziert nicht nur das Risiko aufsichtsbehördlicher Maßnahmen, sondern stärkt zugleich seine Gesamtcompliance am europäischen Markt. Für in Deutschland ansässige Unternehmen, die nach Frankreich expandieren oder dort digitale Angebote bereitstellen, ist eine sorgfältige und kontextspezifische Umsetzung des französischen Datenschutzrechts daher nicht optional, sondern ein strategischer Erfolgsfaktor.

Gerne berät Sie unsere Kanzlei MARS-IP in diesen Fragen unter contact@mars-ip.eu.

[1] Zentral sind neben dem RGPD auf nationaler Ebene die Loi n° 78-17 « Informatique et Libertés », ihren Reformgesetzen sowie flankierenden Décrets (Verordnungen).

[2] Guide sur la sécurité des systèmes d’information (März 2024)

[3] Recommandations relatives à l’authentification multifacteurs (März 2025)

[4] Référentiel de la CNIL relatif aux traitements des officines de pharmacie (Juli 2022) 

[5] CNIL bezieht sich auf die Leitlinien der G29-Arbeitsgruppe zum Datenschutz, Rn. 27

[6] Guide pratique « Les durées de conservation » (Juli 2020) 

Bild : ChatGPT