GDPR Audit Guide — Complete CNIL-Ready Documentation

DSGVO: Das Fundament des Datenschutzes in Europa

Die Datenschutz-Grundverordnung(DSGVO), Verordnung (EU) 2016/679, ist seit dem 25. Mai 2018 der Eckpfeiler des europäischen Datenschutzrechts. Sie ersetzte die Datenschutzrichtlinie von 1995 und schuf einen einheitlichen Rahmen für alle EU-Mitgliedstaaten. In Frankreich ist die CNIL (Commission Nationale de l'Informatique et des Libertés) die Aufsichtsbehörde, die für die Durchsetzung der Verordnung zuständig ist.

Die DSGVO gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet, unabhängig davon, wo die Organisation ihren Sitz hat. „Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen: Namen, E-Mail-Adressen, IP-Adressen, Cookie-Kennungen, Standortdaten und sogar pseudonymisierte Daten, wenn eine Re-Identifizierung möglich ist.

Seit 2018 haben die europäischen Datenschutzbehörden Bußgelder in Höhe von über 4,5 Milliarden Euro verhängt. Allein die CNIL hat Geldbußen in Höhe von insgesamt über 700 Millionen Euro verhängt, darunter wegweisende Entscheidungen gegen Google (150 Millionen Euro wegen Verstößen bei der Cookie-Einwilligung 2022), Meta (405 Millionen Euro wegen der Verarbeitung von Kinderdaten 2023) und Criteo (40 Millionen Euro 2023).

Die sieben Grundsätze (Artikel 5)

Artikel 5 legt die grundlegenden Prinzipien fest, die jede Verarbeitung personenbezogener Daten regeln. Jede Entscheidung über Erhebung, Speicherung und Nutzung von Daten muss mit diesen Grundsätzen im Einklang stehen, und Sie müssen die Einhaltung nachweisen können (Rechenschaftspflicht).

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten müssen rechtmäßig (auf einer der sechs Rechtsgrundlagen des Artikels 6), nach Treu und Glauben (keine Täuschung oder unerwartete Nutzung) und transparent (klare, verständliche Informationen für Betroffene) verarbeitet werden. Die sechs Rechtsgrundlagen sind: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse und berechtigte Interessen.

In der Praxis:Führen Sie eine Datenschutzerklärung, die in klarer Sprache erläutert, welche Daten Sie erheben, warum, auf welcher Rechtsgrundlage, wie lange Sie sie speichern und mit wem Sie sie teilen. Vermeiden Sie Juristendeutsch. Die CNIL verlangt, dass Datenschutzinformationen von jeder Seite aus mit maximal zwei Klicks erreichbar sind.

2. Zweckbindung

Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. Sie können keine Daten für „Analysen“ erheben und dann für „zielgerichtete Werbung“ ohne separate Rechtsgrundlage verwenden.

In der Praxis:Dokumentieren Sie jeden Verarbeitungszweck in Ihrem Verzeichnis nach Artikel 30. Wenn Sie vorhandene Daten für einen neuen Zweck nutzen möchten, führen Sie eine Vereinbarkeitsbewertung (Artikel 6(4)) durch oder holen Sie eine neue Einwilligung ein.

3. Datenminimierung

Erheben Sie nur personenbezogene Daten, die dem Zweck angemessen, erheblich und auf das notwendige Maß beschränkt sind. Wenn Sie für Ihre Dienstleistung kein Geburtsdatum benötigen, erheben Sie es nicht.

In der Praxis:Überprüfen Sie Ihre Formulare und Datenbanken. Entfernen Sie Felder, die nicht unbedingt erforderlich sind. Hinterfragen Sie jeden Datenpunkt: „Brauchen wir das? Was passiert, wenn wir es nicht erheben?“ Die CNIL beanstandet ausdrücklich übermäßige Datenerhebung in ihren Prüfberichten.

4. Richtigkeit

Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Unrichtige Daten müssen unverzüglich gelöscht oder berichtigt werden. Dieser Grundsatz wird kritisch, wenn Daten für automatisierte Entscheidungsfindung oder den Austausch mit Dritten verwendet werden.

In der Praxis:Bieten Sie einfache Mechanismen, mit denen Nutzer ihre Daten aktualisieren können. Implementieren Sie Datenqualitätskontrollen. Wenn Ungenauigkeiten gemeldet werden, berichtigen Sie die Daten innerhalb der in den Artikeln 16 und 19 vorgesehenen Fristen.

5. Speicherbegrenzung

Personenbezogene Daten dürfen nur so lange in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, wie es für den jeweiligen Zweck erforderlich ist. Legen Sie Aufbewahrungsfristen für jede Datenkategorie fest und setzen Sie diese durch.

In der Praxis:Erstellen Sie eine Aufbewahrungsrichtlinie mit spezifischen Fristen für jede Datenkategorie. Implementieren Sie automatisierte Lösch- oder Anonymisierungsverfahren. Die CNIL veröffentlicht branchenspezifische Aufbewahrungsrichtlinien (z. B. 3 Jahre nach dem letzten Kontakt für Werbezwecke, Vertragsdauer plus gesetzliche Aufbewahrungsfristen für Kundendaten).

6. Integrität und Vertraulichkeit (Sicherheit)

Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, Zerstörung oder Beschädigung. Dies erfordert „geeignete technische und organisatorische Maßnahmen“.

In der Praxis:Implementieren Sie Verschlüsselung (TLS für den Transport, AES-256 für die Speicherung), Zugriffskontrollen (RBAC, MFA), regelmäßige Sicherheitsaudits und Verfahren zur Reaktion auf Vorfälle. Die CNIL bewertet Sicherheitsmaßnahmen bei Audits und hat Organisationen wegen unzureichender Passwort-Hashing-Verfahren, unverschlüsselter Datenbanken und fehlender Zugriffskontrollen bestraft.

7. Rechenschaftspflicht

Der Verantwortliche muss in der Lage sein, die Einhaltung sämtlicher oben genannter Grundsätze nachzuweisen. Es geht nicht nur darum, konform zu sein, sondern dies auch belegen zu können. Dokumentation ist entscheidend.

In der Praxis:Führen Sie das Verarbeitungsverzeichnis nach Artikel 30, dokumentieren Sie Datenschutz-Folgenabschätzungen (DSFA), bewahren Sie Einwilligungsnachweise auf, protokollieren Sie Anfragen Betroffener und die erteilten Antworten, dokumentieren Sie Sicherheitsmaßnahmen und bewahren Sie Prüfprotokolle auf. Wenn Sie es nicht nachweisen können, betrachtet die CNIL Sie als nicht konform.

Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30

Das Verarbeitungsverzeichnis ist das wichtigste DSGVO-Dokument. Es ist das Erste, was die CNIL bei jeder Prüfung anfordert. Artikel 30 verpflichtet sowohl Verantwortliche als auch Auftragsverarbeiter, schriftliche Aufzeichnungen über ihre Verarbeitungstätigkeiten zu führen.

Für jede Verarbeitungstätigkeit muss das Verzeichnis enthalten:

• Name und Kontaktdaten des Verantwortlichen (und ggf. des Datenschutzbeauftragten)
• Zwecke der Verarbeitung
• Kategorien betroffener Personen (Kunden, Beschäftigte, Besucher usw.)
• Kategorien personenbezogener Daten (Identität, Kontakt, Finanzen, Verhalten usw.)
• Kategorien von Empfängern (interne Abteilungen, Auftragsverarbeiter, öffentliche Stellen)
• Übermittlungen in Drittländer und angewandte Garantien (Standardvertragsklauseln, Angemessenheitsbeschlüsse)
• Aufbewahrungsfristen für jede Datenkategorie
• Eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen

Organisationen mit weniger als 250 Beschäftigten sind nur befreit, wenn ihre Verarbeitung gelegentlich erfolgt, keine sensiblen Daten umfasst und voraussichtlich kein Risiko für die Rechte und Freiheiten der Betroffenen darstellt. In der Praxis muss praktisch jede Organisation, die Kundendaten über eine Website verarbeitet, ein Verzeichnis führen.

Datenschutz-Folgenabschätzung (DSFA) — Artikel 35

Eine DSFA ist erforderlich, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ mit sich bringt. Die CNIL hat eine Liste von Verarbeitungsvorgängen veröffentlicht, die eine DSFA erfordern, darunter:

• Umfangreiche Verarbeitung sensibler Daten (Gesundheits-, biometrische, genetische Daten)
• Systematische Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung, Tracking)
• Automatisierte Entscheidungsfindung mit rechtlichen oder ähnlich erheblichen Auswirkungen (Kreditscoring, Bewerberfilterung)
• Abgleich oder Zusammenführung von Datensätzen aus verschiedenen Quellen
• Verarbeitung von Daten schutzbedürftiger Personen (Kinder, Patienten, Beschäftigte)
• Innovativer Einsatz neuer Technologien (KI, IoT, Biometrie)
• Umfangreiches Profiling
• Verarbeitungen, die Betroffene daran hindern, ein Recht auszuüben oder eine Dienstleistung zu nutzen

Eine DSFA muss enthalten: eine systematische Beschreibung der Verarbeitungsvorgänge und ihrer Zwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen sowie die zur Bewältigung dieser Risiken vorgesehenen Maßnahmen. Die CNIL stellt ein kostenloses Tool (PIA-Software) zur Durchführung von DSFAs bereit.

Betroffenenrechte (Artikel 15-22)

Die DSGVO gewährt betroffenen Personen acht Rechte. Sie müssen in der Lage sein, Anfragen innerhalb eines Monats (verlängerbar auf drei Monate bei komplexen Anfragen) kostenfrei zu beantworten.

Auskunftsrecht (Artikel 15)

Betroffene Personen können eine Bestätigung darüber verlangen, ob ihre personenbezogenen Daten verarbeitet werden, und gegebenenfalls Zugang zu den Daten sowie ergänzende Informationen erhalten (Zwecke, Kategorien, Empfänger, Speicherfristen, Datenherkunft). Sie müssen eine Kopie der Daten in einem gängigen elektronischen Format bereitstellen.

Recht auf Berichtigung (Artikel 16)

Betroffene Personen können die Berichtigung unrichtiger personenbezogener Daten oder die Vervollständigung unvollständiger Daten verlangen. Sie müssen die Daten unverzüglich berichtigen und jeden Empfänger informieren, dem die Daten offengelegt wurden.

Recht auf Löschung (Artikel 17)

Auch als „Recht auf Vergessenwerden“ bekannt. Betroffene können die Löschung ihrer Daten verlangen, wenn: die Daten nicht mehr erforderlich sind, die Einwilligung widerrufen wird, sie der Verarbeitung widersprechen, die Daten unrechtmäßig verarbeitet wurden oder die Löschung gesetzlich vorgeschrieben ist. Ausnahmen gelten für gesetzliche Pflichten, öffentliches Interesse und Rechtsansprüche.

Recht auf Einschränkung der Verarbeitung (Artikel 18)

Betroffene können verlangen, dass die Verarbeitung eingeschränkt wird (Daten gespeichert, aber nicht genutzt), solange die Richtigkeit bestritten wird, die Verarbeitung unrechtmäßig ist oder sie Widerspruch eingelegt haben und die Überprüfung aussteht.

Recht auf Datenübertragbarkeit (Artikel 20)

Betroffene können ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON, CSV) anfordern und deren direkte Übermittlung an einen anderen Verantwortlichen verlangen, sofern dies technisch machbar ist. Dieses Recht gilt nur für Daten, die von der betroffenen Person bereitgestellt und auf Grundlage einer Einwilligung oder eines Vertrags automatisiert verarbeitet werden.

Widerspruchsrecht (Artikel 21)

Betroffene können der Verarbeitung auf Grundlage berechtigter Interessen oder einer öffentlichen Aufgabe, einschließlich Profiling, widersprechen. Für Direktwerbung ist das Widerspruchsrecht absolut — eine Abwägung ist nicht erforderlich.

Recht bezüglich automatisierter Entscheidungsfindung (Artikel 22)

Betroffene haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder sie in ähnlich erheblicher Weise beeinträchtigt. Ausnahmen bestehen für Vertragserfüllung, gesetzliche Genehmigung und ausdrückliche Einwilligung, wobei Schutzvorkehrungen (menschliches Eingreifen, Anfechtungsrecht) vorhanden sein müssen.

Informationsrecht (Artikel 13-14)

Die Grundlage der Transparenz: Betroffene müssen zum Zeitpunkt der Datenerhebung über die Identität des Verantwortlichen, die Zwecke, die Rechtsgrundlage, die Empfänger, die Speicherfristen, ihre Rechte und darüber informiert werden, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.

Häufige DSGVO-Verstöße und Bußgelder

Die am häufigsten von der CNIL geahndeten Verstöße umfassen:

• Nicht konforme Cookie-Einwilligung (150 Mio. EUR Google, 60 Mio. EUR Facebook, 2022): Die Einwilligung muss genauso einfach abzulehnen wie zu erteilen sein. Vorangekreuzte Kästchen und Dark Patterns sind verboten.
• Unzureichende Rechtsgrundlage für die Verarbeitung (405 Mio. EUR Meta, 2023): Die Nutzung der „Vertragserfüllung“ als Rechtsgrundlage für verhaltensbasierte Werbung wurde abgelehnt.
• Unzureichende Sicherheitsmaßnahmen (1,5 Mio. EUR Dedalus Biologie, 2022): Speicherung von Passwörtern im Klartext, unzureichende Zugriffskontrollen und fehlende Verschlüsselung sind häufige Feststellungen.
• Übermäßige Datenspeicherung (800.000 EUR Carrefour, 2020): Die Speicherung von Kundendaten über mehr als 4 Jahre nach der letzten Interaktion verletzte die Speicherbegrenzung.
• Nichtbeantwortung von Betroffenenanfragen (zahlreiche kleinere Bußgelder): Eine Nichtbeantwortung innerhalb der Monatsfrist löst Durchsetzungsmaßnahmen aus.
• Unzureichende Meldung von Datenschutzverletzungen (Artikel 33): Nichtmeldung an die CNIL innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten.

Technische Compliance-Maßnahmen

Die CNIL bewertet technische Sicherheitsmaßnahmen im Rahmen des Grundsatzes der „Integrität und Vertraulichkeit“. Zu den wichtigsten technischen Anforderungen gehören:

• Verschlüsselung bei der Übertragung: TLS 1.2 mindestens (TLS 1.3 empfohlen) für alle Verbindungen. HSTS-Header mit mindestens 12 Monaten max-age.
• Verschlüsselung im Ruhezustand: AES-256 für Datenbanken mit personenbezogenen Daten. Dokumentierte Schlüsselverwaltungsverfahren.
• Passwortsicherheit: bcrypt-, scrypt- oder Argon2-Hashing. Mindestens 12 Zeichen. Kontosperrung nach fehlgeschlagenen Versuchen. Die CNIL hat 2022 aktualisierte Passwortrichtlinien veröffentlicht (Délibération 2022-100).
• Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (RBAC). Prinzip der geringsten Berechtigung. MFA für administrativen Zugriff. Regelmäßige Zugriffsüberprüfungen.
• Protokollierung: Authentifizierungsereignisse, Zugriffe auf personenbezogene Daten, Datenänderungen. Aufbewahrung von Protokollen entsprechend den Sicherheitsanforderungen (mindestens 6 Monate). Keine personenbezogenen Daten in Protokollen.
• Erkennung von Datenschutzverletzungen: Intrusion-Detection-Systeme. Anomalieerkennung. 72-Stunden-Meldefähigkeit. Verfahren zur Reaktion auf Verletzungen.

Erste Schritte zur DSGVO-Konformität

Die Einhaltung der DSGVO ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Für Organisationen, die ihre Compliance-Reise beginnen, wird folgende Vorgehensweise empfohlen:

1. Erfassen Sie Ihre Daten: Ermitteln Sie, welche personenbezogenen Daten Sie erheben, wo sie gespeichert sind, wer darauf zugreifen kann und wie lange Sie sie aufbewahren. Dies wird Ihr Verarbeitungsverzeichnis nach Artikel 30.
2. Prüfen Sie Ihre Rechtsgrundlagen:Bestimmen Sie für jede Verarbeitungstätigkeit die Rechtsgrundlage. Die Einwilligung erfordert besondere Aufmerksamkeit: Sie muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen.
3. Sichern Sie Ihre Daten:Führen Sie ein Sicherheitsaudit durch, um technische Lücken zu identifizieren: fehlende Verschlüsselung, schwache Authentifizierung, unzureichende Protokollierung. Viele dieser Probleme können automatisch erkannt werden.
4. Dokumentieren Sie alles:Der Grundsatz der Rechenschaftspflicht erfordert Dokumentation. Erstellen Sie Vorlagen für Datenschutzerklärungen, Auftragsverarbeitungsverträge, Verletzungsmeldungen und Antworten auf Betroffenenanfragen.

CNIL Audit Preparation Checklist

The CNIL can conduct four types of audits: on-site inspections, online (remote technical) checks, document-based requests, and formal hearings. Here is what you need to have ready: