{"id":2677,"date":"2026-02-19T15:56:28","date_gmt":"2026-02-19T14:56:28","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=2677"},"modified":"2026-02-19T15:56:28","modified_gmt":"2026-02-19T14:56:28","slug":"cnil-verhaengt-bussgeld-35-mio-eur-fehlende-dsfa-kann-teuer-werden","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=2677&lang=de","title":{"rendered":"CNIL verh\u00e4ngt Bu\u00dfgeld 3,5 Mio. EUR: Fehlende DSFA kann teuer werden"},"content":{"rendered":"\n<p>Frankreichs Datenschutzbeh\u00f6rde CNIL hat ein Unternehmen mit einem&nbsp;<a href=\"https:\/\/t5baa4d95.emailsys1a.net\/c\/107\/8962946\/4207\/0\/20698348\/685\/583624\/0e1651e515.html\">Bu\u00dfgeld in H\u00f6he von 3,5 Mio.\u20ac<\/a>&nbsp;belegt unter anderem aufgrund einer fehlenden Datenschutz-Folgenabsch\u00e4tzung (DSFA).<\/p>\n\n\n\n<p><strong>Was war passiert?<\/strong><br>Die CNIL stellte fest, dass das betroffene Unternehmen zwar eine Einwilligung f\u00fcr die Teilnahme an einem Loyalty Programm eingeholt, aber in der Einwilligung nicht erg\u00e4nzt, dass die Daten auch an ein Social Media Unternehmen f\u00fcr Profil-Matching und personalisierte Werbezwecke weitergegeben werden. Somit war die Einwilligung nicht informiert und spezifisch und die Verarbeitung unrechtm\u00e4\u00dfig.<br>Zu der H\u00f6he des Bu\u00dfgelds f\u00fchrten weitere Verst\u00f6\u00dfe, darunter&nbsp;<strong>die unzureichende Umsetzung&nbsp;<\/strong>der Informationspflichten, der technischen sowie organisatorischen Ma\u00dfnahmen sowie die fehlende DSFA.<\/p>\n\n\n\n<p><strong>Wann ist eine DSFA verpflichtend?<\/strong><br>Die DSGVO schreibt eine DSFA vor, wenn eine Datenverarbeitung&nbsp;<strong>voraussichtlich ein hohes Risiko<\/strong>&nbsp;f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen mit sich bringt (Art. 35 Abs. 1 DSGVO). Doch wann ist das der Fall?&nbsp;<\/p>\n\n\n\n<ul><li><strong>Leitlinien der Artikel-29-Datenschutzgruppe<\/strong><br>In ihren&nbsp;<a href=\"https:\/\/t5baa4d95.emailsys1a.net\/c\/107\/8962946\/4207\/0\/20698348\/685\/583625\/51773d8caa.html\">Leitlinien (WP 248)<\/a>&nbsp;hat die Arbeitsgruppe neun Kriterien definiert, bei deren Vorliegen h\u00e4ufig ein hohes Risiko besteht und damit eine DSFA erforderlich wird. Besonders relevant im Zuge des CNIL-Bu\u00dfgelds sind dabei:<br><br>5. Datenverarbeitung in gro\u00dfem Umfang (\u201eData processed on a large scale\u201c)<br>6. Abgleichen oder Zusammenf\u00fchren von Datens\u00e4tzen (\u201eMatching or combining datasets\u201c)<br><br><strong>Wichtig<\/strong>: Je mehr Kriterien erf\u00fcllt sind, desto wahrscheinlicher ist es, dass eine DSFA durchzuf\u00fchren ist. Aber auch, wenn nur&nbsp;<strong>ein Kriterium<\/strong>&nbsp;erf\u00fcllt ist, kann bereits ein hohes Risiko vorliegen.<br>&nbsp;<\/li><li><strong>DSFA \u201eMuss\u201c-Liste der Datenschutzbeh\u00f6rden<\/strong><br>Zus\u00e4tzlich zu den allgemeinen Kriterien haben viele Datenschutzbeh\u00f6rden sogenannte \u201eMuss\u201c-Listen ver\u00f6ffentlicht, in denen konkret benannte Verarbeitungst\u00e4tigkeiten aufgef\u00fchrt sind, die immer eine DSFA erfordern. In Deutschland hat die&nbsp;<a href=\"https:\/\/t5baa4d95.emailsys1a.net\/c\/107\/8962946\/4207\/0\/20698348\/685\/583626\/62964c1283.html\">Datenschutzkonferenz (DSK)<\/a>&nbsp;eine solche Liste erstellt.<\/li><\/ul>\n\n\n\n<p><strong>Was sollten Unternehmen jetzt tun?<\/strong><br>Pr\u00fcfen Sie anhand der Leitlinien der Artikel-29-Datenschutzgruppe und der DSFA \u201eMuss\u201c-Liste der Datenschutzbeh\u00f6rden, ob Ihre Datenverarbeitung eine DSFA erfordert. Falls erforderlich, f\u00fchren Sie die DSFA durch und dokumentieren Sie Ihre Einsch\u00e4tzung.&nbsp;<br><br><strong>Sie sind unsicher, ob Ihre Datenverarbeitung eine DSFA erfordert?<\/strong>&nbsp;Gerne unterst\u00fctzen wir Sie bei der Risikoanalyse und Erstellung einer DSFA, sprechen Sie uns an!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Frankreichs Datenschutzbeh\u00f6rde CNIL hat ein Unternehmen mit einem&nbsp;Bu\u00dfgeld in H\u00f6he von 3,5 Mio.\u20ac&nbsp;belegt unter anderem aufgrund einer fehlenden Datenschutz-Folgenabsch\u00e4tzung (DSFA). Was war<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=2677&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2677"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2677"}],"version-history":[{"count":2,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2677\/revisions"}],"predecessor-version":[{"id":2679,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2677\/revisions\/2679"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}