RGPD Frankreich Momentaufnahme 2026 — Kurz zusammengefasst
Die RGPD (Règlement Général sur la Protection des Données, die französische Bezeichnung der EU-DSGVO) wird in Frankreich von der CNIL durchgesetzt, der unabhängigen Aufsichtsbehörde des Landes seit 1978. Online-Händler, die an französische Bürger verkaufen, müssen ein konformes Cookie-Banner gemäß Artikel 82 des Loi Informatique et Libertés betreiben, eine Datenschutzerklärung veröffentlichen, ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 führen, wo erforderlich einen DSB bestellen, die acht Betroffenenrechte beachten, Standardvertragsklauseln für jede Datenübermittlung außerhalb der EU dokumentieren und die CNIL innerhalb von 72 Stunden nach jeder Datenschutzverletzung benachrichtigen. Die CNIL empfiehlt zunehmend cookielose Analyse und strikte CRM-Aufbewahrung. Die Höchststrafen erreichen 20 Millionen Euro oder 4% des weltweiten Umsatzes.
1. RGPD im Überblick — Was französische E-Commerce-Betreiber wissen müssen
Das Règlement Général sur la Protection des Données, international besser bekannt als EU-DSGVO, ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates. Sie wurde am 25. Mai 2018 in allen 27 Mitgliedstaaten unmittelbar anwendbar und ist 2026 das wichtigste Regelwerk, das jeder E-Commerce-Betreiber, der nach Frankreich verkauft, beherrschen muss. Das französische Akronym RGPD wird durchgängig in der Verwaltungs-, Gerichts- und Geschäftspraxis verwendet, einschließlich CNIL-Beschlüssen, sektoralen Verhaltenskodizes und der Rechtsprechung des Cour de cassation.
Was Frankreich im Vergleich zu anderen Mitgliedstaaten besonders anspruchsvoll macht, ist die Kombination dreier Rechtsebenen. Erstens legt die RGPD selbst die materiellen Regeln fest: Rechtsgrundlage, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie der übergreifende Grundsatz der Rechenschaftspflicht. Zweitens passt das Loi Informatique et Libertés (Gesetz Nr. 78-17 vom 6. Januar 1978, wesentlich geändert 2018 durch Gesetz Nr. 2018-493 und erneut 2019 durch Verordnung Nr. 2018-1125) die RGPD an französische Besonderheiten an — einschließlich des digitalen Einwilligungsalters (15 Jahre), zusätzlicher Formalitäten für Gesundheits- und Justizdaten sowie des berühmten Artikels 82 zu Cookies und Trackern. Drittens fügen CNIL-Beschlüsse, Empfehlungen, Referenzrahmen und Sandbox-Ergebnisse eine dichte Schicht operativer Leitlinien hinzu, die französische Gerichte als quasi-verbindlich behandeln.
Warum E-Commerce im Visier der CNIL steht
Online-Händler kombinieren nahezu jede Verarbeitungskategorie, die die CNIL genau prüft: umfangreiche Verarbeitung von Identifikations- und Kontaktdaten, Zahlungsdaten, Verhaltensprofiling zur Personalisierung, grenzüberschreitende Übermittlungen an US-basierte Adtech-Anbieter und langwierige CRM-Aufbewahrung für Reaktivierungskampagnen. Der strategische Plan 2024-2027 der CNIL nennt ausdrücklich E-Commerce, mobile Anwendungen und digitale Werbung als vorrangige Durchsetzungssektoren. Allein 2026 schloss die CNIL mehrere hochkarätige Fälle gegen Einzelhändler wegen nicht konformer Cookie-Banner (grafische Verzerrung zugunsten von 'Akzeptieren'), übermäßiger CRM-Aufbewahrung (mehr als 3 Jahre inaktiver Interessenten) und fehlender oder veralteter Artikel-30-Verzeichnisse ab.
Für einen typischen KMU-Shop mit einigen tausend Bestellungen pro Monat ist der Compliance-Aufwand real, aber absolut zu bewältigen: einige Wochen fokussierter Arbeit, unterstützt durch eine CMP (Cookiebot oder OneTrust), eine Verzeichnisvorlage und einen klaren Eskalationsleitfaden. Größere Betreiber mit Hunderttausenden von Datensätzen, serverseitigem Adtech und internationalen Lagerhäusern benötigen ein strukturiertes RGPD-Programm und fast immer einen Vollzeit-DSB.
Rechtsgrundlagen, die Sie tatsächlich nutzen werden
- Vertragserfüllung (Artikel 6.1.b) — die dominierende Grundlage für die Verarbeitung von Bestellungen, Lieferungen, Rücksendungen, Rechnungen und Kundendienst nach dem Verkauf. Keine Einwilligung erforderlich; die Daten sind zur Erfüllung des Vertrags notwendig.
- Rechtliche Verpflichtung (Artikel 6.1.c) — deckt die Buchhaltungsaufbewahrung (10 Jahre gemäß Code de commerce), Rechnungsanforderungen, Steuerunterlagen und Geldwäscheprüfungen ab.
- Berechtigte Interessen (Artikel 6.1.f) — Betrugsprävention, IT- und Netzwerksicherheit, grundlegende Webanalyse in bestimmten Konfigurationen, B2B-Ansprache von Fachleuten. Erfordert eine dokumentierte Interessenabwägung (LIA — Legitimate Interest Assessment).
- Einwilligung (Artikel 6.1.a) — erforderlich für Marketing-Cookies, verhaltensbasierte Werbe-Tracker, B2C-E-Mail-/SMS-Ansprache von Nicht-Kunden, Push-Benachrichtigungen und jede optionale Personalisierungsfunktion.
Kernprinzipien, die E-Commerce-Betreiber falsch einschätzen
Die Kontrollberichte der CNIL weisen Jahr für Jahr auf dieselben Fehler hin: Registrierungsformulare mit zu vielen Pflichtfeldern (Verstoß gegen die Datenminimierung), dauerhaft aktive Kundenkonten (Verstoß gegen die Speicherbegrenzung), unstrukturierte Slack- und Notion-Exporte, die personenbezogene Daten preisgeben (Verstoß gegen Integrität und Vertraulichkeit), sowie Dashboards oder Berichte mit unnötigen Identifikatoren (Verstoß gegen die Zweckbindung). Jedes dieser Muster ist bereits in der Phase der Plattformgestaltung behebbar — genau das, was Artikel 25 der RGPD (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) verlangt.
Bereit, einen RGPD-konformen französischen Shop zu starten?
Der Frankreich-Hub von Zunapro wird mit einem CNIL-konformen Cookie-Banner, einer Artikel-30-Verzeichnisvorlage, einem Workflow für Betroffenenanfragen und einem Einwilligungsspeicher ausgeliefert — alles, was ein E-Commerce-DSB braucht, um konform zu starten.
2. Die CNIL — Frankreichs Datenschutzbehörde
Was die CNIL tatsächlich ist
Die Commission Nationale de l’Informatique et des Libertés wurde durch das Loi Informatique et Libertés vom 6. Januar 1978 geschaffen, lange bevor die Europäische Union ihre heutige Form annahm. Sie war Frankreichs Antwort auf den SAFARI-Skandal — einen Versuch von 1974, die Verwaltungsakten jedes französischen Bürgers unter einer eindeutigen nationalen Kennung zu vernetzen — und ist eine der ältesten unabhängigen Datenschutzbehörden der Welt.
Die CNIL ist eine unabhängige Verwaltungsbehörde (autorité administrative indépendante, AAI), das heißt, sie wird vom Staat finanziert, übt ihre Befugnisse jedoch frei von der Regierungshierarchie aus. Im Jahr 2026 beschäftigt sie rund 290 Mitarbeiter, darunter ein starkes Technologieteam (CNIL-LINC-Labor), ein sektorales Prüfungskorps, Juristen und das Gremium (formation restreinte), das Sanktionen verhängt.
Befugnisse, die die CNIL gegen einen Onlineshop einsetzen kann
- Vor-Ort-, Online- und Aktenprüfungen — ein CNIL-Beauftragter kann Ihr Lager besuchen, Serverprotokolle anfordern und Ihre CMS-Konfiguration prüfen. Online-Prüfungen (audit à distance) haben seit 2022 stark zugenommen und zielen auf Cookie-Banner und Adtech-Tags ab.
- Förmliche Mahnungen (mises en demeure) — eine Verwaltungsanordnung, innerhalb einer festgelegten Frist Konformität herzustellen. Viele Mahnungen sind heute öffentlich, was erheblichen Reputationsdruck erzeugt.
- Verwaltungsgeldbußen — bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes gemäß Artikel 83 der RGPD, je nachdem, welcher Betrag höher ist, bei den schwerwiegendsten Verstößen; bis zu 2% des Umsatzes bei Cookie-Verstößen im 2022 eingeführten vereinfachten Verfahren.
- Anordnungen mit Zwangsgeldern (astreintes) — die CNIL kann spezifische Korrekturmaßnahmen anordnen und ein tägliches Zwangsgeld bei Nichteinhaltung hinzufügen (z. B. 5.000 Euro pro Tag).
- Öffentliche Nennung — Entscheidungen werden zunehmend vollständig auf cnil.fr mit dem Namen des Händlers veröffentlicht; die Presseberichterstattung ist systematisch.
Wie sich die CNIL-Durchsetzung entwickelt hat
Der strategische Plan 2024-2027 der CNIL kündigte einen klaren Wandel hin zu mehr, schnelleren, gezielteren Durchsetzungsmaßnahmen an. Das mit dem Dekret vom 24. März 2022 eingeführte vereinfachte Sanktionsverfahren erlaubt es einem einzelnen Mitglied des eingeschränkten Gremiums, Bußgelder bis zu 20.000 Euro gegen KMU bei eindeutigen Verstößen zu verhängen — insbesondere bei Verstößen gegen die Cookie-Einwilligung. Bis 2026 schloss dieser Strang allein mehrere hundert Durchsetzungsmaßnahmen pro Jahr gegen kleine Händler ab.
Der DSB und die CNIL: Benennungsverfahren
Wenn Sie einen Datenschutzbeauftragten bestellen, müssen Sie ihn offiziell benennen über das dedizierte CNIL-Portal. Die Benennung umfasst die Kontaktdaten des DSB, die dann öffentlich durchsuchbar werden. Die CNIL behandelt den DSB als ihren primären Ansprechpartner bei Prüfungen: fehlende, fiktive oder untätige DSB sind ein wiederkehrender erschwerender Faktor bei Sanktionsentscheidungen.
CNIL-Konformität in einem Panel zentralisieren
Zunapro hält das Artikel-30-Verzeichnis, den Workflow für Betroffenenanfragen, das Vorfallprotokoll und die CNIL-Benennungsdaten Ihres französischen Shops synchron — bereit für eine Prüfung in Minuten statt Wochen.
3. Cookie-Einwilligung — Das Banner ist verpflichtend
Die Rechtsgrundlage: Artikel 82 des Loi Informatique et Libertés
Cookies und andere Tracker werden in Frankreich durch Artikel 82 des Loi Informatique et Libertés geregelt, der Artikel 5(3) der ePrivacy-Richtlinie (2002/58/EG in der durch 2009/136/EG geänderten Fassung) umsetzt. Die Regel ist einfach: jede Speicherung von oder jeder Zugriff auf Informationen im Endgerät eines Nutzers, die nicht unbedingt zur Erbringung eines vom Nutzer ausdrücklich angeforderten Online-Kommunikationsdienstes erforderlich sind, erfordert eine vorherige Einwilligung.
Die CNIL präzisierte die operativen Regeln im Beschluss Nr. 2020-091 (Empfehlung vom 17. September 2020) sowie in begleitenden Leitlinien, ergänzt durch die Durchsetzungspraxis bis 2026. Die zentralen Anforderungen sind unten zusammengefasst.
Was ein konformes Cookie-Banner 2026 leisten muss
- Alle nicht essenziellen Cookies vor der Einwilligung blockieren. Kein Analyse-Tool, kein Werbe-Tag, kein Hotjar/Clarity, kein Facebook-Pixel darf ausgelöst werden, bevor der Nutzer auf 'Akzeptieren' klickt (oder eine granulare Auswahl trifft).
- 'Alle akzeptieren' und 'Alle ablehnen' auf derselben Ebene anbieten. Das Ablehnen muss ebenso einfach sein wie das Akzeptieren; beide Schaltflächen müssen dasselbe visuelle Gewicht haben (Farbkontrast, Größe, Position).
- Zwecke klar auflisten — Reichweitenmessung, Werbung, Social Sharing, Personalisierung usw., mit der Möglichkeit, für jeden Zweck einzeln zuzustimmen oder abzulehnen.
- Widerruf jederzeit ermöglichen über einen dauerhaften Wiederöffnungsmechanismus (typischerweise ein kleines Cookie-Symbol in der Fußzeile).
- Nachweis der Einwilligung aufbewahren — Einwilligungs-ID, Zeitstempel, CMP-Version, Zwecke, Anbieterliste, gekürzte IP — für die Dauer der Einwilligung zuzüglich eines angemessenen Nachweiszeitraums (die CNIL schlägt höchstens 6 Monate nach Widerruf vor).
Was verboten ist
- Vorangekreuzte Kästchen — die Einwilligung muss aktiv erfolgen.
- Cookie-Walls ohne Alternative — den Zugang zu Inhalten von der Cookie-Zustimmung abhängig zu machen, ist gemäß den Cookie-Wall-Leitlinien der CNIL von 2022 nur rechtmäßig, wenn eine echte, gleichwertige Alternative angeboten wird (typischerweise ein kostenpflichtiges 'Bezahlen oder zustimmen'-Modell mit angemessener Preisgestaltung).
- Grafische Verzerrung — eine farbige 'Akzeptieren'-Schaltfläche gegenüber einer grauen 'Ablehnen'-Schaltfläche ist ein Lehrbuchverstoß, der in mehreren CNIL-Bußgeldern beanstandet wurde.
- Implizite Einwilligung im Stil von 'Weitersurfen' — das bloße Scrollen oder Navigieren zu einer anderen Seite stellt KEINE Einwilligung dar.
- Gebündelte Einwilligung — eine einzige 'Akzeptieren'-Schaltfläche, die 30 verschiedene Anbieter ohne granulare Kontrolle abdeckt, ist nicht spezifisch.
Cookiebot, OneTrust & Co. — die Wahl einer CMP
Eine Consent Management Platform (CMP) automatisiert die Anzeige des Banners, die Erfassung der Einwilligung, das Anbietermanagement und die Nachweisspeicherung. Die beiden am weitesten verbreiteten CMP in Frankreich sind Cookiebot (Usercentrics-Gruppe, Dänemark) und OneTrust (Vereinigte Staaten, mit EU-Datenresidenzoptionen). Beide integrieren sich in das IAB-TCF-v2.2-Framework, beide bieten für Frankreich lokalisierte, auf die CNIL-Leitlinien vorkonfigurierte Vorlagen, und beide können serverseitig über den Google Tag Manager rendern.
Erwägenswerte französische Alternativen: Axeptio (Paris, 'French Tech'-Label), Didomi (Paris, notiert an Euronext Growth), Sirdata Choice und das Open-Source-Tool Tarte au Citron. Unabhängig davon, welche CMP Sie wählen, bleibt die Verantwortung für die Konformität bei Ihnen als Verantwortlichem — die CMP ist ein Auftragsverarbeiter gemäß Artikel 28.
CNIL-Bußgeld-Realitätscheck: Zwischen 2023 und 2026 erhielten mehrere französische Händler Bußgelder zwischen 50.000 und 600.000 Euro, speziell weil die Schaltfläche 'Alle ablehnen' eine Ebene tiefer versteckt war als 'Alle akzeptieren' oder weil Cookies ausgelöst wurden, bevor das Banner erschien. Eine zweistündige CMP-Konfigurationsprüfung verhindert in der Regel das gesamte Risiko. Konfigurieren Sie die CMP Ihres französischen Shops mit Zunapro →
4. Datenschutzerklärung — Das Dokument, das jeder Shop veröffentlichen muss
Artikel 13 und 14 der RGPD: Die Informationspflicht
Die Artikel 13 und 14 der RGPD legen eine erschöpfende Liste von Informationen fest, die der betroffenen Person zum Zeitpunkt der Erhebung mitzuteilen sind, wenn Daten direkt erhoben werden (Artikel 13), oder innerhalb einer angemessenen Frist, wenn sie indirekt erhoben werden (Artikel 14, maximal ein Monat, z. B. bei Anreicherung über einen Marketing-Datenmakler).
Verpflichtender Inhalt einer französischen E-Commerce-Datenschutzerklärung
- Identität und Kontaktdaten des Verantwortlichen — vollständiger Firmenname, SIREN, eingetragener Sitz, elektronische Kontaktmöglichkeit.
- Kontaktdaten des DSB, sofern einer bestellt wurde (z. B.
[email protected]). - Zwecke der Verarbeitung und die jeweilige Rechtsgrundlage — Bestellabwicklung (Vertrag), Buchhaltungsaufbewahrung (rechtliche Verpflichtung), Newsletter (Einwilligung), Betrugsprävention (berechtigtes Interesse) usw.
- Empfänger oder Kategorien von Empfängern — Spediteure (Colissimo, Chronopost, Mondial Relay, DPD France), Zahlungsdienstleister (Stripe, Adyen, PayPal, PayTR), CRM-Tools, Adtech-Anbieter.
- Grenzüberschreitende Übermittlungen — sofern Daten den EWR verlassen, nennen Sie das Land, die Schutzmaßnahme (DPF, SCC, BCR, Ausnahmen) und wo eine Kopie erhältlich ist.
- Aufbewahrungsfristen — je Datenkategorie und je Zweck, nicht ein allgemeines 'solange erforderlich'.
- Betroffenenrechte — Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, Rechte bei automatisierter Entscheidungsfindung, Beschwerderecht bei der CNIL.
- Herkunft der Daten, wenn diese nicht direkt bei der betroffenen Person erhoben wurden.
- Vorliegen automatisierter Entscheidungsfindung einschließlich Profiling, mit aussagekräftigen Informationen über die Logik und die Konsequenzen (z. B. Betrugs-Score-Sperrung, dynamische Preisgestaltung).
Praktische Formulierungstipps
Die CNIL hat — insbesondere in ihrer Leitlinie 'Konkrete Schritte für eine klare und zugängliche Information' von 2022 — klargestellt, dass die Datenschutzerklärung präzise, transparent, verständlich und leicht zugänglich sein muss, in klarer und einfacher Sprache. Seitenlange Juristensprache ist nicht konform. Das typischerweise akzeptierte Muster im Jahr 2026 ist ein zweischichtiger Hinweis: eine kurze, überfliegbare Zusammenfassung oben (Tabellen, Symbole, klares Französisch), mit tieferen Details je Zweck darunter zugänglich.
Platzieren Sie einen Link zur Datenschutzerklärung in jeder Fußzeile, in jedem Formular in der Nähe des Einwilligungskästchens und in jeder Transaktions-E-Mail (Bestellbestätigung, Versandaktualisierung, Kundendienst nach dem Verkauf). Die Erklärung muss versioniert und datiert sein; wesentliche Änderungen erfordern eine Benachrichtigung der betroffenen Personen.
Generator für Datenschutzerklärungen direkt in Ihrem Shop
Der Frankreich-Hub von Zunapro generiert automatisch eine an Artikel 13 ausgerichtete Datenschutzerklärung, gefüllt mit Ihren aktiven Auftragsverarbeitern, Aufbewahrungsregeln und grenzüberschreitenden Datenflüssen — publikationsbereit.
5. Artikel-30-Verzeichnis und Datenschutzbeauftragter (DSB)
Das Artikel-30-Verzeichnis: Das Rückgrat der Rechenschaftspflicht
Gemäß Artikel 30 der RGPD müssen jeder Verantwortliche und jeder Auftragsverarbeiter ein schriftliches Verzeichnis ihrer Verarbeitungstätigkeiten führen (Registre des activités de traitement, RAT). Es ist das nützlichste Dokument, das ein französischer E-Commerce-DSB aktuell halten kann, denn es ist der Einstiegspunkt, den CNIL-Prüfer zu Beginn jeder Prüfung anfordern.
Was in das Verzeichnis aufgenommen wird
- Name und Kontaktdaten des Verantwortlichen, der gemeinsam Verantwortlichen, des Vertreters und des DSB.
- Zwecke der Verarbeitung — eine Zeile pro Zweck (Auftragsverwaltung, Kundenkonto, Newsletter, Ansprache, Treueprogramm, Betrug usw.).
- Beschreibung der Kategorien betroffener Personen und personenbezogener Daten.
- Kategorien von Empfängern, denen die Daten offengelegt wurden oder werden, einschließlich Empfängern in Drittländern.
- Gegebenenfalls Übermittlungen an ein Drittland oder eine internationale Organisation, mit dokumentierter Schutzmaßnahme.
- Soweit möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien — die berühmte Spalte 'Aufbewahrungsfrist'.
- Soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
Wann ein DSB verpflichtend ist
Artikel 37 der RGPD legt drei Auslöser für die verpflichtende DSB-Benennung fest. Für E-Commerce-Betreiber sind die relevantesten:
- Die Kerntätigkeit besteht in Verarbeitungsvorgängen, die eine regelmäßige und systematische umfangreiche Überwachung von betroffenen Personen erfordern. Dies erfasst typischerweise große Treueprogramme, verhaltensbasierte Empfehlungssysteme, kontinuierliches Interessenten-Scoring und großflächiges Retargeting.
- Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Datenkategorien (Gesundheit, Biometrie, Religion, Politik) oder Daten über strafrechtliche Verurteilungen. Reiner Allgemeinwaren-E-Commerce entgeht diesem Auslöser meist, aber Parapharmazie, verschreibungspflichtige Brillen, biometrische Größenmessung und ähnliche Branchen nicht.
Auch wenn dies nicht zwingend vorgeschrieben ist, empfiehlt die CNIL dringend einen bestellten DSB ab etwa 50 Beschäftigten, ab 10 Mio. Euro Jahresumsatz im Online-Handel oder wenn mehr als 100.000 Kundendatensätze im CRM aktiv sind. Der DSB kann intern oder extern (gemeinsam genutzt) sein und muss direkt an die oberste Leitung berichten.
Unabhängigkeit und Ressourcen des DSB
Die Artikel 38 und 39 der RGPD schützen die Unabhängigkeit des DSB: Er darf für die Erfüllung seiner Aufgaben nicht bestraft oder abberufen werden, muss mit den notwendigen Ressourcen ausgestattet und ordnungsgemäß und rechtzeitig in alle Fragen des Datenschutzes einbezogen werden. Der Cour de cassation hat (in mehreren Entscheidungen 2023-2024) bestätigt, dass Vergeltungsmaßnahmen gegen einen DSB — etwa durch Ausgrenzung nach einer kritischen Stellungnahme — eine unrechtmäßige Handlung darstellen.
6. Betroffenenrechte — Auskunft, Berichtigung, Löschung, Übertragbarkeit
Die acht Rechte im Überblick
- Auskunftsrecht (Artikel 15) — Bestätigung der Verarbeitung und eine Kopie der Daten erhalten.
- Recht auf Berichtigung (Artikel 16) — ungenaue Daten korrigieren, unvollständige Daten vervollständigen.
- Recht auf Löschung / Recht auf Vergessenwerden (Artikel 17) — Löschung in definierten Fällen erwirken (Widerruf der Einwilligung, Daten nicht mehr erforderlich, rechtswidrige Verarbeitung usw.).
- Recht auf Einschränkung der Verarbeitung (Artikel 18) — die Verarbeitung während Streitigkeiten einfrieren.
- Recht auf Datenübertragbarkeit (Artikel 20) — personenbezogene Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten und, soweit technisch machbar, an einen anderen Verantwortlichen übermitteln lassen.
- Widerspruchsrecht (Artikel 21) — insbesondere gegen Direktmarketing, das absolut und kostenlos gilt.
- Rechte im Zusammenhang mit automatisierten Einzelentscheidungen einschließlich Profiling (Artikel 22) — das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und rechtliche oder ähnlich erhebliche Wirkungen entfaltet.
- Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77) — in Frankreich die CNIL.
Wie man Betroffenenanfragen in der Praxis handhabt
Ein Auskunftsersuchen einer betroffenen Person (DSAR) muss innerhalb eines Monats nach Eingang beantwortet werden, verlängerbar um zwei Monate bei komplexen Anfragen. Die Antwort muss kostenlos sein, außer wenn das Ersuchen offenkundig unbegründet oder exzessiv ist (selten). Sie dürfen einen Identitätsnachweis nur verlangen, wenn ein begründeter Zweifel an der Identität des Antragstellers besteht — die CNIL hat mehrere Betreiber gebüßt, die systematisch einen Reisepass-Scan verlangten, was exzessiv ist.
Ein robuster DSAR-Workflow umfasst: einen Eingangskanal (Webformular + dedizierte E-Mail wie [email protected]), einen risikoangemessenen Identitätsprüfungsschritt, eine strukturierte Suche über jedes System (CRM, ERP, Bestelldatenbank, Ticketing, Marketingplattform, Adtech-ID-Zusammenführung), einen Prüfschritt zur Schwärzung von Drittdaten und einen Zustellschritt mit sicherem Download (verschlüsseltes ZIP, ablaufender Link).
Recht auf Löschung im E-Commerce: Reale Grenzfälle
Eine vollständige Löschung ist selten absolut. Für einen Onlineshop ist das typische Muster:
- Löschung aus CRM und Marketing-Tools — vollständige Löschung.
- Anonymisierung von Bestelldatensätzen, die älter als 5 Jahre sind (handelsrechtliche Verjährungsfrist) — Ersetzung von Name und Adresse durch gehashte pseudonyme Kennungen, aber Beibehaltung von Rechnungssummen und Produktreferenzen für die Buchhaltung.
- Aufbewahrung von Rechnungen im Zwischenarchiv für 10 Jahre gemäß Artikel L.123-22 des Code de commerce — die rechtliche Verpflichtung geht dem Löschungsersuchen vor.
- Aufbewahrung von Betrugs-Scoring-Entscheidungen für den in Ihrer AML/CTF-Richtlinie festgelegten Aufbewahrungszeitraum — typischerweise 5 Jahre nach Ende der Beziehung.
Format und Umfang der Übertragbarkeit
Die Übertragbarkeit umfasst Daten, die von der betroffenen Person bereitgestellt wurden (Kontofelder, Adressen, von ihr eingegebene Bestellhistorie), und wird in einem strukturierten, gängigen und maschinenlesbaren Format geliefert — in der Praxis JSON oder CSV. Sie umfasst KEINE abgeleiteten Daten wie Betrugs-Scores, Customer-Lifetime-Value-Berechnungen oder RFM-Cluster. Soweit technisch machbar, müssen Sie die Daten direkt an einen anderen von der betroffenen Person bestimmten Verantwortlichen übermitteln (Artikel 20.2).
7. Grenzüberschreitende Übermittlungen — SCC, DPF und Schrems II
Die Rechtslage nach Schrems II
Das Schrems-II-Urteil des EuGH (Rechtssache C-311/18, 16. Juli 2020) erklärte den EU-US Privacy Shield für ungültig und verschärfte die Bedingungen erheblich, unter denen personenbezogene Daten aus der EU in nicht angemessene Drittländer übermittelt werden dürfen. Der seither wiederaufgebaute Rahmen ruht auf drei Säulen:
- Angemessenheitsbeschlüsse (Artikel 45) — die Europäische Kommission erklärt, dass ein Drittland ein im Wesentlichen gleichwertiges Schutzniveau bietet. 2026 umfasst dies das Vereinigte Königreich, die Schweiz, Japan, Südkorea, Kanada (kommerzieller Sektor), Neuseeland, Israel, Argentinien, Uruguay, Andorra, die Färöer-Inseln, Guernsey, die Isle of Man, Jersey und — seit dem 10. Juli 2023 — die Vereinigten Staaten unter dem EU-US Data Privacy Framework (DPF) ausschließlich für zertifizierte Importeure.
- Geeignete Garantien (Artikel 46) — für nicht angemessene Länder ist das gängigste Instrument die neuen Standardvertragsklauseln (Durchführungsbeschluss 2021/914 der Kommission vom 4. Juni 2021), zu kombinieren mit einer Transfer-Impact-Assessment (TIA) gemäß den EDSA-Empfehlungen 01/2020 sowie ergänzenden Maßnahmen wie Verschlüsselung im Ruhezustand und bei der Übertragung, Pseudonymisierung und vertraglichen Anfechtungen behördlicher Zugriffsersuchen.
- Ausnahmen (Artikel 49) — ausdrückliche Einwilligung, Vertragserfüllung, öffentliches Interesse usw. Nur für gelegentliche, nicht systematische Übermittlungen zu verwenden.
Was das für Ihren Stack bedeutet
Kartieren Sie jeden Anbieter, der mit personenbezogenen Daten in Berührung kommt, und kennzeichnen Sie jede Übermittlung:
- Stripe, PayPal, Adyen — EU-Unternehmen existieren; prüfen Sie die vertragschließende Einheit in Ihrer AVV.
- Google Workspace, Google Analytics 4, Google Ads — US-Übermittlungen unter DPF; Modul-2-SCC (Verantwortlicher zu Auftragsverarbeiter) gelten typischerweise als Backup.
- AWS, Cloudflare, Datadog — die Übermittlungsregeln hängen von der gewählten Region ab. EU-Region-Deployments plus DPF-Rückfallebene sind aktuell Stand der Technik.
- Meta (Facebook, Instagram)-Pixel, TikTok-Pixel — US-/CN-Übermittlungen; Einwilligung + SCC + in der TIA dokumentierte Risikoakzeptanz.
- E-Mail-Tools (SendGrid, Mailchimp, Klaviyo) — vertragschließende Einheit, EU-Residenzoption, DPF-Status prüfen.
Die TIA in 30 Minuten
Eine Transfer-Impact-Assessment ist ein strukturiertes Dokument, das festhält: die Art der Daten, den Empfänger, das Einfuhrland, den rechtlichen Rahmen dieses Landes (behördlicher Zugriff, Ausnahmen der nationalen Sicherheit), die praktische Wahrscheinlichkeit eines Zugriffs, die umgesetzten ergänzenden Maßnahmen sowie das resultierende Restrisiko. Die sechsstufige Methodik des EDSA ist der De-facto-Standard. Speichern Sie für jeden Anbieter die TIA neben der entsprechenden Zeile Ihres Artikel-30-Verzeichnisses.
Anbieterkarte, SCC-Speicher und TIA-Vorlage
Zunapro erfasst jeden Auftragsverarbeiter, auf den sich Ihr französischer Shop stützt, hängt das passende SCC-Modul an und speichert TIA-Dokumente neben Ihrem Artikel-30-Verzeichnis — bereit für eine CNIL-Prüfung.
8. Meldung von Datenschutzverletzungen — Die 72-Stunden-Uhr
Was als Datenschutzverletzung gilt
Artikel 4(12) der RGPD definiert eine Verletzung des Schutzes personenbezogener Daten als eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Im E-Commerce sind die wiederkehrenden Szenarien: ein kompromittiertes Admin-Konto, das die Kundenliste offenlegt, ein falsch konfigurierter S3-Bucket, der Rechnungen offenlegt, ein durch Phishing verursachter Lagerbetrug, der Versandadressen preisgibt, ein gestohlener Laptop mit unverschlüsseltem CRM-Export oder eine Credential-Stuffing-Welle, die Angreifern Zugang zu Kundenkonten verschafft.
Die 72-Stunden-Meldepflicht
Gemäß Artikel 33 der RGPD muss der Verantwortliche die CNIL unverzüglich und, wenn möglich, spätestens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, benachrichtigen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Erfolgt die Meldung später als 72 Stunden, muss sie mit einer Begründung für die Verzögerung versehen sein.
Die Meldung erfolgt über das CNIL-Onlineportal unter notifications.cnil.fr. Sie muss die Art der Verletzung, Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze, die Kontaktdaten des DSB, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen enthalten.
Wann Sie auch die betroffenen Personen benachrichtigen müssen
Gemäß Artikel 34 müssen Sie, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, dies den betroffenen Personen unverzüglich in klarer und einfacher Sprache mitteilen. Ein hohes Risiko liegt typischerweise vor, wenn Finanzdaten, Ausweisdokumente, Gesundheitsdaten oder große Mengen an Kontaktdaten offengelegt werden.
Es gibt Ausnahmen: wenn Sie eine starke Verschlüsselung oder Pseudonymisierung eingesetzt hatten, die die Daten für unbefugte Personen unverständlich macht, oder wenn Sie seitdem Maßnahmen ergriffen haben, die das hohe Risiko voraussichtlich nicht mehr eintreten lassen, oder wenn eine individuelle Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre (dann eine öffentliche Mitteilung stattdessen).
Der 72-Stunden-Plan
- Stunde 0 — Alarm ausgelöst. SOC oder Systemadministrator eröffnet ein Vorfallticket; der DSB wird sofort alarmiert.
- Stunde 0 bis 4 — Triage. Sind tatsächlich personenbezogene Daten betroffen? Welche Kategorien, welche Mengen, welcher Zeitrahmen? Protokolle und IOCs sichern, bevor sie rotiert werden.
- Stunde 4 bis 24 — Eindämmung und forensische Sicherung. Zugangsdaten rotieren, Token widerrufen, IPs blockieren, Datenexporte einfrieren.
- Stunde 24 bis 48 — Risikobewertung anhand der EDSA-Leitlinien 9/2022 zu Beispielen betreffend die Meldung von Verletzungen des Schutzes personenbezogener Daten. Entscheiden: CNIL benachrichtigen? Betroffene benachrichtigen?
- Vor Stunde 72 — die CNIL-Meldung über notifications.cnil.fr einreichen. Sind die Fakten noch im Fluss, eine Teilmeldung einreichen und später aktualisieren.
- Nach dem Vorfall — Ursachenanalyse, Korrekturplan, Eintrag der Verletzung in Ihr internes Vorfallprotokoll (Artikel 33.5), Unterrichtung der Geschäftsleitung.
Führung eines Vorfallprotokolls
Artikel 33.5 der RGPD verlangt, dass der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten dokumentiert, einschließlich der Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. Dieses Protokoll muss der CNIL auf Anfrage zur Verfügung gestellt werden. Auch nicht gemeldete Verletzungen (weil das Risiko als gering eingestuft wurde) müssen mit der Begründung protokolliert werden — dies gehört zu den ersten Dingen, nach denen CNIL-Prüfer fragen werden.
9. Cookielose Analyse — CNIL-Leitlinien und Tools
Warum die CNIL auf Cookielosigkeit drängt
Die CNIL hat die letzten fünf Jahre damit verbracht, französische Publisher und Händler aktiv dazu zu ermutigen, sich in Richtung cookieloser oder ausnahmefähiger Analyse zu bewegen. Die Begründung ist einfach: eine strikte Konfiguration zur Reichweitenmessung kann innerhalb der Einwilligungsausnahme des Artikels 82 verbleiben, was bedeutet: keine Cookie-Banner-Reibung, keine verlorenen Daten bei den über 30% der Nutzer, die alles ablehnen, und eine deutlich sauberere Compliance-Position.
Die Ausnahmekriterien der CNIL für Reichweitenmessung
- Strikt auf die Messung der Website-Reichweite zum eigenen Nutzen des Verantwortlichen beschränkt.
- Keine Verknüpfung mit anderen Verarbeitungen (keine seitenübergreifende Profilbildung, keine verhaltensbasierten Werbezielgruppen).
- Keine Übermittlung der Daten an Dritte — ausschließlich Auftragsverarbeiter-Beziehungen erlaubt.
- Gekürzte IP-Adressen (mindestens das letzte Oktett bei IPv4) und kurze Kennungen.
- Begrenzte Aufbewahrung — die CNIL akzeptiert bis zu 13 Monate für das Cookie oder die Kennung und bis zu 25 Monate für Rohdaten.
- Klare Information des Nutzers in der Datenschutzerklärung mit dokumentiertem Opt-out.
Tools, die zur Ausnahme passen
- Matomo (selbst gehostet oder Matomo Cloud EU) — die historische Referenz, mit einem von der CNIL genehmigten Konfigurationsleitfaden.
- Piwik PRO Core Plan — EU-Datenresidenz (Frankfurt, Warschau), dokumentierte CNIL-Ausnahmekonfiguration.
- AT Internet Analytics Suite (jetzt Teil von Piano) — der französische Unternehmensstandard, verwendet von großen Mediengruppen.
- Plausible (EU-gehostet) — leichtgewichtig, überhaupt keine Cookies.
- Fathom Analytics, Simple Analytics — minimalistische cookielose Tools.
Was ist mit Google Analytics 4?
Nach dem Angemessenheitsbeschluss zum EU-US Data Privacy Framework (10. Juli 2023) ist GA4 in einer kontrollierten Konfiguration wieder nutzbar: serverseitiges Tagging, IP-Anonymisierung, kein User-ID ohne Einwilligung, kein Google Signals ohne Einwilligung, und idealerweise First-Party-Domain-Proxying. Die CNIL empfiehlt jedoch weiterhin, wo möglich auf eine First-Party- oder vollständig cookielose Alternative umzusteigen, insbesondere für KMU ohne die Entwicklungsressourcen, um die schwergewichtige GA4-Konfiguration zu pflegen.
Auswirkung auf die Conversion-Rate: Französische Publisher, die zu cookieloser oder ausnahmefähiger Analyse gewechselt sind, gewinnen typischerweise 25-40% der Zielgruppe zurück, die sie hinter der 'Alle-ablehnen'-Wand von GA4 verloren hatten, und reduzieren gleichzeitig die CMP-Reibung. Vergleichen Sie cookielose Analysetools in Zunapro →
10. CRM-Konformität — Ansprache, Aufbewahrung und Marketingrechte
Der CNIL-Referenzrahmen zur kommerziellen Ansprache
Der Référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales der CNIL (aktualisiert 2022, angewandt während 2026) ist die praktische Bibel der CRM-Konformität in Frankreich. Er legt Benchmarks für Zwecke, Aufbewahrung, Datenqualität und Sicherheit fest, die die CNIL als Grundlage bei Prüfungen heranzieht.
B2C-Ansprache: Vorherige Opt-in-Einwilligung
Gemäß Artikel L.34-5 des Code des postes et des communications électroniques (CPCE) erfordert kommerzielle Ansprache per E-Mail, SMS, Fax oder automatischem Anrufsystem an eine natürliche Person eine vorherige freie, spezifische und informierte Einwilligung. Es gibt eine berühmte Ausnahme — das Soft-Opt-in für Kunden:
- Die E-Mail-Adresse wurde im Rahmen eines Verkaufs erhoben.
- Die Ansprache betrifft ähnliche Produkte oder Dienstleistungen.
- Der Interessent wurde bei der Erhebung informiert und erhielt eine einfache, kostenlose Möglichkeit zur Ablehnung.
- Jede nachfolgende Nachricht enthält einen klaren und kostenlosen Abmeldelink.
Für B2B-Ansprache an funktionale Adressen (z. B. [email protected]) von Fachleuten zu Produkten und Dienstleistungen, die für ihre Tätigkeit relevant sind, gilt eine Opt-out-Regelung — sofern die Informationspflichten des Artikels 13 erfüllt sind.
Aufbewahrungsbenchmarks für das CRM
- Aktive Interessenten — bis zu 3 Jahre ab dem letzten vom Interessenten initiierten Kontakt (Öffnen, Klick, Anfrage, letzter Kauf). Nach 3 Jahren reiner Inaktivität archivieren oder löschen.
- Aktive Kunden — für die Dauer der Geschäftsbeziehung zuzüglich der relevanten Verjährungsfrist.
- Rechnungen — 10 Jahre gemäß Code de commerce, im Zwischenarchiv.
- Marketing-Opt-ins / Opt-outs — für die Dauer der Einwilligung zuzüglich 3 Jahre zu Nachweiszwecken.
- Inaktive Newsletter-Abonnenten — eine Reaktivierungskampagne wird nach 18-24 Monaten ohne Interaktion empfohlen; Löschung nach 36 Monaten.
Treueprogramme, Profiling und Scoring
Treueprogramme, die Kaufhistorie mit Verhaltensdaten kombinieren, um Segmente zu bilden (RFM, Lookalikes, Abwanderungs-Scores), erfordern typischerweise eine DSFA gemäß Artikel 35. Halten Sie sich bereit, Folgendes zu dokumentieren: die Zwecke des Profilings, die verwendeten Datenkategorien, die Konsequenzen für die betroffene Person (Segmentierung, Aktionsberechtigung, dynamische Preistoleranz) sowie die Schutzmaßnahmen (Opt-out, manuelle Überprüfung bei Grenzfällen, regelmäßige Verzerrungsprüfung).
CRM-Tools: Welche Anbieter sind CNIL-freundlich?
Zu den beliebten CRM-Systemen, die 2026 im französischen E-Commerce verwendet werden, gehören Brevo (früher Sendinblue, Hauptsitz Paris), Splio, Actito (Belgien, EU-Hosting), Salesforce Marketing Cloud (USA, EU-Datenresidenzoptionen + DPF), HubSpot (USA, DPF), Klaviyo (USA, DPF) und Customer.io. Für welches Tool Sie sich auch entscheiden, stellen Sie sicher, dass der Auftragsverarbeitungsvertrag (Artikel 28) vorhanden ist, das SCC-Modul 2 unterzeichnet ist, wo Daten die EU verlassen, und dass Ihre Aufbewahrungsregeln direkt in der Plattform kodiert sind (automatische Löschung nach N Monaten Inaktivität).
Starten Sie einen CNIL-konformen französischen Shop in Tagen, nicht Monaten
Der Frankreich-Hub von Zunapro bündelt eine konforme Cookie-Banner-Vorlage, ein Artikel-30-Verzeichnis, einen Workflow für Betroffenenanfragen, ein Vorfallprotokoll und CRM-Aufbewahrungsautomatisierung — alles, was Sie brauchen, um schneller eine RGPD-saubere E-Commerce-Site zu starten.
Den Frankreich-Marketplace-Hub öffnen →Häufig gestellte Fragen (FAQ)
Ist die RGPD dasselbe wie die EU-DSGVO?
Ja. RGPD (Règlement Général sur la Protection des Données) ist die französische Bezeichnung für die EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Die materiellen Vorschriften sind in allen 27 Mitgliedstaaten identisch. Frankreich hat die Verordnung lokal durch das Loi Informatique et Libertés (Gesetz Nr. 78-17 in der 2018 und 2019 geänderten Fassung) angepasst, und die CNIL ist die nationale Aufsichtsbehörde, die sie durchsetzt.
Benötigt ein französischer E-Commerce-Shop ein Cookie-Banner?
Ja. Gemäß Artikel 82 des Loi Informatique et Libertés und den bis 2026 aktualisierten CNIL-Leitlinien erfordert jedes Cookie oder jeder Tracker, der für den Dienst nicht unbedingt erforderlich ist, eine vorherige, freie, spezifische, informierte und eindeutige Einwilligung. Das Banner muss 'Alle akzeptieren' und 'Alle ablehnen' auf derselben Ebene mit gleichem visuellem Gewicht anbieten; vorangekreuzte Kästchen und Cookie-Walls ohne Alternativen sind verboten. Das Ablehnen von Cookies muss ebenso einfach sein wie das Akzeptieren.
Wie hoch ist die maximale CNIL-Geldbuße für einen E-Commerce-Shop?
Gemäß Artikel 83 der RGPD können Verwaltungsgeldbußen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist, bei den schwerwiegendsten Verstößen. Bei Cookie-Verstößen gemäß Artikel 82 des Loi Informatique et Libertés kann die CNIL auch im vereinfachten Verfahren Geldbußen bis zu 2% des Umsatzes verhängen. Jüngste französische Cookie-Bußgelder reichten von 50.000 Euro für kleine Händler bis über 150 Millionen Euro für große Akteure.
Benötige ich einen Datenschutzbeauftragten (DSB) für meinen Onlineshop?
Ein DSB ist gemäß Artikel 37 der RGPD verpflichtend, wenn Ihre Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen oder der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht. Viele mittelgroße französische E-Commerce-Betreiber, die Käuferprofile erstellen, Treueprogramme betreiben und verhaltensbasiertes Retargeting einsetzen, fallen in diesen Anwendungsbereich. Auch wenn dies nicht zwingend vorgeschrieben ist, empfiehlt die CNIL dringend die Bestellung eines DSB und dessen Registrierung über das Benennungsportal von cnil.fr.
Wie viel Zeit habe ich, um eine Datenschutzverletzung in Frankreich zu melden?
Artikel 33 der RGPD verlangt eine Meldung an die CNIL unverzüglich und, wenn möglich, innerhalb von 72 Stunden, nachdem die Verletzung bekannt wurde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Führt die Verletzung wahrscheinlich zu einem hohen Risiko, verlangt Artikel 34 außerdem, dass Sie die betroffenen Personen unverzüglich benachrichtigen. Die Meldung erfolgt über das CNIL-Onlineportal unter notifications.cnil.fr.
Darf ich Google Analytics 2026 in Frankreich verwenden?
Google Analytics war Gegenstand mehrerer CNIL-Entscheidungen (2022 bis 2024), die unrechtmäßige Übermittlungen personenbezogener Daten in die Vereinigten Staaten beanstandeten. Nach dem Angemessenheitsbeschluss zum EU-US Data Privacy Framework im Juli 2023 ist Google Analytics 4 unter vertraglich kontrollierten Bedingungen wieder nutzbar, sofern Sie IP-Anonymisierung, serverseitiges Proxying und ein konformes Einwilligungsbanner konfigurieren. Die CNIL empfiehlt weiterhin cookielose oder First-Party-Analyselösungen (Matomo, Piwik PRO, Plausible, AT Internet Analytics Suite) als sicherere Alternativen.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten und wer muss eines führen?
Gemäß Artikel 30 der RGPD müssen jeder Verantwortliche und jeder Auftragsverarbeiter ein schriftliches Verzeichnis ihrer Verarbeitungstätigkeiten führen (Registre des activités de traitement). Es dokumentiert Zwecke, Datenkategorien, Empfänger, Aufbewahrungsfristen, Übermittlungen und Sicherheitsmaßnahmen für jeden Verarbeitungsvorgang. Die Pflicht gilt für Organisationen mit 250 oder mehr Beschäftigten sowie für kleinere Organisationen, deren Verarbeitung nicht gelegentlich erfolgt, besondere Datenkategorien betrifft oder wahrscheinlich ein Risiko für betroffene Personen darstellt — was praktisch jedes E-Commerce-Unternehmen erfasst.
Welche Rechte haben französische Käufer über ihre personenbezogenen Daten?
Die Artikel 15 bis 22 der RGPD gewähren betroffenen Personen acht Kernrechte: das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung (Recht auf Vergessenwerden), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht, Rechte im Zusammenhang mit automatisierter Entscheidungsfindung und Profiling sowie das Recht auf Beschwerde bei der CNIL. Online-Händler müssen innerhalb eines Monats antworten und einen kostenlosen, zugänglichen Mechanismus bereitstellen (Formular im Kundenkonto, dedizierte E-Mail wie [email protected]), um diese Rechte auszuüben.
Wie funktionieren Standardvertragsklauseln (SCC) für grenzüberschreitende Übermittlungen nach Schrems II?
Nach dem Schrems-II-Urteil des EuGH (C-311/18, Juli 2020) erfordern Übermittlungen personenbezogener Daten in nicht angemessene Drittländer Standardvertragsklauseln (Durchführungsbeschluss 2021/914 der Kommission) sowie eine Transfer-Impact-Assessment und ergänzende Maßnahmen (Verschlüsselung, Pseudonymisierung). Für die Vereinigten Staaten stellte das EU-US Data Privacy Framework (Juli 2023) eine Angemessenheitsbrücke für zertifizierte Importeure wieder her. Für andere Länder (das Vereinigte Königreich hat einen eigenen Angemessenheitsbeschluss, ebenso die Schweiz) bleiben SCC das Standardinstrument, ergänzt durch TIA-Dokumentation in Ihrem Artikel-30-Verzeichnis.
Darf ich meinen Kunden Marketing-E-Mails ohne ausdrückliche Einwilligung senden?
Gemäß Artikel L.34-5 des französischen Code des postes et des communications électroniques und den CNIL-Leitlinien erfordern Marketing-E-Mails an natürliche Personen eine vorherige Opt-in-Einwilligung. Es gibt eine wichtige Ausnahme (Soft-Opt-in): Sie dürfen Ihren eigenen Kunden E-Mails über ähnliche Produkte oder Dienstleistungen senden, sofern die Adresse im Rahmen eines Kaufs erhoben wurde, der Empfänger bei der Erhebung informiert und ihm eine klare Widerspruchsmöglichkeit angeboten wurde und jede nachfolgende E-Mail einen Abmeldelink enthält. B2B-E-Mails an Fachleute unter funktionalen Adressen unterliegen einer weicheren Opt-out-Regelung.
Wie lange sollte ich Kundendaten in meinem CRM aufbewahren?
Die CNIL-Leitlinien zu kommerzieller Ansprache und CRM (Référentiel Gestion commerciale, Aktualisierung 2022, angewandt 2026) legen die Aufbewahrung aktiver Interessenten auf drei Jahre ab dem letzten vom Interessenten initiierten Kontakt fest (Öffnen, Klick, Kauf). Kundendaten, die an einen Vertrag gebunden sind, werden für die Dauer der Geschäftsbeziehung zuzüglich der relevanten Verjährungsfrist aufbewahrt (typischerweise 5 Jahre für zivilrechtliche Ansprüche, 10 Jahre für die Buchhaltung gemäß Code de commerce). Nach der aktiven Aufbewahrung können Daten in einem Zwischenarchiv mit eingeschränktem Zugriff archiviert und anschließend gelöscht werden.
Muss ich meine Videoüberwachung oder Betrugspräventionstools bei der CNIL registrieren?
Seit der Reform des Loi Informatique et Libertés von 2018 wurde die vorherige Meldepflicht weitgehend abgeschafft und durch Rechenschaftspflicht ersetzt, die in Ihrem Artikel-30-Verzeichnis und, wo erforderlich, in einer Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 der RGPD dokumentiert wird. Betrugsbewertung, Verhaltensprofiling, biometrische Prüfungen und großflächige Videoüberwachung erreichen typischerweise die DSFA-Schwelle. Die DSFA muss für CNIL-Kontrollen verfügbar gehalten und bei verbleibendem hohem Risiko gemäß Artikel 36 zur vorherigen Konsultation vorgelegt werden.
Was ist die Pflicht zu Datenschutz durch Technikgestaltung im E-Commerce?
Artikel 25 der RGPD verlangt Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: datenschutzfreundliche Standardeinstellungen (keine vorangekreuzten Marketing-Kästchen, minimale Datenfelder in Registrierungsformularen, kurze Standardaufbewahrung), technische und organisatorische Maßnahmen, die von der Architekturphase an eingebettet sind, Pseudonymisierung, wo möglich, sowie der Grundsatz der Datenminimierung. Praktisch bedeutet dies, Checkout, Kontoerstellung, Newsletter, Empfehlungssystem und CRM mit dem geringstmöglichen Datenfußabdruck zu gestalten, der den Dienst dennoch erbringt.
Cookiebot vs. OneTrust vs. Axeptio — welche CMP sollte ich wählen?
Alle drei sind CNIL-freundlich, wenn sie korrekt konfiguriert sind. Cookiebot (Usercentrics) ist eine starke Standardwahl für KMU — schnell einzurichten, IAB-TCF-v2.2-bereit, transparente Preisgestaltung. OneTrust ist der Unternehmensstandard mit tiefer Integration, serverseitiger Unterstützung und globalen Anbieterlisten — die richtige Wahl für Konzerne, die in mehreren Rechtsordnungen tätig sind. Axeptio und Didomi sind die französischen nationalen Vorreiter, mit Vorlagen, die speziell auf die CNIL-Leitlinien und die CNIL-typische Sprache abgestimmt sind. Die CMP ist ein Auftragsverarbeiter gemäß Artikel 28 — der Verantwortliche (Sie) bleibt für die endgültige Konfiguration verantwortlich.
Was besagt Artikel 82 des Loi Informatique et Libertés tatsächlich?
Artikel 82 setzt Artikel 5(3) der ePrivacy-Richtlinie (2002/58/EG) um. Er untersagt jede Speicherung von oder jeden Zugriff auf bereits im Endgerät eines Nutzers eines elektronischen Kommunikationsdienstes gespeicherte Informationen, es sei denn, der Nutzer hat eingewilligt, nachdem er klare und vollständige Informationen über die Zwecke der Verarbeitung und die verfügbaren Ablehnungsmöglichkeiten erhalten hat. Es gibt zwei Ausnahmen: wenn die Speicherung oder der Zugriff ausschließlich dem Zweck dient, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen, oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich angeforderten Online-Kommunikationsdienst bereitzustellen.
Fazit — RGPD als Wettbewerbsvorteil
RGPD-Konformität in Frankreich ist kein einmaliger rechtlicher Kraftakt mehr — sie ist eine kontinuierliche operative Disziplin. Die CNIL hat durch ihren strategischen Plan 2024-2027 und ihren beschleunigten Sanktionsfluss deutlich gemacht, dass 2026 das Jahr ist, in dem Online-Händler die Lücke schließen müssen. Die gute Nachricht ist, dass die Bausteine gut dokumentiert sind: ein sauberes Cookie-Banner (Cookiebot, OneTrust, Axeptio, Didomi), eine klare Datenschutzerklärung, ein aktuelles Artikel-30-Verzeichnis, ein DSB mit echter Autorität, ein DSAR-Workflow, der Antworten in unter einem Monat liefert, SCC und TIA für jeden Nicht-EU-Anbieter, ein 72-Stunden-Vorfallplan und cookielose Analyse, wo möglich.
Händler, die RGPD als Sanitärinstallation behandeln — in die Plattform eingebettet statt nachträglich angeflanscht — berichten durchweg von zwei Nebeneffekten: einer Wiedergewinnung von 25-40% des Analysesignals, wenn das Einwilligungsbanner nicht mehr alles blockiert, und einem höheren Kundenvertrauen-Score, der sich in besseres E-Mail-Engagement und geringere Abwanderung übersetzt. Richtig umgesetzt ist RGPD ein Wachstumshebel. Der Frankreich-Hub von Zunapro gibt Ihnen die Vorlagen, die Automatisierung und den Prüfpfad, um diese Compliance-Position umzusetzen, ohne Ihre Entwicklungs-Roadmap zum Stillstand zu bringen.
Verkaufen Sie in Frankreich mit RGPD auf Autopilot
Verbinden Sie Ihren französischen Shop mit Zunapro und liefern Sie ein CNIL-konformes Cookie-Banner, einen Generator für Datenschutzerklärungen, ein Artikel-30-Verzeichnis, einen DSAR-Workflow und CRM-Aufbewahrungsregeln — in einem einzigen Panel.
Den Frankreich-Marketplace-Hub öffnen →Brauchen Sie Hilfe dabei?
Passender Dienst: E-Commerce