Die französische nationale Arbeitsvermittlungsagentur France Travail wurde von der Commission Nationale de l’Informatique et des Libertés (CNIL), der französischen Datenschutz- und Datenschutzbehörde, mit einer Geldstrafe von 5 Millionen Euro belegt, nachdem eine Sicherheitsverletzung personenbezogene Daten von Millionen Arbeitssuchenden offengelegt hatte. Die Strafe wurde am 22. Januar 2026 verhängt, weil ausreichende technische und organisatorische Schutzmaßnahmen zum Schutz der von der Behörde verarbeiteten personenbezogenen Daten nicht umgesetzt wurden, was gegen Artikel 32 der Datenschutzverordnung (DSGVO) verstößt.
Der Datenverstoß ereignete sich Anfang 2024, als ein oder mehrere Angreifer unbefugten Zugang zu den Informationssystemen von France Travail mit Social-Engineering-Techniken erhielten, die Konten bei Cap Emploi, einer Agenturabteilung zur Unterstützung von Arbeitssuchenden mit Behinderungen, ins Visier nahmen. Die Angreifer griffen auf Aufzeichnungen von Personen zu, die über etwa 20 Jahre bei France Travail registriert waren, darunter Namen, Sozialversicherungsnummern, E-Mail- und Postadressen sowie Telefonnummern. Der Vorstoß gewährte den Angreifern keinen Zugriff auf vollständige Jobsucher-Dateien wie Gesundheitsdaten, und es gab keinen Hinweis darauf, dass Finanzkontoinformationen oder Anmeldedaten vorliegen.
CNIL stellte fest, dass zum Zeitpunkt des Vorfalls mehrere wichtige Sicherheitsmaßnahmen bei France Travail fehlten. Die Authentifizierungsmethoden für Cap Emploi-Mitarbeiterkonten erlaubten kurze Passwörter und erforderten keine Multi-Faktor-Authentifizierung, und die Anmeldeversuche waren vor der Sperrung der Konten nicht ausreichend begrenzt. Die Offenlegung von weitreichenden Zugriffsrechten erhöhte das Datenvolumen weiter, auf die unautorisierte Parteien zugreifen konnten. Auf Grundlage dieser Ergebnisse kam CNIL zu dem Schluss, dass France Travail seine Verpflichtung nach der DSGVO nicht erfüllt hat, angemessene Sicherheitsmaßnahmen im Hinblick auf die Risiken der Verarbeitung großer Mengen personenbezogener Daten zu ergreifen.
Die Entscheidung von CNIL verlangt von France Travail, innerhalb eines festgelegten Zeitrahmens Belege für Korrekturmaßnahmen vorzulegen und verhängt eine bedingte Tagesstrafe von 5.000 € für Verzögerungen bei der Behebung der Mängel. Die Geldstrafe spiegelt die Anzahl der betroffenen Personen, die Sensibilität der offengelegten Daten und das Fehlen angemessener Cybersicherheitskontrollen der Behörde wider.
France Travail, früher bekannt als Pôle Emploi, ist der öffentliche Arbeitsdienst, der für die Verwaltung von Arbeitslosenunterstützung und die Pflege von Arbeitssuchenden zuständig ist. Der Verstoß machte systemische Probleme im Umgang der Behörde mit Datensicherheit sichtbar und veranlasste regulatorische Maßnahmen zur Verbesserung des Schutzes der persönlichen Daten von Bewerbern und Begünstigten.
Die Sanktion der CNIL folgt auf weitere hochkarätige Geldstrafen nach der DSGVO wegen Datensicherheitsversäumnissen sowohl öffentlicher als auch privater Organisationen. Die Entscheidung betont regulatorische Erwartungen an die Umsetzung robuster Sicherheitsmaßnahmen bei der Verarbeitung großer Datensätze mit persönlichen Identifikatoren und Kontaktdaten.
Von der Verletzung betroffene Personen können im Rahmen der laufenden Meldepflichten gemäß der DSGVO von France Travail kontaktiert werden. Strafverfolgungsbehörden sind an der Untersuchung des Einbruchs im Jahr 2024 beteiligt, und die Behörden überwachen weiterhin die Einhaltung des von CNIL vorgeschriebenen Korrekturplans.