Die nationale Datenschutzbehörde Frankreichs, die Commission Nationale de l’Informatique et des Libertés (CNIL), hat laut einer Regulierungsentscheidung von Ende Dezember 2025 eine Geldstrafe von 3,5 Millionen Euro gegen ein französisches Unternehmen verhängt, weil es Nutzerdaten unsachgemäß weitergegeben und Regeln zum Tracking von Cookies verstoßen hat. Die Sanktion spiegelt Verstöße gegen Verpflichtungen aus französischen und europäischen Datenschutzgesetzen hinsichtlich Einwilligung und Transparenz bei der Verarbeitung personenbezogener Daten wider.
Die Maßnahme der CNIL geht auf eine Untersuchung zurück, die ergab, dass das Unternehmen die persönlichen Daten der Mitglieder an Dritte weitergegeben hat, ohne die gültige Zustimmung der betreffenden Personen einzuholen. Die Regulierungsbehörde identifizierte Fehler darin, wie das Unternehmen Tracking-Informationen sammelte, nutzte und teilte, die mit den Online-Aktivitäten der Nutzer verknüpft waren, einschließlich cookie-basierter Tracking-Mechanismen, die häufig zur Anpassung digitaler Werbe- und Analysedienste verwendet werden.
Nach französischem Recht erfordert die Implementierung von Cookies und ähnlichen Tracking-Technologien eine klare, informierte und frei gegebene Zustimmung der Nutzer, bevor diese Technologien auf ihren Geräten aktiviert werden. Tracking-Cookies können Daten über das Verhalten eines Nutzers auf verschiedenen Websites erfassen, und Regulierungsbehörden in der EU haben betont, dass die Zustimmung für jeden Zweck spezifisch und eindeutig sein muss, im Einklang mit den Datenschutzvorgaben der EU-Datenschutzstandards wie der Datenschutzverordnung (DSGVO) und zugehörigen nationalen Vorschriften.
Die CNIL stellte fest, dass die Praktiken des Unternehmens diese Einwilligungsanforderungen nicht erfüllten und dass der Datenaustausch über das hinausging, was den Nutzern zum Zeitpunkt der Sammlung offengelegt wurde. Jüngste Durchsetzungsmaßnahmen des CNIL, darunter hochkarätige Geldstrafen gegen große Plattformen wegen cookie-bezogener Einwilligungsverletzungen, zeigen eine verstärkte Kontrolle der Einhaltung von Einwilligungs- und Transparenzpflichten bei digitaler Nachverfolgung und Datennutzung.
Nach der verhängten Geldstrafe muss das Unternehmen seine Datenverarbeitung und die Cookie-Einwilligungsmechanismen anpassen, um mit den gesetzlichen Anforderungen übereinzustimmen. Regulierungsbehörden in der EU haben die Befugnis, die Einhaltung durchzusetzen und Sanktionen zu verhängen, wenn Organisationen keine ordnungsgemäße Zustimmung einholen oder keine klaren Informationen darüber bereitstellen, wie personenbezogene Daten verwendet werden.
Die finanzielle Strafe spiegelt sowohl die Art der Einwilligungsfehler als auch das Ausmaß der betreffenden personenbezogenen Daten wider. Die Entscheidung des CNIL zeigt eine wachsende regulatorische Durchsetzung in Europa in Bezug auf den Datenschutz der Nutzer, transparente Datenpraktiken und die Einhaltung etablierter Regeln für Tracking-Technologien und Datenaustausch.