Die französische Aufsichtsbehörde für den Datenschutz, die Commission nationale de l’informatique et des libertés (kurz: CNIL), hat am 04. November 2011 einen erfreulich klaren Datenschutz-Leitfaden für den Rechtsanwender veröffentlicht.
Damit erleichtert die CNIL v.a. nichtfranzösischen Unternehmen, die sich in Frankreich engagieren wollen, die Expansion in das westeuropäische Land, das für guten Wein und gutes Essen weltberühmt ist. Denn das französische Datenschutzrecht ist streng; etwa kann die CNIL ganze Unternehmen „stilllegen“. Diese Ängste ausländischer Investoren können nun zunehmend zerstreut werden.
1. Wer ist die CNIL?
Die Geschichte der Commission nationale de l’informatique et des libertés geht zurück in die 1970er Jahre. Die französische Regierung verfolgte ein Projekt, das in die französische Rechtsgeschichte unter dem Namen SAFARI eingehen sollte. Der Plan bestand darin, jedem Franzosen eine Nummer zu geben, die allein dem Zweck diente, den Austausch von Daten zwischen öffentlichen Stellen zu ermöglichen. Eine breite und – auch für französische Mentalitäten – heftige Diskussion schloss sich an. Am Ende stand v.a. die Einrichtung einer Datenschutzbehörde, die CNIL.
Heute ist die CNIL eine mächtige Aufsichtsbehörde, die darüber wacht, dass durch die Erhebung, Verarbeitung und/oder Nutzung personenbezogene Daten keine Schäden für den Betroffenen entstehen. Ihre Tätigkeit ist im französischen Datenschutzgesetz, dem Loi 78-17, in den Artikel 11 bis 21 geregelt
2. Die Macht der CNIL als Investitionsrisiko?
Nichtfranzösische Unternehmen, die sich in Frankreich engagieren wollen, werden ihre Entscheidung auch an den rechtlichen Rahmenbedingungen vor Ort ausrichten. Spätestens wenn das Geschäftsmodell ein hohes Datenaufkommen bedingt, stellt sich dann auch die Frage, wie streng das Datenschutzrecht ist.
Insgesamt kann von einem strengen Datenschutzrecht ausgegangen werden, die Standards sind sehr hoch. Entscheidend dürfte aber sein, dass die CNIL sehr weitreichende Befugnisse hat, Datensünder zu bestrafen. Geldstrafen bis zu 150.000 Euro für den ersten Verstoß sind möglich (vgl. Artikel 45 I Nr. 1, Artikel 47 Loi 78-17). Hoch spannend ist aber eine weitere Sanktionsmöglichkeit. Dort heißt es im Gesetz (Artikel 45 II Nr. 1 Loi 87-17):
„Lorsque la mise en oeuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article 1er, la formation restreinte peut, après une procédure contradictoire, engager une procédure d’urgence, définie par décret en Conseil d’État, pour : 1° Décider l’interruption de la mise en oeuvre du traitement, pour une durée maximale de trois mois, si le traitement n’est pas au nombre de ceux qui sont mentionnés aux I et II de l’article 26 ou de ceux mentionnés à l’article 27 mis en oeuvre par l’État“
Mit anderen Worten: In besonders gravierenden Fällen kann die Behörde Notmaßnahmen ergreifen, wobei es möglich ist für maximal 3 Monate eine Datenverarbeitung ganz zu verbieten. Somit kann die CNIL ganze Unternehmen stilllegen.
Viele Unternehmen könnten sich die Frage stellen, warum sie dieses Risiko eingehen sollten.
Dem steht aber entgegen, dass die CNIL nunmehr einen Leitfaden, auch in englischer Sprache, herausgegeben hat, an dem sich auch Investoren orientieren können. Zudem besteht die Möglichkeit, sich externen Rat einzuholen.
3. Beispiel aus dem Leitfaden: Gestaltung des Arbeitsplatzes
Etwa auf Seite 12 des Leitfadens gibt die CNIL genaue Instruktion, wie ein Arbeitsplatz vor externem, unbefugtem Zugriff geschützt werden kann. Es wird etwa empfohlen, eine Höchstanzahl für fehlgeschlagene Anmeldungen im Netzwerk zu definieren oder aktuelle Firewalls zu verwenden. Auch die Herstellung eines ausdifferenzierten Rechtesystems wird empfohlen.
Unternehmer mögen nun einwenden, dass dies alltägliche Maßnahmen sind, die ohnehin ergriffen werden. Wenn dem so ist, sollten sich interessierte nichtfranzösische Unternehmen glücklich schätzen. Denn dann brauchen sie die harten Sanktionen der CNIL vielleicht nicht zu fürchten.
Es ist aber davor zu warnen, diese Hinweise zu unterschätzen. Die Erfahrung zeigt, dass selbst diese einfachen Maßnahmen nicht in allen deutschen Unternehmen eingehalten werden. Insoweit ist auch ein Leitfaden, der Selbstverständlichkeiten auflistet, zu begrüßen. Denn nur dadurch werden diese Hinweise selbstverständlich!
4. Fazit
Eine Investition in den französischen Markt sollte zumindest nicht am Thema Datenschutz scheitern. Selbstverständlich sollten Unternehmen das strenge französische Datenschutzrecht nicht unterschätzen. Aber es gibt auch die Möglichkeit, mithilfe erfahrener Berater, die Unternehmensprozesse entsprechend rechtssicher zu gestalten. Der soeben vorgestellte Leitfaden kann ein erster Anhaltspunkt sein.
Dr. iur. Stephan Gärtner
Compliance Manager
ilex Datenschutz GbR berät mittelständische Unternehmen bundesweit in Fragen des Datenschutzrechts. Zu ihren Kompetenzen zählt auch das internationale Datenschutzrecht, wobei die ilex Datenschutz GbR Unternehmen gezielt bei der Frage berät, ob das Geschäftsmodell mit der anvisierten Rechtsordnung vereinbar ist bzw. wie eine Vereinbarkeit hergestellt werden kann. Hier verfügt die ilex Datenschutz GbR über vertiefte Kenntnisse im Datenschutzrecht anderer Länder.
________________
Wir unterstützen Sie bei Ihrer Recherche.
ilex Datenschutz – Potsdam
Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de