Im ersten Quartal 2024 kam es zu einem umfangreichen Datenleck bei France Travail, der staatlichen Arbeitsvermittlungsstelle in Frankreich. Hacker nutzten Social-Engineering-Techniken, um sich Zugang zu Konten externer Partnerorganisationen zu verschaffen. Betroffen hiervon war insbesondere CAP EMPLOI, die Menschen mit Behinderung unterstützen. Die Commission nationale de l’informatique et des libertés (CNIL) verhängte daraufhin ein Bußgeld in Höhe von 5 Millionen Euro.
Datenschutzrechtlicher Anknüpfungspunkt: Art. 32 DSGVO
Anknüpfungspunkt für die Sanktion bildet Art. 32 der Datenschutz-Grundverordnung (DSGVO), der die Sicherheit der Verarbeitung personenbezogener Daten regelt. Der Artikel verpflichtet Verantwortliche dazu, geeignete technische und organisatorische Maßnahmen zu treffen, um ein Schutzniveau zu gewährleisten, das dem Risiko angemessen ist. Hierunter fallen starke Authentifizierungsverfahren, wirksame Zugangsbeschränkungen sowie geeignete Überwachungs- und Erkennungsmechanismen zum Schutz vor unbefugtem Zugriff und Datenverlust.
Im Fall France Travail stellte die CNIL fest, dass diese Maßnahmen unzureichend implementiert waren. So waren Authentifizierungsverfahren nicht robust genug, Zugriffsrechte zu weit gefasst und Systemprotokollierungen unzureichend, was die erfolgreiche Ausnutzung durch Angreifer erleichterte.
Wer ist die CNIL?
Die CNIL ist die unabhängige französische Datenschutzbehörde und fungiert als nationale Datenschutzaufsicht. Sie wurde durch das französische Datenschutzgesetz von 1978 eingerichtet und stellt sicher, dass die Verarbeitung personenbezogener Daten mit den gesetzlichen Vorgaben im Einklang steht.
Im Aufgabenbereich der CNIL liegt damit insbesondere die Überwachung der Einhaltung von Datenschutzgesetzen sowie die Durchführung von Kontrollen, Untersuchungen bei Verdacht auf Verstöße und die Verhängung von Sanktionen bei Verstößen gegen Datenschutzstandards
Gang des Verfahrens
Nach Bekanntwerden des Vorfalls 2024 hat die CNIL Ermittlungen durchgeführt, um festzustellen, ob France Travail seinen Pflichten unter der DSGVO nachgekommen ist. Die Untersuchung zeigte erhebliche Versäumnisse bei der Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen.
Über kompromittierten Zugänge gelang es den Angreifern, auf personenbezogene Daten von Millionen registrierter Arbeitsuchender der letzten 20 Jahre zuzugreifen. Hierunter fielen Sozialversicherungsnummern, E-Mail- und Postadressen sowie Telefonnummern.
Die vollständigen Akten, die auch Gesundheitsdaten enthielten, wurden nach Angaben der CNIL zwar nicht vollständig ausgelesen, doch die Menge und Sensibilität der betroffenen Personendaten machte den Vorfall zu einem der schwerwiegendsten Datenlecks im französischen öffentlichen Sektor.
Die „formation restreinte“, ein spezialisiertes Gremium der CNIL, das für Sanktionen zuständig ist, verhängte daher am 22. Januar 2026 eine Geldbuße in Höhe von 5 Millionen Euro gegen France Travail. Zusätzlich wurde eine Verpflichtung zur Nachbesserung innerhalb einer festgelegten Frist ausgesprochen. Sollte diese nicht eingehalten werden, droht dem Unternhemen eine zusätzliche tägliche Zwangsstrafe von 5.000 Euro.
5 Millionen Euro Bußgeld
Im Gegensatz zu vielen privaten Unternehmen bemisst sich die Höhe der Geldbuße hier nicht am Umsatz, da France Travail eine öffentlich finanzierte Einrichtung ist und ihr Budget gesetzlich festgelegt wird. Gemäß dem entsprechenden rechtlichen Rahmen liegt der Höchstbetrag für einen Verstoß gegen Art. 32 DSGVO in einem solchen Fall bei 10 Millionen Euro. Die CNIL wählte daher einen Betrag von 5 Millionen Euro, basierend auf dem Umfang des Datenlecks, der Zahl der Betroffenen, der Sensibilität der Daten, der mangelnden Umsetzung bekannter Sicherheitsmaßnahmen und dem Ignorieren grundlegender Sicherheitsprinzipien trotz vorhandener Risikoanalysen.
Fazit
Die Entscheidung der CNIL zeigt eine konsequente Durchsetzung datenrechtlicher Vorgaben im öffentlichen Sektor und verdeutlicht, dass auch bei staatlich finanzierten Einrichtungen strenge Anforderungen an die Datensicherheit gelten.
Die Höhe der Sanktion verdeutlicht zudem, dass Datenschutzbehörden in der zunehmend bereit sind, substanzielle Bußgelder im siebenstelligen Bereich gegen öffentliche Stellen zu verhängen, wenn grundlegende Sicherheitsanforderungen missachtet werden. Für Verantwortliche in Deutschland und Europa bedeutet das: Compliance nach DSGVO umfasst nicht nur Dokumentation, sondern vor allem wirksame technische und organisatorische Umsetzung.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
