CNIL: mass­vol­le Durch­set­zung der DSGVO gegen­über ver­nünf­ti­gen Unternehmen

Die fran­zö­si­sche Daten­schutz-Auf­sichts­be­hör­de CNIL hat in einer Stel­lung­nah­me vom 19. Febru­ar 2018 ihren Kon­troll­an­satz umrissen.

Im Ergeb­nis will die CNIL die Ein­hal­tung der Ver­ar­bei­tungs­grund­sät­ze wei­ter­hin streng prü­fen (“véri­fi­ca­ti­ons rigou­reu­ses”). Bei den neu­en Rech­ten und Pflich­ten nach der DSGVO (z.B. beim Recht auf Daten­por­ta­bi­li­tät oder bei der Pflicht zur Durch­füh­rung von Daten­schutz-Fol­gen­ab­schät­zung) legt die CNIL das Gewicht dage­gen eher auf Bera­tung und Beglei­tung der Unter­neh­men – vor­aus­ge­setzt, die­se bemü­hen sich ange­mes­sen um eine ver­nünf­ti­ge Umset­zung der DSGVO (bspw. durch ein Umset­zungs­pro­jekt nach der 6‑Schritt-Metho­de der CNIL):

En revan­che, pour ce qui est des nou­vel­les obli­ga­ti­ons ou des nou­veaux droits résul­tant du RGPD (droit à la por­ta­bi­li­té, ana­ly­ses d’impact, etc.), les con­trô­les opé­rés auront essen­ti­el­le­ment pour but, dans un pre­mier temps, d’accompagner les orga­nis­mes vers une bon­ne com­pré­hen­si­on et la mise en œuvre opé­ra­ti­on­nel­le des tex­tes. En pré­sence d’organismes de bon­ne foi, enga­gés dans une démar­che de con­for­mi­té et faisant preuve de coopé­ra­ti­on avec la CNIL, ces con­trô­les n’auront nor­ma­le­ment pas voca­ti­on à débou­ch­er, dans les pre­miers mois, sur des pro­cé­du­res de sanc­tion sur ces points.