BitRaser >
Article >
Das französische Datenschutzgesetz entschlüsseln

BITRASER^®

Das französische Datenschutzgesetz entschlüsseln

Geschrieben von

Kanika Verma linkdin

Veröffentlicht am

Jul 25, 2024

Min Lesen

3 Min

Summary: La Loi Informatique et Libertés, oder das französische Datenschutzgesetz (FDPA), ergänzt die EU-DSGVO und stellt sicher, dass die Verarbeitung personenbezogener Daten von in Frankreich ansässigen Personen unter Wahrung der Privatsphäre und der Rechte des Einzelnen durchgeführt wird. Das Gesetz wird von der Commission Nationale de l'Informatique et des Libertés (CNIL) verwaltet, einer unabhängigen Behörde, die für die Überwachung der Einhaltung des FDPA, die Durchführung von Audits, die Untersuchung von Berichten über Datenschutzverletzungen und die Einleitung geeigneter Maßnahmen zuständig ist. Dieser Artikel befasst sich mit dem Anwendungsbereich des FDPA, den Datenschutzprinzipien, den Rechten der betroffenen Personen und den Sanktionen, die die CNIL gegen Unternehmen verhängt, die gegen das Gesetz verstoßen. Lesen Sie weiter, um zu erfahren, wie Sie als Unternehmen das FDPA einhalten können.

La Loi Informatique et Libertés ist das nationale Datenschutzgesetz Frankreichs, das seit dem 1. Juni 2019 in Kraft ist. Das französische Datenschutzgesetz enthält Bestimmungen, die für die allgemeine Verarbeitung gelten und sich auf die staatliche Sicherheit, die Landesverteidigung usw. sowie auf die polizeiliche Verarbeitung beziehen. Es verweist auch auf die Bestimmungen, die von der EU-DSGVO abgedeckt werden, insbesondere auf diejenigen, die sich auf "nationale Spielräume" beziehen. Obwohl in bestimmten Fällen auf die EU-DSGVO verwiesen wird, besteht nicht die Absicht, die Bestimmungen der EU-DSGVO vollständig zu übernehmen. Die unabhängige französische Verwaltungsbehörde CNIL (Commission Nationale de l'Informatique et des Libertés) rät jedoch Organisationen, die personenbezogene Daten von in Frankreich ansässigen Personen verarbeiten, sich mit den Anforderungen sowohl des DSG als auch der EU-GDPR vertraut zu machen, um diesen Rechtsrahmen besser zu verstehen und einzuhalten.

Anwendungsbereich des französischen Datenschutzgesetzes

Das französische Datenschutzgesetz gilt für alle Verantwortlichen, die die personenbezogenen Daten von in Frankreich ansässigen Personen verarbeiten, unabhängig davon, ob sie in Frankreich ansässig sind oder nicht. Für in Frankreich ansässige Personen schützen die Bestimmungen der EU-DSGVO, die auf das nationale Recht verweisen und die Rechte und Pflichten des DSG anpassen oder ergänzen, die personenbezogenen Daten der betroffenen Personen. Da Frankreich ein Mitgliedstaat der Europäischen Union ist, gelten auch die in der EU-DSGVO festgelegten Bestimmungen.

Grundsätze für den Schutz personenbezogener Daten

Artikel 4 des Kapitels I, Grundsätze und Definitionen aus Tier I, Gemeinsame Bestimmungen der DSGVO, erläutert die sechs Datenschutzgrundsätze.

Um die personenbezogenen Daten französischer Bürger zu schützen, müssen der Verantwortliche und der Auftragsverarbeiter die folgenden Grundsätze einhalten:

Personenbezogene Daten müssen auf rechtmäßige, transparente und faire Weise verarbeitet werden.
Die Erhebung personenbezogener Daten muss für spezifische, legitime und ausdrückliche Zwecke erfolgen. Sofern es sich nicht um einen statistischen, wissenschaftlichen, historischen Forschungs- oder Archivierungszweck im öffentlichen Interesse handelt, muss die Vereinbarkeit mit dem ursprünglichen Zweck nachgewiesen werden.
Die Relevanz, Notwendigkeit und Angemessenheit der verarbeiteten personenbezogenen Daten sollte beibehalten werden.
Die Richtigkeit der persönlichen Daten sollte beibehalten werden, und die Daten sollten bei Bedarf aktualisiert werden. Ungenaue Daten müssen entweder gelöscht oder sofort korrigiert werden.
Artikel L. 212-3 (Gesetzbuch des kulturellen Erbes) sieht vor, dass personenbezogene Daten über den Zeitraum hinaus, für den sie verarbeitet werden sollten, ausschließlich für Archivierungszwecke im öffentlichen Interesse oder für statistische, wissenschaftliche oder historische Zwecke aufbewahrt werden dürfen.
Die Datenverarbeitung muss so erfolgen, dass eine unrechtmäßige oder unbefugte Verarbeitung, eine Beschädigung, eine Zerstörung, ein zufälliger Verlust oder ein Zugriff durch Unbefugte verhindert wird. Organisationen sind verpflichtet, die Integrität und Vertraulichkeit von Daten durch geeignete technische Maßnahmen zu gewährleisten.

Rechte der betroffenen Personen

La Loi Informatique et Libertes, oder FDPA, gewährt betroffenen Personen Rechte, die sie ausüben können, um ihre personenbezogenen Daten zu schützen, sie anzufechten und ihre unrechtmäßige Verarbeitung einzuschränken. Kapitel II, Rechte der betroffenen Personen der Stufe II, Verarbeitung, die unter die Datenschutzregelung der Verordnung (EU) 2016/679 vom 27. April 2016 fällt, enthält die Rechte der betroffenen Personen, die im Folgenden erläutert werden:

Recht auf Auskunft (Artikel 48): Die betroffene Person kann unter den in den Artikeln 12-14 der DSGVO vorgesehenen Bedingungen mündlich oder auf elektronischem Wege von dem für die Verarbeitung Verantwortlichen Informationen, wie z.B. Identität und Kontaktdaten, verlangen. Dieses Recht gibt der betroffenen Person die Möglichkeit, die Quelle der Datenerhebung zu erfahren, unabhängig davon, ob die Daten von ihr stammen oder nicht. Artikel 13 enthält die Bestimmungen für Daten, die von Minderjährigen erhoben werden.
Recht auf Auskunft (Artikel 49): Dieses Recht wird unter den Bedingungen von Artikel 15 der Verordnung (EU) 2016/679 vom 27. April 2016 ausgeübt und ermöglicht es der betroffenen Person, von dem Verantwortlichen eine Bestätigung über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Wenn die Antwort positiv ausfällt, kann sie die Löschung oder Berichtigung ihrer Daten verlangen.
Recht auf Berichtigung (Artikel 50): Die betroffene Person hat das Recht, ihre unvollständigen personenbezogenen Daten vervollständigen zu lassen und unrichtige personenbezogene Daten unverzüglich berichtigen zu lassen. Dieses Recht kann unter den in Artikel 16 der Datenschutz-Grundverordnung genannten Bedingungen ausgeübt werden.
Recht auf Löschung (Artikel 51): Das Recht auf Löschung, auch bekannt als das Recht auf Vergessenwerden unter den in Artikel 17 der EU-DSGVO festgelegten Bedingungen, berechtigt die betroffene Person, die Löschung ihrer personenbezogenen Daten wie unten beschrieben zu verlangen:
- Der Zweck, für den die personenbezogenen Daten erhoben wurden, besteht nicht mehr
- Die Zustimmung zur weiteren Verarbeitung der personenbezogenen Daten wurde widerrufen
- Es gibt keine rechtlichen/legitimen Gründe für die Verarbeitung
- Die unrechtmäßige Verarbeitung personenbezogener Daten wurde durchgeführt
- Die Umfrage wurde in Bezug auf die Dienste der Informationsgesellschaft durchgeführt
- Eine rechtliche Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfordert die Löschung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung.
Recht auf Einschränkung der Verarbeitung (Artikel 53): Dieses Recht ermöglicht es der betroffenen Person, die Verarbeitung ihrer personenbezogenen Daten unter den in Artikel 18 der Verordnung (EU) 2016/679 vom 27. April 2016 vorgesehenen Bedingungen einzuschränken:
- Es hat eine unrechtmäßige Verarbeitung personenbezogener Daten stattgefunden und die betroffene Person hat anstelle der Löschung die Einschränkung der Verarbeitung beantragt.
- Die betroffene Person bestreitet die Richtigkeit der personenbezogenen Daten
- Die betroffene Person benötigt personenbezogene Daten für die Verteidigung, Feststellung oder Ausübung von Rechtsansprüchen.
- Die betroffene Person hat der Verarbeitung personenbezogener Daten widersprochen.
Recht auf Datenübertragbarkeit (Abschnitt 55): Dieses Recht auf Datenübertragbarkeit ist in Artikel 20 der EU-DSGVO geregelt. Unbeschadet der Rechte und Freiheiten anderer Personen haben die betroffenen Personen das Recht, ihre personenbezogenen Daten in einem allgemein üblichen, maschinenlesbaren und strukturierten Format zu erhalten. Darüber hinaus erlaubt ihnen dieses Recht, ihre Daten an einen anderen Verantwortlichen zu übermitteln, wo immer dies möglich ist und ohne Hindernisse.

Hinweis: Wenn Sie mehr über die Rechte der betroffenen Personen für andere als die oben erläuterten Zwecke erfahren möchten, lesen Sie bitte Kapitel 3 von Titel III: Bestimmungen für Verarbeitungen, die unter die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Verfolgung oder Vollstreckung von Straftaten und zum freien Datenverkehr fallen. Bitte lesen Sie Kapitel 3 von Titel III: Bestimmungen für Verarbeitungen, die unter die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie des freien Datenverkehrs und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates fallen, und Kapitel 1 von Titel IV: Bestimmungen für Verarbeitungen im Zusammenhang mit der staatlichen Sicherheit und Verteidigung.

Sanktionen im Falle der Nichteinhaltung des FDPA

Abschnitt 3: Rechtsbehelfe und Sanktionen des Titels I, Gemeinsame Bestimmungen, erläutert in Abschnitt 20 die Folgen, die der Verantwortliche oder sein Unterauftragnehmer aufgrund der Nichteinhaltung der DSGVO zu tragen hat. Verstöße gegen die DSGVO oder gegen die Bestimmungen der Verordnung (EU) 2016/679 vom 27. April 2016 können zu Verwarnungen, Hinweisen, Aussetzung von Zertifikaten oder Genehmigungen, Sanktionen und/oder Gerichtsverfahren durch den Präsidenten der Commission Nationale de l'Informatique et des Libertés (CNIL) führen. Sie können eine förmliche Mahnung aussprechen und eine Frist setzen, innerhalb derer der für die Verarbeitung Verantwortliche oder sein Unterauftragnehmer den Forderungen der betroffenen Person nachkommen und die betroffene Person über den Verstoß informieren muss, es sei denn, es geht um staatliche Sicherheit oder Verteidigung. Der für die Datenverarbeitung Verantwortliche muss außerdem sicherstellen, dass die Verarbeitungstätigkeiten mit den Bestimmungen des DSG übereinstimmen. Wenn der Antrag auf Löschung oder Berichtigung personenbezogener Daten lautet, müssen die erforderlichen Maßnahmen ergriffen werden.

Wenn die Verarbeitung personenbezogener Daten nicht durch den Staat erfolgt, beträgt die Höhe des Bußgeldes nach der FMP wie folgt

2% des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres oder eine Geldstrafe von weniger als 10 Millionen Euro (je nachdem, welcher Betrag höher ist)
4 % des genannten Umsatzes oder 20 Mio. EUR aufgrund einer Anhebung der Obergrenzen im Falle der in Artikel 83 Absätze 5 und 6 der Verordnung (EU) 2016/679 vom 27. April 2016 genannten Hypothesen

Wie halten Sie das FDPA ein?

Verantwortliche, Behörden, zuständige Behörden und Unterauftragnehmer sind alle verpflichtet, die oben genannten Bestimmungen des französischen Datenschutzgesetzes (FDPA) und der EU-DSGVO einzuhalten, um die personenbezogenen Daten von in Frankreich ansässigen Personen (betroffenen Personen) zu schützen. Artikel 57 des Abschnitts 1, Allgemeine Verpflichtungen, in Kapitel III, Verpflichtungen des Verantwortlichen und des Auftragsverarbeiters, bezieht sich auch auf die Ernennung eines Datenschutzbeauftragten.
Um dem FDPA - dem "Recht auf Vergessenwerden" oder dem "Recht auf Löschung", den herausragenden Rechten der betroffenen Personen - gerecht zu werden, müssen Organisationen eine professionelle Software zur Datenlöschung verwenden, wie z.B. BitRaser verwenden, die Daten dauerhaft von Laufwerken und Geräten löscht, ohne dass eine Datenrettung möglich ist. Die Software generiert ein Datenlöschungszertifikat, mit dem Unternehmen die Einhaltung von FDPA, EU-GDPR und dergleichen nachweisen können. Für Auditoren ist es ein überprüfbarer Nachweis der Löschung, der Vertrauen und Transparenz schafft. BitRaser wurde von globalen Zertifizierungsstellen wie Common Criteria, ADISA, NIST und DHS getestet und zugelassen.

Was this article helpful?

FAQs

Hat Frankreich ein eigenes Datenschutzgesetz?

La Loi Informatique et Libertés oder das französische Datenschutzgesetz (FDPA) ist Frankreichs nationales Datenschutzgesetz, das zusammen mit der EU-DSGVO für Unternehmen gilt, die personenbezogene Daten von in Frankreich ansässigen Personen verarbeiten, unabhängig davon, ob sie ihren Sitz in Frankreich haben oder nicht.

Welche Stelle regelt den Datenschutz in Frankreich?

Die unabhängige Verwaltungsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) regelt sowohl die EU-DSGVO als auch das DSG in Frankreich, um den Schutz der personenbezogenen Daten der in Frankreich ansässigen Personen zu gewährleisten.

Wie hoch ist die Geldstrafe für einen Verstoß gegen das FZA?

Mit Ausnahme des Staates, der die Verarbeitung personenbezogener Daten umgesetzt hat, beträgt die Höhe der Geldbuße: 1. 2 % des gesamten Jahresumsatzes des vorangegangenen Geschäftsjahres oder eine Geldbuße von weniger als 10 Millionen Euro (je nachdem, welcher Betrag höher ist) 2. 4 % des genannten Umsatzes oder 20 Millionen Euro aufgrund einer Erhöhung der Obergrenzen im Falle der in den Punkten 5 und 6 des Artikels 83 der Verordnung (EU) 2016/679 vom 27. April 2016 genannten Hypothesen.