As the French data protection authority (Commission nationale de l’informatique et des libertés, CNIL) recently imposed two high-amount sanctions, we take this opportunity to try and make a practical application of some rules from the recently published draft of the Digital Omnibus. What Happened? In the span of a week, the CNIL imposed major sanctions […]
Commission Nationale Informatique et Liberte (CNIL)
Wirtschaftlicher Nutzen eines Datenschutzbeauftragten für Unternehmen
Die französische Datenschutzbehörde CNIL hat im Juli 2025 eine umfassende Studie zum wirtschaftlichen Nutzen des Datenschutzbeauftragten (DSB) in Unternehmen veröffentlicht. Die Untersuchung, die in Zusammenarbeit mit dem Verband für berufliche Erwachsenenbildung (AFPA) im Auftrag des französischen Arbeitsministeriums durchgeführt wurde, basiert auf der Befragung von 3.625 Datenschutzbeauftragten und ergänzenden Interviews. Die Studie bietet die bisher umfassendste […]
Cookies are not always sweet in France
In the last three years, very high fines have been issued by the French data protection authority (Commission Nationale de l’Informatique et des Libertés or CNIL) to big companies for non-compliance in the area of cookies and tracking devices. Some examples are: the 35 million euros sanction imposed by the CNIL against Amazon in 2020 […]
How to verify the implementation of Binding Corporate Rules? The CNIL published a monitoring tool
A number of multinational companies operating across multiple jurisdictions and sharing personal data between different countries, have adopted Binding Corporate Rules (BCRs) as a transfer mechanism under Art. 47 of the General Data Protection Regulation (GDPR). BCRs are internal data protection compliance rules to ensure that personal data transferred between their entities, particularly from the […]
We will record this call for contract proving purposes
The French data protection supervisory authority, Commission Nationale de l’Informatique et des Libertés (CNIL), recently published a Guide (25.04.2022) about call recording to prove the formation of a contract. When to record? The rule of thumb is to record calls that are necessary because there are no other means of proving that the data subject has […]
Keine Datenverarbeitung zu Lobbyingzwecken ohne Information der Betroffenen
Bußgeld gegen Monsanto: Die CNIL, die französische Datenschutzaufsichtsbehörde, hat Ende Juli gegen die Firma Monsanto Company, eine Firma der Bayer Gruppe, ein Bußgeld in Höhe von 400.000 Euro verhängt. Grund dieser Entscheidung ist der Verstoß gegen die Informationspflicht nach Art. 14 DSGVO und der fehlende Abschluss eines Auftragsverarbeitungsvertrages. Ausgangslage – die verhängnisvolle Datei In den […]
Und täglich grüßt das Bußgeld
CNIL reagiert auf unzureichende Maßnahmen gegen Credential Stuffing Angriffe Ende Januar gab die französische Datenschutzbehörde (CNIL) bekannt, dass sie ein Bußgeld in Höhe von insgesamt 225.000 Euro gegen einen Online Shop Betreiber (i.H.v. 150.000 Euro) und dessen Auftragsverarbeiter (i.H.v. 75.000 Euro) verhängt hat. Ursache für das Bußgeld sind unzureichende technische und organisatorische Maßnahmen zur Abwehr […]
Privacy Impact Assessments: A software tool by the French DPA
The French Data Protection Authority, Commission Nationale Informatique et Liberte (CNIL), released a tool to support data controllers to be compliant with the upcoming General Data Protection Regulation (GDPR). The tool is aimed at automating the obligatory assessments of risk posed by data protection activities to the rights and freedoms of data subjects according to […]