Französisches Datenschutzrecht: Das müssen deutsche Online-Händler beachten

Viele deutsche Online-Händler vertreiben ihre Produkte auch nach Frankreich. Dabei stellt sich die Frage, ob und in welchem Umfang französisches Datenschutzrecht zur Anwendung kommt.

Gilt französisches Datenschutzrecht für deutsche Händler beim Verkauf nach Frankreich?

Nein.

Online-Händler mit Sitz in Deutschland, die keine Niederlassung in Frankreich betreiben, unterliegen grundsätzlich ausschließlich der DSGVO und dem deutschen BDSG. Da die DSGVO unionsweit gilt, müssen sie jedoch die Anforderungen des europäischen Datenschutzrechts einhalten – zusätzliche französische Pflichten bestehen nicht.

Nur wenn sich die Verarbeitung gezielt auf französische Verbraucher richtet (z. B. durch eine französische Sprache, Preise in Euro, Versand nach Frankreich), kann die CNIL als Aufsichtsbehörde im Rahmen der grenzüberschreitenden Zusammenarbeit beteiligt sein. Die federführende Behörde bleibt jedoch in der Regel die deutsche Aufsichtsbehörde.

Gilt französisches Datenschutzrecht bei einer Niederlassung in Frankreich?

Ja.

Betreibt ein deutsches Unternehmen eine Niederlassung oder Tochtergesellschaft in Frankreich, unterliegt diese zusätzlich dem französischen Datenschutzrecht, also der Loi Informatique et Libertés in ihrer Fassung zur Umsetzung der DSGVO.

Diese Niederlassung gilt als eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, sodass sie verpflichtet ist:

• die Datenschutzpflichten gegenüber französischen Nutzern direkt zu erfüllen,-
• die Anforderungen der CNIL zu beachten und
• ggf. einen Datenschutzbeauftragten („Délégué à la protection des données“, DPO) zu benennen.

Muss sich ein Händler bei der CNIL registrieren?

Nein, eine Registrierungspflicht besteht seit Inkrafttreten der DSGVO nicht mehr. Die früher erforderliche Anmeldung von Datenverarbeitungen bei der CNIL wurde abgeschafft.

Wer ist Ansprechpartner der französischen Datenschutzaufsicht?

Zuständige Aufsichtsbehörde ist die

Commission Nationale de l’Informatique et des Libertés (CNIL)
8 Rue Vivienne – CS 30223 – 75083 Paris Cedex 02
https://www.cnil.fr

Welche Informationspflichten gelten nach französischem Recht?

Die Informationspflichten entsprechen grundsätzlich Art. 13 und 14 DSGVO, werden von der CNIL aber inhaltlich sehr präzise kontrolliert.

Eine französische Datenschutzerklärung muss u. a. folgende Punkte enthalten:

• Identität und Kontaktdaten des Verantwortlichen
• ggf. Kontaktdaten des DPO
• Zwecke und Rechtsgrundlagen der Verarbeitung
• Empfänger oder Kategorien von Empfängern
• Dauer der Speicherung
• Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerderecht bei der CNIL)

Die CNIL empfiehlt, alle Hinweise klar, leicht verständlich und in französischer Sprache bereitzustellen.

Was gilt für Newsletter und Werbe-E-Mails?

Der Versand von Newslettern ist in Frankreich in Art. L34-5 des Code des postes et communications électroniques geregelt.

Danach gilt:

• Grundsatz: Versand nur mit vorheriger ausdrücklicher Einwilligung (Opt-in).
• Ausnahme: Wenn bereits eine Kundenbeziehung besteht und die Werbung ähnliche Produkte betrifft.
• Der Empfänger muss bei jeder E-Mail einfach und kostenlos widersprechen können („désinscription“).

Die CNIL achtet besonders auf klare Einwilligungstexte und Nachweisbarkeit. Empfehlenswert ist das Double-Opt-in-Verfahren, wie auch in Deutschland.

Welche Sanktionen drohen bei Datenschutzverstößen in Frankreich?

Frankreich gehört zu den Ländern mit der strengsten DSGVO-Durchsetzung. Die CNIL kann Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes verhängen (Art. 83 DSGVO).

Neben Geldbußen drohen auch Anordnungen zur Anpassung oder Sperrung von Verarbeitungsvorgängen.

Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.