anonym.legal
Zurück zum BlogDSGVO & Compliance

CNIL Frankreich: GDPR-Compliance unter der französischen Datenschutzbehörde — Was technische Teams wissen müssen

Die CNIL bearbeitete 16.433 Beschwerden im Jahr 2023 und verhängte seit 2019 Bußgelder von über 150 Millionen Euro. Ihre KI-Richtlinien verlangen dokumentierte Anonymisierung für Trainingsdaten. Hier ist, was technische Teams umsetzen müssen.

March 7, 20267 min Lesezeit
CNIL FranceFrench GDPRAI anonymizationFrench data protectionprivacy by design

CNILs Position als die technisch anspruchsvollste DPA der EU

Die Commission Nationale de l'Informatique et des Libertés (CNIL) in Frankreich veröffentlicht die detailliertesten und technisch spezifischsten Richtlinien zum Datenschutz in der EU. Während die meisten EU-DPAs allgemeine Richtlinien herausgeben, veröffentlicht die CNIL "recommandations" — detaillierte technische Spezifikationen, die die Interpretation der CNIL dessen darstellen, was die GDPR-Compliance erfordert.

Diese technische Strenge hat die CNIL als Maßstab für Datenschutztechnik in der EU etabliert. Andere EU-DPAs verweisen häufig auf die technischen Veröffentlichungen der CNIL, insbesondere auf ihren "Guide pratique de l'anonymisation" (praktischer Leitfaden zur Anonymisierung) von 2023 und die Richtlinien zur generativen KI von 2024.

Die CNIL bearbeitete 16.433 Beschwerden im Jahr 2023 — ein Anstieg von 43 % im Vergleich zu 2022 — und hat seit 2018 etwa 150 Millionen Euro an Bußgeldern wegen GDPR verhängt. Die Beschleunigung des Beschwerdevolumens spiegelt sowohl das zunehmende öffentliche Bewusstsein als auch die Aufklärungskampagnen der CNIL wider, die die Betroffenen ermutigen, ihre Rechte auszuüben.

CNILs Anforderungen an die Anonymisierung von KI-Trainingsdaten

Die Richtlinien zur generativen KI der CNIL von 2024 ("Systèmes d'IA générative") legen verbindliche Anforderungen für Organisationen fest, die KI-Modelle mit französischen personenbezogenen Daten trainieren oder KI-Systeme bereitstellen, die Daten französischer Nutzer verarbeiten.

Die Richtlinien identifizieren sechs obligatorische Anonymisierungskategorien für KI-Trainingsdaten:

  1. Identifiants directs (direkte Identifikatoren): Namen, Adressen, Identifikationsnummern — müssen vor dem KI-Training entfernt oder ersetzt werden
  2. Identifiants quasi-directs (quasi-Identifikatoren): Kombinationen von Attributen, die eine Re-Identifizierung ermöglichen — müssen auf k-Anonymität bewertet werden
  3. Données sensibles (besondere Kategorien): Gesundheits-, biometrische, politische, religiöse Daten — müssen mit zusätzlichen Anonymisierungsmaßnahmen segregiert werden
  4. Données comportementales (Verhaltensdaten): Browserverlauf, Interaktionsmuster — müssen aggregiert oder pseudonymisiert werden
  5. Données inférées (abgeleitete Daten): KI-abgeleitete Merkmale aus Verhaltensdaten — unterliegen Zweckbeschränkungen
  6. Données relatives aux mineurs (Daten von Kindern): Alle Daten, die potenziell Personen unter 15 Jahren betreffen — verpflichtende Altersverifizierung und verbesserte Anonymisierung

Für Organisationen, die LLMs verwenden, die auf aus dem Web gescrapten Daten trainiert wurden (ein gängiger Ansatz), verlangt die CNIL, dass dokumentiert wird, dass die Trainingsdaten gegen diese sechs Kategorien bewertet und die entsprechende Anonymisierung angewendet wurde.

Die Anforderungen des "Guide Pratique de l'Anonymisation"

Der Anonymisierungsleitfaden der CNIL von 2023 ist die detaillierteste offizielle Richtlinie der EU darüber, was technisch Anonymisierung ausmacht. Wichtige Anforderungen:

Von der CNIL empfohlene Anonymisierungstechniken:

  • k-Anonymität: Sicherstellen, dass jeder Datensatz von mindestens k-1 anderen Datensätzen nicht unterscheidbar ist
  • l-Diversität: Erfordernis von Vielfalt in sensiblen Attributen innerhalb von Äquivalenzklassen
  • Differenzielle Privatsphäre: Hinzufügen von kalibriertem Rauschen zu statistischen Ausgaben
  • Pseudonymisierung (ausdrücklich als keine Anonymisierung, sondern als Risikominderungsmaßnahme erwähnt)

Dokumentationsanforderungen: Der Leitfaden der CNIL verlangt, dass Organisationen für jede Verarbeitungstätigkeit, die Anonymisierung verwendet, eine "fiche d'anonymisation" (Anonymisierungsprotokoll) führen, in der dokumentiert wird: die angewandte Anonymisierungstechnik, die verwendeten Parameter (k-Wert für k-Anonymität, Epsilon-Wert für differenzielle Privatsphäre), die Bewertung des verbleibenden Re-Identifizierungsrisikos und die Validierungsmethodik.

Bewertung des Re-Identifizierungsrisikos: Die CNIL verlangt von den Organisationen, eine Bewertung des Re-Identifizierungsrisikos durchzuführen, bevor sie behaupten, dass Daten anonymisiert sind. Die Bewertung muss Folgendes berücksichtigen: den "motivierten Eindringling"-Test (könnte eine motivierte Person die Daten re-identifizieren?), verfügbare Hilfsdatensätze und den spezifischen Kontext der Daten.

CNILs Überlegungen zur Erkennung von PII in französischer Sprache

Für Organisationen, die Daten in französischer Sprache verarbeiten, verlangt die CNIL implizit, dass PII-Erkennungstools französischsprachige PII abdecken. Französische spezifische Entitätstypen, die erkannt werden müssen:

  • Numéro de Sécurité Sociale (NIR): 13-stellige französische Sozialversicherungsnummer mit spezifischer Formatvalidierung
  • Carte vitale-Nummer: Identifikator der Gesundheitskarte, der in der französischen Gesundheitsverwaltung verwendet wird
  • Numéro d'identification au répertoire (NIR): Identifikator des Bevölkerungsregisters
  • SIRET/SIREN: Unternehmensidentifikatoren, die in persönlichen Geschäftskontexten erscheinen können
  • Numéro d'ordre professionnel: Berufliche Registrierungsnummern (Ärzte, Anwälte, Buchhalter)
  • Carte nationale d'identité (CNI): Nummer des französischen Personalausweises

Französische NER-Modelle zur Erkennung von Personennamen müssen auch französische Namenskonventionen berücksichtigen: zusammengesetzte Namen (Jean-Pierre), hyphenierte Namen, Partikel (de, du, des) und französische spezifische Namensmuster.

CNIL-Durchsetzung: Das Muster der KI-Bußgelder

Die Durchsetzungsmaßnahmen der CNIL gegen KI-Systeme schaffen den Präzedenzfall dafür, was "angemessene technische Maßnahmen" im Kontext von KI bedeutet:

Clearview AI (20 Millionen Euro Bußgeld, 2022): Verarbeitung biometrischer Daten französischer Personen ohne rechtliche Grundlage, die aus öffentlichen Webquellen gesammelt wurden. Es wurde festgestellt, dass das massenhafte Scraping personenbezogener Daten für das KI-Training eine ausdrückliche rechtliche Grundlage erfordert.

TikTok-Untersuchung (2024-2025 laufend): Konzentriert sich auf algorithmische Empfehlungssysteme, die sensible Kategorien aus Verhaltensdaten ableiten können. Die Untersuchungsmethodik der CNIL hat sich zum EU-Standard für Audits von KI-Systemen entwickelt.

Überprüfung der generativen KI (2024-2025): Die CNIL führte systematische Überprüfungen von LLM-Anbietern durch, die in Frankreich tätig sind, und konzentrierte sich auf die Herkunft der Trainingsdaten und die Anonymisierung. Anbieter ohne dokumentierte Anonymisierungsverfahren für die Daten französischer Nutzer mussten Kontrollen implementieren.

Das Muster: Die Durchsetzung der CNIL konzentriert sich auf technische Unzulänglichkeiten — das Fehlen dokumentierter technischer Kontrollen — und nicht nur auf Verfahrensverstöße.

Umsetzung der CNIL-konformen Anonymisierungsdokumentation

Für französische Organisationen oder Organisationen, die französische Nutzer bedienen, erfordert eine CNIL-konforme Anonymisierungsstrategie:

1. Fiche d'anonymisation (Anonymisierungsprotokoll) für jede Verarbeitungstätigkeit:

  • Verarbeitungszweck und Datenkategorien
  • Anonymisierungstechnik (mit Parametern)
  • Ergebnis der Bewertung des Re-Identifizierungsrisikos
  • Validierungsmethode (Tests, externe Überprüfung)
  • Verantwortliche Person und Überprüfungsdatum

2. Vorverarbeitung für KI-Systeme:

  • Dokumentieren Sie das verwendete PII-Erkennungstool und die Konfiguration
  • Protokollieren Sie die erkannten und entfernten/pseudonymisierten Entitätstypen
  • Führen Sie Verarbeitungsprotokolle für CNIL-Audit-Anfragen

3. Abdeckung von PII in französischer Sprache:

  • Überprüfen Sie die Erkennungsabdeckung für französische spezifische Identifikatoren (NIR, carte vitale, CNI)
  • Validieren Sie die Leistung des französischen NER-Modells bei französischen Personennamen
  • Dokumentieren Sie Abdeckungslücken und ausgleichende Kontrollen

4. Herkunft der Trainingsdaten:

  • Für KI-Systeme, die auf aus dem Web gescrapten Daten trainiert wurden: Dokumentieren Sie die Bewertung der Anonymisierung des Quell-Datensatzes
  • Für KI-Systeme, die auf Nutzerdaten trainiert wurden: Dokumentieren Sie den Anonymisierungsprozess der Nutzerdaten

Die Inspektionsanfragen der CNIL für KI-Systeme beinhalten routinemäßig Anfragen nach diesen Dokumenten. Organisationen mit bereits vorhandener Dokumentation erfüllen die Inspektionsanforderungen erheblich schneller als solche, die Bewertungen reaktiv durchführen.

Quellen:

Verwandte Artikel

DSGVO & Compliance

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

DSGVO & Compliance

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen