Zurück zur Übersicht
16.03.2026 Fachbeitrag

CNIL sanktioniert unzulässige Weitergabe von Loyalty-Daten an Social Media für Werbezwecke

Update Datenschutz Nr. 239

Die französische Datenschutzaufsicht CNIL hat ein Unternehmen wegen umfangreicher DSGVO-Verstöße mit insgesamt 3,5 Mio. Euro sanktioniert, davon 2,5 Mio. Euro wegen DSGVO-Verstößen und 1 Mio. Euro wegen Cookie-Verstößen nach dem französischen Recht zur Umsetzung der ePrivacy-Richtlinie.

Besonders praxisrelevant ist der Schwerpunkt der Entscheidung: Das Unternehmen hatte Daten von mehr als 10,5 Mio. Mitgliedern eines Bonus bzw. Treueprogramms an eine Social-Media-Plattform für zielgerichtete Werbung übermittelt, ohne hierfür eine tragfähige Rechtsgrundlage sicherzustellen. Die Entscheidung wurde im Kohärenzverfahren unter Beteiligung von 16 weiteren Aufsichtsbehörden getroffen.

Sachverhalt

Nach den Feststellungen der CNIL übermittelte das Unternehmen zwischen Ende 2018 und Februar 2024 personenbezogene Daten von Mitgliedern seines Treueprogramms an eine nicht näher benannte Social-Media-Plattform, insbesondere E-Mail-Adressen und Telefonnummern. Die Plattform glich diese Identifikatoren mit ihren Nutzern ab und spielte im Trefferfall personalisierte Werbeanzeigen zur Bewerbung der Produkte des Unternehmens aus.

Auch wenn nach Darstellung der CNIL nur rund 1,6 Mio. Datensätze einem Social-Media-Account zugeordnet werden konnten und anschließend Werbung erhielten, sah die CNIL bereits die Übermittlung der Daten von über 10,5 Mio. Personen als eigenständigen, rechtswidrigen Verarbeitungsvorgang an.

Kernaussagen der CNIL

1. Keine wirksame Einwilligung für die Weitergabe an Social Media

Die CNIL beanstandete, dass die Einwilligung der Treueprogramm-Mitglieder nur auf den Erhalt von Werbung per SMS und E-Mail gerichtet war. Eine separate, informierte Einwilligung zur Übermittlung von Identifikatoren an Dritte zu Werbezwecken lag danach nicht vor. Damit fehlte die erforderliche Rechtsgrundlage.

2. Plattform-Einwilligung ersetzt keine Einwilligung des werbenden Unternehmens

Das Unternehmen argumentierte, Social-Media-Nutzer hätten durch Akzeptieren der Datenschutzhinweise der Plattform eingewilligt. Dem erteilte die CNIL eine klare Absage, aus zwei Gründen:

  • Nicht alle Betroffenen, deren Daten übermittelt wurden, hatten überhaupt einen Social-Media-Account.
  • Selbst bei Nutzern bezog sich eine etwaige Einwilligung lediglich auf Verarbeitungen der Plattform im eigenen Kontext und nicht auf die vorgelagerte Datenübermittlung durch das Unternehmen.

Gerade diese Abgrenzung ist für gängige Werbe-Setups zentral. Wer als werbendes Unternehmen Daten an Social Media übermittelt, muss die Rechtsgrundlage dafür selbst sauber herstellen und dokumentieren.

3. DSFA-Pflicht bei großvolumiger, unternehmensübergreifender Verknüpfung 

Die CNIL stufte das Targeting als hochriskant ein, insbesondere wegen großer Datenmengen und der Querverknüpfung zwischen Unternehmen. Eine erforderliche Datenschutz-Folgenabschätzung fehlte.

4. Informationspflichten nach Art. 13 DSGVO

Die CNIL rügte unvollständige Informationen, unter anderem fehlte eine klare Zuordnung von Verarbeitungstätigkeiten zu Rechtsgrundlagen sowie Angaben zu Speicherfristen. Zusätzlich beanstandete sie, dass Informationen zu Datenübermittlungen in die USA nicht aktuell waren, da weiterhin auf das EU-US Privacy Shield verwiesen wurde, obwohl dieses zu dem Zeitpunkt bereits unwirksam erklärt wurde.

5. Sicherheitsmängel bei Passwörtern

Die CNIL sah die Passwortvorgaben als nicht ausreichend robust an. Zudem wurde die Speicherung als ungeeignet bewertet, weil sie Passwörter angreifbarer machte.

6. Cookie-Verstöße nach ePrivacy-Umsetzung

Nach CNIL-Feststellungen setzte das Unternehmen mehrere nicht essenzielle Cookies vor einer Einwilligungsentscheidung und löschte bestimmte Cookies auch nach Ablehnung nicht zuverlässig.

7. Nachbesserung schützt nicht vor Sanktionen

Die CNIL erkannte an, dass das Unternehmen während des Verfahrens umfangreich nachgebessert hatte, unter anderem Beendigung der Übermittlungen, Anpassungen bei Cookies und Aktualisierung von Informationen sowie Umstellung auf ein stärkeres Passwort-Hashing. Dennoch blieb es bei erheblichen Bußgeldern.

Bedeutung für die Praxis

Die Entscheidung adressiert ein Muster, das in Konsumgüter, Retail und Loyalty-Ökosystemen sehr häufig vorkommt: CRM- und Treueprogrammdaten werden als Identifikatoren an Social Media gegeben, um bestehende Kunden auf der Plattform zu matchen und dann Werbung auszuspielen. Genau an dieser Schnittstelle liegen regelmäßig die größten Compliance-Risiken.

Die CNIL macht deutlich, dass es für die Rechtmäßigkeit nicht genügt, allgemeine Marketing-Einwilligungen einzuholen oder auf Plattformdokumentation zu verweisen. Die Datenübermittlung an Social Media ist ein eigenständiger Verarbeitungsschritt, der eine eigenständige Rechtsgrundlage, belastbare Transparenz und ein risikoadäquates Governance-Setup verlangt.

Was Unternehmen jetzt tun sollten

Einwilligungsdesign trennen und präzisieren: Einwilligungen für Direktmarketing per E-Mail oder SMS sind nicht automatisch Einwilligungen für die Übermittlung von Identifikatoren an Social Media. Wer diese Übermittlung auf Einwilligung stützen will, braucht eine eigenständige, klare und nachweisbare Einwilligung, die den Datenfluss an die Plattform und den Zweck des Matchings nachvollziehbar beschreibt.

Datenfluss Social Media vollständig dokumentieren: Technische Ausgestaltung, betroffene Datenkategorien, Matching-Logik, Empfänger, Drittlandbezug und Speicherdauer müssen in Verzeichnis, Informationspflichten und internen Freigaben konsistent abgebildet sein.

DSFA-Check für Targeting- und Matching-Use-Cases: Bei großvolumigen Beständen und unternehmensübergreifender Verknüpfung ist frühzeitig zu prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist.

Informationstexte aktualisieren und operationalisieren: Datenschutzhinweise sollten die konkrete Verarbeitung so beschreiben, dass Betroffene verstehen, was passiert. Dazu gehören klare Rechtsgrundlagenzuordnung, Speicherfristen und aktuelle Angaben zum Drittlandtransfer, soweit relevant.

Cookie-Compliance technisch absichern: Nicht essenzielle Cookies dürfen erst nach wirksamer Einwilligung gesetzt werden. Ablehnungen müssen technisch respektiert werden, inklusive Löschmechanismen und regelmäßiger Tests.

Security-Basics nicht vernachlässigen: Passwortanforderungen und sichere Speicherung sind weiterhin Standardangriffspunkte. Auch wenn der Schwerpunkt der Entscheidung auf Marketing liegt, zeigt der Fall, dass Aufsichtsbehörden in solchen Verfahren regelmäßig das gesamte Compliance-Setup mitprüfen.

Fazit

Die CNIL-Entscheidung ist ein deutlicher Hinweis an Unternehmen mit Loyalty- und CRM-getriebenem Marketing: Die Weitergabe von Kundenidentifikatoren an Social Media ist kein Nebenthema, sondern ein zentraler Compliance-Block mit hohem Bußgeldpotenzial. Besonders wichtig ist die Kernaussage, dass weder allgemeine Marketing-Einwilligungen noch die Akzeptanz von Plattform-Policies die eigene Rechtsgrundlage für die Übermittlung ersetzen. Ex-post-Korrekturen können zwar Folgemaßnahmen abmildern, sie verhindern aber nicht zwingend eine empfindliche Sanktion für die Vergangenheit.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Weitere Artikel

11.03.2026
Einsatz künstlicher Intelligenz – Was ist aktuell rechtlich zu beachten?
03.03.2026
Digitale Souveränität in Unternehmen: Cloud- und KI-Nutzung rechtssicher gestalten
03.03.2026
BGH konkretisiert räumliche Trennung beim Online-Coaching – Vertragsinhalt ist entscheidend für Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)
25.02.2026
DIGITAL OMNIBUS: Welche Erleichterungen ergeben sich für Unternehmen?
23.02.2026
AI Act: Der deutsche Entwurf zum Durchführungsgesetz im Überblick
19.02.2026
NIS-2: Registrierungspflicht bis zum 6. März 2026 – Jetzt handeln!
13.02.2026
Neuer Widerrufsbutton: Was Unternehmen bis zum 19. Juni 2026 umsetzen müssen
12.02.2026
„Mogelpackungen“ – Alles nur heiße Luft oder handfestes Risiko?
11.02.2026
28. Regime für innovative Unternehmen: Wie ein optionaler EU Rahmen Gründung und Skalierung erleichtern soll
26.01.2026
EU-Datenräume im Aufbruch: Was Unternehmen jetzt rechtlich wissen müssen
22.01.2026
EU-Digitalrecht 2026: Welche Änderungen sind auf nationaler Ebene zu erwarten?
20.01.2026
Digitalrecht im Wandel: Was das EU-Mercosur Abkommen jetzt für Unternehmen bedeutet

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.