CNIL-Bußgeld: SHA-256 reicht für Passwörter nicht

Ein Bußgeld der französischen Datenschutzbehörde wirft Fragen auf, die weit über Frankreich hinaus relevant sind – auch für kleine Unternehmen in Deutschland.

Was ist passiert?

Laut dem niederländischen Rechtsblog Ius Mentis hat die französische Datenschutzbehörde (CNIL) am 30. Dezember 2025 ein Bußgeld von 3,5 Millionen Euro gegen ein nicht namentlich genanntes französisches Unternehmen verhängt. Der Fall umfasste zwei separate Verstöße.

Erstens hat das Unternehmen personenbezogene Daten von Mitgliedern seines Treueprogramms an ein soziales Netzwerk für zielgerichtete Werbung weitergegeben – offenbar ohne gültige Einwilligung der betroffenen Personen.

Zweitens wurde festgestellt, dass das Unternehmen SHA-256 (mit Salt) zur Passwort-Hashierung verwendete. Laut Ius Mentis betrachtete die CNIL dies als unzureichend, da die französische nationale Cybersicherheitsbehörde ANSSI zuvor darauf hingewiesen hatte, dass SHA-256 und ähnliche Algorithmen sehr schnell ausgeführt werden können. Im Kontext der Passwortspeicherung kommt diese Geschwindigkeit Angreifern zugute, da sie damit in kurzer Zeit eine große Anzahl von Passwortkandidaten testen können. Algorithmen wie Argon2 sind speziell darauf ausgelegt, dieser Art von Brute-Force-Angriffen zu widerstehen.

Die CNIL stützte den sicherheitsbezogenen Teil ihrer Entscheidung auf Artikel 32 der DSGVO, der Organisationen verpflichtet, geeignete technische Maßnahmen zum Schutz personenbezogener Daten zu implementieren. Ius Mentis weist zudem darauf hin, dass Artikel 63 der DSGVO die Datenschutzbehörden in der gesamten EU zur Zusammenarbeit und Abstimmung verpflichtet – was bedeutet, dass eine Position der CNIL zur Passwortsicherheit voraussichtlich nicht auf Frankreich beschränkt bleiben wird.

Gilt das auch außerhalb Frankreichs?

Die Entscheidung der CNIL ist in Frankreich bindend. Für andere Länder, einschließlich Deutschland, ist sie nicht automatisch verbindlich. Wie Ius Mentis jedoch anmerkt, führt der Kooperationsmechanismus der DSGVO dazu, dass sich die Aufsichtsbehörden im Laufe der Zeit tendenziell angleichen. In Deutschland sind für die Durchsetzung der DSGVO und des BDSG der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die 16 Landesdatenschutzbehörden zuständig – und sie erwarten von Organisationen die Umsetzung geeigneter Sicherheitsmaßnahmen nach vergleichbaren Grundsätzen.

Es sei darauf hingewiesen, dass Ius Mentis eine sekundäre Quelle ist, die über die CNIL-Entscheidung berichtet, und nicht der offizielle Entscheidungstext selbst. Bußgeldhöhe, Datum und Rechtsgrundlagen sind so wiedergegeben, wie der Blog sie darstellt, und wurden nicht anhand der Primärquelle unabhängig überprüft.

Was bedeutet das für Ihre Website?

Wenn Ihre Website Kundenpasswörter speichert, ist die verwendete Schutzmethode nach der DSGVO relevant. Die Verwendung eines veralteten oder schnellen Hashing-Algorithmus wie SHA-256 zur Passwortspeicherung könnte von den deutschen Datenschutzbehörden als unzureichende Sicherheitsmaßnahme eingestuft werden. Es lohnt sich, bei Ihrem Webentwickler oder Hosting-Anbieter nachzufragen, wie Kundenpasswörter bei Ihnen gespeichert werden und ob bereits ein geeigneterer Algorithmus im Einsatz ist. Sie können auch unsere Sicherheits-Checkliste für kleine Unternehmen für konkrete nächste Schritte zurate ziehen.