CNIL verhängt Sanktionen gegen KASPR wegen Datenschutzverstößen 

Am 5. Dezember 2024 verhängte die CNIL (Commission nationale de l'informatique et des libertés) eine Geldstrafe von 240.000 Euro gegen das Unternehmen KASPR. Die Entscheidung betrifft die unerlaubte Verarbeitung personenbezogener Daten aus LinkedIn-Profilen und umfasst zudem weitere Maßnahmen zur Einhaltung der Datenschutz-Grundverordnung (DSGVO).

Hintergrund:

KASPR, ein 2018 gegründetes Unternehmen, bietet eine Browser-Erweiterung an, die berufliche Kontaktdaten aus LinkedIn-Profilen extrahiert. Die CNIL stellte Verstöße gegen mehrere DSGVO-Bestimmungen fest:

  • Fehlende rechtliche Grundlage (Artikel 6 DSGVO):

    KASPR sammelte Daten von LinkedIn-Nutzern, die ausdrücklich die Sichtbarkeit ihrer Kontaktdaten eingeschränkt hatten. Diese Praxis verletzte das Recht auf Privatsphäre der Betroffenen und widersprach den berechtigten Erwartungen der Nutzer.

  • Unzureichende Speicherfristen (Artikel 5 Abs. 1 lit. e DSGVO):

    KASPR speicherte personenbezogene Daten unbegrenzt oder ohne Rücksicht auf den ursprünglichen Verarbeitungszweck. Insbesondere die automatische Verlängerung der Speicherfristen bei Profilaktualisierungen wurde von der CNIL als unverhältnismäßig beurteilt.

  • Fehlende Transparenz (Artikel 12 und 14 DSGVO):

    Die betroffenen Personen wurden erst ab 2022 darüber informiert, dass ihre Daten gesammelt wurden – und das ausschließlich auf Englisch. Dies verstößt gegen die Verpflichtung, Informationen in einer verständlichen Sprache bereitzustellen.

  • Unzureichende Beantwortung von Auskunftsersuchen (Artikel 15 DSGVO):

    KASPR lieferte nur lückenhafte Informationen zu den Datenquellen, obwohl es dazu in der Lage gewesen wäre. Anfragen zu Datenquellen wurden unvollständig beantwortet.

Sanktionen und Maßnahmen:

Die CNIL verhängte nicht nur eine Geldstrafe, sondern forderte auch umfassende Korrekturmaßnahmen:

  • Datenlöschung: Alle unrechtmäßig gesammelten Daten müssen gelöscht werden. Zudem ist KASPR verpflichtet, die Betroffenen zu informieren und ihnen die Möglichkeit einzuräumen, der Verarbeitung ihrer Daten zu widersprechen.
  • Anpassung der Speicherpraxis: Die automatische Verlängerung von Speicherfristen ist einzustellen. Stattdessen müssen verhältnismäßige und zweckgebundene Fristen eingeführt werden.
  • Verbesserte Transparenz: Informationen für Betroffene müssen künftig in den relevanten EU-Sprachen zur Verfügung stehen.
  • Konkrete Auskünfte: KASPR muss Betroffenen auf Anfrage präzise Informationen zu den Quellen ihrer Daten liefern.

Bedeutung der Entscheidung:

Der Fall KASPR zeigt eindrücklich, wie wichtig es für Unternehmen ist, den Schutz personenbezogener Daten ernst zu nehmen. Insbesondere bei der Nutzung von Daten aus sozialen Netzwerken sind Transparenz, eine solide rechtliche Grundlage und verhältnismäßige Speicherfristen unerlässlich. Die CNIL betont mit ihrer Entscheidung, dass wirtschaftliche Interessen keinen Vorrang vor den Rechten der Betroffenen haben dürfen. 

Share