Data-Scraping: 240.000 Euro Bußgeld für KASPR

4. Februar 2025

Die französische Datenschutzbehörde (CNIL) hat laut Mitteilung vom 19.12.2024 ein Bußgeld in Höhe von 240.000 Euro für das Unternehmen KASPR wegen eines Datenschutzverstoßes aufgrund von Data-Scraping verhängt. Die CNIL stellte fest, dass KASPR durch das Scraping von Kontaktdaten auf LinkedIn und anderen Plattformen grundlegende Prinzipien der DSGVO missachtete, insbesondere hinsichtlich Transparenz, Rechtsgrundlage und der Betroffenenrechte.

Daten-Scraping: Was ist das und warum ist es problematisch?

Daten-Scraping bezeichnet die automatisierte Erfassung von Daten aus öffentlich zugänglichen Quellen wie Websites oder sozialen Netzwerken. Unternehmen nutzen diese Technik häufig, um Informationen für kommerzielle Zwecke zu gewinnen, etwa für Marketing oder Recruiting. Obwohl solche Daten oft öffentlich einsehbar sind, bedeutet dies nicht, dass ihre Verarbeitung automatisch rechtskonform ist.

Einer der prominentesten Fälle in diesem Zusammenhang ist der Facebook-Scraping-Skandal. Damals hatten Dritte eine Vielzahl an personenbezogenen Daten, darunter etwa Telefonnummern und E-Mail-Adressen, abgegriffen. Das Scraping betraf ungefähr 533 Millionen Datensätze. Infolgedessen verhängte die irische Datenschutzbehörde eine Geldbuße in Höhe von 265 Millionen Euro gegen Meta. Im November letzten Jahres hatte dann der BGH entschieden, dass hierbei auch Schadensersatzansprüche von Betroffenen gegen Meta begründet sein können.

Hintergrund zum Fall KASPR

KASPR bietet einen Dienst in Form einer Browser-Erweiterung für Google Chrome an. Mit dieser können Kunden Zugang zu beruflichen Kontaktdaten von besuchten LinkedIn-Profilen erhalten. Diese Daten stammen aus einer umfangreichen Datenbank, die KASPR durch Scraping von LinkedIn und anderen Quellen wie Domain-Registrierungsseiten aufgebaut hat. Auf LinkedIn habe KASPR auch Daten gesammelt von Nutzern, die diese nicht öffentlich sichtbar gemacht hatten. Laut der Pressemitteilung der CNIL umfasste die Datenbank etwa 160 Millionen Kontakte. Der Fall kam ins Rollen, als zahlreiche Betroffene Beschwerde bei der französischen Datenschutzbehörde einreichten.

Welche DSGVO-Regelungen wurden missachtet?

Eine Untersuchung deckte mehrere gravierende Verstöße gegen die Datenschutzgrundverordnung (DSGVO) auf. Zunächst habe KASPR keine Rechtsgrundlage für die Verarbeitung der gescrapten Daten entgegen Art. 6 DSGVO. Weder die Einwilligung der betroffenen Personen noch ein berechtigtes Interesse des Unternehmens könne nachgewiesen werden. Außerdem seien die Daten ohne klare Fristen oder Kriterien abhängig vom Zweck der Verarbeitung für die Löschung gesetzt worden. Zudem habe KASPR die betroffenen Personen nicht ausreichend über die Verarbeitung ihrer Daten informiert, womit man Transparenzpflichten verletzt habe. Zuletzt habe KASPR nicht angemessen auf Anfragen betroffener Personen reagiert und damit ihr Auskunftsrecht verletzt.

Entscheidung der CNIL

Für das Data-Scraping verhängt die CNIL ein Bußgeld in Höhe von 240.000 Euro für KASPR und setzte strenge Fristen, um die Verstöße zu beheben. KASPR solle sicherstellen, dass sie keine Daten von Personen mehr verarbeiten, die ihre Sichtbarkeitseinstellungen auf Plattformen wie LinkedIn eingeschränkt haben. Außerdem sollten Daten, die so erhoben wurden, gelöscht werden. Betroffene Personen müssen in verständlicher Sprache über die Verarbeitung ihrer Daten informiert werden. Das Unternehmen müsse zuletzt sicherstellen, dass betroffene Personen alle verfügbaren Informationen über die Quellen der über sie gesammelten Daten erhalten. Die CNIL setzte eine Frist von sechs Monaten zur Umsetzung dieser Maßnahmen. Sie endet somit 18.06.2025.

Fazit

Daten-Scraping mag auf den ersten Blick attraktiv erscheinen, birgt jedoch verschiedene rechtliche Risiken, wenn die Vorschriften der DSGVO nicht eingehalten werden. Für Unternehmen, die Scraping verwenden wollen, bedeutet dies, dass sie zunächst ihre Datenschutzstrategien genau prüfen und sicherstellen sollten, dass jede Datenverarbeitung rechtlich abgesichert, transparent und verhältnismäßig ist. Nur so können rechtliche Konsequenzen vermieden werden.