KASPR löscht Millionen-Datenbank nach CNIL-Ermittlung

Die europäische Datenschutzaufsicht schärft ihr Vorgehen gegen Datenhändler und B2B-Datensammler. In einer koordinierten Aktion schloss die französische CNIL einen spektakulären Fall ab, während die europäische Aufsichtsbehörde EDPB ein neues Prüfraster für die gesamte Branche vorlegt.

Französische Behörde schließt spektakulären Datensammel-Fall

Die französische Datenschutzbehörde CNIL hat ihre Untersuchung gegen das Datensammel-Unternehmen KASPR offiziell beendet. Das geht aus einer am 6. März 2026 veröffentlichten Entscheidung hervor. Damit endet ein Compliance-Verfahren, das im Dezember 2024 mit einer Geldstrafe von 240.000 Euro begann.

Der Fall KASPR zeigt deutlich, wie schnell lückenhafte Dokumentationen bei der Datenerhebung zu existenzbedrohenden Bußgeldern führen können. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und prüfungskonform. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

KASPR hatte eine Browser-Erweiterung vermarktet, mit der professionelle Kontaktdaten von Plattformen wie LinkedIn extrahiert wurden. Die Datenbank des Unternehmens umfasste etwa 160 Millionen Kontakte. Die Aufsichtsbehörde stellte Verstöße gegen die DSGVO fest, insbesondere bei der Erhebung von Daten von Nutzern, die ihre Profilsichtbarkeit aktiv eingeschränkt hatten.

Um eine zusätzliche Strafe von 10.000 Euro pro Tag zu vermeiden, musste KASPR innerhalb einer strengen Frist vollständige Compliance nachweisen. Das Unternehmen ergriff drastische Maßnahmen: Statt seine bestehenden Datensätze zu filtern, löschte es die gesamte Datenbank und stellte alle Datenerfassungsvorgänge auf LinkedIn ein. Zudem beseitigte KASPR automatische Verlängerungsmechanismen für die Datenspeicherung und überarbeitete seine Transparenzverfahren.

EDPB legt neues Prüfraster für Datenhändler vor

Parallel zu nationalen Einzelfällen kartiert die europäische Aufsicht die gesamte Branche. Die Europäische Datenschutzausschuss (EDPB) veröffentlichte am 4. März 2026 seine umfassende Marktstudie zu Datenbrokern. Diese bietet Aufsichtsbehörden in allen Mitgliedstaaten eine standardisierte Methodik zur Identifizierung von Datenhändlern und eine detaillierte Typologie ihrer Geschäftsmodelle.

Die Studie, die von der belgischen Datenschutzbehörde in Auftrag gegeben wurde, liefert erstmals ein Risikobewertungsrahmen für die Branche. Sie gibt einen detaillierten Überblick über Anbieter in Belgien, kategorisiert sie nach Typen und bewertet sie anhand spezifischer Risikokriterien.

Die Ergebnisse zeigen: Der Markt der Datenhändler ist äußerst vielfältig und weist unterschiedliche Risikoniveaus in der Nutzung personenbezogener Daten auf. Die Veröffentlichung dieses Rahmens soll den Aufsichtsbehörden tiefere Einblicke in das Ökosystem der Datenanbieter ermöglichen. Branchenbeobachter sehen darin die Grundlage für künftig koordinierte Durchsetzungsmaßnahmen in allen EU-Staaten.

Klare Grenzen für „berechtigtes Interesse“ im B2B-Bereich

Die parallelen Entwicklungen zeigen, wie die DSGVO-Durchsetzung bei geschäftlichen Datenpraktiken weiterentwickelt wird. Der KASPR-Fall liefert ein konkretes Beispiel für die strengen Sanierungsstandards, die Aufsichtsbehörden bei nicht konformen Datenbrokern erwarten.

Rechtsexperten weisen darauf hin, dass die französische Behörde klare Grenzen für das Konzept des „berechtigten Interesses“ nach Artikel 6 der DSGVO gezogen hat. Die Ermittlungen bestätigten: Das Sammeln von Daten von Fachleuten, die ihre Plattformsichtbarkeit aktiv eingeschränkt haben, übersteigt das, was Nutzer vernünftigerweise erwarten können. Damit entfällt das berechtigte Interesse als rechtmäßige Grundlage für die Verarbeitung.

Zudem lehnten die Aufseher rollende Aufbewahrungsfristen ab. KASPRs frühere Praxis, Daten fünf Jahre lang zu speichern und diese Frist automatisch zu verlängern, wenn ein Nutzer den Job wechselte, verstieß gegen die Grundsätze der Speicherbegrenzung der DSGVO.

Dass KASPR seine gesamte Datenbank löschte, um Compliance zu erreichen, verdeutlicht die schwerwiegenden operationellen Risiken für Unternehmen, deren ursprüngliche Datenerfassungsmethoden als rechtswidrig eingestuft werden. Dies steht im Einklang mit den Risikobewertungsmethoden der neuen EDPB-Studie, die die Herkunft und Einwilligungsketten gehandelter Daten genau unter die Lupe nimmt.

Reifeprüfung für die DSGVO-Durchsetzung

Die Entwicklungen der ersten Märzwoche 2026 zeigen einen gereifteren Ansatz in der DSGVO-Durchsetzung. Während sich frühe regulatorische Maßnahmen oft auf Verbraucherdaten und große Tech-Plattformen konzentrierten, richten Aufsichtsbehörden zunehmend ihre Aufmerksamkeit auf die spezialisierten Lieferketten, die B2B-Marketing, Personalbeschaffung und Vertrieb antreiben.

Da die Aufsichtsbehörden ihre Prüfmethoden verschärfen, wird eine lückenlose Dokumentation aller Verarbeitungstätigkeiten für Unternehmen zur Pflicht. Dieser Experten-Leitfaden enthüllt, welche oft übersehenen Felder in 80 % aller Verzeichnisse fehlen und wie Sie diese fehlerfrei ergänzen. Gratis-Anleitung für ein rechtssicheres Verarbeitungsverzeichnis sichern

Die Veröffentlichung der EDPB-Marktstudie legt nahe, dass die in Frankreich auf Unternehmen wie KASPR angewandte Prüfung wahrscheinlich in anderen europäischen Rechtsordnungen wiederholt wird. Die neu etablierte Methodik gibt nationalen Behörden die Werkzeuge an die Hand, um Datenhändler systematisch zu identifizieren und zu überprüfen.

Für Organisationen, die auf Tools zur Datenanreicherung von Drittanbietern, gekaufte Kontaktlisten oder Scraping-Erweiterungen angewiesen sind, wächst der Compliance-Druck. Unternehmen müssen ihre Datenlieferketten rigoros prüfen und sicherstellen, dass ihre Anbieter dokumentierte Rechtsgrundlagen für die Datenerhebung besitzen und strenge Transparenzanforderungen einhalten. Wie der jüngste CNIL-Abschluss zeigt, beschränken sich die Kosten der Nichtkonformität nicht mehr auf Verwaltungsstrafen, sondern können die vollständige, vorgeschriebene Zerstörung proprietärer Datenbanken und geschäftlicher Kernwerte umfassen.