Die irische Datenschutzkommission (DPC) hat gegen das zu Microsoft gehörende Business-Netzwerk LinkedIn ein Bußgeld in Höhe von 310 Millionen Euro verhängt. Gegenstand der Untersuchung war die Verarbeitung personenbezogener Daten von LinkedIn-Nutzern für Verhaltensanalysen und zielgerichtete Werbung. Was andere Unternehmen aus dem Bußgeldbescheid lernen können.
CNIL reicht LinkedIn-Beschwerde an DPC weiter
Die Untersuchung der DPC wurde am 20. August 2018 nach einer Beschwerde der französischen Non-Profit-Organisation La Quadrature Du Net eingeleitet. Die Beschwerde wurde zunächst bei der französischen Datenschutzbehörde CNIL eingereicht und anschließend der DPC in ihrer Rolle als federführende Aufsichtsbehörde für LinkedIn weitergeleitet.
Laut Mitteilung der DPC betraf die Untersuchung „die Rechtmäßigkeit, Fairness und Transparenz der Verarbeitung personenbezogener Daten von Nutzern der LinkedIn-Plattform zum Zwecke der Verhaltensanalyse und der gezielten Werbung“. Die DPC stellte dabei fest, dass es sich bei den betreffenden personenbezogenen Daten um Daten handelte, die LinkedIn direkt von seinen Mitgliedern zur Verfügung gestellt wurden (Daten von Erstanbietern), sowie um Daten, die LinkedIn über seine Drittpartner in Bezug auf seine Mitglieder gesammelt hatte (Daten von Drittanbietern).
Fehlende Einwilligung der LinkedIn-Nutzer
In ihrer Entscheidung vom 22. Oktober 2024 stellte die DPC gleich mehrere Verstöße gegen die DSGVO fest:
- Art. 6 und Art. 5 Abs. 1 lit. a DSGVO: LinkedIn konnte keine gültige Rechtsgrundlage für die Verarbeitung von Mitgliederdaten zu Zwecken der Verhaltensanalyse und der zielgerichteten Werbung vorweisen. Konkret stellte der DPC fest
- Die Einwilligung war ungültig, da die von LinkedIn eingeholte Einwilligung nicht freiwillig, nicht ausreichend informiert oder nicht spezifisch und eindeutig war (Artikel 6 Abs. 1 lit. a DSGVO).
- LinkedIn konnte sich auch nicht wirksam auf Artikel 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) berufen, um personenbezogene Daten seiner Mitglieder für Verhaltensanalysen und gezielte Werbung oder Daten Dritter für Analysen zu verarbeiten. Die Interessen und Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen den Interessen von LinkedIn.
- LinkedIn konnte sich auch nicht auf die Erforderlichkeit für die Vertragserfüllung (Artikel 6 Abs. 1 lit. b DSGVO) berufen, da die Datenverarbeitung für die Verhaltensanalyse und Werbung nicht erforderlich war.
- LinkedIn stellte auch keine ausreichenden Informationen zu den verwendeten Rechtsgrundlagen zur Verfügung, was gegen die Transparenzanforderungen der DSGVO verstößt, Artikel 13 Abs. 1 lit. c und 14 Abs. 1 lit. c DSGVO.
- Artikel 5(1)(a) DSGVO – Verstoß gegen Fairness-Grundsatz: Die DPC stellte fest, dass die Datenverarbeitung von LinkedIn gegen den Grundsatz der Fairness verstieß, da die Praktiken das Vertrauen und die Entscheidungsfreiheit der Nutzer in Bezug auf ihre personenbezogenen Daten einschränkten.
Lese-Tipp: EDSA veröffentlicht Leitlinien zum berechtigten Interesse
Maßnahmen und Sanktionen der DPC gegen LinkedIn
Als Reaktion auf diese Verstöße setzte die DPC verschiedene Maßnahmen um:
- Eine Rüge gegen LinkedIn gemäß Artikel 58 Abs. 2 lit. b DSGVO.
- Drei Verwaltungsstrafen in Höhe von insgesamt 310 Millionen Euro gemäß Artikel 58 Abs. 2 lit. i und Artikel 83 DSGVO.
- Eine Anordnung, die Datenverarbeitung in Einklang mit der DSGVO zu bringen, gemäß Artikel 58 Abs. 2 lit. d DSGVO.
Das können Unternehmen aus der LinkedIn-Entscheidung lernen
Diese Entscheidung verdeutlicht die enormen Risiken für Unternehmen, die personenbezogene Daten ohne angemessene Rechtsgrundlage verarbeiten. Die Folgen umfassen nicht nur finanzielle Sanktionen, sondern auch nachhaltige Reputationsschäden. Für Unternehmen ergeben sich aus dieser Entscheidung verschiedene Lehren und Verpflichtungen:
- Verstärkte Compliance-Maßnahmen:
Unternehmen müssen sicherstellen, dass sie eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten nachweisen können und dass Einwilligungen, sofern sie verwendet werden, den strengen Anforderungen der DSGVO genügen. - Klarheit und Transparenz:
Unternehmen sind verpflichtet, ihre Datenverarbeitungspraktiken klar und verständlich zu kommunizieren, so dass die Nutzer über den Zweck und die Folgen der Datenverarbeitung informiert sind und ihre Rechte ausüben können. - Fairness und Nutzerrechte:
Unternehmen müssen nicht nur die rechtliche Grundlage ihrer Datenverarbeitung sicherstellen, sondern auch Fairness und den Schutz der Rechte der Betroffenen gewährleisten. - Risiko von Sanktionen:
Die Entscheidung zeigt, dass Verstöße gegen die DSGVO nicht nur rechtliche Konsequenzen, sondern auch erhebliche finanzielle Risiken nach sich ziehen können.
Die Einhaltung der Grundsätze der Fairness, Transparenz und Rechtmäßigkeit bei der Datenverarbeitung ist nicht nur ein juristisches Erfordernis, sondern auch ein Schlüsselfaktor für den Erhalt des Vertrauens der Nutzer. Unternehmen sollten daher ihre Datenverarbeitungsprozesse regelmäßig überprüfen und sicherstellen, dass sie den strengen Anforderungen der DSGVO entsprechen, um rechtliche Risiken zu minimieren und die Rechte ihrer Nutzer zu schützen.
Quelle: Irish Data Protection Commission fines LinkedIn Ireland €310 million
Sie wollen eine DSGVO-Risikoeinschätzung für Ihr Unternehmen vornehmen? Nehmen Sie Kontakt zu uns auf, wir beraten Sie gerne.