310 Millionen Euro Bußgeld für LinkedIn Ireland

28. Oktober 2024

Am 24.10.2024 hat die irische Datenschutzkommission (DPC) ein Bußgeld in Höhe von 310 Millionen Euro für LinkedIn Ireland Unlimited Company (LinkedIn) verhängt. Diese Entscheidung resultierte aufgrund einer Beschwerde bei der französischen Datenschutzbehörde. Die Beschwerde bezog sich auf LinkedIns Verarbeitung von Nutzerdaten für Verhaltensanalysen und gezielte Werbung.

Verhaltensanalyse und gezielte Werbung

Die DPC definiert in ihrer Pressemitteilung Verhaltensanalysen als „den gesamten Prozess, bei dem von einer Person bereitgestellte, von ihr abgeleitete oder beobachtete Informationen dazu verwendet werden, um an diese Person gerichtete Werbung zu erstellen, oder bei dem diese Informationen zum Zwecke gezielter Werbung mit anderen Informationen verknüpft werden“.

Zielgerichtete oder personalisierte Werbung ist nach der DPC der „Prozess, bei dem eine Einzelperson auf Grundlage der über diese Person vorhandenen Informationen gezielt angesprochen wird, unabhängig davon, ob diese Person selbst Angaben gemacht hat, sie abgeleitet und/oder beobachtet wurde“.

Hintergrund der Entscheidung

Die DPC, als federführende Aufsichtsbehörde für LinkedIn, untersuchte die Rechtmäßigkeit, Fairness und Transparenz der Datenverarbeitung. Im Mittelpunkt stand die Verwendung von personenbezogenen Daten, die von den Nutzern (Erstpartei-Daten) und über Drittpartner (Drittpartei-Daten) gesammelt wurden. Die Untersuchung konzentrierte sich darauf, ob LinkedIn sich auf angemessene Rechtsgrundlagen stützte, um diese Daten für Verhaltensanalysen und gezielte Werbung zu verarbeiten. Im Juli 2024 übermittelte dann die DPC einen Entscheidungsentwurf an alle sonstigen betroffenen Behörden, die hiergegen keine Einsprüche hatten. Getroffen haben die Entscheidung, über die LinkedIn am 22.10.2024 in Kenntnis gesetzt wurde, Dr Des Hogan und Dale Sunderland. Eine Veröffentlichung der Entscheidung soll demnächst erfolgen.

Festgestellte Datenschutzverstöße

Die DPC stellte fest, dass LinkedIn gegen mehrere zentrale Bestimmungen der DSGVO verstoßen hat. Zunächst soll LinkedIn entgegen Art. 6 Abs. 1 lit. a DSGVO keine datenschutzkonforme Einwilligung eingeholt haben. Auch greife nicht die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO, da die Grundrechte der betroffenen Personen überwiegen würden. Auch habe keine vertragliche Notwendigkeit nach Art. 6 Abs. 1 lit. b DSGVO zur Verhaltensanalyse oder personalisierten Werbung bestanden. Daneben liege auch ein Verstoß gegen die Informationspflichten aus Art. 13 und 14 DSGVO vor. Zuletzt liege in LinkedIns Vorgehen auch eine Verletzung des Gebot von Fairness aus Art. 5 Abs. 1 lit. a DSGVO.

Sanktionen der DPC

Damit liegt laut DPC-Vizepräsident Graham Doyle ein „schwerwiegender Verstoß gegen das Grundrecht auf den Schutz personenbezogener Daten“ vor. Als Reaktion verhängte die DPC mehrere Sanktionen. Dazu zählt zunächst eine Rüge gemäß Art. 58 Abs. 2 lit. b DSGVO. Weiterhin verhängte die DPC ein Bußgeld in Höhe von insgesamt 310 Millionen Euro gemäß Art. 58 Abs. 2 lit. i und Art. 83 DSGVO für LinkedIn. Im Übrigen erfolgte eine Anordnung an, die Datenverarbeitungsprozesse in Übereinstimmung mit der DSGVO zu bringen.

Schlussfolgerung

Diese Entscheidung unterstreicht die zentrale Bedeutung der Rechtmäßigkeit und Transparenz bei der Verarbeitung von personenbezogenen Daten. Laut einer Mitteilung der EU-Kommission von Juni 2024 hat LinkedIn mittlerweile zumindest konform zum Digital Services Act in Folge von Beschwerden von Bürgerrechtsorganisationen gezielte Werbung reduziert.

Kategorien: Aufsichtsbehördliche Maßnahmen · Bußgeld · Datenschutz International · DSGVO · LinkedIn · Online-Datenschutz