Irische Datenschutzbehörde verhängt Millionenstrafe gegen LinkedIn
Die irische Datenschutzaufsichtsbehörde (DPC) hat am 24. Oktober 2024 ein Bußgeld in Höhe von insgesamt 310 Millionen Euro gegen die LinkedIn Ireland Unlimited Company verhängt. Das soziale Business-Netzwerk hat verschiedene Datenschutzverstöße begangen, wie die unrechtmäßigen Datenverarbeitungsvorgänge bei der Analyse von Nutzerverhalten und gezielter Werbung. LinkedIn nutzte Nutzerdaten ohne ausreichende Rechtsgrundlage und kombinierte diese mit Drittanbieterdaten.
Auslöser war eine 2018 von der französischen Organisation La Quadrature du Net eingereichte Beschwerde über unrechtmäßige Datenverarbeitung durch LinkedIn bei der französischen Datenschutzbehörde CNIL. Diese reichte die Beschwerde dann wegen des Hauptsitzes der Microsoft-Tochter in Irland an die DPC weiter.
Die DPC sah Verstöße gegen Artikel 6 und Artikel 5 Abs. 1 lit. a DSGVO, da LinkedIn keine wirksame Einwilligung für die Datenverarbeitung zum Zwecke der Verhaltensanalyse und gezielter Werbung eingeholt habe. Die eingeholte Einwilligung war weder freiwillig noch ausreichend informiert oder eindeutig. Das soziale Netzwerk konnte sich auch nicht wirksam auf sein berechtigtes Interesse stützen oder auf eine vertragliche Notwendigkeit berufen, um Daten von Erstanbietern seiner Mitglieder zum Zwecke der Verhaltensanalyse und gezielten Werbung zu verarbeiten.
Zusätzlich wurde mangelnde Transparenz in Bezug auf die Informationen, die LinkedIn den betroffenen Personen bezüglich seiner Berufung auf Artikel 6 Abs. 1 lit. a, Artikel 6 Abs. 1 lit. b und Artikel 6 Abs. 1 lit. f DSGVO als rechtmäßige Grundlagen zur Verfügung gestellt hat festgestellt, und der Grundsatz der Fairness gem. Art. 5 Abs. 1 lit. a DSGVO wurde verletzt. Dieser fordert, dass eine Datenverarbeitung weder diskriminierend noch unerwartet oder missverständlich sein darf.
Der stellvertretende Datenschutzbeauftragter Graham Doyle betonte die Bedeutung der Rechtmäßigkeit für den Datenschutz, und dass die Datenverarbeitung von LinkedIn eine schwerwiegende Verletzung des Grundrechts einer betroffenen Person auf Datenschutz darstelle.
Die endgültige Entscheidung der DPC umfasst eine Rüge (Art. 58 Abs. 2 lit. b DSGVO), die genannte Geldstrafe i.H.v. 310 Millionen Euro (Art. 58 Abs. 2 lit. i, Art. 83 DSGVO) sowie eine Anordnung, die Verarbeitung an die DSGVO anzupassen (Art. 58 Abs. 2 lit. d DSGVO).
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.