Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

LinkedIn wegen Datenschutzverletzung zu Rekordstrafe verdonnert

Die irische Datenschutzbehörde hat LinkedIn auf Grundlage der GDPR (in Deutschland in Form der DS-GVO umgesetzt) zu einer Geldstrafe von 310 Millionen Euro (etwa 335 Millionen Dollar) verurteilt. Der Grund: LinkedIn soll die Privatsphäre seiner Nutzer verletzt haben, indem es persönliche Daten für Verhaltensanalysen nutzte, um gezielte Werbung zu schalten.

THNCompliance
Lesezeit 2 Min.

Die irische Datenschutzkommission (DSK) erklärte, dass ihre Untersuchung die Art und Weise beleuchtet, wie LinkedIn die Daten seiner Mitglieder für Verhaltensanalysen und gezielte Werbung verarbeitet. Dabei ging es um die Rechtmäßigkeit, Fairness und Transparenz dieser Datenverarbeitung.

Die Strafe gegen LinkedIn wurde im Rahmen der Datenschutz-Grundverordnung der EU verhängt, die seit dem 25. Mai 2018 in Kraft ist und klare Richtlinien für den Umgang mit personenbezogenen Daten in der EU und im Europäischen Wirtschaftsraum (EWR) vorschreibt.

Die Untersuchung wurde 2018 aufgrund einer Beschwerde bei der französischen Datenschutzbehörde eingeleitet. Sie ergab, dass LinkedIn gegen drei zentrale Grundsätze der DS-GVO zur Transparenz und Fairness verstoßen hat: Artikel 6, Artikel 5 Absatz 1 Buchstabe a, Artikel 13 Absatz 1 Buchstabe c und Artikel 14 Absatz 1 Buchstabe c der Verordnung.

Im Kern handelt es sich um folgende Verstöße: LinkedIn holt von den Nutzern nicht ausdrücklich die Zustimmung ein oder informiert sie nicht ausreichend, bevor es Daten Dritter über seine Mitglieder verarbeitet. Zudem stützt sich LinkedIn auf das „berechtigte Interesse“ als Grundlage für die Nutzung von Erstanbieterdaten für gezielte Werbung. Zusätzlich zur Geldstrafe muss LinkedIn seine europäischen Aktivitäten innerhalb von drei Monaten an die GDPR anpassen.

Der Datenschutzbeauftragte erklärte, dass die Zustimmung im Sinne der Datenschutz-Grundverordnung frei, eindeutig und umfassend informiert gegeben werden muss. Sie sollte klar ausdrücken, dass die betroffene Person der Datenverarbeitung zustimmt. Zudem müsse diese Verarbeitung fair und transparent erfolgen.

„Die Rechtmäßigkeit der Datenverarbeitung ist ein zentraler Aspekt des Datenschutzrechts. Die Verarbeitung personenbezogener Daten ohne gültige rechtliche Grundlage stellt einen klaren und schweren Verstoß gegen das Grundrecht der betroffenen Person auf Datenschutz dar“, erklärte der stellvertretende Datenschutzbeauftragte Graham Doyle.

Die Microsoft-eigene Plattform LinkedIn äußerte sich zur Strafe: „Auch wenn wir glauben, dass wir die Datenschutz-Grundverordnung eingehalten haben, arbeiten wir nun daran, unsere Werbepraktiken bis zur vom IDPC gesetzten Frist anzupassen.“

Die österreichische Datenschutzorganisation noyb („None Of Your Business“) hat bei der französischen Datenschutzbehörde eine Beschwerde gegen das Social-Media-Unternehmen Pinterest eingereicht. Grund dafür ist, dass Pinterest angeblich ohne Zustimmung der Nutzer deren Aktivitäten verfolgt und personalisierte Werbung schaltet, indem es sich auf „legitime Interessen“ beruft.

Statt die ausdrückliche Zustimmung der Nutzer gemäß Artikel 6 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung einzuholen, behauptet Pinterest nach Angaben von noyb fälschlicherweise, ein „berechtigtes Interesse“ an der Verarbeitung dieser Daten gemäß Artikel 6 Absatz 1 Buchstabe f zu haben. Dieses Tracking sei standardmäßig aktiviert, sodass Nutzer aktiv widersprechen müssten (Opt-out), um es zu verhindern.

Ein Sprecher von Pinterest erklärte gegenüber TechCrunch, dass das Unternehmen der Ansicht sei, seine personalisierte Werbung entspreche den Vorgaben der Datenschutz-Grundverordnung.