Rekordsanktionierung von 310 Millionen Euro
LinkedIn selbst war bereits Gegenstand einer intensiven Datenschutzprüfung. Ausgangspunkt war eine Beschwerde, die bei der französischen Datenschutzaufsichtsbehörde eingereicht und im Rahmen des Kohärenzverfahrens an die irische Datenschutzkommission (Data Protection Commission, DPC) als federführende Aufsichtsbehörde weitergeleitet wurde. Sie untersuchte die Verarbeitung personenbezogener Daten durch LinkedIn, für Zwecke der Verhaltensanalyse und gezielten Werbung von Nutzern, die LinkedIn-Profile erstellt haben (Mitglieder). Dabei wurden Verstöße gegen verschiedene Rechtsgrundlagen der DS-GVO festgestellt.
Rechtmäßigkeit, Fairness und Transparenz als Kern der Entscheidung
Die Grundsätze der Rechtmäßigkeit, Fairness und Transparenz bilden das Fundament jeder datenschutzkonformen Verarbeitung personenbezogener Daten und sind auch hier entscheidend dafür, dass die Vorgaben der DS-GVO und die Grundrechte der betroffenen Personen gewahrt werden. LinkedIn hat folgende Verstöße gegen diese Grundsätze begangen:
Rechtsgrundlage
Die DS-GVO verlangt, dass die Verarbeitung personenbezogener Daten auf einer der in Art. 6 Abs. 1 DS-GVO festgelegten Rechtsgrundlagen beruht, wie z. B. die Einwilligung, die vertragliche Notwendigkeit und die berechtigten Interessen. Je nach gewählter Rechtsgrundlage müssen die entsprechenden Bedingungen erfüllt sein.
- LinkedIn stützte die Verarbeitung personenbezogener Daten von Drittparteien nicht gültig auf die Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO). Die Einwilligungen waren nicht freiwillig, spezifisch oder hinreichend informiert eingeholt worden.
- Eine Verarbeitung auf Vertragsgrundlage (Art. 6 Abs. 1 lit. b DS-GVO) war ebenfalls nicht gültig für die Analysetätigkeiten und gezielte Werbung. Denn für die Nutzung und Bereitstellung des Netzwerks ist die Verarbeitung personenbezogener Daten zu Analysezwecken gerade nicht erforderlich.
- Auch eine Verarbeitung auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DS-GVO war nicht zulässig, da die Interessen der betroffenen Personen die wirtschaftlichen Interessen von LinkedIn überwogen.
Faire Datenverarbeitung
Die Fairness als übergeordnetes Prinzip verlangt, dass personenbezogene Daten nicht auf eine Weise verarbeitet werden dürfen, die diskriminierend, irreführend, schädlich oder unvorhersehbar für den Betroffenen sind. Ein Mangel daran kann dazu führen, dass die Betroffenen ihre Unabhängigkeit in Bezug auf persönliche Daten verlieren. Dadurch können sie möglicherweise ihre Rechte nach der DS-GVO nicht mehr ausüben.
- Die Datenverarbeitung, insbesondere die Nutzeranalyse, war laut DPC nicht fair, da sie für die Betroffenen irreführend, schädlich oder nicht vorhersehbar war.
Transparenz
Der Grundsatz der Transparenz gibt den betroffenen Personen die Kontrolle über die Verarbeitung ihrer persönlichen Daten. Durch die Einhaltung dieser Bestimmungen wird sichergestellt, dass die Betroffenen im Voraus vollständig über den Umfang und die Folgen der Verarbeitung ihrer Daten informiert sind und ihre Rechte ausüben können.
- LinkedIn gab den Betroffenen nicht ausreichend Auskunft darüber, auf welcher Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse) ihre Daten verarbeitet wurden.
Die Entscheidung vom Oktober 2024 hatte eine Rüge gem. Art. 52 Abs. 2 lit. b DS-GVO, eine Anordnung an LinkedIn, seine Bearbeitung gem. Art. 58 Abs. 2 lit. d DS-GVO in Einklang zu bringen und eine Verwaltungsstrafe von insgesamt 310 Millionen Euro (drei Verstöße gem. Art. 58 Abs. 2 lit. i und Art. 83 DS-GVO) inne. Die Höhe der Sanktion unterstreicht die aufsichtsrechtliche Bewertung, dass es sich nicht um formale Mängel, sondern um grundlegende Verstöße gegen zentrale Datenschutzprinzipien handelte. Zugleich verdeutlicht die Entscheidung die zunehmende Bereitschaft der Aufsichtsbehörden, bei systematischen Defiziten in datengetriebenen Geschäftsmodellen empfindliche Sanktionen zu verhängen.
KI-Training mit Profildaten: Neue datenschutzrechtliche Konfliktlinie
Dieselben Grundsätze, die bereits im Kontext personalisierter Werbung und Verhaltensanalyse beanstandet wurden, stehen nun auch bei der Nutzung von Profildaten für das Training generativer KI-Modelle erneut auf dem Prüfstand. Seit dem 3. November 2025 nutzt LinkedIn unter anderem in der EU, Mitgliederdaten für das Training eigener generativer KI-Modelle. Verarbeitet werden insbesondere öffentlich sichtbare Inhalte wie:
- Profilangaben
- Kommentare
- Fotos und Beiträge
- Nicht jedoch private Nachrichten.
Nach Angaben des Unternehmens erfolgt die Datenverarbeitung auf Grundlage eines „berechtigten Interesses“ gemäß Art. 6 Abs. 1 lit. f DS-GVO. Das berechtigte Interesse wird insbesondere mit Öffentlichkeitsarbeit, Personalgewinnung und geschäftlicher Kommunikation begründet. Mitglieder können dieser Nutzung jederzeit widersprechen. Für betroffene Personen können sich aus der Nutzung ihrer Profildaten jedoch potenziell nachteilige Auswirkungen ergeben, etwa wenn Unternehmen im Recruiting zunehmend auf KI-gestützte Auswertungen und Profileinschätzungen zurückgreifen. Auch der Meta-Konzern (z. B. Facebook oder Instagram) ist bereits ähnlich vorgegangen.
Warum gerade dies für Unternehmen interessant ist
- Gemeinsame Verantwortlichkeit: Gemäß Art. 26 DS-GVO entscheiden LinkedIn und das Unternehmen gemeinsam über die Zwecke und Mittel der Datenverarbeitung und sind somit als gemeinsam Verantwortliche zu sehen.
- Reputationsrisiko: Unternehmensinhalte könnten künftig durch KI in anderen Kontexten erscheinen, außerhalb Ihrer Kontrolle.
- Keine Umkehrbarkeit: Die Daten für das KI-Training werden seit dem 03. November 2025 von LinkedIn verarbeitet, wenn bis dahin kein Widerspruch eingelegt wurde.Ein Widerspruch kann nicht verhindern, dass bereits genutzte Inhalte dauerhaft im KI-Modell enthalten bleiben.
Kritik der Aufsichtsbehörden und Rechte der Nutzer
Datenschutzaufsichtsbehörden und Verbraucherverbände äußern deutliche Kritik an dem Vorgehen von LinkedIn. Dabei nannten diese folgende Kritikpunkte:
- Öffentlich zugängliche Profilinformationen können auch personenbezogene oder sensible Daten enthalten, die nach ihrer Integration in KI-Systeme nicht mehr vollständig gelöscht werden können.
- Es fehlt an Transparenz hinsichtlich des Umfangs der erhobenen Daten und deren Verwendung.
- Besonders problematisch sehen die Landes- und Bundesdatenschutzbehörden, dass der Opt-out-Mechanismus nur für neue Daten gilt, bereits genutzte Daten jedoch nicht betroffen sind.
- In den USA gab es bereits Klagen, in denen LinkedIn vorgeworfen wurde, beispielsweise Premium-Mails ohne ordnungsgemäße Zustimmung zu verwenden. Auch wenn diese Fälle abgewiesen wurden, verdeutlichen sie den Konflikt zwischen Nutzern und LinkedIn in Bezug auf Vertrags- und Datenschutzversprechen.
Handlungsempfehlungen
Angesichts der eingeschränkten Möglichkeit, bereits verarbeitete Daten nachträglich zu entfernen, gewinnen präventive Maßnahmen und eine frühzeitige Ausübung von Widerspruchsrechten besondere Bedeutung.
Für Nutzer:
Die Nutzerinnen und Nutzer sollten aktiv von ihrem Widerspruchsrecht Gebrauch machen. Zudem empfehlen Datenschutzbehörden (NRW, Hessen), diesen Schritt frühzeitig vorzunehmen, da einmal verarbeitete Daten später nicht vollständig aus KI-Systemen entfernt werden können. Oftmals sind die Datenschutzeinstellungen sehr versteckt oder verwirrend formuliert, weswegen sich der Nutzer ein wenig Zeit nehmen muss, um die Einstellungen und Zugriffsberechtigungen anzupassen. Diese sollten regelmäßig überprüft werden. Zudem ist es wichtig, die Hinweise der Datenschutzaufsichtsbehörden zur Kenntnis zu nehmen.
Für Unternehmen:
Widerspruchsfrist beachten: Um die Nutzung zukünftiger Daten zu verhindern, sollte schnellstmöglich ein Widerspruch gegen die Verwendung für KI-Zwecke eingelegt werden.
Dokumentation: Die Bestätigung des Widerspruchs durch LinkedIn (z. B. E-Mail oder Screenshot) sollte zentral archiviert werden, z. B. in der Datenschutzakte oder im Datenschutzmanagementsystem. So kann die Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO jederzeit nachgewiesen werden.
Datenschutzerklärungen (DSE) für LinkedIn-Auftritte anpassen: Die DSE auf Unternehmenswebseiten und LinkedIn-Profilen sollten aktualisiert werden:
- Kein Widerspruch eingelegt: Hinweis, dass LinkedIn Inhalte zu KI-Zwecken verarbeitet.
- Widerspruch eingelegt: Vermerk, dass der Verarbeitung fristgerecht widersprochen wurde.
Mitarbeitende informieren und sensibilisieren: Mitarbeitende sollten informiert werden, dass LinkedIn personenbezogene Inhalte auch im beruflichen oder privaten Rahmen für KI-Zwecke nutzen könnte – einschließlich Beiträge, Kommentare, Artikel oder Interaktionen auf öffentlich sichtbaren Unternehmensprofilen.
- Besonders wichtig ist dies für Personen, die das Unternehmen nach außen vertreten (z. B. Geschäftsführung, Recruiting, Marketing).
- Interne Hinweise sollten auch direkte Links zum Widerspruchsformular oder zur LinkedIn-Hilfe enthalten.
Bewusstsein für KI-Kommunikation schärfen
In internen Schulungen sollte darauf hingewiesen werden, dass die Kommunikation über LinkedIn-Tools, Messaging oder AI-Funktionen potenziell für KI-Zwecke verarbeitet werden kann. Mitarbeitende sollten keine sensiblen Informationen in solchen Dialogen teilen.
Achtung!
Bei LinkedIn impliziert der angeschaltete Regler seine Richtigkeit mit einer grünen Farbe. Möchte man also, dass die eigenen Daten für die Forschung und das Training genutzt werden, dann muss der Regler auf schwarz stehen. Für das Widersprechen der Verwendung der Daten für das KI-Training muss der Regler von „Ein“ auf „Aus“ verschoben werden. Der Titel „Daten zur Verbesserung generativer KI“ impliziert ebenfalls eine eher positive Auswirkung.
Fazit
Die Datenschutzaufsichtsbehörden behalten digitale Plattformen zunehmend im Blick und nehmen Neuerungen unter die Lupe. Insbesondere die Anforderungen an Rechtmäßigkeit, Fairness und Transparenz werden nicht nur formal geprüft, sondern auch materiell bewertet. Eine große Reichweite oder technische Komplexität rechtfertigen keine Abweichung von den Grundprinzipien der DS-GVO.
Für Plattformbetreiber hat die Entscheidung eine klare Signalwirkung:
Die Berufung auf „berechtigte Interessen“ stößt dort an ihre Grenzen, wo Nutzer nicht realistisch mit einer bestimmten Datenverarbeitung rechnen müssen oder diese nicht wirksam beeinflussen können. Dies gilt z. B. für profilbasierte Werbung, Verhaltensanalysen und sekundäre Nutzungszwecke wie KI-Training, bei denen ein späteres Löschen faktisch ausgeschlossen sein kann.
