BECKMANN UND NORDA - Rechtsanwälte Bielefeld

Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 310 Millionen EURO gegen LinkedIn wegen DSGVO-Verstößen im Zusammenhang mit der Analyse des Nutzerverhaltens und zielgerichteter Werbung verhängt.

Die Pressemitteilung der Irischen Datenschutzbehörde:
Irish Data Protection Commission fines LinkedIn Ireland €310 million

The Irish Data Protection Commission (DPC) has today announced its final decision following an inquiry into LinkedIn Ireland Unlimited Company (LinkedIn). This inquiry was launched by the DPC, in its role as the lead supervisory authority for LinkedIn, following a complaint initially made to the French Data Protection Authority.

The inquiry examined LinkedIn’s processing of personal data for the purposes of behavioural analysis[1] and targeted advertising[2] of users who have created LinkedIn profiles (members). The decision, which was made by the Commissioners for Data Protection, Dr Des Hogan and Dale Sunderland, and notified to LinkedIn on 22 October 2024, concerns the lawfulness, fairness and transparency of this processing. The decision includes a reprimand, an order for LinkedIn to bring its processing into compliance, and administrative fines totalling €310 million.

The DPC submitted a draft decision to the GDPR cooperation mechanism in July 2024, as required under Article 60 of the GDPR[3]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.

The DPC’s final decision records the following findings of infringement of the GDPR:

Article 6 GDPR and Article 5(1)(a) GDPR, insofar as it requires the processing of personal data to be lawful, as LinkedIn:
Did not validly rely on Article 6(1)(a) GDPR (consent) to process third party data of its members for the purpose of behavioural analysis and targeted advertising on the basis that the consent obtained by LinkedIn was not freely given, sufficiently informed or specific, or unambiguous.
Did not validly rely on Article 6(1)(f) GDPR (legitimate interests) for its processing of first party personal data of its members for behavioural analysis and targeted advertising, or third party data for analytics, as LinkedIn’s interests were overridden by the interests and fundamental rights and freedoms of data subjects.
Did not validly rely on Article 6(1)(b) GDPR (contractual necessity) to process first party data of its members for the purpose of behavioural analysis and targeted advertising.
Articles 13(1)(c) and 14(1)(c) GDPR, in respect of the information LinkedIn provided to data subjects regarding its reliance on Article 6(1)(a), Article 6(1)(b) and Article 6(1)(f) GDPR as lawful bases.
Article 5(1)(a) GDPR, the principle of fairness.
DPC Deputy Commissioner Graham Doyle commented:

“The lawfulness of processing is a fundamental aspect of data protection law and the processing of personal data without an appropriate legal basis is a clear and serious violation of a data subject's fundamental right to data protection.”

The DPC will publish the full decision and further related information in due course.

Summary of LinkedIn Decision Infographic

Further information
This decision relates to a complaint-based inquiry, which was commenced on 20 August 2018, following a complaint made by the French non-profit organisation, La Quadrature Du Net. The complaint was initially made to the French Data Protection Authority and thereafter provided to the DPC in its role as the lead supervisory authority for LinkedIn, which acts as the controller for the processing of personal data at issue.

This inquiry examined the lawfulness, fairness and transparency of the processing of the personal data of users of the LinkedIn platform for the purposes of behavioural analysis and targeted advertising. The personal data in question encompassed data provided directly to LinkedIn by its members (first-party data) and data obtained via its third-party partners relating to its members (third-party data).

The GDPR requires processing of personal data to be based on one of the legal bases outlined in Article 6(1) GDPR, such as consent, contractual necessity or legitimate interests. Depending on the lawful basis selected by controllers, certain conditions must to be met. For example, any consent obtained must meet the standard required by the GPDR of being a freely given, specific, informed, and an unambiguous indication of the data subject’s wishes.

The GDPR also requires that processing is carried out in a fair manner. Fairness is an overarching principle, which requires that personal data may not be processed in a way that is detrimental, discriminatory, unexpected or misleading to the data subject. An absence of fairness can result in a loss of autonomy of data subjects over their personal data, put them in a position where they may be unable to exercise other GDPR rights, and impact their fundamental rights to privacy and personal data protection.

Transparency is another crucial aspect of data protection, and gives data subjects control over the processing of their personal data. Compliance with transparency provisions by controllers ensures that data subjects are fully informed of the scope and consequences of the processing of their personal data in advance and in a positon to exercise their rights.

The DPC’s final decision exercised the following corrective powers:

a reprimand pursuant to Article 58(2)(b) GDPR;
three administrative fines totalling €310 million pursuant to Articles 58(2)(i) and 83 GDPR; and
an order to LinkedIn to bring its processing into compliance with the GDPR pursuant to Article 58(2)(d).

VG Hannover
Urteil vom 09.02.2023
10 A 6199/20

Das VG Hannover hat entschieden, dass die ununterbrochene Erhebung von Leistungsdaten der Beschäftigten durch Amazon im Fulfilment Center Winsen keinen Verstoß gegen datenschutzrechtliche Bestimmungen darstellt.

Die Pressemitteilung des Gerichts:
Datenerhebung bei Amazon in Winsen ist rechtmäßig

10. KAMMER HAT DER KLAGE VON AMAZON STATTGEGEBEN: DAS PERSÖNLICHKEITSRECHT DER BESCHÄFTIGTEN ÜBERWIEGT HIER NICHT DIE UNTERNEHMERISCHEN INTERESSEN VON AMAZON

Die Klägerin darf weiterhin Handscanner einsetzen, mithilfe derer bestimmte Arbeitsschritte innerhalb der jeweiligen Prozesspfade von Warenein- bis Warenausgang erfasst werden:

Die Klägerin betreibt in Winsen (Luhe) ein Logistikzentrum zur Auslieferung von Waren aus dem Onlineversandhandel von Amazon (sogenanntes „Fulfillment Center“). In bestimmten Arbeitsbereichen benutzen die Beschäftigten Handscanner, mittels derer bestimmte Arbeitsschritte erfasst werden. Die Daten werden mit einer Softwareanwendung ausgewertet und dienen in erster Linie der Steuerung logistischer Prozesse. Daneben werden mit den Daten auch Bewertungsgrundlagen für Qualifizierungsmaßnahmen sowie für Feedback und Personalentscheidungen gelegt.

Wegen dieser Vorgehensweise leitete die Beklagte ein datenschutzrechtliches Kontrollverfahren gegen die Klägerin ein mit dem Ergebnis, dass sie der Klägerin mit Bescheid von Oktober 2020 untersagte, aktuelle und minutengenaue Quantitäts- und Qualitätsdaten ihrer Beschäftigten ununterbrochen zu erheben und diese zur Erstellung von Quantitätsleistungs- und Qualitätsleistungsprofilen sowie für Feedbackgespräche und Prozessanalysen zu nutzen. Sie stellt sich auf den Standpunkt, dass die ununterbrochene Erhebung der entsprechenden Leistungsdaten der Beschäftigten rechtswidrig sei und gegen datenschutzrechtliche Bestimmungen verstoße.

Hiergegen wendete sich die Klägerin mit ihrer Klage. Zur Begründung trug sie unter anderem vor, sie verstoße nicht gegen datenschutzrechtliche Bestimmungen. Vielmehr habe sie ein berechtigtes Interesse an der Datenerhebung und Datenverarbeitung. So würden aktuelle und minutengenaue individuelle Leistungswerte bei der Steuerung der Logistikprozesse kurzfristig dazu benötigt, um auf Schwankungen in einzelnen Prozesspfaden durch Verschiebungen reagieren zu können. Anhand der aktuellen Leistungswerte der Mitarbeiterinnen und Mitarbeiter könne sie erkennen, ob Mitarbeitende an einem bestimmten Tag besonders schnell oder besonders langsam arbeiteten und hierauf durch Umverteilung reagieren. Mittelfristig würden zurückliegende individuelle Leistungswerte benötigt, um die konstanten Stärken und Schwächen der Mitarbeitenden zuverlässig erfassen und bei der flexiblen Einsatzplanung berücksichtigen zu können. Zudem ermögliche diese Vorgehensweise die Schaffung objektiver und fairer Bewertungsgrundlagen für Feedback und Personalentscheidungen. Den Mitarbeiterinnen und Mitarbeitern könne objektives und individuell leistungsbezogenes Feedback gegeben werden, das nicht durch subjektive Wahrnehmungen beeinflusst sei.

Das Gericht hat am 9. Februar 2023 in öffentlicher Sitzung im Amazon Logistikzentrum verhandelt und im Rahmen der Verhandlung das Fulfillment-Center besichtigt. Es hat der Klage stattgegeben und den angefochtenen Bescheid der Beklagten aufgehoben.

Das Gericht sieht in der ununterbrochenen Erhebung von Leistungsdaten der Beschäftigten keinen Verstoß gegen datenschutzrechtliche Bestimmungen. In Deutschland gebe es (noch) kein Gesetz zur Regelung des Beschäftigtendatenschutzes, sodass sich der Beschäftigtendatenschutz weiterhin nach § 26 Bundesdatenschutzgesetz richte. Danach dürften personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigtenverhältnisses verarbeitet werden, wenn dies für die Durchführung des Beschäftigtenverhältnisses oder die Beendigung erforderlich sei.

Das Gericht ist der Auffassung, dass die Datenverarbeitung für alle drei Zwecke – Steuerung der Logistikprozesse, Steuerung der Qualifizierung und Schaffung von Bewertungsgrundlagen für individuelles Feedback und Personalentscheidungen – erforderlich ist. Hinsichtlich der Optimierung der Logistikprozesse leuchte der Kammer ohne weiteres ein, dass die Klägerin die verarbeiteten Daten dazu nutzen kann, um auf Schwankungen in einzelnen Prozesspfaden durch Verschiebungen von Beschäftigten ad hoc zu reagieren und so den reibungsfreien Ablauf aller Prozesse innerhalb des Fulfillment Centers, das auf die Auslieferung der Ware zu einem genau definierten Zeitpunkt (Cut-Off-Zeitpunkt) ausgerichtet ist, zu garantieren. Auch könne die Klägerin individualisierte Qualifizierungsbedarfe der Beschäftigten schnell detektieren und auf diese reagieren. Schließlich verschafften die erhobenen Daten eine breite und objektive Grundlage für Feedback und Personal- und Beförderungsentscheidungen.

Nach Auffassung des Gerichts steht der durch die Überwachung der Beschäftigten bedingte Eingriff in das Recht auf informationelle Selbstbestimmung der Beschäftigten nicht außer Verhältnis zu den schützenswerten Interessen der Klägerin, so dass der Eingriff auch angemessen sei:

Unter Berücksichtigung der vorliegenden Erkenntnisse und nach der Befragung der Zeugen – der früheren Betriebsratsvorsitzenden und des jetzigen Betriebsratsvorsitzenden – in der mündlichen Verhandlung geht nach Auffassung des Gerichts eine Abwägung der gegenläufigen Interessen hier zu Gunsten der Klägerin aus. Das Gericht hat dabei unter anderem berücksichtigt, dass keine heimliche Datenerhebung erfolgt, die Beschäftigten die Datenerhebung vielmehr vorhersehen können und wissen, dass die Klägerin die Daten für die logistischen Prozesse benötigt. Zudem finde keine Verhaltenskontrolle statt, die Kommunikation und physische Bewegungen würden nicht erfasst, vielmehr finde „nur“ eine Leistungskontrolle statt. Die Privatsphäre sei nicht betroffen. Außerdem sei der Hauptzweck der Datenerhebung nicht die Überwachung und Kontrolle der Beschäftigten, sondern die Steuerung der Logistikabläufe. Schließlich werde die Möglichkeit objektiven Feedbacks und fairer Personalentscheidungen von vielen Beschäftigten als positive Wirkung der Überwachung gewertet; dies hätten auch die Zeugen bestätigt, die deutlich gemacht hätten, dass die Überwachung kein besonderes Thema im Betrieb sei.

Das Gericht hat die Berufung zugelassen. Die Beklagte hat demnach die Möglichkeit Berufung gegen das Urteil vor dem Niedersächsischen Oberverwaltungsgericht in Lüneburg binnen eines Monats nach Vorliegen der vollständigen Entscheidungsgründe einzulegen.

Urteil vom 9. Februar 2023

Az.: 10 A 6199/20

In Ausgabe 11/20, S. 48-49 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Wenn der Datenschützer klingelt". Der Beitrag gibt Tipps und Hinweise zum Umgang mit datenschutzrechtlichen Aufsichtsverfahren durch die Landesdatenschutzbehörden.

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.