Thought Leadership
Gehören Daten über Profilbesucher den Nutzern? Noyb sieht in LinkedIns Praxis, diese Informationen nur gegen Bezahlung zu zeigen, einen Verstoß gegen die DSGVO.
Ein vermeintlich unscheinbares Feature des Karrierenetzwerks LinkedIn könnte zum Zentrum eines wegweisenden Rechtsstreits in der Europäischen Union werden. Die Datenschutzorganisation Noyb („None of Your Business“) hat angekündigt, rechtlich gegen die Praxis von LinkedIn vorzugehen, detaillierte Listen von Profilbesuchern ausschließlich zahlenden Premium-Mitgliedern zugänglich zu machen. Im Kern geht es um die Frage, ob personenbezogene Daten, die ein Unternehmen verarbeitet, unter das kostenlose Auskunftsrecht der DSGVO fallen, selbst wenn das Unternehmen diese Daten normalerweise als Teil eines kostenpflichtigen Dienstes vermarktet.
Das Geschäftsmodell mit der Neugier der Nutzer
LinkedIn, eine Tochtergesellschaft von Microsoft, nutzt die Identität von Profilbesuchern seit Jahren als einen der stärksten Anreize für sein Premium-Abonnement. Während zahlende Mitglieder eine detaillierte Übersicht erhalten, die bis zu 365 Tage zurückreicht und Namen, Jobtitel sowie Arbeitgeber der Besucher auflistet, bleibt die Ansicht für Basis-Nutzer stark eingeschränkt. Diese erhalten lediglich vage Informationen wie „Jemand von einem Technologieunternehmen hat Ihr Profil besucht“ oder „12 Personen haben Sie über die Startseite gefunden“.
Jeder Versuch eines Gratis-Nutzers, mehr über diese Besucher zu erfahren, führt unweigerlich zu einer Aufforderung, ein kostenpflichtiges Abonnement abzuschließen. Diese Praxis wird nun durch eine Beschwerde eines namentlich nicht genannten Nutzers herausgefordert, der sich direkt an Microsoft wandte, um sein Recht auf Auskunft gemäß Artikel 15 der Datenschutz-Grundverordnung (DSGVO) geltend zu machen.
Artikel 15 DSGVO als rechtliche Grundlage
Artikel 15 der DSGVO ist eines der mächtigsten Werkzeuge für Verbraucher im digitalen Zeitalter. Er besagt, dass betroffene Personen das Recht haben, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben sie ein Recht auf Auskunft über diese Daten und eine kostenlose Kopie dieser Informationen.
Der Begriff der „Verarbeitung“ ist in der DSGVO extrem weit gefasst. Er schließt das Hosting, Speichern und Verknüpfen von Daten ein. Noyb argumentiert, dass die Information darüber, wer ein bestimmtes Profil besucht hat, eine Form der Datenverarbeitung darstellt, die den Profilinhaber unmittelbar betrifft. Wenn LinkedIn diese Daten technisch vorhält, um sie Premium-Nutzern anzuzeigen, dann werden diese Daten „verarbeitet“ und müssen somit im Rahmen einer DSGVO-Anfrage auch für Nicht-Zahler zugänglich sein.
Noybs Kritik an der Monetarisierung von Datenrechten
Martin Baumann, Datenschutzanwalt bei Noyb, sieht in der Weigerung von LinkedIn einen klaren Rechtsbruch. Seiner Ansicht nach können kommerzielle Interessen die gesetzlich verankerten Grundrechte nicht aushebeln.
„Dass Unternehmen ihre Daten an ihre eigenen Nutzer verkaufen, ist eine gängige Praxis. In Wirklichkeit haben die Menschen jedoch das Recht, ihre eigenen Daten kostenlos zu erhalten.“
Martin Baumann, Datenschutzanwalt bei Noyb
Baumann stellt klar, dass es für das Auskunftsrecht unerheblich ist, ob ein Unternehmen durch die Preisgabe der Daten sein Geschäftsmodell gefährdet sieht. Wenn eine Person Zugriff auf ihre Daten verlangt, muss der Anbieter liefern. Und zwar unabhängig davon, ob er diese Informationen an anderer Stelle im System hinter einer Paywall versteckt.
LinkedIn weist Vorwürfe zurück
LinkedIn hat die Vorwürfe bereits zurückgewiesen und behauptet, man handele im Einklang mit geltendem Recht. Ein Sprecher des Unternehmens erklärte, es sei unzutreffend, dass nur Premium-Mitglieder sehen könnten, wer ihr Profil besucht hat. Zudem erfülle man die Anforderungen von Artikel 15 DSGVO bereits durch die Offenlegung der entsprechenden Informationen in der Datenschutzrichtlinie.
Diese Aussage wird von Kritikern jedoch als faktisch falsch eingestuft. Die Benutzeroberfläche von LinkedIn zeigt für Gratis-Nutzer eindeutig keine Klarnamen oder direkten Links zu Profilbesuchern an, sondern leitet stattdessen auf Verkaufsseiten weiter. Die bloße Erwähnung in einer Datenschutzrichtlinie, dass solche Daten gesammelt werden, ersetzt zudem nicht die individuelle Auskunft über die konkreten, den Nutzer betreffenden Datensätze.
Die Rechte Dritter als juristisches Hindernis?
Ein möglicher Ausweg für LinkedIn könnte der letzte Absatz von Artikel 15 sein. Dieser besagt, dass das Recht auf Erhalt einer Kopie der Daten die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. LinkedIn könnte argumentieren, dass die Identität eines Profilbesuchers dessen Privatsphäre darstellt, die vor dem Profilinhaber geschützt werden muss. Es sei denn, der Profilinhaber zahlt.
Noyb hält dieses Argument für logisch inkonsistent. Da LinkedIn diese Daten bereits an zahlende Premium-Mitglieder weitergibt, kann der Schutz der Privatsphäre der Besucher kein grundsätzliches Hindernis für die Datenweitergabe sein. Wäre die Offenlegung ein Verstoß gegen die Rechte der Besucher, dann wäre bereits das aktuelle Premium-Modell rechtswidrig. Noyb schließt daraus: Was für zahlende Kunden legal ist, muss im Rahmen der DSGVO auch für Gratis-Nutzer bei einer offiziellen Anfrage zugänglich sein.
Potenzial für einen weitreichenden Präzedenzfall
Der Ausgang dieses Verfahrens könnte Schockwellen durch das gesamte Geschäftsmodell der Plattform-Ökonomie senden. Viele Unternehmen verlangen Gebühren für den Zugriff auf Daten, die sie über ihre Nutzer generieren. Baumann nennt als weiteres Beispiel Banken, die für die Bereitstellung von Kontoauszügen Gebühren verlangen, obwohl diese Daten unter das kostenlose Auskunftsrecht der DSGVO fallen könnten.
Ein Urteil zugunsten von Noyb würde bedeuten, dass Nutzer einen Anspruch darauf haben, die „Rohdaten“ ihrer Interaktionen kostenlos in einem Format wie einer CSV-Datei zu erhalten. LinkedIn könnte zwar weiterhin für die Aufbereitung, die grafische Darstellung und die Analysen dieser Daten Geld verlangen, den Zugang zum reinen Informationsgehalt dürfte das Netzwerk dann jedoch nicht mehr blockieren.
