Die 310-Millionen-Euro-Strafe gegen LinkedIn: Wie eine sechsjährige DSGVO-Untersuchung zu einer der größten Werbeentscheidungen der irischen Datenschutzbehörde wurde

Das Wesentliche in Kürze

Am 22. Oktober 2024 hat die irische Datenschutzkommission (Data Protection Commission, DPC) der LinkedIn Ireland Unlimited Company eine endgültige Entscheidung mitgeteilt, mit der drei Geldbußen in Höhe von insgesamt 310 Millionen Euro, eine Verwarnung sowie eine Anordnung zur Herstellung der Konformität ihrer Verarbeitung mit der DSGVO verhängt wurden. Die Entscheidung betraf die Verarbeitung personenbezogener Daten der Mitglieder zum Zweck der Verhaltensanalyse und zielgerichteten Werbung. Die DPC stellte Verstöße gegen die Artikel 5 Absatz 1 Buchstabe a, Artikel 6 Absatz 1, Artikel 13 Absatz 1 Buchstabe c und Artikel 14 Absatz 1 Buchstabe c der Datenschutz-Grundverordnung fest. LinkedIn berief sich auf drei Rechtsgrundlagen aus Artikel 6: Einwilligung, Vertragserfüllung und berechtigte Interessen. Die DPC wies jede einzelne dieser Grundlagen zurück. Das Verfahren begann im 28. Mai 2018 mit einer Beschwerde der französischen Non-Profit-Organisation La Quadrature du Net bei der CNIL; im DPC-Verfahren wurden schließlich 8.540 LinkedIn-Mitglieder vertreten. Sechs Jahre später mündete es in eine der höchsten werbungsbezogenen DSGVO-Sanktionen der irischen Aufsichtsbehörde. LinkedIn hat sowohl eine statutarische Berufung als auch ein Judicial Review eingelegt; die materiellen Feststellungen bleiben während des laufenden Rechtsstreits bestehen. Die Compliance-Lehre reicht weit über die Big-Tech-Welt hinaus — sie betrifft jede Organisation, die verhaltensbasierte Werbung oder zielgerichtete Inhaltssteuerung einsetzt.

Die Eckdaten

310 Mio. € | B2B-Soziales Netzwerk | Big Tech (Microsoft-Tochter) | Irische Datenschutzkommission | Bescheid zugestellt am 22. Oktober 2024.

Was geschah: eine sechsjährige Untersuchung mündet in eine hohe Sanktion

Am 28. Mai 2018 reichte die französische digitalrechtliche Vereinigung La Quadrature du Net bei der französischen Aufsichtsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) eine kollektive Beschwerde ein. Im Verfahren vor der irischen DPC wurden schließlich 8.540 LinkedIn-Mitglieder vertreten. Die Beschwerde richtete sich gegen das, was die Organisation als "GAFAM-Geschäftsmodell" bezeichnete — die Verknüpfung des Zugangs zur Plattform mit der zwingenden Akzeptanz von Verhaltensanalyse und zielgerichteter Werbung. Die Beschwerde von La Quadrature du Net griff insbesondere vorangekreuzte Einwilligungsfelder an, Nutzungsbedingungsklauseln, nach denen die fortgesetzte Nutzung der Plattform als Einwilligung gilt, sowie das Fehlen einer echten Wahlmöglichkeit für Nutzer, die den Dienst nutzen wollten, ohne für Werbezwecke profiliert zu werden.

Da sich der europäische Hauptsitz von LinkedIn in Dublin befindet, gab die CNIL die Beschwerde unter dem One-Stop-Shop-Mechanismus des Artikels 56 DSGVO an die irische DPC ab. Die irische Behörde übernahm die Rolle der federführenden Aufsichtsbehörde. Die Untersuchung dauerte über sechs Jahre. Am 22. Oktober 2024 stellten die Datenschutzbeauftragten Dr. Des Hogan und Dale Sunderland LinkedIn Ireland eine endgültige Entscheidung zu. Die öffentliche Bekanntmachung erfolgte am 24. Oktober 2024. Die Entscheidung umfasste eine Verwarnung nach Artikel 58 Absatz 2 Buchstabe b DSGVO, drei Geldbußen in Höhe von insgesamt 310 Millionen Euro nach Artikel 58 Absatz 2 Buchstabe i und Artikel 83 DSGVO sowie eine Anordnung nach Artikel 58 Absatz 2 Buchstabe d DSGVO, die LinkedIn zur Herstellung der Konformität verpflichtet.

Vor der endgültigen Verabschiedung legte die DPC den Beschlussentwurf im Juli 2024 dem Kooperationsverfahren nach Artikel 60 DSGVO vor. Das Verfahren existiert, um den anderen betroffenen Aufsichtsbehörden Gelegenheit zu geben, mit begründeten Einwänden auf den Entwurf der federführenden Behörde zu reagieren. Es wurden keine Einwände erhoben. Das Ausbleiben von Einwänden bedeutet, dass keine betroffene Aufsichtsbehörde ein Streitbeilegungsverfahren nach Artikel 65 ausgelöst hat; es ist keine förmliche Billigung des Betrags durch den EDSA.

Wie eine einzige Beschwerde aus dem Jahr 2018 das europäische Werberecht prägte

Die Beschwerde von La Quadrature du Net wurde nicht isoliert eingereicht. Am 28. Mai 2018, drei Tage nach dem Wirksamwerden der DSGVO am 25. Mai 2018, reichte La Quadrature du Net fünf koordinierte Kollektivbeschwerden bei der CNIL ein — gegen Facebook (heute Meta), Google, Apple, Amazon und LinkedIn — getragen von rund 12.000 Unterzeichnenden. Jede Beschwerde zielte auf dasselbe strukturelle Problem: die Verknüpfung des Plattformzugangs mit der zwingenden Akzeptanz von Verhaltensverarbeitung, die Verwendung vorangekreuzter oder konkludenter Einwilligungsmechanismen und das Fehlen eines echten Ablehnungswegs. Die Strategie war bewusst gewählt. Indem La Quadrature du Net alle fünf Beschwerden gleich zu Beginn der DSGVO-Anwendungszeit lancierte, schuf die Organisation einen koordinierten Testfall für die Einwilligungs- und Rechtsgrundlagen-Architektur der Verordnung, angewandt auf das vorherrschende Geschäftsmodell des kommerziellen Internets.

Die frühen Ergebnisse dieser Parallelbeschwerden zeichneten die Rechtslandschaft, die LinkedIn schließlich erreichen sollte. Im Januar 2019 verhängte die CNIL gegen Google eine Geldbuße von 50 Millionen Euro — die erste bedeutende DSGVO-Strafe gegen eine Big-Tech-Plattform — wegen Verstößen gegen Rechtsgrundlage und Transparenz bei personalisierter Werbung. Im Januar 2023 verhängte die irische DPC gegen Meta eine Strafe von 390 Millionen Euro (210 Mio. € für Facebook und 180 Mio. € für Instagram) auf der Grundlage derselben Argumentation zur Vertragserfüllung nach Artikel 6, die LinkedIn später erfolglos zu verteidigen versuchen würde. Im Mai 2023 folgte eine weitere Strafe von 1,2 Milliarden Euro gegen Meta wegen grenzüberschreitender Datenübermittlungen. Jede Entscheidung verschärfte die rechtliche Auslegung. Als die irische DPC im Oktober 2024 ihre LinkedIn-Entscheidung erließ, hatte die EuGH-Rechtsprechung gemeinsam mit der Aufsichtspraxis den Anwendungsbereich des Artikels 6 bereits verengt: Vertragserfüllung deckt verhaltensbasierte Werbung auf einer sozialen Plattform nicht ab, und Einwilligung muss tatsächlich granular und freiwillig erteilt sein. Der LinkedIn-Fall ist eine weitere Anwendung dieser Linie, nicht ein eigenständiger Erstfall.

Für Organisationen außerhalb des Plattform-Sektors lautet die praktische Schlussfolgerung: Die rechtlichen Fragen sind nicht mehr offen. Der Europäische Gerichtshof hat in seinem Urteil vom 4. Juli 2023 in der Rechtssache Meta Platforms gegen Bundeskartellamt (C-252/21) bereits bestätigt, dass die Voraussetzung "für die Erfüllung des Vertrags erforderlich" nach Artikel 6 Absatz 1 Buchstabe b eng auszulegen ist, dass der Verantwortliche die Beweislast für die Erforderlichkeit trägt und dass Personalisierung zum Zweck von Werbeeinnahmen keine vertragliche Erforderlichkeit darstellt. Der EuGH hat damit die Tür geschlossen, die LinkedIn und andere offenzuhalten versuchten. Die LinkedIn-Entscheidung wendet diese Schließung an.

Die Entscheidung: vier Artikel, drei zurückgewiesene Rechtsgrundlagen

Die Untersuchung der DPC prüfte einen einzigen Arbeitsablauf — die Verarbeitung personenbezogener Mitgliedsdaten zum Zweck der Verhaltensanalyse und zielgerichteten Werbung — anhand des gesamten Apparats der DSGVO-Grundsätze, Rechtsgrundlagen und Transparenzpflichten. Die Untersuchung stellte Verstöße gegen vier Artikel fest: Artikel 5 Absatz 1 Buchstabe a, Artikel 6 Absatz 1, Artikel 13 Absatz 1 Buchstabe c und Artikel 14 Absatz 1 Buchstabe c DSGVO. In einem Vorab-Urteil zu Zulassungsfragen vom 20. April 2026 in der Anfechtung durch LinkedIn hat der irische High Court festgestellt, dass Section 142 des Data Protection Act 2018 diesen statutarischen Rechtsbehelfsweg auf die Entscheidung über die Verhängung der Geldbuße selbst beschränkt; die zugrunde liegenden Verstöße sind über Section 142 nicht anfechtbar und bleiben in Kraft, während das weitere Verfahren läuft.

Artikel 5 Absatz 1 Buchstabe a — der Grundsatz der Rechtmäßigkeit, Fairness und Transparenz

Artikel 5 normiert die Grundprinzipien der DSGVO. Artikel 5 Absatz 1 Buchstabe a verlangt, dass personenbezogene Daten "auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise" verarbeitet werden. Die DPC stellte fest, dass die verhaltensbasierte Werbe-Pipeline von LinkedIn jedes dieser drei Teilprinzipien verletzt hatte. Die Rechtmäßigkeit scheiterte, weil keine der angeführten Grundlagen aus Artikel 6 die Verarbeitung tragen konnte. Die Transparenz scheiterte, weil die Datenschutzerklärung die herangezogenen Rechtsgrundlagen nicht hinreichend offenlegte. Die Fairness scheiterte, weil die Nutzer keine echte Möglichkeit hatten, die Verarbeitung zu verstehen oder abzulehnen. Das Zitat der DPC fasst das Prinzip direkt zusammen: "Die Rechtmäßigkeit der Verarbeitung ist ein grundlegender Aspekt des Datenschutzrechts, und die Verarbeitung personenbezogener Daten ohne eine geeignete Rechtsgrundlage ist ein klarer und schwerwiegender Verstoß gegen das Grundrecht der betroffenen Person auf Datenschutz."

Artikel 6 Absatz 1 — keine der drei Rechtsgrundlagen griff

Artikel 6 Absatz 1 verlangt vom Verantwortlichen, vor der Verarbeitung eine Rechtsgrundlage zu identifizieren. LinkedIn nannte drei: Einwilligung (Artikel 6 Absatz 1 Buchstabe a), Vertragserfüllung (Artikel 6 Absatz 1 Buchstabe b) und berechtigte Interessen (Artikel 6 Absatz 1 Buchstabe f). Die DPC prüfte jede einzelne und wies jede einzelne zurück.

Zur Einwilligung (Artikel 6 Absatz 1 Buchstabe a): Die DPC wandte den Maßstab aus Artikel 4 Nummer 11 DSGVO an — Einwilligung muss "freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich" abgegeben werden — und stellte fest, dass der Mechanismus von LinkedIn in allen vier Punkten versagte. Den Nutzern wurde keine klare, granulare Wahl zwischen einer Nutzung der Plattform mit verhaltensbasierter Werbung und einer Nutzung ohne diese geboten. Der Einwilligungsablauf bündelte mehrere Verarbeitungszwecke. Die Aufklärung sagte den Nutzern nicht konkret, welche Rechtsgrundlage für welche Verarbeitung herangezogen wurde. Eine aktive Opt-in-Einwilligung für die Verhaltensanalyse fehlte. Schlussfolgerung: Eine Einwilligung konnte die Verarbeitung rechtlich nicht legitimieren.

Zur Vertragserfüllung (Artikel 6 Absatz 1 Buchstabe b): Die DPC folgte den Leitlinien des Europäischen Datenschutzausschusses aus dem Jahr 2019 zu Artikel 6 Absatz 1 Buchstabe b im Kontext von Online-Diensten. Verhaltensbasierte Werbung ist nicht "erforderlich" für die Erfüllung eines Vertrags über ein soziales Netzwerk; sie ist allenfalls eine kommerzielle Wahl, die der Anbieter zur Finanzierung des Dienstes getroffen hat. Ein Nutzer kann LinkedIn für seinen Kernzweck — Vernetzung, Jobsuche, Inhalte — nutzen, ohne für Werbung profiliert zu werden. Die Erforderlichkeit scheitert.

Zu den berechtigten Interessen (Artikel 6 Absatz 1 Buchstabe f): Die DPC wandte den dreistufigen Abwägungstest an — Identifikation des Interesses, Prüfung der Erforderlichkeit, Abwägung gegen die Rechte und Freiheiten der betroffenen Person. Das kommerzielle Interesse von LinkedIn an Einnahmen aus verhaltensbasierter Werbung ist auf der ersten Stufe berechtigt. Die DPC kam jedoch zu dem Ergebnis, dass die Verarbeitung für dieses Interesse nicht unbedingt erforderlich war (weniger eingriffsintensive Mittel existieren, darunter kontextbezogene Werbung) und dass die Auswirkungen auf die Rechte der betroffenen Personen — einschließlich des Rechts auf Datenschutz nach Artikel 8 der Charta der Grundrechte der EU — das Interesse des Verantwortlichen überwogen. Die berechtigten Interessen scheitern am Abwägungstest.

Artikel 13 Absatz 1 Buchstabe c und Artikel 14 Absatz 1 Buchstabe c — die Transparenzpflicht wurde nicht erfüllt

Die Artikel 13 und 14 verpflichten den Verantwortlichen, der betroffenen Person zum Zeitpunkt der Erhebung bestimmte Informationen bereitzustellen. Buchstabe c des jeweiligen Absatzes 1 verlangt die Mitteilung der "Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung". Die DPC stellte fest, dass die Datenschutzerklärung von LinkedIn im Hinblick auf Verhaltensanalyse und zielgerichtete Werbung nicht hinreichend offenlegte, welche Rechtsgrundlage aus Artikel 6 für welchen konkreten Zweck herangezogen wurde. Eine Datenschutzerklärung, die lediglich angibt, "wir können Ihre Daten auf Grundlage von Einwilligung, Vertrag oder berechtigtem Interesse verarbeiten", ohne dem Nutzer zu sagen, welches Element welchem Zweck zugeordnet ist, verstößt gegen Artikel 13/14 Absatz 1 Buchstabe c. Die Transparenzpflicht ist granular: pro Zweck, pro Rechtsgrundlage, in einfacher Sprache.

Die Reaktion von LinkedIn, die Berufung und der aktuelle Stand

LinkedIn veröffentlichte am 24. Oktober 2024 eine kurze offizielle Erklärung: "Heute hat die irische Datenschutzkommission (IDPC) eine endgültige Entscheidung zu Ansprüchen aus dem Jahr 2018 in Bezug auf einige unserer digitalen Werbeaktivitäten in der EU getroffen. Obwohl wir der Auffassung sind, dass wir mit der Datenschutz-Grundverordnung (DSGVO) im Einklang gestanden haben, arbeiten wir daran, unsere Werbepraktiken bis zur Frist der IDPC mit dieser Entscheidung in Einklang zu bringen." Die Erklärung räumte keinen Verstoß ein und kündigte keine konkreten Änderungen an.

LinkedIn eröffnete daraufhin zwei parallele Rechtswege. Am 18. November 2024 erhob das Unternehmen eine statutarische Berufung nach den Sections 142 und 150 des irischen Data Protection Act 2018. Am 16. Dezember 2024 gewährte Frau Justizrichterin Mary Rose Gearty am irischen High Court LinkedIn die Erlaubnis zur Beantragung eines Judicial Review. Die von LinkedIn vorgebrachten Klagegründe umfassen verfassungsrechtliche Angriffe gegen den Data Protection Act 2018, Argumente, wonach die Geldbuße von 310 Millionen Euro aufgrund ihrer Höhe "strafrechtlicher oder pönaler Natur" sei und daher die fairen Verfahrensgarantien der Grundrechtecharta und der Europäischen Menschenrechtskonvention auslöse, sowie verfahrensrechtliche Angriffe gegen den Entscheidungsprozess der DPC. LinkedIn hat zudem geltend gemacht: "Die DPC ist kein unabhängiges und unparteiisches Gericht im Sinne der Charta."

Die DPC reichte ihren Schriftsatz zur Verteidigung am 25. Februar 2025 ein. Der irische Staat folgte am 18. März 2025. Am 20. April 2026 entschied der High Court über Vorab-Zulassungsfragen — insbesondere, dass Section 142 des Data Protection Act 2018 eine Berufung nur gegen die Verhängung einer Geldbuße zulässt, nicht jedoch gegen die zugrunde liegenden Feststellungen von Verstößen oder gegen die Ausübung anderer Abhilfemaßnahmen wie die Anordnung zur Herstellung der Konformität. Die materiellen DSGVO-Feststellungen bleiben somit während des laufenden Verfahrens bestehen. Für Organisationen, die diesen Fall im Hinblick auf Compliance-Lehren beobachten, ist die Berufung ein Rechtsstreit über Höhe und Verfahren — nicht über die materielle Analyse von Einwilligung, Rechtsgrundlage und Transparenz.

Was LinkedIn hätte anders machen können — der Kern des Falls

Die Entscheidung der DPC ist keine technische Kuriosität zwischen einer Aufsichtsbehörde und einem Big-Tech-Beklagten. Sie ist die methodische Demonstration, wie eine verhaltensbasierte Werbe-Pipeline gleichzeitig an jeder einzelnen Rechtsgrundlage aus Artikel 6 scheitern kann — und wie eine konforme Alternative aussehen müsste. Jede Organisation, die verhaltensbasierte Werbung einsetzt — einschließlich B2B-SaaS-Unternehmen mit Account-Based-Marketing-Scoring, E-Commerce-Händler mit personalisierten Produktempfehlungen und Publisher mit zielgerichteter Display-Vermarktung — ist derselben Analyse ausgesetzt. Vier Präventionsebenen hätten das Ergebnis verändert.

Ebene 1 — der konkrete Architekturfehler in der Einwilligung

Der Einwilligungsablauf von LinkedIn präsentierte den Nutzern, in der Analyse der DPC, eine Take-it-or-leave-it-Logik. Die Offenlegung der Rechtsgrundlagen erfolgte generisch — "Einwilligung, Vertrag oder berechtigtes Interesse" — anstatt granular je Verarbeitungszweck. Eine aktive Opt-in-Einwilligung für die Verhaltensanalyse fehlte; die Plattform setzte auf eine fortgesetzte Nutzung als implizite Zustimmung. Eine gleichwertig prominente "Alles ablehnen"-Alternative zu "Alles akzeptieren" gab es an der Einwilligungsschnittstelle nicht. Keine dieser Designentscheidungen ist auf LinkedIn beschränkt. Sie waren 2018 der Industriestandard und blieben bis zum Zeitpunkt der Untersuchung weit verbreitet. Der Punkt der DPC ist, dass die DSGVO seit dem 25. Mai 2018 etwas anderes verlangt — und ein Industriestandard nicht dadurch rechtmäßig wird, dass er weit verbreitet ist.

Ebene 2 — die technische Kontrolle, die das verhindert hätte

Die konforme Alternative ist gut dokumentiert. Eine granulare Consent Management Platform (CMP) mit getrennten, gleichwertig prominenten Opt-in-Schaltern für jeden eigenständigen Verarbeitungszweck — Anzeige der Profildaten, Verhaltensableitung, zielgerichtete Werbung, Kombination mit Drittdaten — erfüllt das Spezifitätskriterium aus Artikel 4 Nummer 11. Ein funktionierender "Alles ablehnen"-Pfad in derselben visuellen Prominenz wie "Alles akzeptieren" erfüllt das Kriterium "freiwillig". Eine Voreinstellung jedes Verhaltensanalyse-Schalters auf AUS mit zwingend erforderlicher aktiver Bestätigung erfüllt das Kriterium "unmissverständlich". Ein zweckbezogenes Einwilligungsprotokoll, auf Anfrage der betroffenen Person abrufbar, zeitgestempelt und versioniert mit der zum Zeitpunkt der Einwilligung gezeigten Aufklärung, erfüllt das Kriterium "informiert". Nichts davon ist exotische Ingenieurskunst. Open-Source-CMP-Frameworks unterstützen all das; die großen kommerziellen CMP-Anbieter werben mit allen diesen Funktionen. Die Implementierungskosten einer konformen CMP für eine Organisation in der Größe von LinkedIn liegen zwischen 500.000 € und 2 Mio. € — zuzüglich laufender Betriebskosten. Für ein KMU liegen die Kosten derselben Architektur zwischen 5.000 € und 50.000 €.

Ebene 3 — die organisatorische Kontrolle, die den Fehler erkannt hätte

Eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO ist vor der Aufnahme einer hochriskanten Verarbeitung verpflichtend — und verhaltensbasierte Werbung im großen Maßstab stellt nach jeder vernünftigen Auslegung eine hochriskante Verarbeitung mit systematischer Überwachung im Sinne von Artikel 35 Absatz 3 Buchstabe b dar. Eine vor der Inbetriebnahme durchgeführte DSFA, freigegeben durch den Datenschutzbeauftragten und gegen die Rechtsgrundlagenanalyse je Zweck geprüft, hätte den Architekturfehler bei der Einwilligung sichtbar gemacht. Ein dokumentierter vierteljährlicher Audit der Einwilligungsqualität — Opt-in-Quote je Zweck, Ablehnungsquote, Widerrufsquote, Beschwerdevolumen — hätte das Thema lange vor Eröffnung eines Aufsichtsverfahrens auf die Vorstandsebene gebracht. Eine klare Freigabe der Datenschutzerklärung durch den Datenschutzbeauftragten anhand einer Checkliste der Anforderungen aus Artikel 13/14 Absatz 1 Buchstabe c hätte die generische Formulierung "Einwilligung, Vertrag oder berechtigtes Interesse" abgefangen. Jede dieser Kontrollen ist Standard-Governance-Hygiene in einem reifen DSGVO-Programm.

Ebene 4 — Kosten versus Strafe: die Mathematik liefert die Begründung

Die DPC hat 310 Millionen Euro an Bußgeldern verhängt, die Gegenstand der Berufung von LinkedIn bleiben, und LinkedIn steht darüber hinaus vor den Kosten der Compliance-Herstellung gemäß der Anordnung der DPC. Die Präventionskosten — eine konforme CMP, ein DSFA-Prozess, laufende Audits der Einwilligungsqualität, DPO-Zeit für die Datenschutzerklärung — hätten für eine Organisation in der Größe von LinkedIn zwischen 500.000 € und 2 Mio. € gelegen. Das Verhältnis beträgt etwa das 150- bis 600-Fache der Präventionskosten. Für ein KMU sind die Größenordnungen anders, die Logik jedoch identisch: Prävention bewegt sich typischerweise zwischen 5.000 € und 50.000 €; vergleichbare Geldbußen im KMU-Bereich (wo die Aufsichtsbehörden die Strafen an die Unternehmensgröße anpassen) liegen üblicherweise zwischen 100.000 € und 2 Mio. €. Die Mathematik ist in jeder Größenklasse erdrückend. Die Frage für jeden Compliance-Verantwortlichen ist nicht, ob sich die Prävention lohnt, sondern ob die Organisation handelt, bevor — oder nachdem — die Aufsichtsbehörde tätig wird.

Möchten Sie wissen, ob Ihre Organisation dem gleichen Risiko wie LinkedIn ausgesetzt ist? Machen Sie das kostenlose 10-Minuten-Assessment von Viktoria Compliance → Es vergleicht Ihre aktuelle Position bei verhaltensbasierter Werbung und Rechtsgrundlagen mit den DSGVO-Artikeln, die die irische DPC in dieser Entscheidung tatsächlich durchgesetzt hat, und identifiziert die spezifischen Lücken, die eine Aufsichtsbehörde zuerst finden würde.

Branchenlehre: wer heute exponiert ist

Die LinkedIn-Entscheidung ist eine der höchsten werbebezogenen DSGVO-Strafen der irischen DPC, sie steht jedoch nicht isoliert. Sie gehört zu einem klaren Durchsetzungsmuster, das sich seit 2022 beschleunigt hat: Die irische DPC und andere federführende Aufsichtsbehörden haben die Rechtsgrundlagenargumente von Plattformen, die verhaltensbasierte Werbung betreiben, systematisch zerlegt. Die Meta-Strafen vom Januar 2023 (210 Mio. € für Facebook und 180 Mio. € für Instagram wegen ähnlicher Mängel bei der Rechtsgrundlage für personalisierte Werbung), die 345-Millionen-Euro-Strafe gegen TikTok vom September 2023 (Kinderdaten und Transparenz) und die 290-Millionen-Euro-Strafe gegen Uber vom August 2024 der niederländischen Aufsichtsbehörde (rechtswidrige Übermittlung von Fahrerdaten in die USA nach Kapitel V DSGVO) liegen alle auf derselben Linie. Die LinkedIn-Entscheidung ist der jüngste Datenpunkt, nicht der erste.

Die Exposition beschränkt sich nicht auf soziale Netzwerke oder Big Tech. Drei Kategorien von Organisationen sind dem Risiko, die Rechtslage von LinkedIn zu reproduzieren, besonders ausgesetzt. Erstens B2B-SaaS-Unternehmen, die Account-Based-Marketing-Plattformen, Verhaltens-Scoring-Systeme oder Lead-Priorisierungsmodelle einsetzen. Die Rechtsgrundlagen-Analyse ist identisch: Wer Personen mit EU-Bezug (Entscheider in Zielunternehmen) profiliert, benötigt eine saubere Grundlage aus Artikel 6 für die Profilierung — nicht nur für den zugrunde liegenden CRM-Datensatz. Zweitens E-Commerce-Händler, die Empfehlungen, dynamische Preise oder Retargeting auf Basis von Verhalten auf der eigenen Seite in Kombination mit Drittdaten personalisieren. Drittens Publisher und Medienorganisationen, die über programmatische Werbung Einnahmen erzielen — die Entscheidung der belgischen Aufsichtsbehörde gegen IAB Europe (2. Februar 2022) und das anschließende EuGH-Urteil in IAB Europe gegen Gegevensbeschermingsautoriteit (C-604/22, 7. März 2024) haben bereits festgestellt, dass das TCF-Signal personenbezogene Daten enthält, dass IAB Europe gemeinsamer Verantwortlicher ist und dass eine über einen TCF-Banner allein eingeholte Einwilligung der DSGVO möglicherweise nicht genügt. Jeder Publisher, der TCF einsetzt, sollte die LinkedIn-Entscheidung als Warnung lesen, dass die Geduld der Aufsicht aufgebraucht ist.

Die Cookie-Banner-Verbindung: TCF, IAB Europe und die Durchsetzung gegen Dark Patterns

Die Einwilligungsarchitektur von LinkedIn ist Teil eines größeren Problems, das die EU systematisch zerlegt. Die Entscheidung der belgischen Aufsichtsbehörde vom Februar 2022 gegen IAB Europe — den Branchenverband hinter dem Transparency and Consent Framework (TCF), der technischen Infrastruktur, die von den meisten europäischen Publishern und AdTech-Anbietern genutzt wird — stellte fest, dass das TCF-Signal selbst personenbezogene Daten darstellt, dass IAB Europe gemeinsamer Verantwortlicher für den über TCF-Banner generierten Einwilligungs-String ist und dass die über TCF-Mechanismen in ihrer damaligen Form eingeholte Einwilligung den Anforderungen der DSGVO nicht entsprach. Der EuGH bestätigte und präzisierte diese Position im Urteil IAB Europe gegen Gegevensbeschermingsautoriteit (C-604/22, 7. März 2024).

Der Bericht des Europäischen Datenschutzausschusses vom Januar 2023 zu "irreführenden Designmustern in Social-Media-Plattform-Oberflächen" benennt mit ausgearbeiteten Beispielen die Gestaltungsentscheidungen, die als nach DSGVO verbotene Dark Patterns gelten. Einwilligungsabläufe, die die Ablehnungsoption visuell deemphasieren, zusätzliche Klicks für eine Ablehnung verlangen, eine Ablehnung sprachlich negativ rahmen oder Kästchen voraktivieren, werden allesamt markiert. Die Stellungnahme 08/2024 des Europäischen Datenschutzausschusses zu "Consent-or-Pay"-Modellen hat einen weiteren Datenpunkt hinzugefügt und betont, dass Nutzern eine echte Wahl angeboten werden muss, anstatt sie faktisch in das verhaltensbasierte Tracking zu drängen. Der Trend ist konsistent: Aufsichtsbehörden akzeptieren keine Einwilligungsabläufe mehr, deren Hauptzweck es ist, Opt-ins zu extrahieren. Der Maßstab lautet: echte, granulare, freiwillig erteilte Einwilligung — oder keine Verarbeitung.

Für Organisationen, die Cookie-Banner oder produktinterne Einwilligungsabläufe betreiben, sollte die LinkedIn-Entscheidung im Zusammenhang mit dem Bericht der EDPB-Cookie-Banner-Taskforce (Januar 2023, zu cookie-spezifischer Einwilligungspraxis) und den EDPB-Leitlinien 3/2022 zu täuschenden Designmustern (verabschiedet März 2022) gelesen werden. Die gemeinsame Botschaft ist operativ: Wer seine Einwilligungsarchitektur nicht an diesem Korpus an Leitlinien überarbeitet hat, ist Durchsetzungsmaßnahmen ausgesetzt, und die Aufsichtsbehörden haben gezeigt, dass die Bußgelder bei den größten Verstößen in den dreistelligen Millionenbereich und bei mittelgroßen Organisationen in den sechsstelligen Bereich reichen.

Der Blick nach vorn: das zweite Compliance-Regime des KI-Verordnung greift ab dem 2. August 2026

Verhaltensbasierte Werbung ist auf technischer Ebene automatisierte Profilbildung. Ab dem 2. August 2026 findet die KI-Verordnung der EU auf eine definierte Kategorie von KI-Systemen Anwendung und legt zusätzliche Pflichten über die DSGVO. Wenn ein in der Werbung eingesetztes System unter Anhang III der KI-Verordnung fällt — insbesondere in den Kategorien Beschäftigungsentscheidungen oder Zugang zu wesentlichen Dienstleistungen — verpflichtet Artikel 14 KI-VO den Anbieter zu einer menschlichen Aufsicht im Design, Artikel 26 Absatz 7 verpflichtet den Betreiber zur Information natürlicher Personen, und Artikel 86 schafft ein Recht auf eine klare Erklärung der Rolle, die das KI-System bei der Entscheidung gespielt hat. Organisationen, die die Einwilligungs- und Rechtsgrundlagenebene der DSGVO nicht bis zum 2. August 2026 in Ordnung gebracht haben, treten in ein zweites Regime mit anderen Pflichten, anderen Akteuren und einer parallelen Obergrenze von 15 Mio. € oder 3 % des weltweiten Umsatzes für hochriskante Nichtkonformität ein. Die praktische Folge: Die DSGVO-Ebene jetzt zu reparieren, ist gleichzeitig die Vorarbeit für die KI-Verordnung. Die beiden Regime überlappen exakt auf den Arbeitsabläufen, die die LinkedIn-Entscheidung geprüft hat.

Warum dieser Fall ein Präzedenzfall für jeden Verantwortlichen ist

Die Versuchung beim Lesen einer Entscheidung gegen eine global tätige Microsoft-Tochter ist es, sie unter "Big-Tech-Probleme" abzulegen und anzunehmen, dass die Analyse eine Organisation mit 200 Beschäftigten in Berlin oder 50 Beschäftigten in Ljubljana nicht erreicht. Diese Annahme ist falsch, und die Struktur der Begründung der DPC macht sie bewusst falsch. Die DPC gründete ihre Entscheidung nicht auf die Größe von LinkedIn, auf die globale Reichweite, auf die Konzernmutter oder auf das Volumen der betroffenen Nutzer. Sie gründete die Entscheidung auf die rechtliche Architektur von Einwilligung und Rechtsgrundlage in der DSGVO — eine Architektur, die einheitlich für einen Verantwortlichen gilt, der personenbezogene Daten einer einzigen EU-betroffenen Person verarbeitet, oder die von einhundert Millionen. Jeder Schritt der Analyse der DPC — der vierfache Einwilligungstest aus Artikel 4 Nummer 11, die enge Auslegung der Vertragserfüllung, der dreistufige Interessenabwägungstest, die granulare Aufklärungspflicht aus Artikel 13/14 Absatz 1 Buchstabe c — gilt für ein CRM-System in einem regionalen B2B-SaaS-Unternehmen genauso wie für die globale Werbe-Pipeline von LinkedIn.

Was der Größenunterschied verändert, ist die Höhe der Geldbuße, nicht das Bestehen des Verstoßes. Artikel 83 Absatz 2 DSGVO listet die Faktoren auf, die eine Aufsichtsbehörde bei der Bemessung der Geldbuße zu berücksichtigen hat — einschließlich Art, Schwere und Dauer des Verstoßes, der Kategorien betroffener Daten, des Maßes der Mitwirkung des Verantwortlichen sowie "jedes andere erschwerende oder mildernde Umstand des Einzelfalls". Für ein KMU würde derselbe Verstoß, der zur 310-Millionen-Euro-Strafe gegen LinkedIn geführt hat, typischerweise zu einer Geldbuße zwischen 50.000 € und 500.000 € führen — immer noch erheblich, oft existenziell, immer vermeidbar. Für eine mittelgroße Organisation mit einem Jahresumsatz zwischen 50 Mio. € und 500 Mio. € liegt die entsprechende Geldbuße üblicherweise zwischen 1 Mio. € und 10 Mio. €. Die Bußgeldhöhen skalieren — die rechtliche Analyse tut es nicht. Die LinkedIn-Entscheidung als Handbuch dafür zu lesen, was nicht zu tun ist, ist unabhängig von der Organisationsgröße die richtige Reaktion.

Der 90-Tage-Sanierungsplan

Für eine Organisation, die bis hierher gelesen hat und das Risiko erkannt hat, hier ein 90-Tage-Plan, kalibriert für einen mittelgroßen Verantwortlichen mit bestehendem DSGVO-Programm, aber begrenzten Investitionen in granulare Einwilligungsarchitektur oder DSFA für verhaltensbasierte Verarbeitung. Jede Phase ist durch eine klare Lieferleistung und einen Freigabeverantwortlichen abgegrenzt.

Tag 1 bis 30 — Bestandsaufnahme und Gap-Analyse. Ziehen Sie aus dem Verzeichnis nach Artikel 30 jede Verarbeitungstätigkeit heraus, die Profilbildung, Verhaltensableitung, personalisiertes Marketing, Lead-Scoring, dynamische Inhalte oder Analytics über den Aggregat-Schwellenwert hinaus umfasst. Dokumentieren Sie für jede Tätigkeit: den konkreten Zweck, die Datenkategorien, die behauptete Rechtsgrundlage nach Artikel 6, das Vorhandensein einer DSFA, ob die Datenschutzerklärung die Rechtsgrundlage je Zweck offenlegt und ob der Einwilligungsmechanismus (falls genutzt) wirklich granular ist. Das Ergebnis dieser Phase ist ein Register mit einer Zeile pro Tätigkeit und einer eigenen Spalte für jede Lücke. Freigabeverantwortlicher: der Datenschutzbeauftragte.

Tag 31 bis 60 — architektonische Sanierung. Ersetzen oder konfigurieren Sie die Consent Management Platform so, dass jeder Verarbeitungszweck einen separaten Opt-in-Schalter hat, standardmäßig auf AUS steht und ein zweckbezogenes Einwilligungsprotokoll produziert, das auf Antrag der betroffenen Person abrufbar ist. Fügen Sie an jeder Einwilligungsoberfläche einen gleich prominenten "Alles ablehnen"-Pfad hinzu. Überarbeiten Sie die Datenschutzerklärung so, dass sie je Zweck die konkrete Rechtsgrundlage aus Artikel 6 offenlegt — in einfacher Sprache, nicht in Juristensprache. Führen Sie DSFAs nach Artikel 35 für jede Verarbeitungstätigkeit durch, die in Phase 1 als systematische Profilbildung oder großvolumige Verhaltensanalyse markiert wurde. Freigabeverantwortlicher: der CTO (für die CMP) und der DPO (für DSFA und Erklärung).

Tag 61 bis 90 — Operationalisierung und Audit. Schulen Sie die kundenorientierten Teams auf die neuen Einwilligungsabläufe und auf den Umgang mit Betroffenenanfragen, die sich aus der neuen Aufklärung ergeben. Etablieren Sie ein vierteljährliches Audit der Einwilligungsqualität mit den Kennzahlen Opt-in-Quote je Zweck, Ablehnungsquote, Widerrufsquote, Beschwerdevolumen und Bearbeitungszeit für Betroffenenrechte. Dokumentieren Sie den Audit-Rhythmus und den Eskalationsweg bei wesentlichen Abweichungen. Informieren Sie das Leitungsorgan über die neue Position, die in den DSFAs ermittelten Restrisiken und den Audit-Zeitplan. Freigabeverantwortlicher: das Leitungsorgan, mit dem DPO als Schriftführer der Sitzung. Das Ergebnis dieser Phase ist eine nachhaltige Governance-Grundlage, die Personalwechsel und Produktänderungen übersteht.

Selbsttest: fünf Fragen, bevor die Aufsicht sie stellt

Verwenden Sie diesen kurzen Selbsttest auf Ihre eigene Verarbeitung. Wenn eine Antwort unsicher ist, ist die Lücke real.

• Können Sie je Verarbeitungszweck auf die konkrete Rechtsgrundlage aus Artikel 6 Absatz 1 (Buchstabe a bis f) verweisen — und die dokumentierte Bewertung vorlegen, die sie stützt?
• Falls Sie sich auf Einwilligung stützen: Ist Ihre Einwilligungseinholung wirklich granular (ein Schalter pro Zweck), aktiv eingeholt (Voreinstellung AUS, nicht fortgesetzte Nutzung), mit einem "Alles ablehnen"-Pfad in gleicher visueller Prominenz wie "Alles akzeptieren" und einem auf Antrag abrufbaren zweckbezogenen Protokoll?
• Falls Sie sich auf berechtigte Interessen stützen: Haben Sie einen dreistufigen Abwägungstest (Identifikation des Interesses, Erforderlichkeitsprüfung, Abwägung gegen Betroffenenrechte) durchgeführt und dokumentiert — und übersteht er eine Anfechtung wegen weniger eingriffsintensiver Mittel?
• Sagt Ihre Datenschutzerklärung jeder betroffenen Person je Zweck genau, auf welche Rechtsgrundlage aus Artikel 6 Sie sich für diesen Zweck stützen — anstelle generischer Sammelformulierungen?
• Haben Sie für jede Verarbeitung mit systematischer Profilbildung oder großvolumiger Verhaltensanalyse von EU-betroffenen natürlichen Personen eine DSFA nach Artikel 35 DSGVO durchgeführt und dokumentiert?

Wenn eine dieser Fragen Unsicherheit erzeugt hat: das kostenlose 10-Minuten-Assessment von Viktoria Compliance → kartiert Ihre konkrete Exposition über alle DSGVO-Module hinweg — einschließlich der Module Rechtsgrundlage, Transparenz, DSFA sowie Dienstleister und Übermittlungen, die in der LinkedIn-Entscheidung am unmittelbarsten betroffen sind — und liefert eine priorisierte Sanierungsliste, bevor eine Aufsichtsbehörde dies tut.

Häufig gestellte Fragen

Wie wurde die Höhe von 310 Mio. € berechnet?

Die Gesamtsumme von 310 Mio. € wurde als drei Bußgelder strukturiert, jedes auf Grundlage der Artikel 58 Absatz 2 Buchstabe i und Artikel 83 DSGVO. Die DPC hat in ihrer öffentlichen Pressemitteilung keine Aufschlüsselung pro Artikel veröffentlicht; der Entscheidungstext selbst enthält die detaillierte Aufteilung. Öffentlich verifiziert ist, dass die Gesamtsumme von 310 Mio. € den Feststellungen der Untersuchung zu Verstößen gegen Artikel 5 Absatz 1 Buchstabe a, Artikel 6 Absatz 1, Artikel 13 Absatz 1 Buchstabe c und Artikel 14 Absatz 1 Buchstabe c entspricht. Die Strafe fällt unter die höhere Stufe nach Artikel 83 Absatz 5 — Obergrenze 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. Der LinkedIn-Konzern liegt mit seinem Umsatz weit unter der gesetzlichen 4-%-Grenze.

Wurde eine verbindliche EDPB-Entscheidung nach Artikel 65 erlassen?

Nein. Das Verfahren nach Artikel 60 verlief ohne Einwände der betroffenen Aufsichtsbehörden. Der Beschlussentwurf wurde im Juli 2024 vorgelegt; innerhalb der gesetzlichen Frist erhob keine andere Behörde begründete Einwände. Damit wurde kein Streitbeilegungsverfahren nach Artikel 65 vor dem Europäischen Datenschutzausschuss ausgelöst. Das Ausbleiben von Einwänden bedeutet daher lediglich, dass keine betroffene Aufsichtsbehörde Artikel 65 ausgelöst hat; es darf nicht als förmliche Billigung des Betrags oder der Schwere durch den EDSA verstanden werden.

Ist die Strafe endgültig, oder könnte die Berufung sie reduzieren?

Die materiellen Feststellungen zu Verstößen gegen Artikel 5 Absatz 1 Buchstabe a, Artikel 6 Absatz 1, Artikel 13 Absatz 1 Buchstabe c und Artikel 14 Absatz 1 Buchstabe c DSGVO sind über den statutarischen Rechtsbehelf nach Section 142 nicht anfechtbar — der High Court hat dies in seinem Vorab-Urteil zu Zulassungsfragen vom 20. April 2026 bestätigt. Das weitere Verfahren umfasst noch verfassungsrechtliche und Judicial-Review-Argumente, sodass die sicherere Formulierung lautet, dass die Feststellungen während dieser Verfahren in Kraft bleiben. Die Berufung betrifft daher die Höhe der Strafe und die verfassungs- und Charta-Argumente. Eine Reduzierung ist grundsätzlich möglich; eine vollständige Aufhebung der materiellen Analyse ist höchst unwahrscheinlich. Die Anordnung zur Herstellung der Konformität nach Artikel 58 Absatz 2 Buchstabe d gilt durchgehend.

Was bedeutet das für B2B-Unternehmen, die keine Werbeplattformen sind?

Jede Organisation, die EU-betroffene natürliche Personen für Marketing, Lead-Priorisierung, Account-Scoring oder personalisierte Inhalte profiliert, ist derselben Analyse ausgesetzt, die die DPC auf LinkedIn angewandt hat. Die rechtlichen Fragen sind identisch: Welche Rechtsgrundlage nach Artikel 6 stützt die Profilbildung? Ist eine herangezogene Einwilligung wirklich freiwillig und granular? Übersteht eine herangezogene Berechtigung den Abwägungstest? Legt die Datenschutzerklärung die Rechtsgrundlage je Zweck offen? Ein B2B-SaaS-Unternehmen mit einer Account-Based-Marketing-Plattform sollte diese Entscheidung als unmittelbaren Präzedenzfall behandeln.

Gilt die DSGVO-Durchsetzung nach dem Brexit weiterhin für britische Organisationen?

Ja — auf zwei Wegen. Das UK GDPR (die britische innerstaatliche Fassung der Verordnung) sieht materiell identische Pflichten vor und wird durch das Information Commissioner's Office durchgesetzt. Die EU-DSGVO gilt weiterhin extraterritorial für britische Organisationen, die betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten betroffener Personen in der EU beobachten (Artikel 3 Absatz 2 DSGVO). Ein britisches Unternehmen, das EU-zielgerichtete verhaltensbasierte Werbung betreibt, ist beiden Regimen gleichzeitig ausgesetzt.

Wie sieht ein realistischer Compliance-Zeitrahmen für eine mittelgroße Organisation aus?

Für eine mittelgroße Organisation (50 bis 500 Beschäftigte) mit bestehendem DSGVO-Programm ist ein 90-Tage-Plan realistisch: 30 Tage zur Kartierung jeder Verarbeitungstätigkeit mit Profilbildung oder Verhaltensanalyse und Prüfung der für jede behaupteten Rechtsgrundlage; 30 Tage zur Implementierung einer granularen CMP und Neufassung der betroffenen Datenschutzerklärungen, damit die Anforderungen aus Artikel 13/14 Absatz 1 Buchstabe c erfüllt werden; 30 Tage zur Durchführung einer DSFA für die risikoreichsten Verarbeitungen und zum Aufbau des Audits der Einwilligungsqualität. Für eine Organisation, die auf einer niedrigen DSGVO-Grundlage startet, verdoppelt sich der Zeitrahmen. Das Viktoria-Compliance-Assessment liefert eine priorisierte Version dieses Plans, zugeschnitten auf die festgestellten Lücken.

Fazit: die Durchsetzung ist keine Hypothese mehr

Die LinkedIn-Entscheidung schließt einen sechsjährigen Bogen, der mit einer Beschwerde einer kleinen französischen Digitalrechtsorganisation begann und mit einer der höchsten werbebezogenen Geldbußen endete, die die irische DPC je verhängt hat. Die rechtliche Analyse, die die DPC angewandt hat, ist mittlerweile fest in der EuGH-Rechtsprechung und der Aufsichtspraxis verankert. Die technischen und organisatorischen Kontrollen, die den Verstoß verhindert hätten, sind gut dokumentiert, weit verfügbar und gemessen an der Strafe von bescheidenem Aufwand. Die Aufsichtsbehörden, die früher als nachsichtig galten, haben mit dieser und anderen Entscheidungen gezeigt, dass die nachsichtige Ära vorbei ist. Die Frage für jeden Verantwortlichen, der verhaltensbasiertes Profiling, personalisiertes Marketing, Lead-Scoring oder eine andere systematische Verarbeitung von EU-Daten betreibt, lautet nicht mehr, ob die Aufsicht irgendwann hinsehen wird. Die Frage ist, ob die Sanierung abgeschlossen ist, bevor — oder nachdem — die Aufsicht hinsieht.

Quellen (Primärdokumente)

• Irische Datenschutzkommission, Pressemitteilung vom 24. Oktober 2024 — "Irish Data Protection Commission fines LinkedIn Ireland €310 million" — https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million
• Irische Datenschutzkommission, Entscheidungsseite — "Inquiry into LinkedIn Ireland Unlimited Company - October 2024" — https://www.dataprotection.ie/en/dpc-guidance/law/decisions-made-under-data-protection-act-2018/linkedin-ireland-unlimited-company-october-2024
• Irische Datenschutzkommission, Endgültige Entscheidung (PDF), 22. Oktober 2024 — https://www.dataprotection.ie/sites/default/files/uploads/2024-12/LinkedIn-Final-Decision-IN-18-08-3-Redacted.pdf
• Irische Datenschutzkommission, Register der Geldbußen mit Berufungsstatus — https://www.dataprotection.ie/en/dpc-guidance/decisions/fines
• LinkedIn News, offizielle Reaktion vom 24. Oktober 2024 — "Our Response to the Irish Data Protection Commission's Decision" — https://news.linkedin.com/2024/October/Our-Response-to-the-Irish-Data-Protection-Commissions-Decision
• The Irish Times, "Microsoft-owned LinkedIn fined €310m by Irish Data Protection Commission", 24. Oktober 2024 — https://www.irishtimes.com/business/2024/10/24/microsoft-owned-linkedin-fined-310m-by-irish-data-protection-commission/
• The Irish Times, "LinkedIn claims data watchdog's €310m fine is 'penal' sanction", 16. Dezember 2024 — https://www.irishtimes.com/business/2024/12/16/linkedin-claims-data-watchdogs-310m-fine-is-penal-sanction/
• Irish Legal News, "High Court: Court determines preliminary issues in LinkedIn appeal of 2024 DPC decision" — https://www.irishlegal.com/articles/high-court-court-determines-preliminary-issues-in-linkedin-appeal-of-2024-dpc-decision
• Irischer High Court, LinkedIn Ireland Unlimited Company gegen Data Protection Commission [2026] IEHC 235 — https://www.bailii.org/ie/cases/IEHC/2026/2026IEHC235.html
• Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) — Artikel 5, 6, 13, 14, 35, 58, 60, 83 — https://eur-lex.europa.eu/eli/reg/2016/679/oj
• EuGH, Rechtssache C-604/22, IAB Europe gegen Gegevensbeschermingsautoriteit, Urteil vom 7. März 2024 — https://curia.europa.eu/juris/document/document.jsf?docid=283529
• EuGH, Rechtssache C-252/21, Meta Platforms Inc. u. a. gegen Bundeskartellamt, Urteil vom 4. Juli 2023 — https://curia.europa.eu/juris/document/document.jsf?docid=275125
• La Quadrature du Net — Personal-Data-Kampagnenseite — https://www.laquadrature.net/en/personnal-data/
• La Quadrature du Net — Bekanntmachung der ursprünglichen GAFAM-Beschwerden (28. Mai 2018) — https://www.laquadrature.net/2018/05/28/depot_plainte_gafam/
• Europäischer Datenschutzausschuss, Stellungnahme 08/2024 zu wirksamer Einwilligung im Kontext von "Consent-or-Pay"-Modellen (angenommen am 17. April 2024) — https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or-pay_en

Weiterlesen

Die LinkedIn-Entscheidung ist ein Knoten in einem eng verbundenen Geflecht aktueller EU-Regulierungsentwicklungen. Die folgenden Artikel decken die verbundenen Themen ab — beginnen Sie mit demjenigen, der Ihrem aktuellen Anliegen am nächsten kommt.

• Dark Patterns und Cookie-Einwilligung 2026 — der UX-Fehler von LinkedIn ist dieselbe Architektur, die zu Cookie-Banner-Durchsetzungen führt. Die Tiefenanalyse zu konformen Einwilligungsabläufen. (/blog/dark-patterns-cookies-2026)
• DSGVO-Artikel 22 trifft die KI-Verordnung: Automatisierte Entscheidungen 2026 — verhaltensbasierte Werbung ist automatisierte Profilbildung, und ab dem 2. August 2026 legt die KI-Verordnung ein zweites Compliance-Regime darüber. Hier formt sich die nächste große Durchsetzungswelle. (/blog/gdpr-art22-ai-act-automated-decisions-2026)
• Die KI-Inventur-Frist 2. August 2026 — wer Zielgruppensteuerung, Scoring oder Personalisierung betreibt, braucht vor Anwendung der KI-Verordnung ein KI-Inventar. So baut man eines auf. (/blog/ai-inventory-deadline-august-2026)
• NIS2-Umsetzungsstatus in der gesamten EU 2026 — Big-Tech-Durchsetzung ist die Schlagzeile; NIS2 ist die nächste Durchsetzungswelle, die mittelgroße und KMU-Organisationen in allen 27 Mitgliedstaaten erreicht. (/blog/nis2-transposition-status-eu-2026)
• DSGVO + NIS2 + KI-Verordnung: der integrierte Compliance-Stack — drei isolierte Compliance-Programme zu betreiben ist teurer, als ein integriertes Programm zu führen. Hier die strategische Architektur. (/blog/gdpr-nis2-ai-act-integrated-compliance-2026)