Die Daten­schutz­richt­li­nie sowie die AGBs von Lin­kedIn vor dem Hin­ter­grund deut­scher Daten­schutz­be­stim­mun­gen

In fol­gen­dem Arti­kel soll unter­sucht wer­den, wie und in wel­chem Rah­men deut­sche Daten­schutz­be­stim­mun­gen im Ange­bot des Inter­net­un­ter­neh­mens Lin­kedIn befolgt bezie­hungs­wei­se berück­sich­tigt wer­den. Bei Lin­kedIn (Lin​kedIn​.com) han­delt es sich um eine Soci­al-Media Platt­form die es Mit­glie­dern ermög­licht, beruf­li­che Kon­tak­te zu knüp­fen und zu pfle­gen, nach Jobs in bestimm­ten Bran­chen zu suchen, mit Arbeit­ge­bern in Kon­takt zu tre­ten und sich auf Jobs zu bewer­ben.

Für das Erstel­len eines per­sön­li­chen Pro­fils bei Lin­kedIn ist zunächst nur das Ange­ben des Vor- und Nach­na­mens, einer Email­adres­se und/​oder Han­dy­num­mer sowie das Ein­rich­ten eines Pass­wor­tes erfor­der­lich. Um sich für Arbeit­ge­ber zu pro­fi­lie­ren gibt es jedoch eine brei­te Aus­wahl an beruf­li­chen und per­sön­li­chen Infor­ma­ti­ons­ka­te­go­ri­en, mit denen man sein Pro­fil ver­voll­stän­di­gen kann.

Hier­zu zäh­len Pro­fil­fo­to, Geburts­da­tum, Geburts­ort, Wohn­ort, alle Arten von Bil­dungs­ab­schlüs­sen inklu­si­ve besuch­ter Bil­dungs­ein­rich­tun­gen, aktu­el­le und vor­he­ri­ge Arbeit­ge­ber, sons­ti­ge beruf­li­che Qua­li­fi­ka­tio­nen, Zer­ti­fi­ka­te, Test­ergeb­nis­se, Publi­ka­tio­nen, Pro­jek­te, Mit­glied­schaft in Orga­ni­sa­tio­nen, per­sön­li­che Inter­es­sen und eini­ge ande­re1. Wei­ter­hin lässt sich Lin­kedIn mit bestimm­ten ande­ren Soci­al-Media Ange­bo­ten, Ihrer Tele­fon- oder Email­kon­takt­lis­te und elek­tro­ni­schen Kalen­dern kop­peln², des Wei­te­ren wer­den Infor­ma­tio­nen über Akti­vi­tä­ten auf Lin­kedIn mit Hil­fe diver­ser Tech­no­lo­gi­en wie zum Bei­spiel Coo­kies erfasst.

Es besteht also die Mög­lich­keit, eine gro­ße Men­ge per­sön­li­cher Daten bei Lin­kedIn zu hin­ter­le­gen, von der auch sicher­lich ein Groß­teil der 364 Mil­lio­nen Mit­glie­der welt­weit³ Gebrauch machen. Aus die­sem Grund ist es sinn­voll zu über­prü­fen, inwie­fern bezüg­lich die­ser Daten der Lega­li­täts­rah­men des deut­schen Daten­schutz­ge­set­zes ein­ge­hal­ten wird.

Das deut­sche Daten­schutz­ge­setz unter­schei­det streng zwi­schen öffent­li­chen und pri­va­ten Stel­len sowie zwi­schen Stel­len inner­halb und außer­halb der Euro­päi­schen Uni­on. Für Fir­men, die inner­halb der euro­päi­schen Mit­glieds­län­der ange­sie­delt sind gilt euro­päi­sches Daten­schutz­recht, für Unter­neh­men mit Nie­der­las­sung außer­halb der EU gilt das deut­sche Daten­schutz­recht4.

Bei Lin­kedIn han­delt es sich um ein pri­va­tes Unter­neh­men mit dem Haupt­sitz in 2029 Stier­lin Court Moun­tain View, CA 94043, USA5. Laut Arti­kel 25 und 26 der euro­päi­schen Daten­schutz­richt­li­nie6 ist das Über­mit­teln per­so­nen­be­zo­ge­ner Daten an Dritt­län­der außer­halb der EU ohne ver­gleich­ba­re Daten­schutz­re­ge­lun­gen ver­bo­ten. Eine Aus­nah­me­re­ge­lung bil­det jedoch das „Safe-Har­bor“ Abkom­men, dem US-ame­ri­ka­ni­sche Unter­neh­men bei­tre­ten kön­nen, indem sie sich selbst einen aus­rei­chen­den Daten­schutz zer­ti­fi­zie­ren und bestimm­te Anfor­de­run­gen erfüllt, wie die Infor­ma­ti­ons­pflicht über die Daten­er­he­bung von Pri­vat­per­so­nen und die Kate­go­ri­en von Drit­ten, an die per­sön­li­che Daten wei­ter­ge­ge­ben wer­den.

Wei­te­ren Schutz neben der Selbst­zer­ti­fi­zie­rung und der Infor­ma­ti­ons­pflicht des Unter­neh­mens bie­tet das Abkom­men jedoch nicht. Lin­kedIn ist Teil des „Safe Harbor“-Abkommens7. In der Daten­schutz­richt­li­nie von Lin­kedIn ist das Erfas­sen, Ver­ar­bei­ten und Nut­zen der im Pro­fil ange­ge­be­nen per­so­nen­be­zo­ge­nen Daten sowie das Erfas­sen von Infor­ma­tio­nen bei der Ver­wen­dung des Kon­tos ein­deu­tig als Teil der Ver­ein­ba­rung defi­niert. Indem der Nut­zer den Daten­schutz­richt­li­ni­en zustimmt wird die­se Pra­xis in sei­nem Fall für Lin­kedIn nach deut­schen Daten­schutz­recht legal (Erlaub­nis­ein­ho­lung, DDG §4, Absatz 1)8. Das Ver­ar­bei­ten und Über­tra­gen von Daten an Drit­te wird eben­falls in der Daten­schutz­richt­li­nie defi­niert.

Im End­ef­fekt wer­den bis auf zwei Pro­ble­me alle daten­schutz­re­le­van­ten Schwie­rig­kei­ten über die Daten­schutz­richt­li­nie und die Erlaub­nis­ein­ho­lung gere­gelt.

Das ers­te Pro­blem betrifft die soge­nann­ten „Soci­al Plugins“, im Fal­le von Lin­kedIn einen „fol­low-“ und einen „sha­re-“ But­ton die es ermög­li­chen, eine aktu­ell besuch­te Sei­te im Lin­kedIn-Netz­werk zu tei­len9, wie man es z.B. auch von Face­book oder Twit­ter kennt. Soci­al Plugin-But­tons fin­den sich auf einer ste­tig wach­sen­den Anzahl von Web­sites. Die Grund­pro­ble­ma­tik besteht dar­in, dass sol­che But­tons in einem soge­nann­ten iFrame in die Sei­te ein­ge­bun­den wer­den, wel­che jedoch nicht von der besuch­ten Web­site, son­dern von Plugin-Anbie­tern (also Face­book, Twit­ter oder auch Lin­kedIn) stammt. Die­se sen­den Daten wie die URL der besuch­ten Web­site an den Anbie­ter, auch wenn man den But­ton nicht ange­klickt hat10. Ist man zu die­sem Zeit­punkt auch noch im ent­spre­chen­den Netz­werk ein­ge­loggt wird die Iden­ti­tät des Betrof­fe­nen eben­falls über­mit­telt. Dies fin­det auto­ma­ti­siert statt, der Nut­zer wird nicht nach sei­nem Ein­ver­ständ­nis bezüg­lich der Daten­über­mitt­lung gefragt und wider­spricht somit dem deut­schen Daten­schutz­ge­setz.

Die zwei­te Pro­ble­ma­tik betrifft Lin­kedIn genau­so wie alle ande­ren Unter­neh­men mit Sitz in den Ver­ei­nig­ten Staa­ten von Ame­ri­ka. Zwar ver­pflich­tet sich das Unter­neh­men durch das „Safe Harbor“-Abkommen zum Daten­schutz, jedoch sind alle ame­ri­ka­ni­schen Unter­neh­men durch den „Patri­ot Act“ seit dem 25. Okto­ber 2001 ver­pflich­tet, ame­ri­ka­ni­schen Geheim­diens­ten den Zugriff auf ihre Daten­spei­cher zu gewäh­ren11. Hier­bei müs­sen die Geheim­diens­te wie CIA, FBI oder NSA das betrof­fe­ne Unter­neh­men nicht über die abge­grif­fe­nen Daten unter­rich­ten. Dies ver­stößt sowohl gegen deut­sches als auch euro­päi­sches Daten­schutz­recht und wäre damit im Ein­zel­fall wohl ein Fall für die Jus­tiz; seit den Ent­hül­lun­gen von Edward Snow­den kann jedoch davon aus­ge­gan­gen wer­den, dass sämt­li­che Daten kon­ti­nu­ier­lich abge­grif­fen wer­den. Dies ist jedoch ein Umstand, der nicht dem Unter­neh­men selbst, son­dern nur der ame­ri­ka­ni­schen Regie­rung ange­rech­net wer­den kann.

In mei­nem per­sön­li­chen Fazit muss ich fest­stel­len, dass das Ange­bot von Lin­kedIn mit dem deut­schen Daten­schutz­ge­setz nicht zu 100% kon­form ist, was mich nach der Teil­nah­me an dem Daten­schutz­se­mi­nar aller­dings kaum über­rascht. Wie bei den meis­ten gro­ßen Soci­al Media Anbie­tern bleibt es in der Hand der Ein­zel­per­son, ob und wie vie­le Daten sie preis­ge­ben möch­te. Ich selbst bin nicht bei Lin­kedIn ange­mel­det und habe dar­an auch kein Inter­es­se. Per­so­nen, die ein der­ar­ti­ges Ange­bot wahr­neh­men möch­ten und die am Schutz ihrer Daten inter­es­siert sind wür­de ich emp­feh­len sich zu infor­mie­ren, ob das Ange­bot des deut­schen Unter­neh­mens „XING“ im Hin­blick auf Daten­si­cher­heit womög­lich bes­ser geeig­net ist auch da Lin­kedIn in der Ver­gan­gen­heit wegen man­geln­der Sicher­heit und Daten­schutz in der Kri­tik stand12.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit“ von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

Hin­weis Klaus Düll:

Nach dem EuGH Urteil vom 06.10.2015 zu Safe Har­bor ist unstrit­tig, dass die Nut­zung von Lin­kedIn nicht euro­päi­schem /​deut­schen Daten­schutz­recht ent­spricht. Ob XING eine wirk­lich gute Alter­na­ti­ve ist muss der Leser beur­tei­len, wenn er Arti­kel zu XING hier im Blog gele­sen hat — bit­te dafür ein­fach „XING” im Such­feld ein­ge­ben.

Quel­len

Ande­re inter­es­san­te Bei­trä­ge:
datomo MDM 3.31 – Neu­es Update mit inte­grier­ter Goog­le Play Store Ver­wal­tung und Unter­stüt­zung vom Apple Busi­ness Mana­ger
Das neue Release 3.31 von datomo MDM zeich­net u.a. durch die Unter­stüt­zung des Apple Busi­ness Mana­gers sowie des Goog­le Enter­pri­se Device Owner mit ver­wal­te­ten Goog­le Play Store und Goog­le COPE Modell aus. Dar­über hin­aus ermög­licht die neue menü­ge­führ­te Gerä­te­re­gis­trie­rung über Hash­tag, NFC und Q…
Viel­fäl­ti­ge Kon­fi­gu­ra­ti­ons­mög­lich­kei­ten der Sicher­heits­richt­li­nie in datomo MDM
datomo MDM bie­tet unzäh­li­ge Mög­lich­kei­ten, eine Sicher­heits­richtin­ie für mobi­le Gerä­te zu defi­nie­ren. Die Sicher­heits­richt­li­nie ist das Herz­stück für die Ver­wal­tung von Ein­stel­lun­gen (Restrik­tio­nen für Anwen­dun­gen, Hard­ware, Mobil­funk usw.) auf den mobi­len End­ge­rä­ten. Jedes Gerät, das in datomo MDM …
datomo MDM: Anders, mehr und bes­ser – Was spricht für eine deut­sche Lösung? Unser neu­es White­pa­per
Wir haben die aktu­el­le Dis­kus­si­on um den Data­ga­te-Skan­dal zum Anlass genom­men, unser bereits bestehen­des White­pa­per mit dem Titel: ‘datomo MDM — Anders, mehr und bes­ser – Grün­de für eine deut­sche Lösung’ zu über­ar­bei­ten. Wir freu­en uns, Ihnen die­ses nach der jüngs­ten Ver­öf­fent­li­chung des neu­en White…
MDM-Wiki: Unser Lexi­kon zu Mobi­le Device Manage­ment wächst — 50 Arti­kel beant­wor­ten die meis­ten Fra­gen
Mobi­le Device Manage­ment ist ein kom­ple­xes The­ma, was zum einen noch sehr jung ist und zum ande­ren kom­pli­zier­ter als vie­le ande­re bekann­te The­men der IT ist und erscheint. Ich wur­de im Janu­ar auf die­ses The­ma gesto­ßen, als einer unse­rer Anwen­der mir sag­te, dass er kein ver­nünf­ti­ges Infor­ma­ti­ons­an­geb…
Mög­lich­kei­ten der Benut­zer­ver­wal­tung in datomo MDM
In Zukunft wer­den wir in die­sem Blog eine klei­ne­re Arti­kel­se­rie star­ten, in der wir Sie über immer wie­der­keh­ren­de Fra­gen unse­rer Anwen­der infor­mie­ren, die uns tag­täg­lich in Bezug auf die datomo MDM Lösung gestellt wer­den. Eine die­ser Fra­gen lau­tet zum Bei­spiel: Wel­che Mög­lich­kei­ten der …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.