Die Daten­schutz­richt­li­nie sowie die AGBs von Lin­kedIn vor dem Hin­ter­grund deut­scher Daten­schutz­be­stim­mun­gen

In fol­gen­dem Arti­kel soll unter­sucht wer­den, wie und in wel­chem Rah­men deut­sche Daten­schutz­be­stim­mun­gen im Ange­bot des Inter­net­un­ter­neh­mens Lin­kedIn befolgt bezie­hungs­wei­se berück­sich­tigt wer­den. Bei Lin­kedIn (Lin​kedIn​.com) han­delt es sich um eine Social-Media Platt­form die es Mit­glie­dern ermög­licht, beruf­li­che Kon­tak­te zu knüp­fen und zu pfle­gen, nach Jobs in bestimm­ten Bran­chen zu suchen, mit Arbeit­ge­bern in Kon­takt zu tre­ten und sich auf Jobs zu bewer­ben.

Für das Erstel­len eines per­sön­li­chen Pro­fils bei Lin­kedIn ist zunächst nur das Ange­ben des Vor- und Nach­na­mens, einer Email­adres­se und/​oder Han­dy­num­mer sowie das Ein­rich­ten eines Pass­wor­tes erfor­der­lich. Um sich für Arbeit­ge­ber zu pro­fi­lie­ren gibt es jedoch eine brei­te Aus­wahl an beruf­li­chen und per­sön­li­chen Infor­ma­ti­ons­ka­te­go­rien, mit denen man sein Pro­fil ver­voll­stän­di­gen kann.

Hier­zu zäh­len Pro­fil­fo­to, Geburts­da­tum, Geburts­ort, Wohn­ort, alle Arten von Bil­dungs­ab­schlüs­sen inklu­si­ve besuch­ter Bil­dungs­ein­rich­tun­gen, aktu­el­le und vor­he­ri­ge Arbeit­ge­ber, sons­ti­ge beruf­li­che Qua­li­fi­ka­tio­nen, Zer­ti­fi­ka­te, Test­ergeb­nis­se, Publi­ka­tio­nen, Pro­jek­te, Mit­glied­schaft in Orga­ni­sa­tio­nen, per­sön­li­che Inter­es­sen und eini­ge ande­re1. Wei­ter­hin lässt sich Lin­kedIn mit bestimm­ten ande­ren Social-Media Ange­bo­ten, Ihrer Tele­fon- oder Email­kon­takt­lis­te und elek­tro­ni­schen Kalen­dern kop­peln², des Wei­te­ren wer­den Infor­ma­tio­nen über Akti­vi­tä­ten auf Lin­kedIn mit Hil­fe diver­ser Tech­no­lo­gien wie zum Bei­spiel Coo­kies erfasst.

Es besteht also die Mög­lich­keit, eine gro­ße Men­ge per­sön­li­cher Daten bei Lin­kedIn zu hin­ter­le­gen, von der auch sicher­lich ein Groß­teil der 364 Mil­lio­nen Mit­glie­der welt­wei­t³ Gebrauch machen. Aus die­sem Grund ist es sinn­voll zu über­prü­fen, inwie­fern bezüg­lich die­ser Daten der Lega­li­täts­rah­men des deut­schen Daten­schutz­ge­set­zes ein­ge­hal­ten wird.

Das deut­sche Daten­schutz­ge­setz unter­schei­det streng zwi­schen öffent­li­chen und pri­va­ten Stel­len sowie zwi­schen Stel­len inner­halb und außer­halb der Euro­päi­schen Uni­on. Für Fir­men, die inner­halb der euro­päi­schen Mit­glieds­län­der ange­sie­delt sind gilt euro­päi­sches Daten­schutz­recht, für Unter­neh­men mit Nie­der­las­sung außer­halb der EU gilt das deut­sche Daten­schutz­recht4.

Bei Lin­kedIn han­delt es sich um ein pri­va­tes Unter­neh­men mit dem Haupt­sitz in 2029 Stier­lin Court Moun­tain View, CA 94043, USA5. Laut Arti­kel 25 und 26 der euro­päi­schen Daten­schutz­richt­li­nie6 ist das Über­mit­teln per­so­nen­be­zo­ge­ner Daten an Dritt­län­der außer­halb der EU ohne ver­gleich­ba­re Daten­schutz­re­ge­lun­gen ver­bo­ten. Eine Aus­nah­me­re­ge­lung bil­det jedoch das „Safe-Har­bor“ Abkom­men, dem US-ame­ri­ka­ni­sche Unter­neh­men bei­tre­ten kön­nen, indem sie sich selbst einen aus­rei­chen­den Daten­schutz zer­ti­fi­zie­ren und bestimm­te Anfor­de­run­gen erfüllt, wie die Infor­ma­ti­ons­pflicht über die Daten­er­he­bung von Pri­vat­per­so­nen und die Kate­go­rien von Drit­ten, an die per­sön­li­che Daten wei­ter­ge­ge­ben wer­den.

Wei­te­ren Schutz neben der Selbst­zer­ti­fi­zie­rung und der Infor­ma­ti­ons­pflicht des Unter­neh­mens bie­tet das Abkom­men jedoch nicht. Lin­kedIn ist Teil des „Safe Harbor“-Abkommens7. In der Daten­schutz­richt­li­nie von Lin­kedIn ist das Erfas­sen, Ver­ar­bei­ten und Nut­zen der im Pro­fil ange­ge­be­nen per­so­nen­be­zo­ge­nen Daten sowie das Erfas­sen von Infor­ma­tio­nen bei der Ver­wen­dung des Kon­tos ein­deu­tig als Teil der Ver­ein­ba­rung defi­niert. Indem der Nut­zer den Daten­schutz­richt­li­ni­en zustimmt wird die­se Pra­xis in sei­nem Fall für Lin­kedIn nach deut­schen Daten­schutz­recht legal (Erlaub­nis­ein­ho­lung, DDG §4, Absatz 1)8. Das Ver­ar­bei­ten und Über­tra­gen von Daten an Drit­te wird eben­falls in der Daten­schutz­richt­li­nie defi­niert.

Im End­ef­fekt wer­den bis auf zwei Pro­ble­me alle daten­schutz­re­le­van­ten Schwie­rig­kei­ten über die Daten­schutz­richt­li­nie und die Erlaub­nis­ein­ho­lung gere­gelt.

Das ers­te Pro­blem betrifft die soge­nann­ten „Social Plugins“, im Fal­le von Lin­kedIn einen „fol­low-“ und einen „share-“ But­ton die es ermög­li­chen, eine aktu­ell besuch­te Sei­te im Lin­kedIn-Netz­werk zu tei­len9, wie man es z.B. auch von Face­book oder Twit­ter kennt. Social Plugin-But­tons fin­den sich auf einer ste­tig wach­sen­den Anzahl von Web­sites. Die Grund­pro­ble­ma­tik besteht dar­in, dass sol­che But­tons in einem soge­nann­ten iFrame in die Sei­te ein­ge­bun­den wer­den, wel­che jedoch nicht von der besuch­ten Web­site, son­dern von Plugin-Anbie­tern (also Face­book, Twit­ter oder auch Lin­kedIn) stammt. Die­se sen­den Daten wie die URL der besuch­ten Web­site an den Anbie­ter, auch wenn man den But­ton nicht ange­klickt hat10. Ist man zu die­sem Zeit­punkt auch noch im ent­spre­chen­den Netz­werk ein­ge­loggt wird die Iden­ti­tät des Betrof­fe­nen eben­falls über­mit­telt. Dies fin­det auto­ma­ti­siert statt, der Nut­zer wird nicht nach sei­nem Ein­ver­ständ­nis bezüg­lich der Daten­über­mitt­lung gefragt und wider­spricht somit dem deut­schen Daten­schutz­ge­setz.

Die zwei­te Pro­ble­ma­tik betrifft Lin­kedIn genau­so wie alle ande­ren Unter­neh­men mit Sitz in den Ver­ei­nig­ten Staa­ten von Ame­ri­ka. Zwar ver­pflich­tet sich das Unter­neh­men durch das „Safe Harbor“-Abkommen zum Daten­schutz, jedoch sind alle ame­ri­ka­ni­schen Unter­neh­men durch den „Patri­ot Act“ seit dem 25. Okto­ber 2001 ver­pflich­tet, ame­ri­ka­ni­schen Geheim­diens­ten den Zugriff auf ihre Daten­spei­cher zu gewäh­ren11. Hier­bei müs­sen die Geheim­diens­te wie CIA, FBI oder NSA das betrof­fe­ne Unter­neh­men nicht über die abge­grif­fe­nen Daten unter­rich­ten. Dies ver­stößt sowohl gegen deut­sches als auch euro­päi­sches Daten­schutz­recht und wäre damit im Ein­zel­fall wohl ein Fall für die Jus­tiz; seit den Ent­hül­lun­gen von Edward Snow­den kann jedoch davon aus­ge­gan­gen wer­den, dass sämt­li­che Daten kon­ti­nu­ier­lich abge­grif­fen wer­den. Dies ist jedoch ein Umstand, der nicht dem Unter­neh­men selbst, son­dern nur der ame­ri­ka­ni­schen Regie­rung ange­rech­net wer­den kann.

In mei­nem per­sön­li­chen Fazit muss ich fest­stel­len, dass das Ange­bot von Lin­kedIn mit dem deut­schen Daten­schutz­ge­setz nicht zu 100% kon­form ist, was mich nach der Teil­nah­me an dem Daten­schutz­se­mi­nar aller­dings kaum über­rascht. Wie bei den meis­ten gro­ßen Social Media Anbie­tern bleibt es in der Hand der Ein­zel­per­son, ob und wie vie­le Daten sie preis­ge­ben möch­te. Ich selbst bin nicht bei Lin­kedIn ange­mel­det und habe dar­an auch kein Inter­es­se. Per­so­nen, die ein der­ar­ti­ges Ange­bot wahr­neh­men möch­ten und die am Schutz ihrer Daten inter­es­siert sind wür­de ich emp­feh­len sich zu infor­mie­ren, ob das Ange­bot des deut­schen Unter­neh­mens „XING“ im Hin­blick auf Daten­si­cher­heit womög­lich bes­ser geeig­net ist auch da Lin­kedIn in der Ver­gan­gen­heit wegen man­geln­der Sicher­heit und Daten­schutz in der Kri­tik stand12.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit“ von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

Hin­weis Klaus Düll:

Nach dem EuGH Urteil vom 06.10.2015 zu Safe Har­bor ist unstrit­tig, dass die Nut­zung von Lin­kedIn nicht euro­päi­schem /​deut­schen Daten­schutz­recht ent­spricht. Ob XING eine wirk­lich gute Alter­na­ti­ve ist muss der Leser beur­tei­len, wenn er Arti­kel zu XING hier im Blog gele­sen hat — bit­te dafür ein­fach „XING” im Such­feld ein­ge­ben.

Quel­len

Ande­re inter­es­san­te Bei­trä­ge:
MDM-Essen­ti­als — Mobi­le Device Manage­ment: Wie macht man einen Ver­gleich?
Ich wer­de immer wie­der gefragt, wie man am bes­ten Mobi­le Device Manage­ment Sys­te­me ver­glei­chen kann. Die ein­fa­che und ehr­li­che Ant­wort lau­tet: indem man sich die Zeit nimmt, eini­ge Sys­te­me selbst zu ver­glei­chen. Die Beto­nung liegt auf selbst! Denn kaum ein Markt ist intrans­pa­ren­ter und dyna­mi­scher a…
Mobi­le Device Manage­ment — Vor­sicht vor US-Anbie­tern
Ein Kom­men­tar von Klaus Düll in Mobi­le Busi­ness 5.15 Die aktu­el­le Aus­ga­be von Mobi­le Busi­ness 5.15 befasst sich in einem Schwer­punkt­the­ma mit Device Manage­ment und der Fra­ge der Stand­ort­vor­tei­le deut­scher MDM-Her­stel­ler. In die­sem Zusam­men­hang erschien in die­sem Heft ein Kom­men­tar von Klaus Düll, d…
Wir haben umge­baut — Pre­tio­so Blog mit neu­er Navi­ga­ti­on für die 75 Bei­trä­ge in „Alles zu MDM” und man­ches mehr
Am 8. Juni 2012 hat­ten wir im Bereich ‘Alles zu MDM’ 50 Arti­kel erreicht und es war uns auf­ge­fal­len, dass wir die­sen Fun­dus zu unüber­sicht­lich prä­sen­tier­ten. Inso­fern haben wir uns seit­dem Gedan­ken gemacht, wie wir den mitt­ler­wei­le auf 75 Arti­kel ange­wach­se­nen Bereich leser­freund­li­cher struk­tu­rie­ren…
Black­Ber­ry Enter­pri­se Ser­vice 10 — Das ist nichts Neu­es!
Seit heu­te früh blub­bert durch das Netz der Black­Ber­ry Enter­pri­se Ser­vice 10 als die gro­ße Neu­ig­keit. Um es auf den Punkt zu brin­gen: Nichts ist neu und nichts ver­dient die Bezeich­nung Black­Ber­ry Enter­pri­se Ser­vice 10, denn der Black­Ber­ry Enter­pri­se Ser­vice 10 ist nach wie vor nichts ande­res als ein…
Android in Unter­neh­men — Da hal­ten wir den Deckel drauf, das füh­ren wird nicht ein …
… schall­te es mir heu­te bei einem unse­rer Ham­bur­ger Kun­den ent­ge­gen. Wir waren zu einem Kurz­work­shop zum The­ma App-Stra­te­gie für iOS zusam­men­ge­kom­men und mir saß das ver­sam­mel­te Mobi­li­ty-Know­how die­ses Kun­den gegen­über. Das Unter­neh­men erwei­tert der­zeit eine vie­le Jah­re gut gema­nag­te Black­Ber­ry-Lö…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.