Die Daten­schutz­richt­li­nie sowie die AGBs von Lin­kedIn vor dem Hin­ter­grund deut­scher Datenschutzbestimmungen

In fol­gen­dem Arti­kel soll unter­sucht wer­den, wie und in wel­chem Rah­men deut­sche Daten­schutz­be­stim­mun­gen im Ange­bot des Inter­net­un­ter­neh­mens Lin­kedIn befolgt bezie­hungs­wei­se berück­sich­tigt wer­den. Bei Lin­kedIn (Lin​kedIn​.com) han­delt es sich um eine Social-Media Platt­form die es Mit­glie­dern ermög­licht, beruf­li­che Kon­tak­te zu knüp­fen und zu pfle­gen, nach Jobs in bestimm­ten Bran­chen zu suchen, mit Arbeit­ge­bern in Kon­takt zu tre­ten und sich auf Jobs zu bewerben.

Für das Erstel­len eines per­sön­li­chen Pro­fils bei Lin­kedIn ist zunächst nur das Ange­ben des Vor- und Nach­na­mens, einer Email­adres­se und/​oder Han­dy­num­mer sowie das Ein­rich­ten eines Pass­wor­tes erfor­der­lich. Um sich für Arbeit­ge­ber zu pro­fi­lie­ren gibt es jedoch eine brei­te Aus­wahl an beruf­li­chen und per­sön­li­chen Infor­ma­ti­ons­ka­te­go­rien, mit denen man sein Pro­fil ver­voll­stän­di­gen kann.

Hier­zu zäh­len Pro­fil­fo­to, Geburts­da­tum, Geburts­ort, Wohn­ort, alle Arten von Bil­dungs­ab­schlüs­sen inklu­si­ve besuch­ter Bil­dungs­ein­rich­tun­gen, aktu­el­le und vor­he­ri­ge Arbeit­ge­ber, sons­ti­ge beruf­li­che Qua­li­fi­ka­tio­nen, Zer­ti­fi­ka­te, Test­ergeb­nis­se, Publi­ka­tio­nen, Pro­jek­te, Mit­glied­schaft in Orga­ni­sa­tio­nen, per­sön­li­che Inter­es­sen und eini­ge ande­re1. Wei­ter­hin lässt sich Lin­kedIn mit bestimm­ten ande­ren Social-Media Ange­bo­ten, Ihrer Tele­fon- oder Email­kon­takt­lis­te und elek­tro­ni­schen Kalen­dern kop­peln², des Wei­te­ren wer­den Infor­ma­tio­nen über Akti­vi­tä­ten auf Lin­kedIn mit Hil­fe diver­ser Tech­no­lo­gien wie zum Bei­spiel Coo­kies erfasst.

Es besteht also die Mög­lich­keit, eine gro­ße Men­ge per­sön­li­cher Daten bei Lin­kedIn zu hin­ter­le­gen, von der auch sicher­lich ein Groß­teil der 364 Mil­lio­nen Mit­glie­der welt­wei­t³ Gebrauch machen. Aus die­sem Grund ist es sinn­voll zu über­prü­fen, inwie­fern bezüg­lich die­ser Daten der Lega­li­täts­rah­men des deut­schen Daten­schutz­ge­set­zes ein­ge­hal­ten wird.

Das deut­sche Daten­schutz­ge­setz unter­schei­det streng zwi­schen öffent­li­chen und pri­va­ten Stel­len sowie zwi­schen Stel­len inner­halb und außer­halb der Euro­päi­schen Uni­on. Für Fir­men, die inner­halb der euro­päi­schen Mit­glieds­län­der ange­sie­delt sind gilt euro­päi­sches Daten­schutz­recht, für Unter­neh­men mit Nie­der­las­sung außer­halb der EU gilt das deut­sche Daten­schutz­recht4.

Bei Lin­kedIn han­delt es sich um ein pri­va­tes Unter­neh­men mit dem Haupt­sitz in 2029 Stier­lin Court Moun­tain View, CA 94043, USA5. Laut Arti­kel 25 und 26 der euro­päi­schen Daten­schutz­richt­li­nie6 ist das Über­mit­teln per­so­nen­be­zo­ge­ner Daten an Dritt­län­der außer­halb der EU ohne ver­gleich­ba­re Daten­schutz­re­ge­lun­gen ver­bo­ten. Eine Aus­nah­me­re­ge­lung bil­det jedoch das „Safe-Har­bor“ Abkom­men, dem US-ame­ri­ka­ni­sche Unter­neh­men bei­tre­ten kön­nen, indem sie sich selbst einen aus­rei­chen­den Daten­schutz zer­ti­fi­zie­ren und bestimm­te Anfor­de­run­gen erfüllt, wie die Infor­ma­ti­ons­pflicht über die Daten­er­he­bung von Pri­vat­per­so­nen und die Kate­go­rien von Drit­ten, an die per­sön­li­che Daten wei­ter­ge­ge­ben werden.

Wei­te­ren Schutz neben der Selbst­zer­ti­fi­zie­rung und der Infor­ma­ti­ons­pflicht des Unter­neh­mens bie­tet das Abkom­men jedoch nicht. Lin­kedIn ist Teil des „Safe Harbor“-Abkommens7. In der Daten­schutz­richt­li­nie von Lin­kedIn ist das Erfas­sen, Ver­ar­bei­ten und Nut­zen der im Pro­fil ange­ge­be­nen per­so­nen­be­zo­ge­nen Daten sowie das Erfas­sen von Infor­ma­tio­nen bei der Ver­wen­dung des Kon­tos ein­deu­tig als Teil der Ver­ein­ba­rung defi­niert. Indem der Nut­zer den Daten­schutz­richt­li­ni­en zustimmt wird die­se Pra­xis in sei­nem Fall für Lin­kedIn nach deut­schen Daten­schutz­recht legal (Erlaub­nis­ein­ho­lung, DDG §4, Absatz 1)8. Das Ver­ar­bei­ten und Über­tra­gen von Daten an Drit­te wird eben­falls in der Daten­schutz­richt­li­nie definiert.

Im End­ef­fekt wer­den bis auf zwei Pro­ble­me alle daten­schutz­re­le­van­ten Schwie­rig­kei­ten über die Daten­schutz­richt­li­nie und die Erlaub­nis­ein­ho­lung geregelt.

Das ers­te Pro­blem betrifft die soge­nann­ten „Social Plugins“, im Fal­le von Lin­kedIn einen „fol­low-“ und einen „share-“ But­ton die es ermög­li­chen, eine aktu­ell besuch­te Sei­te im Lin­kedIn-Netz­werk zu tei­len9, wie man es z.B. auch von Face­book oder Twit­ter kennt. Social Plugin-But­tons fin­den sich auf einer ste­tig wach­sen­den Anzahl von Web­sites. Die Grund­pro­ble­ma­tik besteht dar­in, dass sol­che But­tons in einem soge­nann­ten iFrame in die Sei­te ein­ge­bun­den wer­den, wel­che jedoch nicht von der besuch­ten Web­site, son­dern von Plugin-Anbie­tern (also Face­book, Twit­ter oder auch Lin­kedIn) stammt. Die­se sen­den Daten wie die URL der besuch­ten Web­site an den Anbie­ter, auch wenn man den But­ton nicht ange­klickt hat10. Ist man zu die­sem Zeit­punkt auch noch im ent­spre­chen­den Netz­werk ein­ge­loggt wird die Iden­ti­tät des Betrof­fe­nen eben­falls über­mit­telt. Dies fin­det auto­ma­ti­siert statt, der Nut­zer wird nicht nach sei­nem Ein­ver­ständ­nis bezüg­lich der Daten­über­mitt­lung gefragt und wider­spricht somit dem deut­schen Datenschutzgesetz.

Die zwei­te Pro­ble­ma­tik betrifft Lin­kedIn genau­so wie alle ande­ren Unter­neh­men mit Sitz in den Ver­ei­nig­ten Staa­ten von Ame­ri­ka. Zwar ver­pflich­tet sich das Unter­neh­men durch das „Safe Harbor“-Abkommen zum Daten­schutz, jedoch sind alle ame­ri­ka­ni­schen Unter­neh­men durch den „Patri­ot Act“ seit dem 25. Okto­ber 2001 ver­pflich­tet, ame­ri­ka­ni­schen Geheim­diens­ten den Zugriff auf ihre Daten­spei­cher zu gewäh­ren11. Hier­bei müs­sen die Geheim­diens­te wie CIA, FBI oder NSA das betrof­fe­ne Unter­neh­men nicht über die abge­grif­fe­nen Daten unter­rich­ten. Dies ver­stößt sowohl gegen deut­sches als auch euro­päi­sches Daten­schutz­recht und wäre damit im Ein­zel­fall wohl ein Fall für die Jus­tiz; seit den Ent­hül­lun­gen von Edward Snow­den kann jedoch davon aus­ge­gan­gen wer­den, dass sämt­li­che Daten kon­ti­nu­ier­lich abge­grif­fen wer­den. Dies ist jedoch ein Umstand, der nicht dem Unter­neh­men selbst, son­dern nur der ame­ri­ka­ni­schen Regie­rung ange­rech­net wer­den kann.

In mei­nem per­sön­li­chen Fazit muss ich fest­stel­len, dass das Ange­bot von Lin­kedIn mit dem deut­schen Daten­schutz­ge­setz nicht zu 100% kon­form ist, was mich nach der Teil­nah­me an dem Daten­schutz­se­mi­nar aller­dings kaum über­rascht. Wie bei den meis­ten gro­ßen Social Media Anbie­tern bleibt es in der Hand der Ein­zel­per­son, ob und wie vie­le Daten sie preis­ge­ben möch­te. Ich selbst bin nicht bei Lin­kedIn ange­mel­det und habe dar­an auch kein Inter­es­se. Per­so­nen, die ein der­ar­ti­ges Ange­bot wahr­neh­men möch­ten und die am Schutz ihrer Daten inter­es­siert sind wür­de ich emp­feh­len sich zu infor­mie­ren, ob das Ange­bot des deut­schen Unter­neh­mens „XING“ im Hin­blick auf Daten­si­cher­heit womög­lich bes­ser geeig­net ist auch da Lin­kedIn in der Ver­gan­gen­heit wegen man­geln­der Sicher­heit und Daten­schutz in der Kri­tik stand12.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit“ von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

Hin­weis Klaus Düll:

Nach dem EuGH Urteil vom 06.10.2015 zu Safe Har­bor ist unstrit­tig, dass die Nut­zung von Lin­kedIn nicht euro­päi­schem /​deut­schen Daten­schutz­recht ent­spricht. Ob XING eine wirk­lich gute Alter­na­ti­ve ist muss der Leser beur­tei­len, wenn er Arti­kel zu XING hier im Blog gele­sen hat — bit­te dafür ein­fach „XING” im Such­feld eingeben.

Quel­len

Ande­re inter­es­san­te Beiträge:
Secu­re­View — schon wie­der ein neu­es Fea­ture für unse­re Lösung zum Mobi­le Device Manage­ment (MDM) von datomo
Heu­te haben wir ein wei­te­res mäch­ti­ges Fea­ture für datomo Device Manage­ment, unse­re viel­sei­ti­ge MDM-Lösung frei­ge­ge­ben und dazu auch eine Pres­se­mit­tei­lung ver­öf­fent­licht in unse­rer Pres­se­box. Was bringt dem Anwen­der Secu­re­View? Secu­re­View stellt sicher, dass Doku­men­te auf mobi­len End­ge­rä­ten sicher …
Daten­schutz und Bring Your Own Device (BYOD) — Geht das mit Mobi­le Device Manage­ment (MDM)? — Video
Schon mehr­fach haben wir es ange­kün­digt, dut­zen­de User haben gefragt, wann wir end­lich so weit sind und heu­te star­ten wir mit dem ers­ten der 10 Fil­me mei­ner Vor­trä­ge auf der CeBIT 2016, der das The­ma Bring Your Own Device (BYOD) unter dem Aspekt des Daten­schut­zes behan­delt. Wir waren in die­sem Jah…
Bring Your Own Device (BYOD) — Alle wis­sen Bescheid, da will auch Bit­kom nicht feh­len!
Alle reden über BYOD ohne jede Ahnung. Toll! Da haben wir unse­ren Fir­men­hund auch ein­mal gefragt: „Bist Du für BYOD?” Er ist unein­ge­schränkt dafür, denn er hat immer Hun­ger und wür­de es sehr begrü­ßen, wenn sei­ne Men­schen end­lich ein­mal auf ihn hören wür­den! Eben BYOD — Belie­ve Your Own Dog! Während…
Mobi­le Device Manage­ment (MDM) und siche­rer Zugriff auf Doku­men­te mit iCloud? Und was ist bei BYOD-Kon­zep­ten?
Heu­te hat­te ich eine lan­ge Dis­kus­si­on mit einem Con­sul­tant eines gro­ßen IT-Con­sul­ters. Ich glau­be, dass das Gespräch von all­ge­mei­nem Inter­es­se ist. Aus­gangs­punkt war, dass er auf­grund mei­nes Arti­kels über Online-Spei­cher-Diens­te mir erklä­ren woll­te, dass es für Fir­men wich­tig sei, App­les iCloud in d…
datomo Mobi­le Device Manage­ment – Wel­che Grün­de spre­chen für eine deut­sche MDM-Lösung? Lese­pro­be aus unse­rem neu­en White­pa­per
Aus aktu­el­lem Anlass auf­grund der Dis­kus­sio­nen um Sicher­heit und Daten­schutz im Zuge von Tem­po­ra, PRISM & Co haben wir unser White­pa­per, das sich mit Grün­den für eine deut­sche MDM-Lösung beschäf­tigt, über­ar­bei­tet. Die wesent­li­chen Unter­schie­de, die nach dem Daten­skan­dal für deut­sche Lösun­gen vo…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.