(Ach­tung, die­ser Post ist etwas lau­nisch geraten.)

Die iri­sche Daten­schutz­auf­sichts­be­hörde hat ihren Bericht für die Phase vom 01. Januar 2018 bis zum 24. Mai 2018 ver­öf­fent­licht. Ein (sehr) kur­zer Abschnitt aus dem Rap­port hat den Weg in die Medien gefun­den.  Zumin­dest in jene Medien, die sich ab und zu mit Daten­schutz befas­sen und bei mir auf dem Radar sind, wie z.B. hier bei heise.de oder techcrunch.com.

Der ein­schlä­gige Abschnitt aus dem Rap­port lau­tet wie folgt (vol­ler Wortlaut):

Super­vi­sion of Lin­ke­dIn Ire­land – Lin­ke­dIn Audit
The DPC con­cluded its audit of Lin­ke­dIn Ire­land Unli­mi­ted Com­pany (Lin­ke­dIn) in respect of its pro­ces­sing of per­so­nal data fol­lo­wing an inves­ti­ga­tion of a com­plaint noti­fied to the DPC by a non-Lin­ke­dIn user. The com­plaint con­cer­ned LinkedIn’s obtai­ning and use of the complainant’s email address for the pur­pose of tar­ge­ted adver­ti­sing on the Face­book Plat­form. Our inves­ti­ga­tion iden­ti­fied that Lin­ke­dIn Cor­po­ra­tion (Lin­ke­dIn Corp) in the U.S., Lin­ke­dIn Ireland’s data pro­ces­sor, had pro­ces­sed hashed email addres­ses of appro­xi­m­ately 18 mil­lion non-Lin­ke­dIn mem­bers and tar­ge­ted these indi­vi­du­als on the Face­book Plat­form with the absence of ins­truc­tion from the data con­trol­ler (i.e. Lin­ke­dIn Ire­land), as is requi­red pur­su­ant to Sec­tion 2C(3)(a) of the Acts.

The com­plaint was ulti­m­ately ami­ca­bly resol­ved, with Lin­ke­dIn imple­men­ting a num­ber of imme­diate actions to cease the pro­ces­sing of user data for the pur­po­ses that gave rise to the complaint.

Howe­ver, fol­lo­wing on from this com­plaint, the DPC was con­cer­ned with the wider sys­te­mic issues iden­ti­fied and an audit was com­men­ced to verify that Lin­ke­dIn had in place appro­priate tech­ni­cal secu­rity and orga­ni­sa­tio­nal mea­su­res, par­ti­cu­larly for its pro­ces­sing of non-mem­ber data and its reten­tion of such data. The audit iden­ti­fied that Lin­ke­dIn Corp was under­ta­king the pre-com­pu­ta­tion of a sug­gested pro­fes­sio­nal net­work for non-Lin­ke­dIn mem­bers. As a result of the fin­dings of our audit, Lin­ke­dIn Corp was ins­truc­ted by Lin­ke­dIn Ire­land, as data con­trol­ler of EU user data, to cease pre-com­pute pro­ces­sing and to delete all per­so­nal data asso­cia­ted with such pro­ces­sing prior to 25 May 2018.

Quelle: Office of the Data Pro­tec­tion Com­mis­sio­ner, Irland, PDF, Link

Kri­ti­sche Kreise stau­nen, dass sich das iri­sche Daten­schutz­büro über­haupt dazu auf­ge­macht hat, bei Lin­ke­dIn Nach­schau zu hal­ten. Schliess­lich ist die iri­sche Daten­schutz­kom­mis­sion nicht unbe­dingt als über­zeugte Daten­schutz­ver­fech­te­rin bekannt; die Iren haben die gröss­ten Per­so­nen­da­ten­ver­ar­bei­tungs­in­dus­trien bei sich domi­zi­liert. Aber viel­leicht tut man ihnen auch unrecht, wer weiss. Die Fran­zo­sen jeden­falls, um ein klei­nes Bei­spiel auf­zu­zei­gen, hat­ten anläss­lich ihrer Unter­su­chun­gen des Dai­ly­mo­tion-Leaks ein umfas­sen­des Ver­fah­ren ver­an­lasst und dazu dann einen detail­lier­ten Ent­scheid ver­öf­fent­licht. Es ging in die­sem Fall zwar um rund vier mal mehr Mail­adres­sen, jedoch war der Leak nicht auf vor­sätz­li­ches Han­deln zurück­zu­füh­ren, wie hier bei Lin­ke­dIn. Bei den Fran­zo­sen waren u.a. EUR 50’000.00 fäl­lig (ob der Ent­scheid vom 2. August 2018 mitt­ler­weile rechts­kräf­tig ist, ist mir unbe­kannt); bei den Iren hat man sich damit zufrie­den­ge­ge­ben, dass Lin­ke­dIn die Hand­lungs­an­wei­sun­gen akzep­tiert hat.

Lei­der geht aus dem publi­zier­ten Abschnitt der Daten­schutz­be­hörde nicht her­vor, wie Lin­ke­dIn genau zu die­sen Mail­adres­sen gekom­men ist. Als tech­ni­sches Detail kön­nen wir nur ent­neh­men, dass die Mail­adres­sen in Form von Hashes an Face­book über­tra­gen wur­den. Mit gröss­ter Wahr­schein­lich­keit über eine API, die Face­book sei­nen Gross­kun­den anbie­tet. Die Mail­adresse “user @ mail.com” hat also wenigs­tens nicht “user @ mail.com” im Klar­text gelau­tet, son­dern z.B. “6ad193f57f79ac444c3621370da955e9” als MD5-Hash-String.

Wie kommt es, dass Lin­ke­dIn über 18 Mil­lio­nen Nicht-Mem­ber-Mail­adres­sen ver­fügt? Ich ver­mute, dass über das frei­wil­lige Tei­len des Adress­buchs sol­che Daten gesam­melt wer­den. Ob das kon­kret in die­sem Fall auch bei Lin­ke­dIn so war, wis­sen wir nicht, schliess­lich lie­fert der ver­öf­fent­lichte Abschnitt aus dem iri­schen Rap­port keine nähe­ren Details.

Noch viel grund­sätz­li­cher ist aber die Frage, warum es über­haupt soweit kommt, dass man sein Adress­buch her­gibt?

Hätte Sie frü­her Ihr papie­ri­ges Adress­büechli irgend­ei­nem Drit­ten zur Ein­sicht hin­ge­hal­ten? Kaum. Warum macht man das aber dann, wenn das Adress­buch digi­tal ist? Ver­mut­lich, weil man dann sein Papier­adress­buch nicht einem frem­den in die Hand geben muss. Weil man nicht zuse­hen muss, wie sich die­ser Fremde daran macht, die Sei­ten zu kopie­ren oder die Daten fein säu­ber­lich abzu­schrei­ben. Erst in einer sol­chen Situa­tion wird einem bewusst, dass da tat­säch­lich Daten abge­saugt wer­den. Ein Klick oder Tip­per auf dem Smart­phone? Viel ein­fa­cher, viel schnel­ler. Viel inva­si­ver und auch unbe­wuss­ter ist so ein Touch auf das Dis­play. Und direkt nach dem Touch wird man mit der nächs­ten Setup-Option oder Neu­ig­keit abge­lenkt. Schon hat man ver­ges­sen, dass einem zuvor das Adress­buch aus­ge­le­sen wurde. Hier gibt man für etwas Bequem­lich­keit die Daten sei­ner Kon­takte preis. Und in so einem Adress­buch sind meis­tens nicht nur Mail­adres­sen, son­dern häu­fig auch noch Geburts­da­tum, Adres­sen, Tele­fon­num­mern und Fotos in bes­ter Auf­lö­sung enthalten. 

Mir scheint, dass die Mehr­heit der Social Media-Benut­zer gedan­ken­los alles mit allen teilt; Angst, dass die geteil­ten Daten miss­braucht wer­den, exis­tiert keine (Orwell hat in die­sem Punkt noch nicht Recht gekriegt). 

Wer sich etwas mehr Gedan­ken macht, bevor er sein Adress­buch durch­su­chen lässt, macht viel­leicht sogar ein klei­nes, wenigs­tens intui­ti­ves Risi­ko­as­sess­ment und wägt die Risi­ken ab, die er mit dem Ver­sen­den sei­nes Adress­buchs ein­geht (ja, es ist effek­tiv ein Ver­sen­den, denn die Daten ver­las­sen Ihr Smart­phone in Rich­tung anfra­gen­den Bear­bei­ter und zwar auf Ihren Knopf­druck hin). Meis­tens geht es ja nicht um Leben und Tod Drit­ter, son­dern “nur” um deren Per­sön­lich­keits­rechte. Nur der klei­nere Teil von uns ver­fügt über Kon­takte zu Infor­man­ten, Dis­si­den­ten oder ande­ren beson­ders zu schüt­zen­den Per­so­nen. Da ist das Assess­ment schnell erle­digt. Wer mit sol­chen Risi­ko­per­so­nen bekannt ist, pflegt in aller Regel ohne­hin einen sorg­fäl­ti­gen Umgang mit Daten. 

Ein augen­fäl­li­ges No-Go wäre in die­sem Zusam­men­hang der Fall, in dem ein Anwalt oder Jour­na­list seine Kon­takte teilt. Da wür­den dann von Geset­zes wegen straf- und stan­des­recht­li­che Sank­tio­nen dro­hen. Fak­tisch aber immer vor­aus­ge­setzt, jemand bemerkt es und hat auch noch die Musse, tätig zu wer­den. Von den sozia­len Netz­wer­ken sel­ber droht da sicher keine Gefahr.

Fra­gen Sie sich selbst. Wie sind Sie auf die­sen Blog­post gestos­sen? Etwa über Lin­ke­dIn oder Xing? Dort hat mein Blog-Auto­mat auch die­sen Post ver­öf­fent­licht. Und haben Sie von Lin­ke­dIn Ihr Adress­buch durch­su­chen las­sen? Falls ja, dann haben Sie mit gros­ser Wahr­schein­lich­keit auch zur Wer­be­kam­pa­gne von Lin­ke­dIn bei­getra­gen. Ihre Kon­takte wer­den es Ihnen danken.

Update vom 28.11.2018: Zu einem ähn­li­chen Schluss ist offen­bar auch das Schwei­zer Kon­su­men­ten­ma­ga­zin Ktipp gekom­men: Ktipp vom 27.11.2018 (kos­ten­pflich­tig).