(Ach\u00adtung, die\u00adser Post ist etwas lau\u00adnisch geraten.)<\/p>\n\n\n\n
Die iri\u00adsche Daten\u00adschutz\u00adauf\u00adsichts\u00adbe\u00adh\u00f6rde hat ihren Bericht f\u00fcr die Phase vom 01. Januar 2018 bis zum 24. Mai 2018 ver\u00ad\u00f6f\u00adfent\u00adlicht. Ein (sehr) kur\u00adzer Abschnitt aus dem Rap\u00adport hat den Weg in die Medien gefun\u00adden. Zumin\u00addest in jene Medien, die sich ab und zu mit Daten\u00adschutz befas\u00adsen und bei mir auf dem Radar sind, wie z.B. hier bei heise.de<\/a> oder techcrunch.com<\/a>.<\/p>\n\n\n\n Der ein\u00adschl\u00e4\u00adgige Abschnitt aus dem Rap\u00adport<\/strong> lau\u00adtet wie folgt (vol\u00adler Wortlaut):<\/p>\n\n\n\n Super\u00advi\u00adsion of Lin\u00adke\u00addIn Ire\u00adland \u2013 Lin\u00adke\u00addIn Audit<\/strong> The com\u00adplaint was ulti\u00adm\u00adately ami\u00adca\u00adbly resol\u00adved, with Lin\u00adke\u00addIn imple\u00admen\u00adting a num\u00adber of imme\u00addiate actions to cease the pro\u00adces\u00adsing of user data for the pur\u00adpo\u00adses that gave rise to the complaint.<\/p> Howe\u00adver, fol\u00adlo\u00adwing on from this com\u00adplaint, the DPC<\/span> was con\u00adcer\u00adned with the wider sys\u00adte\u00admic issues iden\u00adti\u00adfied and an audit was com\u00admen\u00adced to verify that Lin\u00adke\u00addIn had in place appro\u00adpriate tech\u00adni\u00adcal secu\u00adrity and orga\u00adni\u00adsa\u00adtio\u00adnal mea\u00adsu\u00adres, par\u00adti\u00adcu\u00adlarly for its pro\u00adces\u00adsing of non-mem\u00adber data and its reten\u00adtion of such data. The audit iden\u00adti\u00adfied that Lin\u00adke\u00addIn Corp was under\u00adta\u00adking the pre-com\u00adpu\u00adta\u00adtion of a sug\u00adgested pro\u00adfes\u00adsio\u00adnal net\u00adwork for non-Lin\u00adke\u00addIn mem\u00adbers. As a result of the fin\u00addings of our audit, Lin\u00adke\u00addIn Corp was ins\u00adtruc\u00adted by Lin\u00adke\u00addIn Ire\u00adland, as data con\u00adtrol\u00adler of EU<\/span> user data, to cease pre-com\u00adpute pro\u00adces\u00adsing and to delete all per\u00adso\u00adnal data asso\u00adcia\u00adted with such pro\u00adces\u00adsing prior to 25 May 2018.<\/p>Quelle: Office of the Data Pro\u00adtec\u00adtion Com\u00admis\u00adsio\u00adner<\/a>, Irland, PDF<\/span><\/a>, Link<\/a><\/cite><\/blockquote>\n\n\n\n <\/p>\n\n\n\n Kri\u00adti\u00adsche Kreise stau\u00adnen, dass sich das iri\u00adsche Daten\u00adschutz\u00adb\u00fcro \u00fcber\u00adhaupt dazu auf\u00adge\u00admacht hat, bei Lin\u00adke\u00addIn Nach\u00adschau zu hal\u00adten. Schliess\u00adlich ist die iri\u00adsche Daten\u00adschutz\u00adkom\u00admis\u00adsion nicht unbe\u00addingt als \u00fcber\u00adzeugte Daten\u00adschutz\u00adver\u00adfech\u00adte\u00adrin bekannt; die Iren haben die gr\u00f6ss\u00adten Per\u00adso\u00adnen\u00adda\u00adten\u00adver\u00adar\u00adbei\u00adtungs\u00adin\u00addus\u00adtrien bei sich domi\u00adzi\u00adliert. Aber viel\u00adleicht tut man ihnen auch unrecht, wer weiss. Die Fran\u00adzo\u00adsen jeden\u00adfalls, um ein klei\u00adnes Bei\u00adspiel auf\u00adzu\u00adzei\u00adgen, hat\u00adten anl\u00e4ss\u00adlich ihrer Unter\u00adsu\u00adchun\u00adgen des Dai\u00adly\u00admo\u00adtion-Leaks<\/a> ein umfas\u00adsen\u00addes Ver\u00adfah\u00adren ver\u00adan\u00adlasst und dazu dann einen detail\u00adlier\u00adten Ent\u00adscheid <\/a>ver\u00ad\u00f6f\u00adfent\u00adlicht. Es ging in die\u00adsem Fall zwar um rund vier mal mehr Mail\u00adadres\u00adsen, jedoch war der Leak nicht auf vor\u00ads\u00e4tz\u00adli\u00adches Han\u00addeln zur\u00fcck\u00adzu\u00adf\u00fch\u00adren, wie hier bei Lin\u00adke\u00addIn. Bei den Fran\u00adzo\u00adsen waren u.a. EUR<\/span> 50\u2019000.00 f\u00e4l\u00adlig (ob der Ent\u00adscheid vom 2. August 2018 mitt\u00adler\u00adweile rechts\u00adkr\u00e4f\u00adtig ist, ist mir unbe\u00adkannt); bei den Iren hat man sich damit zufrie\u00adden\u00adge\u00adge\u00adben, dass Lin\u00adke\u00addIn die Hand\u00adlungs\u00adan\u00adwei\u00adsun\u00adgen akzep\u00adtiert hat.<\/p>\n\n\n\n Lei\u00adder geht aus dem publi\u00adzier\u00adten Abschnitt der Daten\u00adschutz\u00adbe\u00adh\u00f6rde nicht her\u00advor, wie Lin\u00adke\u00addIn genau zu die\u00adsen Mail\u00adadres\u00adsen gekom\u00admen ist. Als tech\u00adni\u00adsches Detail k\u00f6n\u00adnen wir nur ent\u00adneh\u00admen, dass die Mail\u00adadres\u00adsen in Form von Hashes an Face\u00adbook \u00fcber\u00adtra\u00adgen wur\u00adden. Mit gr\u00f6ss\u00adter Wahr\u00adschein\u00adlich\u00adkeit \u00fcber eine API<\/span>, die Face\u00adbook sei\u00adnen Gross\u00adkun\u00adden anbie\u00adtet. Die Mail\u00adadresse \u201cuser @ mail.com\u201d hat also wenigs\u00adtens nicht \u201cuser @ mail.com\u201d im Klar\u00adtext gelau\u00adtet, son\u00addern z.B. \u201c6ad193f57f79ac444c3621370da955e9\u201d als MD5<\/span><\/a>-Hash-String.<\/p>\n\n\n\n Wie kommt es, dass Lin\u00adke\u00addIn \u00fcber 18 Mil\u00adlio\u00adnen <\/strong>Nicht-Mem\u00adber<\/strong><\/u>-Mail\u00adadres\u00adsen ver\u00adf\u00fcgt?<\/strong> Ich ver\u00admute, dass \u00fcber das frei\u00adwil\u00adlige Tei\u00adlen des Adress\u00adbuchs sol\u00adche Daten gesam\u00admelt wer\u00adden. Ob das kon\u00adkret in die\u00adsem Fall auch bei Lin\u00adke\u00addIn so war, wis\u00adsen wir nicht, schliess\u00adlich lie\u00adfert der ver\u00ad\u00f6f\u00adfent\u00adlichte Abschnitt aus dem iri\u00adschen Rap\u00adport keine n\u00e4he\u00adren Details.<\/p>\n\n\n\n Noch viel grund\u00ads\u00e4tz\u00adli\u00adcher ist aber die Frage, warum es \u00fcber\u00adhaupt soweit kommt, dass man sein Adress\u00adbuch her\u00adgibt?<\/strong> <\/p>\n\n\n\n H\u00e4tte Sie fr\u00fc\u00adher Ihr papie\u00adri\u00adges Adress\u00adb\u00fcechli irgend\u00adei\u00adnem Drit\u00adten zur Ein\u00adsicht hin\u00adge\u00adhal\u00adten? Kaum. Warum macht man das aber dann, wenn das Adress\u00adbuch digi\u00adtal ist? Ver\u00admut\u00adlich, weil man dann sein Papier\u00adadress\u00adbuch nicht einem frem\u00adden in die Hand geben muss. Weil man nicht zuse\u00adhen muss, wie sich die\u00adser Fremde daran macht, die Sei\u00adten zu kopie\u00adren oder die Daten fein s\u00e4u\u00adber\u00adlich abzu\u00adschrei\u00adben. Erst in einer sol\u00adchen Situa\u00adtion wird einem bewusst, dass da tat\u00ads\u00e4ch\u00adlich Daten abge\u00adsaugt wer\u00adden. Ein Klick oder Tip\u00adper auf dem Smart\u00adphone? Viel ein\u00adfa\u00adcher, viel schnel\u00adler. Viel inva\u00adsi\u00adver und auch unbe\u00adwuss\u00adter ist so ein Touch auf das Dis\u00adplay. Und direkt nach dem Touch wird man mit der n\u00e4chs\u00adten Setup-Option oder Neu\u00adig\u00adkeit abge\u00adlenkt. Schon hat man ver\u00adges\u00adsen, dass einem zuvor das Adress\u00adbuch aus\u00adge\u00adle\u00adsen wurde. Hier gibt man f\u00fcr etwas Bequem\u00adlich\u00adkeit die Daten sei\u00adner Kon\u00adtakte preis. Und in so einem Adress\u00adbuch sind meis\u00adtens nicht nur Mail\u00adadres\u00adsen, son\u00addern h\u00e4u\u00adfig auch noch Geburts\u00adda\u00adtum, Adres\u00adsen, Tele\u00adfon\u00adnum\u00admern und Fotos in bes\u00adter Auf\u00adl\u00f6\u00adsung enthalten. <\/p>\n\n\n\n
The DPC<\/span> con\u00adcluded its audit of Lin\u00adke\u00addIn Ire\u00adland Unli\u00admi\u00adted Com\u00adpany (Lin\u00adke\u00addIn) in respect of its pro\u00adces\u00adsing of per\u00adso\u00adnal data fol\u00adlo\u00adwing an inves\u00adti\u00adga\u00adtion of a com\u00adplaint noti\u00adfied to the DPC<\/span> by a non-Lin\u00adke\u00addIn user. The com\u00adplaint con\u00adcer\u00adned LinkedIn\u2019s obtai\u00adning and use of the complainant\u2019s email address for the pur\u00adpose of tar\u00adge\u00adted adver\u00adti\u00adsing on the Face\u00adbook Plat\u00adform. Our inves\u00adti\u00adga\u00adtion iden\u00adti\u00adfied that Lin\u00adke\u00addIn Cor\u00adpo\u00adra\u00adtion (Lin\u00adke\u00addIn Corp) in the U.S., Lin\u00adke\u00addIn Ireland\u2019s data pro\u00adces\u00adsor, had pro\u00adces\u00adsed hashed email addres\u00adses of appro\u00adxi\u00adm\u00adately 18 mil\u00adlion non-Lin\u00adke\u00addIn mem\u00adbers and tar\u00adge\u00adted these indi\u00advi\u00addu\u00adals on the Face\u00adbook Plat\u00adform with the absence of ins\u00adtruc\u00adtion from the data con\u00adtrol\u00adler (i.e. Lin\u00adke\u00addIn Ire\u00adland), as is requi\u00adred pur\u00adsu\u00adant to Sec\u00adtion 2C<\/span>(3)(a) of the Acts.<\/p>