Aus Linux-Magazin 01/2014

Linkedin greift mit Intro in E-Mails seiner Kunden ein

© ra2 Studio, Fotolia.com

Das Netzwerk Linkedin hat einen neuen, schicken Dienst für I-OS-Nutzer eingeführt. Intro ist ein E-Mail-Plugin, das Profilinformationen aus Linkedin in E-Mails integriert, die der Nutzer von seinem iPhone aus verschickt. Stimmt er zu, läuft die Kommunikation künftig und komplett über Linkedin-eigene Server.

Beißenden Spottmusste das soziale Netzwerk Linkedin 2012 über sich ergehen lassen, als es einem Hacker gelang, aus dem Netzwerk 6,5 Millionen Passwörter zu stehlen. Weil derlei mehrfach geschah, sprachen böse Zungen schon vom “wöchentlichen Linkedin Password Reminder”. Die Sicherheit der Linkedin-Server genießt nicht den besten Ruf.

Introducing Intro

Als sich der Dienst Ende Oktober 2013 zudem einen neuen Dienst für I-OS-Nutzer leistete, brandete erneut Kritik auf. Das neue Produkt trägt die Bezeichnung Intro, es ergänzt und erweitert ein- und ausgehende Mails um gefällige Formatierungen und Inhalte. Beim Eingang einer Mail zeigt es etwa das Profil eines Linkedin-Mitglieds an, inklusive dessen Foto und beim Dienst gespeicherter, aber in der ursprünglichen Mail nicht enthaltener Informationen (Abbildung 1).

Abbildung 1: In seinem Blog berichtete Linkedins Intro-Chef Rahul Vohra am 23. Oktober über die Features des neuen App-Produkts "Intro". Bereits drei Tage später musste Linkedin an gleicher Stelle beschwichtigend eingreifen.

Abbildung 1: In seinem Blog berichtete Linkedins Intro-Chef Rahul Vohra am 23. Oktober über die Features des neuen App-Produkts “Intro”. Bereits drei Tage später musste Linkedin an gleicher Stelle beschwichtigend eingreifen.

Fast unmittelbar nach seinem Erscheinen wurde in deutsch- und englischsprachigen Foren Kritik laut. Um die Profildaten der Nutzer einblenden zu können, lenkt Intro nämlich alle verschickten E-Mails auf den Linkedin-Server um. Dieser analysiert eingehende Mails und ergänzt sie um die passenden, bei Linkedin hinterlegten Daten. Erst dann wird die so veränderte E-Mail zum Empfänger weitergeleitet.

Linkedin installiert dazu, immerhin nicht ohne Zustimmung des Anwenders, ein neues Profil auf dem iPhone, das ein neues E-Mail-Konto hinzufügt. Die App schlägt vor, dass jeder, der nicht jede Mail zweimal bekommen will, seinen alten E-Mail-Account nach der Installation von Intro deaktivieren soll.

Danach leitet das Smartphone alle IMAP-Anfragen nach eingehenden E-Mails über seinen Proxy, der sie wiederum an den eigentlichen IMAP-Server weiterleitet. Auch die Antwort des IMAP-Servers ergänzt dieser um die bei Linkedin vorhandenen Profildaten des Antwortenden.

Juristisch problematisch

Das erste, sehr offensichtliche Problem in diesem Zusammenhang betrifft die Sicherheit: Auf Inhalte von unverschlüsselten E-Mails haben unberechtigte Dritte leicht Zugriff. Geheimhaltungsbedürftige E-Mails ungesichert zu versenden birgt ja generell rechtliche Probleme, vor allem aus Sicht des Datenschutzes. Bei Intro geht es darüber hinaus aber auch um dieselben rechtlichen Probleme wie beim Cloud Computing.

Einen wichtigen Punkt hat der Anbieter immerhin richtig gemacht: Er holt sich die Zustimmung zu dieser Umleitung der Mail per Opt-In von den Nutzern ein. Wer Intro installiert, wird aufgefordert, die geänderten Datenschutzregeln etwa im Pledge of Privacy zu akzeptieren. Der Dialog informiert den Kunden auch explizit über die Umleitung auf die Mailserver von Linkedin, eigentlich vorbildlich.

Setzt ein Mitarbeiter, der Mitglied bei Linkedin ist, das E-Mail-Plugin bei einem iPhone ein, das auf Unternehmensdaten zugreift, dann könnte das Unternehmen mit Problemen konfrontiert werden. Zuerst wäre es der Schutz personenbezogener Daten – und auch hier gelten die selben Bestimmungen wie beim Cloud Computing (Abbildung 2).

Abbildung 2: Bei Linkedin Intro gelten die gleichen Bestimmungen wie beim Cloud Computing, denn der Dienst gilt ebenfalls als externe Datenverarbeitung. Da greift § 11 BDSG, doch dessen Einhaltung kann der Admin nicht garantieren.

Abbildung 2: Bei Linkedin Intro gelten die gleichen Bestimmungen wie beim Cloud Computing, denn der Dienst gilt ebenfalls als externe Datenverarbeitung. Da greift § 11 BDSG, doch dessen Einhaltung kann der Admin nicht garantieren. © Sergey Nivens, 123RF.com

Wenn da von rechtlichen Problemen die Rede ist, müssen die Beteiligten immer zuallererst klarstellen, ob es sich um Private oder um Public Clouds handelt. Nur im zweiten Fall werden die zurzeit so heftig diskutierten datenschutzrechtlichen Probleme tatsächlich relevant, da sich die Unternehmen bei privaten Wolken beliebig gut abschotten können, genauso wie das bislang in klassischen Rechenzentren der Fall war. Notwendig ist hier lediglich ein gutes und funktionierendes IT-Security-Management, es ändert sich also nicht viel.

SaaS, IaaS, PaaS

Anders im zweiten Fall: Bei Public-Cloud-Anbietern wie Amazon, Apple, Facebook, Google, IBM oder eben auch Linkedin gibt es drei Ebenen des Cloud Computing, die zu betrachten sind: Zum einen die Nutzung von Softwareleistungen, beispielsweise Softwareapplikationen übers Internet (Software as a Service, SaaS), das Bereitstellen von Plattformen im Internet (Plattform as a Service, PaaS), sowie das Bereitstellen von Rechnerleistungen und Speicherplatz (Infrastructure as a Service, IaaS).

Speziell mittlere und große Unternehmen setzen gerne SaaS ein, um dynamisch auf durch von Kunden erzeugte Spitzenlasten reagieren zu können, die Stichworte lauten Skalierbarkeit (Out- und Upscaling) und Flexibilität.

Auch die Angebote kostenloser E-Mail-Provider verstehen Juristen als Public Cloud. Im Fall von Linkedin handelt es sich schlicht um einen Weiterleitungsdienst, der eben E-Mails mit Daten aus den Linkedin-Profilen anreichert. Ein grundsätzliches datenschutzrechtliches Problem birgt die Tatsache, dass es sich bei solchen SaaS-Anwendungen dann immer um Auftragsdatenverarbeitungen nach § 11 BDSG handelt, sobald personenbezogene Daten in der Cloud zur Weiterverarbeitung landen.

Eine Auftragsdatenverarbeitung im Sinne des BDSG liegt nämlich vor, wenn eine andere Stelle mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten beauftragt wird. Demnach gelten die Regelungen des § 11 Abs. 1 BDSG für jedes Unternehmen, das personenbezogene Daten auf Cloudanbieter überträgt – explizit auch dann, wenn Dienstleister nur E-Mails mit Inhalten anreichern, sogar wenn dies im Rahmen technischer Wartungsarbeiten erfolgt (zum Beispiel bei der Spamabwehr).

Auftraggeber verantwortlich

Kernaussage des § 11 BDSG ist: Der Auftraggeber, also das Unternehmen, das die Daten vom Kunden zur Speicherung, Änderung oder Zurverfügungstellung bestimmter Dienste in die Cloud gibt, bleibt für das Einhalten der Datenschutzbestimmungen verantwortlich, wozu auch das Sicherstellen der Vertraulichkeit und der Integrität der Daten gehört.

Ob das Einhalten der Vorgaben des § 11 BDSG überhaupt noch möglich ist, wenn ein Unternehmen weltweit verfügbare Rechnerkapazitäten nutzt oder auch Software-Anwendungen wie das automatisierte Anreichern von E-Mails mit Profildaten, ist fraglich – aus rechtlicher Sicht ist diese Frage derzeit sicher zu verneinen. Der Versuch scheitert spätestens an der vorausgesetzten Überprüfbarkeit. So genannte Audits beim Cloudanbieter müssten jederzeit möglich sein und die Einhaltung der Bestimmungen nachweisbar gewährleisten.

Schlimmer noch: Der Auftraggeber dürfte in aller Regel in dem Moment, in dem er die personenbezogenen Daten in die Cloud gibt, nicht mehr Herr seiner Daten sein, was aber der § 11 BDSG verlangt. Ein Unternehmen, das Mitarbeiter hat, die geschäftliche Mails über Intro laufen lassen, begeht folglich einen Verstoß gegen den § 11 und riskiert, sollte eine Datenschutz-Aufsichtsbehörde davon Kenntnis erlangen, sogar Bußgelder bis zu 300000 Euro.

Noch mehr Probleme

Damit nicht genug: Neben den personenbezogenen Daten gibt es zudem gesetzliche und vertragliche Vorgaben, die ein Unternehmen zum Schutz seines Know-hows und zur Geheimhaltung unternehmenskritischer Informationen zwingen. Wer zum Schutz solcher Daten verpflichtet ist, etwa der IT-Leiter, der IT-Sicherheitsbeauftragte, der Datenschutzbeauftragte oder generell Personen mit Verantwortung für Inhalte oder die technische Infrastruktur in Unternehmen, definiert sich in einer Art Garantenstellung als für den Schutz der Daten zuständig.

Bei einem Missbrauch oder Abhandenkommen der Daten durch unbefugte Dritte, kann der in einem Unternehmen Verantwortliche durch sein Unterlassen für die unerlaubte Handlung mitverantwortlich gemacht werden. Das Unternehmen selbst haftet gegenüber Dritten in solchen Fällen nach den allgemeinen zivilrechtlichen Regeln.

Das erklärt am besten ein konkretes Beispiel: Der IT-Dienstleister A hat einen Kunden, der in der Versicherungsbranche arbeitet. Unternehmen A verwaltet die IT-Infrastruktur für das Versicherungsunternehmen und steht mit der IT-Abteilung und der Geschäftsleitung in E-Mail-Kontakt. Ein Mitarbeiter bei A hat einen Account bei Linkedin und arbeitet mit einem iPhone, er ist möglicherweise auch mit Mitarbeitern des Versicherungsunternehmens vernetzt. Deren Mailverkehr würde bei einer Installation von Intro über die Mailserver von Linkedin umgeleitet werden.

Fahrlässigkeit zweifellos

Erleidet Linkedin einen Datenverlust oder wird der Anbieter wie so oft in der Vergangenheit zum Opfer eines Angriffs und entsteht dadurch Schaden – und sei es auch “nur” ein Imageschaden –, dann müsste A dafür gegenüber dem Kunden haften. Die dafür im Weiteren notwendigen Voraussetzungen, nämlich das Vorliegen eines fahrlässigen Verhaltens und einer Kausalität zwischen diesem Verhalten und dem eingetretenen Schaden, dürfte im Fall der App auf jeden Fall zu bejahen sein (Abbildung 3).

Abbildung 3: Fahrlässig grundlegende Sicherheitsvorgaben missachtet – auf diesen Vorwurf kann sich einstellen, wer Intro mit sensiblen Mails nutzt.

Abbildung 3: Fahrlässig grundlegende Sicherheitsvorgaben missachtet – auf diesen Vorwurf kann sich einstellen, wer Intro mit sensiblen Mails nutzt. © alphaspirit, 123RF.com

Inhaltlich sind hier zum Beispiel Verletzungen des Urheberrechts denkbar, weil urheberrechtlich geschützte Inhalte abgefangen und unberechtigt genutzt werden. In vertragsrechtlicher Hinsicht könnten Inhalte von Vereinbarungen ausgespäht und missbraucht werden.

Sogar strafrechtlich käme eine Haftung einzelner Personen in Betracht, wenn sie als Garant für die Sicherheit von Inhalten verantwortlich sind und dann in einer Form des Unterlassens (Unterlassen von Sicherheitsmaßnahmen) geheimhaltungsbedürftige Daten Dritten zur Verfügung gestellt haben.

Privat und geschäftlich?

Der private Nutzer, der seine Daten durch die Installation von Intro über den Proxyserver von Linkedin schickt, könnte insofern Probleme bekommen, als mit seinen Daten Missbrauch betrieben werden könnte. Er muss sich im Klaren darüber sein, dass das Netzwerk künftig seinen gesamten Mailverkehr mitlesen, auswerten und bearbeiten kann. Linkedin erklärt zwar, dass E-Mails nach dem Versand sofort vom Linkedin-Server gelöscht werden, kontrollieren lässt sich diese Aussage aber nicht.

Sollte der Nutzer zudem sein iPhone auch für geschäftliche Zwecke nutzen, muss er in jedem Fall vorab mit der IT-Abteilung seines Arbeitgebers klären, ob sie einer Nutzung von Intro zustimmen kann. Einem Arbeitnehmer sollte klar sein, dass er bei Nutzung von Intro den gesamten Mailverkehr über ein amerikanisches Unternehmen laufen lässt. Hier gibt es keinen Schutz der Daten außer dem Safe-Harbour-Abkommen, das derzeit heftig wegen seiner Schwächen kritisiert und grundsätzlich infrage gestellt wird.

Es ist davon auszugehen, dass kein verantwortungsbewusster IT-Verantwortlicher eines Unternehmens einer Installation von Intro bei einem iPhone, über das geschäftliche Informationen laufen, zustimmen kann. Das gilt erst recht, weil sensible, unternehmenskritische oder personenbezogene Daten in der Public Cloud nichts zu suchen haben. Liegen Daten dieser Kategorien vor, scheint eine Installation von Intro auch rechtlich nicht zu verantworten.

Fazit: Nur privat!

Übrig bleibt damit für den Dienst nur der rein private E-Mail-Verkehr. Aber auch hier sollte sich jeder darüber im Klaren sein, dass, wie immer bei Informationen, die über amerikanische soziale Netzwerke laufen, rechtlich nicht gesichert ist, was mit den Inhalten der Mails wirklich passiert. Linkedin sichert hier zwar einen vertraulichen Umgang mit den Daten zu. Allerdings ist dieser Anspruch in der Praxis nicht durchsetzbar – also nicht einklagbar.

Theoretisch wäre es zwar möglich, Linkedin in Deutschland wegen eines Verstoßes gegen die Datenschutzrechte zu verklagen. Spätestens die Vollstreckung des Anspruchs in den USA scheitert aber. Jeder Anspruch, der nicht einklagbar oder nicht vollstreckbar ist, bietet keinen Schutz. Und die schockierende (Un)Sicherheit der Linkedin-Server stand ja schon mehrfach im peinlichen Fokus der Öffentlichkeit.

Der Autor

Sabine Sobola ist Partnerin der Regensburger Anwaltskanzlei Paluka Sobola Loibl und Partner und betreut dort die Bereiche IT- und Internetrecht, das Vertragsrecht und den gewerblichen Rechtsschutz. Neben ihren Lehraufträgen für IT-Recht an verschiedenen Hochschulen leitet sie eine Vielzahl von Workshops zum Thema Recht im Internet.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 3 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben