Category: Datenschutz & Compliance

Das Karrierenetzwerk LinkedIn steht vor zwei Klagen in den USA: Das Unternehmen soll systematisch die Browser-Erweiterungen seiner Nutzer ausgelesen haben – ohne deren Wissen oder ausdrückliche Einwilligung. Ein Fall, der weit über amerikanische Gerichtssäle hinaus relevant ist.

LinkedIn scannt Browser-Erweiterungen seiner Nutzer – zwei Klagen eingereicht

LinkedIn steht unter Beschuss, nachdem bekannt wurde, dass das Karrierenetzwerk die im Browser installierten Erweiterungen seiner Nutzer systematisch erfasst. Zwei Klagen wurden bereits eingereicht, während LinkedIn die Vorwürfe als konstruiert bezeichnet und auf einen suspendierten Daten-Scraper verweist.

Was LinkedIn erhoben haben soll

Konkret geht es darum, dass LinkedIn beim Besuch der Plattform aktiv ausgelesen haben soll, welche Browser-Extensions ein Nutzer installiert hat. Dabei handelt es sich nicht um harmlose technische Metadaten – Browser-Erweiterungen können präzise Rückschlüsse auf das Verhalten, die Tools und die Präferenzen eines Nutzers zulassen. Wer etwa bestimmte Sicherheits-, Produktivitäts- oder Accessibility-Erweiterungen nutzt, gibt damit ungewollt detaillierte Informationen über seine Arbeitsweise preis.

Die Technik hinter dem Scan ist nicht neu: Websites können unter bestimmten Umständen über sogenanntes Extension-Fingerprinting feststellen, welche Add-ons in einem Browser aktiv sind. Dass ein Unternehmen von der Größe LinkedIns – und damit letztlich von Microsoft, das das Netzwerk seit 2016 betreibt – diese Methode systematisch einsetzt, hat erhebliche rechtliche und ethische Fragen aufgeworfen.

LinkedIns Reaktion und die Gegenseite

LinkedIn weist die Anschuldigungen zurück:

„Die Behauptungen stammen von einem Anbieter einer Browser-Erweiterung, der zuvor wegen unerlaubten Data-Scrapings von der Plattform gesperrt worden ist.”

Die Darstellung des Unternehmens läuft darauf hinaus, dass es sich um eine gezielte Rufschädigungskampagne eines disqualifizierten Akteurs handelt. Dennoch haben mittlerweile zwei separate Klagen den Weg vor US-amerikanische Gerichte gefunden. Die Kläger werfen LinkedIn vor, ohne ausreichende Einwilligung der Nutzer Daten erhoben zu haben – ein Vorwurf in der Schnittmenge von Datenschutzrecht, Nutzervertrauen und Plattformverantwortung.

Datenschutzrechtliche Einordnung

Aus europäischer Perspektive ist der Vorgang besonders relevant. Die Datenschutz-Grundverordnung (DSGVO) verlangt für die Erhebung personenbezogener Daten eine eindeutige Rechtsgrundlage – sei es eine informierte Einwilligung, ein berechtigtes Interesse oder eine vertragliche Notwendigkeit.

Das Auslesen von Browser-Erweiterungen dürfte unter keiner dieser Kategorien ohne Weiteres zu rechtfertigen sein, sofern Nutzer darüber nicht transparent informiert wurden.

Europäische Datenschutzbehörden haben in der Vergangenheit bereits gegen LinkedIn Verfahren geführt. Die irische Datenschutzbehörde (DPC), zuständig für viele US-Technologieunternehmen mit europäischem Hauptsitz, beobachtet die Entwicklung voraussichtlich genau.

Fingerprinting als unterschätzte Tracking-Methode

Browser-Fingerprinting – ob über installierte Schriften, Bildschirmauflösung oder eben Extensions – gilt als eine der schwerer kontrollierbaren Tracking-Techniken, weil sie:

• keine Cookies erfordert,
• von Standard-Datenschutztools häufig nicht zuverlässig geblockt wird,
• und für Nutzer praktisch unsichtbar bleibt.

Unternehmen, die ihren Mitarbeitern die Nutzung von LinkedIn über betriebliche Geräte erlauben, sollten prüfen, welche Daten dabei potenziell erhoben werden.

Handlungsbedarf für deutsche Unternehmen

Für deutsche Unternehmen und ihre Datenschutzbeauftragten ergibt sich konkreter Handlungsbedarf: Wer LinkedIn im betrieblichen Kontext einsetzt – etwa für Recruiting, Marketing oder Sales –, sollte die eigenen Datenschutz-Folgeabschätzungen und Browser-Richtlinien überprüfen.

Solange LinkedIn keine transparente Stellungnahme zur genauen Natur und zum Umfang der Extension-Scans liefert, bleibt unklar, welche Daten tatsächlich erhoben werden. Bis zur Klärung empfiehlt sich:

• erhöhte Sensibilität beim Einsatz des Netzwerks auf Firmenrechnern,
• eine Überprüfung bestehender Betriebsvereinbarungen zur Tool-Nutzung,
• und eine aufmerksame Beobachtung der laufenden Gerichtsverfahren.

---

Quelle: Ars Technica

Ein US-Gericht hat ein Settlement in Höhe von 135 Millionen Dollar gegen Google genehmigt. Betroffene Android-Nutzer können seit kurzem Ansprüche über eine offizielle Webseite geltend machen – doch die Frist läuft. Was steckt hinter dem Fall, wer profitiert, und was bedeutet das für Unternehmen diesseits des Atlantiks?

Google-Datenschutz-Settlement: 135 Millionen Dollar für Android-Nutzer

Worum geht es in dem Verfahren?

Der Sammelklage liegt der Vorwurf zugrunde, dass Google über Android-Geräte ohne ausreichende Einwilligung Standort- und Gerätedaten der Nutzer erfasst und weitergegeben hat. Konkret geht es um Daten, die über den sogenannten „Location History”-Dienst sowie weitere Tracking-Mechanismen erhoben wurden – auch dann, wenn Nutzer die Standortfreigabe deaktiviert hatten.

Google bestreitet die Vorwürfe, hat sich aber auf das Settlement eingelassen, um ein langwieriges Gerichtsverfahren zu vermeiden.

---

Wer ist anspruchsberechtigt?

Anspruchsberechtigt sind grundsätzlich US-amerikanische Nutzer, die in einem bestimmten Zeitraum ein Android-Gerät verwendet haben und ein Google-Konto besaßen. Da es sich um ein US-Settlement handelt, sind europäische und damit auch deutsche Nutzer von dieser konkreten Zahlung ausgeschlossen.

Personen mit US-Wohnsitz oder einem US-amerikanischen Google-Konto im betreffenden Zeitraum sollten prüfen, ob sie einen Anspruch stellen können. Die Anmeldefrist über die offizielle Settlement-Webseite ist begrenzt.

---

Wie hoch sind die Auszahlungen?

Die individuelle Auszahlung hängt von der Anzahl der eingereichten Ansprüche ab. Bei Sammelklagen dieser Größenordnung sind die Pro-Kopf-Beträge erfahrungsgemäß überschaubar – häufig im einstelligen bis niedrigen zweistelligen Dollar-Bereich. Der Großteil der Summe fließt zudem in Anwaltskosten.

Dennoch empfiehlt sich eine Anmeldung für Berechtigte, da kein aufwendiger Nachweis erforderlich ist.

---

Was bedeutet das für Datenschutz und Compliance in Europa?

Obwohl das Settlement ausschließlich US-Nutzer betrifft, hat der Fall eine mittelbare Relevanz für europäische Unternehmen. Er zeigt exemplarisch, welche finanziellen Folgen aus unzureichend dokumentierten Einwilligungsverfahren und intransparentem Datentracking entstehen können.

In der EU greifen dieselben Grundprinzipien bereits über die Datenschutz-Grundverordnung (DSGVO): Ortsdaten gelten als besonders sensible Kategorie, und das Erheben solcher Informationen ohne eindeutige Rechtsgrundlage kann zu empfindlichen Bußgeldern führen.

Europäische Datenschutzbehörden haben Google in der Vergangenheit bereits mehrfach wegen ähnlicher Praktiken sanktioniert – unter anderem die französische CNIL mit Bußgeldern in dreistelliger Millionenhöhe.

Das US-Settlement unterstreicht, dass Tracking-Infrastrukturen auch für Unternehmen außerhalb des Silicon Valley ein regulatorisches Risiko darstellen, sofern vergleichbare Datenerhebungspraktiken ohne transparente Einwilligungsmechanismen betrieben werden.

---

Einordnung für deutsche Unternehmen

Für Unternehmen in Deutschland, die eigene Apps oder Tracking-Dienste auf Android- oder iOS-Plattformen betreiben, liefert dieser Fall einen weiteren Anlass zur Überprüfung der eigenen Consent-Management-Prozesse. Dabei gilt:

• Standortdaten dürfen nur mit expliziter, granularer Einwilligung erhoben werden
• Die Einwilligung muss widerrufbar, dokumentiert und zweckgebunden sein
• Beim Einsatz externer SDKs oder Analysetools von Drittanbietern ist DSGVO-konforme Konfiguration Pflicht

Ein internes Audit der genutzten Datenerhebungstools ist vor dem Hintergrund zunehmender Aufsichtsaktivität kein optionaler, sondern ein gebotener Schritt.

---

Quelle: CNET – Google Android Data Harvesting Settlement