Ein neuer Datenschutzskandal erschüttert die Tech-Branche: Die Microsoft-Tochter LinkedIn soll bei jedem Besuch der Plattform versteckten Code ausführen, der das Betriebssystem der Besucher nach installierter Software durchsucht. Die gesammelten Informationen werden demnach nicht nur an LinkedIn-Server übertragen, sondern auch an Drittunternehmen weitergegeben – darunter offenbar ein amerikanisch-israelisches Cybersicherheitsunternehmen. Das Besondere und besonders Brisante daran: Nutzer werden weder um Erlaubnis gebeten noch in irgendeiner Form darüber informiert. Selbst die Datenschutzerklärung von LinkedIn schweigt zu dieser Praxis vollständig.
Gezielte Überwachung identifizierter Personen
Was diesen Fall von herkömmlichem Browser-Tracking unterscheidet, ist der Grad der Personalisierung. LinkedIn ist kein anonymes Netzwerk – die Plattform kennt den echten Namen, den Arbeitgeber und die Berufsbezeichnung jedes eingeloggten Nutzers. Damit handelt es sich nicht um das Erstellen anonymer Nutzerprofile, sondern um die systematische Inventarisierung der Software-Ausstattung von identifizierten Personen in identifizierten Unternehmen. Mit über einer Milliarde registrierten Nutzern weltweit ergibt sich daraus ein potenziell umfassendes Bild der Software-Landschaft in Millionen von Unternehmen rund um den Globus – täglich aktualisiert.
Rechtliche Dimension: Illegal in zahlreichen Jurisdiktionen
Rechtlich betrachtet ist die Situation für Microsoft brisant. Analysten, die den Fall untersucht haben, stufen das Vorgehen als illegal ein – und zwar in nahezu jeder untersuchten Rechtsordnung. In der Europäischen Union dürfte ein solches Vorgehen klar gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen, die für jede Datenerhebung eine informierte Einwilligung vorschreibt. Aber auch in den USA, Kanada und anderen Ländern mit entsprechenden Datenschutzgesetzen könnte das Verhalten strafrechtliche Konsequenzen nach sich ziehen. Für Microsoft, das LinkedIn im Jahr 2016 für rund 26 Milliarden US-Dollar erworben hat, könnte dies zu erheblichen Bußgeldern und Reputationsschäden führen.
Einordnung: Ein Muster in der Industrie?
Der LinkedIn-Fall steht nicht isoliert da. Die Tech-Branche sieht sich seit Jahren mit wachsender Kritik an aggressiven Datensammlungspraktiken konfrontiert. Was LinkedIn vorgeworfen wird, geht jedoch über klassisches Tracking-Verhalten hinaus: Das aktive Auslesen lokal installierter Software erinnert eher an Spyware-Funktionalität als an gewöhnliche Web-Analytics. Für Unternehmenskunden und IT-Sicherheitsverantwortliche ist das ein ernstes Signal – schließlich könnten durch diese Praxis sensitive Informationen über die interne Software-Infrastruktur eines Unternehmens nach außen gelangen.
Was Nutzer jetzt tun können
Bis zu einer offiziellen Stellungnahme oder rechtlichen Klärung empfiehlt sich für sicherheitsbewusste Nutzer und Unternehmen, LinkedIn ausschließlich in isolierten Browser-Umgebungen oder mit strikten Script-Blockern zu öffnen. Browser-Erweiterungen wie uBlock Origin oder NoScript können helfen, unerwünschte Code-Ausführung zu unterbinden. Unternehmen sollten prüfen, ob der Zugriff auf LinkedIn über Firmengeräte reguliert oder eingeschränkt werden sollte, bis die Vorwürfe vollständig aufgeklärt sind. Microsoft hat sich bislang nicht öffentlich zu den Vorwürfen geäußert.
Quellen: Hacker News