Datenleck bei LinkedIn: So erhalten Betroffene Auskunft und allenfalls auch Schadenersatz

Die Daten von rund 700 Millionen LinkedIn-Nutzern wurden abgegriffen und werden im Darknet zum Kauf angeboten. Damit sind rund 93 Prozent der LinkedIn-Nutzerinnen vom Datenleck betroffen.

Die Datensätze umfassen nach Angaben von Heise Online die «vollständigen Namen, E-Mail- und Postadressen, Standortdaten, Telefonnummnern, LinkedIn-Nutzernamen und Profil-URLs sowie Angaben zu Geschlecht, persönlichem und beruflichem Werdegang und weiteren Social-Media-Accounts der jeweiligen Nutzer.»

Nutzer in der Schweiz können Auskunft von LinkedIn verlangen, ob sie vom Datenleck betroffen sind. Allenfalls haben sie auch Anspruch auf Schadenersatz.

Ich nutze LinkedIn: Kann ich herausfinden, ob ich vom Datenleck betroffen bin?

Nutzerinnen können von LinkedIn kostenlos Auskunft verlangen, ob sie vom Datenleck betroffen sind, und falls ja, welche Daten betroffen sind. LinkedIn ist verpflichtet, Auskunft zu erteilen.

Für die Bearbeitung von Daten von Nutzern in der Schweiz ist gemäss Datenschutzerklärung von LinkedIn die LinkedIn Ireland Unlimited Company verantwortlich.

Kann ich Schadenersatz von LinkedIn fordern?

Wer die Auskunft erhält, vom Datenleck betroffen zu sein, kann je nach Betroffenheit allenfalls Schadenersatz von LinkedIn fordern. Das gilt auch, wenn man anderweitig erfährt, vom Datenleck betroffen zu sein.

Wer keine oder keine rechtzeitige Auskunft erhält, kann aufgrund der nicht erteilten Auskunft allenfalls Schadenersatz von LinkedIn fordern. Die Auskunft muss innerhalb eines Monates erfolgen oder in der gleichen Frist um bis zu zwei Monate verlängert werden.

Wie kann ich Auskunft von LinkedIn verlangen?

Um Auskunft zu erhalten, können LinkedIn-Nutzerinnen in der Schweiz das nachfolgende Musterschreiben unverbindlich verwenden. Wir empfehlen, das Auskunftsbegehren als Einschreiben zu versenden und zu verfolgen, ob das Schreiben bei LinkedIn in Irland angekommen ist.

Wir empfehlen Ihnen, Schritt für Schritt wie folgt vorzugehen:

1. Musterschreiben als PDF-Datei herunterladen und Formularfelder ausfüllen (Ort und Datum, vollständiger Name, vollständige Postadresse einschliesslich Land
2. Auskunftsbegehren ausdrucken
3. Ausgedrucktes Auskunftsbegehren unterzeichnen
4. Kopie eines amtlichen Ausweises (Identitätskarte, Pass oder Ausländerauweis) erstellen
5. Unterzeichnetes Auskunftsbegehren einschliesslich Ausweiskopie als Einschreiben an LinkedIn senden
6. Sendungsverfolgung nutzen, um sicherzustellen, dass das Auskunftsbegehren bei LinkedIn in Irland ankommt
7. Abwarten, ob die Auskunft erteilt wird (Faustregel: 6 Wochen nach Zustellung bei LinkedIn abwarten.)

Das Musterschreiben ist für die Verwendung in einem C5-Fenstercouvert mit dem Fenster auf der linken Seite optimiert. Der Briefumschlag kann auch von Hand beschriftet werden.

Gibt es das Musterschreiben in anderen Datei-Formaten?

Gerne stellen wir das Musterschreiben unverbindlich in weiteren Formaten zur Verfügung:

• Microsoft Word (Office Open XML)
• Microsoft Word 97-2004 (DOC)
• Rich Text Format (RTF)
• OpenDocument Text (ODT)

Je nach Format kann es zu Abweichungen bei der Formatierung kommen. Wir empfehlen die Verwendung der Schriftart Palatino Linotype.

Muss ich das Auskunftsbegehren an LinkedIn per Briefpost versenden?

LinkedIn stellt ein Online-Kontaktformular für Datenschutz-Anfragen zur Verfügung.

Aus Beweisgründen empfehlen wir, das Auskunftsbegehren per Briefpost und als Einschreiben zu versenden. Ein schriftliches Auskunftsbegehren entspricht den Vorgaben des schweizerischen Datenschutzgesetzes.

Zum Teil wird empfohlen, Auskunftsbegehren per E-Mail an die Medienstelle von LinkedIn (press@linkedin.com) zu senden. Wir raten von diesem Weg ab, denn die Medienstelle ist nicht zuständig für Auskunftsbegehren.

Muss ich eine Ausweiskopie mitsenden?

LinkedIn muss betroffene Personen, die Auskunft verlangen, identifizieren. Dafür dient die Ausweiskopie, die von LinkedIn nur für diesen Zweck verwendet werden darf.

Ohne Identifikation würde LinkedIn riskieren, einer unberechtigten Person Auskunft zu erteilen. Die Auskunft an eine unberechtigte Person wäre eine Datenschutzverletzung.

Eingeloggte LinkedIn-Nutzer können ihre Kontodaten herunterladen, ohne sich mit einer Ausweiskopie identifizieren zu müssen. Allerdings können diese Kontodaten eine Auskunft über das Datenleck bei LinkedIn nicht ersetzen.

Wie funktioniert die Sendungsverfolgung nach dem Versand?

Die Schweizerische Post ermöglicht die Sendungsverfolgung über die Seite «Meine Sendungen».

Wenn die Sendung aufgrund der Sendungsnummer gefunden wird, kann man auf «Details anzeigen» klicken, um den aktuellen Stand zu erfahren. Eine PDF-Datei mit dem Sendungsverlauf erhält man durch einen Klick auf «Frühere anzeigen» und einen weiteren Klick auf «Sendungsverlauf drucken».

Nach erfolgter Zustellung ist ausserdem bei der irischen Post eine Zustellbestätigung («Proof of Delivery») erhältlich. Dafür ruft man die Seite «Track items» auf, gibt die Sendungsnummer ein und klickt auf «Track item».

Danach steht «View item history» zur Verfügung, was in etwa dem Sendungsverlauf der Schweizerischen Post entspricht. Etwas weiter unten auf der Seite steht «Request proof of delivery» zur Verfügung. Wenn man beweisen kann, kein Bot zu sein, erhält man die Zustellbestätigung als PDF-Datei.

Sollte ich mich nicht an LinkedIn in den USA wenden?

Für Nutzerinnen in «designierten Ländern» – dazu zählen die Mitgliedstaaten des Europäischen Wirtschaftraums (EWR) und die Schweiz – ist die LinkedIn Ireland Unlimited Company zuständig. Es wäre deshalb falsch, sich an LinkedIn den USA zu wenden.

Zum Teil wird empfohlen, Auskunftsbegehren an eine Adresse von LinkedIn in Mountain View in den USA zu senden. Diese Empfehlung ist veraltet. Der Sitz der amerikanischen LinkedIn Corporation befindet sich inzwischen in Sunnyvale und nicht mehr in Mountain View.

Wie erhalte ich Schadenersatz von LinkedIn?

Wer als LinkedIn-Nutzer vom Datenleck betroffen ist oder keine (rechtzeitige) Auskunft von LinkedIn erhält, hat allenfalls Anspruch auf Schadenersatz.

Für eine verspätete Auskunft ist Schadenersatz von 500 Euro pro Monat denkbar, bei einer Auskunft, die zwei Monate zu spät erfolgt, wären damit 1’000 Euro möglich.

Ob ein Anspruch auf Schadenersatz besteht – gemäss europäischem oder schweizerischem Datenschutzrecht – muss im Einzelfall geprüft werden.

Schadenersatz müsste im Streitfall auf dem Rechtsweg durchgesetzt werden. Es gibt keinen Automatismus, um Schadenersatz von LinkedIn zu erhalten, wenn sich LinkedIn nicht kooperativ verhält. Immerhin könnten schweizerische LinkedIn-Nutzerinnen vor einem Gericht in der Schweiz gegen LinkedIn Klage erheben.

Was sind die Rechtsgrundlagen für das Auskunftsbegehren?

Schweizerische Nutzer haben den Vorteil, sich auf das Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) und die europäische Datenschutz-Grundverordnung (DSGVO) berufen zu können. Die DSGVO gilt unter anderem am europäischen Sitz von LinkedIn in Irland.

Die DSGVO gibt betroffenen Personen mehr und wirksamere Möglichkeiten als das DSG, um sich gegen Datenschutzverletzungen zur Wehr zu setzen. Davon können Nutzerinnen in der Schweiz, die vom LinkedIn-Datanleck betroffen sind, profitieren.

Kann ich das Musterschreiben in Deutschland verwenden?

Betroffene Personen, die in Deutschland, im Fürstentum Liechtenstein oder in Österreich daheim sind, können das Musterschreiben unverbindlich in der nachfolgenden Fassung mit ausschliesslicher Erwähnung der europäischen Datenschutz-Grundverordnung (DSGVO) verwenden:

• Portable Document Format (PDF)
• Microsoft Word (Office Open XML)
• Microsoft Word 97-2004 (DOC)
• Rich Text Format (RTF)
• OpenDocument Text (ODT)

Foto: Wikimedia Commons / Nan Palmero, «LinkedIn chocolates», CC BY 2.0 (generisch)-Lizenz.