Welche persönlichen Daten bei der LinkedIn-Identitätsprüfung weitergegeben werden

 (thelocalstack.eu)
5 Punkte von GN⁺ 2026-02-22 | 2 Kommentare | Auf WhatsApp teilen
  • Der Identitätsprüfungsprozess von LinkedIn ist abgeschlossen, sobald Nutzer ihren Reisepass und ein Gesichtsbild einreichen, die eigentlichen Daten werden jedoch nicht an LinkedIn, sondern an das US-Unternehmen Persona übermittelt
  • Persona sammelt umfangreiche personenbezogene Daten wie Passfotos, biometrische Daten zur Gesichtserkennung, NFC-Chip-Daten sowie Geräte- und Standortinformationen
  • Diese Daten werden für das Training von KI genutzt; als Rechtsgrundlage wird ein „berechtigtes Interesse (legitimate interest)“ angegeben, sodass die Verarbeitung ohne ausdrückliche Einwilligung erfolgt
  • Von Personas 17 Unterauftragsverarbeitern (subprocessors) sind 16 US-Unternehmen; KI-Firmen wie OpenAI und Anthropic analysieren Pass- und Gesichtsdaten
  • Nach dem US-CLOUD Act kann die US-Regierung auch auf Daten zugreifen, die auf europäischen Servern gespeichert sind, sodass der Schutz personenbezogener Daten europäischer Nutzer faktisch nicht gewährleistet ist

Die tatsächliche Struktur des LinkedIn-Verifizierungsprozesses

  • Wenn man bei LinkedIn auf den Button „Verify“ klickt, wird man zu Persona Identities, Inc. (mit Sitz in San Francisco) weitergeleitet
    • LinkedIn ist der Firmenkunde, und der Nutzer wird zum Gegenstand der Datenverarbeitung durch Persona
    • Die meisten Nutzer reichen Pass und Gesichtsfoto ein, ohne überhaupt zu wissen, dass Persona dahintersteht

Welche Daten Persona sammelt

  • Im Zuge der Identitätsprüfung sammelt Persona die folgenden Informationen
    • Name, vollständiges Bild des Reisepasses, Live-Selfie, Gesichtsgeometrie (biometrische Daten)
    • NFC-Chip-Daten, nationale ID-Nummer, Geschlecht, Geburtsdatum, E-Mail, Telefonnummer, Adresse
    • IP-Adresse, Geräte- und Browserinformationen, Sprache, Standortdaten
  • Zusätzlich werden auch verhaltensbasierte biometrische Daten (behavioral biometrics) erfasst, etwa „Zögern-Erkennung“ und „Kopieren-und-Einfügen-Erkennung“

Abgleich mit Daten Dritter

  • Persona führt nicht nur mit den vom Nutzer bereitgestellten Angaben Prüfungen durch, sondern gleicht diese auch mit staatlichen Datenbanken, Kreditauskunfteien, Telekommunikationsanbietern und Versorgungsunternehmen ab
    • Es handelt sich also nicht nur um eine einfache Identitätsprüfung, sondern um einen Datenabruf auf dem Niveau einer Hintergrundüberprüfung

Nutzung als KI-Trainingsdaten

  • Laut Datenschutzerklärung werden hochgeladene Passbilder und Selfies für das Training von KI-Modellen verwendet
    • Ziel ist eine bessere Erkennung von Reisepässen aus verschiedenen Ländern und eine Verbesserung des Dienstes
    • Die Rechtsgrundlage ist „berechtigtes Interesse“, wodurch eine Verarbeitung ohne ausdrückliche Einwilligung der Nutzer möglich ist
    • Ob dabei Grundrechte nach der DSGVO verletzt werden, ist unklar

Datenweitergabe und zugriffsberechtigte Stellen

  • LinkedIn erhält folgende Informationen: Name, Geburtsjahr, Art des Ausweisdokuments, ausstellende Behörde, Verifizierungsergebnis und eine unkenntlich gemachte Kopie des Ausweises
  • Persona teilt Daten außerdem mit
    • Dienstleistern und Datenpartnern, verbundenen Unternehmen, potenziellen Erwerbern und Strafverfolgungsbehörden
  • Zur Liste der 17 Unterauftragsverarbeiter (subprocessor) gehören unter anderem
    • Anthropic, OpenAI, Groqcloud (Datenextraktion und -analyse)
    • AWS, Google Cloud, Snowflake, MongoDB sowie weitere Infrastruktur- und Datenbankdienste
    • Stripe, Twilio als Anbieter von Zahlungs- und Kommunikations-APIs
  • Von den 17 Unternehmen haben 16 ihren Sitz in den USA und 1 in Kanada; kein einziges sitzt in der EU

CLOUD Act und das Problem der Datensouveränität

  • Persona betreibt Rechenzentren in den USA und in Deutschland, ist aber ein US-Unternehmen und fällt daher unter den CLOUD Act
    • US-Gerichte können per rechtlicher Anordnung auch auf Daten zugreifen, die auf ausländischen Servern gespeichert sind
    • In den Richtlinien von Persona ist ausdrücklich festgehalten, dass Daten auf Anfrage zu Zwecken der Strafverfolgung oder nationalen Sicherheit bereitgestellt werden
    • Solche Anordnungen können mit einer Verschwiegenheitsanordnung (gag order) verbunden sein, sodass Nutzer möglicherweise nicht informiert werden

Grenzen des EU-US Data Privacy Framework

  • Persona verfügt über eine Zertifizierung im EU-US Data Privacy Framework (DPF)
    • Dabei handelt es sich jedoch um das Nachfolgemodell des Privacy Shield, dessen rechtliche Wirkung auf einer Executive Order beruht
    • Bei einem künftigen Regierungswechsel besteht die Möglichkeit eines Widerrufs
    • Datenschutzorganisationen wie noyb haben bereits rechtliche Schritte dagegen eingeleitet

Risiken biometrischer Daten und Ausnahmen bei der Speicherung

  • Persona erklärt, Daten zur Gesichtsgeometrie nach Abschluss der Verifizierung oder innerhalb von 6 Monaten zu löschen
    • Allerdings gibt es Ausnahmen bei rechtlichen Anforderungen, sodass bei einer Anordnung eines US-Gerichts eine unbegrenzte Speicherung möglich sein könnte
    • Biometrische Daten sind unveränderliche eindeutige Identifikatoren und bei einem Leak nicht wiederherstellbar

Rechtliche Haftung und Nutzerrechte

  • Personas Haftungsobergrenze für Schadensersatz ist auf 50 US-Dollar begrenzt
    • Streitigkeiten können nur über ein individuelles verpflichtendes Schiedsverfahren bei der US-Schiedsstelle AAA geführt werden
    • Für EU-Nutzer gilt zwar ausdrücklich irisches Recht, der vorrangige Zugriff nach dem CLOUD Act schwächt den tatsächlichen Schutz jedoch erheblich

Empfohlene Maßnahmen für Nutzer

  • Nutzer, die die Verifizierung bereits abgeschlossen haben, können Folgendes tun
    • Datenauskunft anfordern: idv-privacy@withpersona.com
    • Löschung verlangen: die Entfernung nicht mehr benötigter Daten nach Abschluss der Verifizierung fordern
    • DPO kontaktieren: über dpo@withpersona.com Widerspruch gegen die Nutzung für KI-Training einlegen
    • Verifizierung überdenken: Statt eines einfachen Abzeichens sollte die Bedeutung des Schutzes biometrischer Daten berücksichtigt werden

Fazit

  • Die Identitätsprüfung bei LinkedIn dauert nur 3 Minuten, aber um den tatsächlichen Datenfluss zu verstehen, müsste man 34 Seiten juristischer Dokumente lesen
  • Nutzer geben Reisepass, Gesicht, biometrische Daten und Kredithistorie an ein US-Unternehmen weiter und
    sind den Möglichkeiten von KI-Training, staatlichem Zugriff und rechtlich begründeter Ausnahmespeicherung ausgesetzt
  • Die Daten europäischer Nutzer unterliegen faktisch dem US-Rechtssystem
  • Es ist eine Struktur, bei der man für ein einfaches blaues Abzeichen praktisch die gesamte persönliche Identität preisgibt

Verwandte Beiträge

2 Kommentare

 
cherrycoder 2026-02-22

Scheint überraschend oft auch für Spionageabwehr-Aktivitäten innerhalb der USA genutzt zu werden.
 
GN⁺ 2026-02-22
Hacker-News-Kommentare

  • Der CEO von Persona hat direkt auf LinkedIn Stellung genommen.
    Personenbezogene Daten würden nicht für AI-Training verwendet, biometrische Daten würden nach der Identitätsprüfung sofort gelöscht, und die übrigen Daten würden innerhalb von 30 Tagen automatisch gelöscht.
    In der Praxis seien Dokumente, sobald die Rechtsabteilung eingreife, oft übermäßig weit gefasst. Dadurch könnten sie deutlich düsterer wirken als die Realität, weshalb solche Klarstellungen für Transparenz sinnvoll seien.

    • Wenn solche Erklärungen nicht in den rechtlichen Dokumenten festgehalten sind, haben sie meiner Meinung nach keine Bedeutung. Man sollte sich nicht nur auf das Wort des CEO verlassen, sondern es in den Dokumenten bestätigt sehen.
    • In den Richtlinien steht, dass sich das „jederzeit ändern“ könne. Dann ist fraglich, wozu die Aussage des CEO überhaupt gut sein soll. Am Ende könnte man in der Praxis nur ein soft delete machen und die Daten behalten.
    • Statt „pointing out“ wäre wohl „claiming that“ die passendere Formulierung. Wenn man an die Verbindung zu Unternehmen denkt, die öffentlich illegal Daten gesammelt und zum Training von Modellen genutzt haben, fällt Vertrauen schwer.
    • Dass die Rechtsabteilung so weit gefasste Formulierungen verwendet, könnte auch bedeuten, dass intern etwas nicht eindeutig geklärt ist oder dass man sich Spielraum für die Datennutzung offenhalten will. Wenn man die Privatsphäre der Nutzer wirklich schützen will, sollte das in den rechtlichen Dokumenten stehen.
    • Es wirkt merkwürdig, dass biometrische Informationen an den Server übertragen werden. Ich frage mich, warum man das nicht auf dem Gerät verarbeitet (on-device processing). Wäre eine Struktur, bei der wie bei Passwörtern nur Hash + Salt übertragen werden, nicht sicherer?

  • Früher habe ich mir für LinkedIn eine eigene E-Mail-Adresse angelegt, und kaum hatte ich das Konto gelöscht, wurde diese Adresse mit Spam-Mails überflutet.
    Ich würde das gern testen, aber mein Vertrauen ist bereits verloren. Ich glaube, LinkedIn hat Daten verkauft.

    • Ich finde es ironisch, dass Mozilla jemanden als CEO einstellt, dessen einziges Online-Profil LinkedIn ist. Warum trifft eine Organisation, die sich gegen Überwachung positioniert, so eine Entscheidung?
    • LinkedIn hat eine viel zu lange Hacker-Vergangenheit. Es fühlt sich an, als wolle das Unternehmen selbst bei ausgeschiedenen Nutzern noch das Letzte aus den Daten herausholen.
    • Ich denke, LinkedIn ist im Kern eine Plattform zur Informationssammlung. Dass Microsoft es übernommen hat, wirkt für mich ähnlich gelagert wie bei Skype.
    • Das frühere LinkedIn hatte eine problematische Vergangenheit, etwa mit E-Mail-Scanning und dem Erstellen gefälschter Konten.
    • LinkedIn ist im Grunde eine Plattform für öffentliche Profile. Informationen, die man privat halten will, sollte man dort nicht hochladen. Spam lässt sich nicht vermeiden, und E-Mail-Filterung ist die realistische Alternative.

  • Beim Anlegen eines neuen Kontos wurde ich zur Identitätsprüfung gezwungen. Ich musste mich mit meinem Reisepass verifizieren, und selbst danach bekam ich bei der Einsicht in die personenbezogenen Daten kaum nützliche Informationen.
    Die Werbeeinstellungen waren standardmäßig aktiviert, und der ganze Prozess war sehr unangenehm.
    Es war ein Firmenkonto, also hatte ich keine Wahl, aber es hat mir noch deutlicher gemacht, wie dringend dezentrale Alternativen gebraucht werden.

    • Selbst für den Zugriff auf ein bestehendes Konto wird die Verifizierung erzwungen. Um ein Konto zu löschen oder der Nutzung von Inhalten für AI zu widersprechen, muss man paradoxerweise noch mehr Informationen einreichen – eine widersprüchliche Struktur.
    • Ich verstehe, dass es wegen AI-Bots Identitätsprüfungen braucht, aber es muss einen Weg geben, Vertrauen zu schaffen und zugleich die Privatsphäre zu wahren. Die LinkedIn-Antwort des Persona-CEO ist dazu ebenfalls lesenswert.
    • Der Grund, warum diese Dienste sich so viel erlauben können, ist der Netzwerkeffekt. Die Nutzer sind gebunden und können schwer weg, und genau das wird zu Macht.
    • Auch die Verbindung von Persona zu Peter Thiel ist besorgniserregend. In Kombination mit staatlicher Überwachung birgt das Risiken.

  • Eine Identitätsprüfung über Persona trägt letztlich dazu bei, staatliche Datenbestände anzureichern (enrichment).
    Große Dienste wie Coursera, Wealthsimple und Lime sind bereits darauf angewiesen, sodass man dem kaum entgehen kann, aber es braucht rechtliche Garantien für die Datennutzung.
    Regionen wie Kanada oder Europa, in denen über digitale Souveränität diskutiert wird, sollten lokale Alternativen fördern.

    • Tatsächlich kommt man dem auch bei alltäglichen Vorgängen wie Jobsuche, Wohnungsmiete, Visa oder elektronischen Signaturen kaum aus.
    • Die Rolle von KYC-Plattformen passe, zynisch formuliert, eher in die „Hölle“.

  • Persona scheint nicht über vertrauenswürdige Fähigkeiten für den Umgang mit großen Mengen personenbezogener Daten zu verfügen.
    Relevanter Blogbeitrag: https://vmfunc.re/blog/persona

    • Auch die X(Twitter)-Unterhaltung zwischen dem CEO und dem Blogger ist interessant. Es handelte sich demnach nicht um einen Hack, sondern um ein Leck von Frontend-Sourcemaps, durch das interne Variablennamen offengelegt wurden.
    • Manche meinten auch, es sei ein großartiger Text mit dem Charme des alten Internets gewesen.
    • Es gab allerdings auch den technischen Hinweis, dass die Seite einen Firefox-Speicherleck auslöse.
    • Außerdem wurde davor gewarnt, dass beim Klick auf den „Continue“-Button plötzlich Musik abgespielt werde.

  • Die Kernstruktur von Plattformen wie LinkedIn, Google und Facebook besteht darin, Nutzer als Ware zu verkaufen.
    Wenn jemand Geld bezahlt, um dich gezielt anzusprechen, wird dieses Geld letztlich wieder bei dir hereingeholt.
    Ich denke, diese Struktur hat langfristig die wirtschaftliche Ungleichheit verschärft.

    • Dieser Text hat mich so beeindruckt, dass ich ihn zitieren möchte, wenn ich die Wichtigkeit von Privatsphäre erkläre. Ich nutze selbst Google-Dienste, bin mir ihres Geschäftsmodells aber immer bewusst.
    • LinkedIn ist tatsächlich auch eine Plattform, die kostenpflichtige Produkte verkauft. Das Problem ist, dass das offenbar nicht reicht und man Daten zusätzlich verwertet.
    • Alle nutzen es, weil es „cool und kostenlos“ ist, aber für die Folgen übernimmt am Ende kaum jemand echte Verantwortung.
    • Manche melden sich bei LinkedIn sogar an, um gefunden und angesprochen zu werden. Die Struktur, in der Unternehmen Jobsuchende finden, kann auch für beide Seiten vorteilhaft sein. Makroökonomische Probleme wie Inflation sozialen Medien anzulasten, geht allerdings zu weit.
    • Am Ende sollte man nie vergessen: Du bist das Produkt.

  • LinkedIn hat sich in ein TikTok-artiges Angeber-SNS verwandelt. Unter dem Vorwand, „Branchenwissen aufzubauen“, wird Zeitverschwendung gerechtfertigt.
    Es wimmelt dort nicht von echten Fachleuten, sondern von Menschen, die von ihrer Selbstmarke leben.

    • Die meisten Nutzer schauen kaum in den Feed. Sie verwenden LinkedIn nur zur Kontaktpflege oder für Nachrichten. Der Feed ist einfach Rauschen und wird am besten ignoriert.
    • Ich nutze LinkedIn als einseitigen Kanal (write-only) und habe darüber tatsächlich viele gute Kontakte offline geknüpft.
    • Wenn man eine strikte Netzwerkregel einhält und sich nur mit Menschen verbindet, die man wirklich getroffen hat, wird der Feed deutlich sauberer.

  • Im Artikel fand ich den Teil eindrucksvoll, in dem es hieß: „Ich habe einen europäischen Reisepass gescannt, und alle Daten gingen an nordamerikanische Unternehmen.“
    Ich glaube nicht, dass man LinkedIn als europäisches Netzwerk bezeichnen kann.

    • Der Autor meinte wohl eher „sein eigenes Netzwerk in Europa“.
    • In Europa sollte man eigentlich Xing nutzen, aber dort wäre es wohl ziemlich einsam.
    • Formulierungen wie „Let that sink in“ wirken wie Spuren von GPT-generierten Texten, was das Vertrauen eher mindert.
    • Dass Europäer LinkedIn nutzen, liegt am Netzwerkeffekt. Die US-zentrierte Konzentration von Technologie war ein großer Fehler, und man sollte wie China eigene inländische Alternativen fördern.

  • Solcher Privatsphäre-Aktivismus ist nötig. Ich habe die LinkedIn-Verifizierung ebenfalls gemacht, war aber beeindruckt von der praktisch umsetzbaren Maßnahmenliste, die der Autor vorgeschlagen hat.

  • In letzter Zeit bekomme ich ständig die Fehlermeldung, dass „E-Mails nicht empfangen werden“. Tatsächlich kommen sie aber ganz normal an.
    Wenn ich auf den Button klicke, erscheint nur „Ein Problem ist aufgetreten“, und selbst als zahlender Nutzer wird das nicht gelöst.
    Der Support wollte mir dann an genau diese Adresse eine E-Mail schicken, was absurd war. Solche Strukturen machen einem die Notwendigkeit von Dezentralisierung erneut bewusst.

    • Es wirkt, als seien Callcenter-Systeme absichtlich so kompliziert konstruiert. Mitarbeitende auf niedriger Ebene haben keine Befugnisse und reichen Tickets nur weiter oder verschieben sie zwischen Abteilungen.
      Auch Telefonsysteme mit AI-Spracherkennung sind eher noch unbequemer. Es fühlt sich an wie eine über Jahrzehnte gewachsene monströse strukturelle Komplexität.
    • Es wurde auch vorgeschlagen zu prüfen, ob das Laden externer Bilder blockiert wird. Oft wird über Tracking-Pixel gemessen, ob eine E-Mail empfangen wurde.