Welche persönlichen Daten bei der LinkedIn-Identitätsprüfung weitergegeben werden

 (thelocalstack.eu)
5 Punkte von GN⁺ 2026-02-22 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Der Identitätsprüfungsprozess von LinkedIn ist abgeschlossen, sobald Nutzer ihren Reisepass und ein Gesichtsbild einreichen, die eigentlichen Daten werden jedoch nicht an LinkedIn, sondern an das US-Unternehmen Persona übermittelt
  • Persona sammelt umfangreiche personenbezogene Daten wie Passfotos, biometrische Daten zur Gesichtserkennung, NFC-Chip-Daten sowie Geräte- und Standortinformationen
  • Diese Daten werden für das Training von KI genutzt; als Rechtsgrundlage wird ein „berechtigtes Interesse (legitimate interest)“ angegeben, sodass die Verarbeitung ohne ausdrückliche Einwilligung erfolgt
  • Von Personas 17 Unterauftragsverarbeitern (subprocessors) sind 16 US-Unternehmen; KI-Firmen wie OpenAI und Anthropic analysieren Pass- und Gesichtsdaten
  • Nach dem US-CLOUD Act kann die US-Regierung auch auf Daten zugreifen, die auf europäischen Servern gespeichert sind, sodass der Schutz personenbezogener Daten europäischer Nutzer faktisch nicht gewährleistet ist

Die tatsächliche Struktur des LinkedIn-Verifizierungsprozesses

  • Wenn man bei LinkedIn auf den Button „Verify“ klickt, wird man zu Persona Identities, Inc. (mit Sitz in San Francisco) weitergeleitet
    • LinkedIn ist der Firmenkunde, und der Nutzer wird zum Gegenstand der Datenverarbeitung durch Persona
    • Die meisten Nutzer reichen Pass und Gesichtsfoto ein, ohne überhaupt zu wissen, dass Persona dahintersteht

Welche Daten Persona sammelt

  • Im Zuge der Identitätsprüfung sammelt Persona die folgenden Informationen
    • Name, vollständiges Bild des Reisepasses, Live-Selfie, Gesichtsgeometrie (biometrische Daten)
    • NFC-Chip-Daten, nationale ID-Nummer, Geschlecht, Geburtsdatum, E-Mail, Telefonnummer, Adresse
    • IP-Adresse, Geräte- und Browserinformationen, Sprache, Standortdaten
  • Zusätzlich werden auch verhaltensbasierte biometrische Daten (behavioral biometrics) erfasst, etwa „Zögern-Erkennung“ und „Kopieren-und-Einfügen-Erkennung“

Abgleich mit Daten Dritter

  • Persona führt nicht nur mit den vom Nutzer bereitgestellten Angaben Prüfungen durch, sondern gleicht diese auch mit staatlichen Datenbanken, Kreditauskunfteien, Telekommunikationsanbietern und Versorgungsunternehmen ab
    • Es handelt sich also nicht nur um eine einfache Identitätsprüfung, sondern um einen Datenabruf auf dem Niveau einer Hintergrundüberprüfung

Nutzung als KI-Trainingsdaten

  • Laut Datenschutzerklärung werden hochgeladene Passbilder und Selfies für das Training von KI-Modellen verwendet
    • Ziel ist eine bessere Erkennung von Reisepässen aus verschiedenen Ländern und eine Verbesserung des Dienstes
    • Die Rechtsgrundlage ist „berechtigtes Interesse“, wodurch eine Verarbeitung ohne ausdrückliche Einwilligung der Nutzer möglich ist
    • Ob dabei Grundrechte nach der DSGVO verletzt werden, ist unklar

Datenweitergabe und zugriffsberechtigte Stellen

  • LinkedIn erhält folgende Informationen: Name, Geburtsjahr, Art des Ausweisdokuments, ausstellende Behörde, Verifizierungsergebnis und eine unkenntlich gemachte Kopie des Ausweises
  • Persona teilt Daten außerdem mit
    • Dienstleistern und Datenpartnern, verbundenen Unternehmen, potenziellen Erwerbern und Strafverfolgungsbehörden
  • Zur Liste der 17 Unterauftragsverarbeiter (subprocessor) gehören unter anderem
    • Anthropic, OpenAI, Groqcloud (Datenextraktion und -analyse)
    • AWS, Google Cloud, Snowflake, MongoDB sowie weitere Infrastruktur- und Datenbankdienste
    • Stripe, Twilio als Anbieter von Zahlungs- und Kommunikations-APIs
  • Von den 17 Unternehmen haben 16 ihren Sitz in den USA und 1 in Kanada; kein einziges sitzt in der EU

CLOUD Act und das Problem der Datensouveränität

  • Persona betreibt Rechenzentren in den USA und in Deutschland, ist aber ein US-Unternehmen und fällt daher unter den CLOUD Act
    • US-Gerichte können per rechtlicher Anordnung auch auf Daten zugreifen, die auf ausländischen Servern gespeichert sind
    • In den Richtlinien von Persona ist ausdrücklich festgehalten, dass Daten auf Anfrage zu Zwecken der Strafverfolgung oder nationalen Sicherheit bereitgestellt werden
    • Solche Anordnungen können mit einer Verschwiegenheitsanordnung (gag order) verbunden sein, sodass Nutzer möglicherweise nicht informiert werden

Grenzen des EU-US Data Privacy Framework

  • Persona verfügt über eine Zertifizierung im EU-US Data Privacy Framework (DPF)
    • Dabei handelt es sich jedoch um das Nachfolgemodell des Privacy Shield, dessen rechtliche Wirkung auf einer Executive Order beruht
    • Bei einem künftigen Regierungswechsel besteht die Möglichkeit eines Widerrufs
    • Datenschutzorganisationen wie noyb haben bereits rechtliche Schritte dagegen eingeleitet

Risiken biometrischer Daten und Ausnahmen bei der Speicherung

  • Persona erklärt, Daten zur Gesichtsgeometrie nach Abschluss der Verifizierung oder innerhalb von 6 Monaten zu löschen
    • Allerdings gibt es Ausnahmen bei rechtlichen Anforderungen, sodass bei einer Anordnung eines US-Gerichts eine unbegrenzte Speicherung möglich sein könnte
    • Biometrische Daten sind unveränderliche eindeutige Identifikatoren und bei einem Leak nicht wiederherstellbar

Rechtliche Haftung und Nutzerrechte

  • Personas Haftungsobergrenze für Schadensersatz ist auf 50 US-Dollar begrenzt
    • Streitigkeiten können nur über ein individuelles verpflichtendes Schiedsverfahren bei der US-Schiedsstelle AAA geführt werden
    • Für EU-Nutzer gilt zwar ausdrücklich irisches Recht, der vorrangige Zugriff nach dem CLOUD Act schwächt den tatsächlichen Schutz jedoch erheblich

Empfohlene Maßnahmen für Nutzer

  • Nutzer, die die Verifizierung bereits abgeschlossen haben, können Folgendes tun
    • Datenauskunft anfordern: idv-privacy@withpersona.com
    • Löschung verlangen: die Entfernung nicht mehr benötigter Daten nach Abschluss der Verifizierung fordern
    • DPO kontaktieren: über dpo@withpersona.com Widerspruch gegen die Nutzung für KI-Training einlegen
    • Verifizierung überdenken: Statt eines einfachen Abzeichens sollte die Bedeutung des Schutzes biometrischer Daten berücksichtigt werden

Fazit

  • Die Identitätsprüfung bei LinkedIn dauert nur 3 Minuten, aber um den tatsächlichen Datenfluss zu verstehen, müsste man 34 Seiten juristischer Dokumente lesen
  • Nutzer geben Reisepass, Gesicht, biometrische Daten und Kredithistorie an ein US-Unternehmen weiter und
    sind den Möglichkeiten von KI-Training, staatlichem Zugriff und rechtlich begründeter Ausnahmespeicherung ausgesetzt
  • Die Daten europäischer Nutzer unterliegen faktisch dem US-Rechtssystem
  • Es ist eine Struktur, bei der man für ein einfaches blaues Abzeichen praktisch die gesamte persönliche Identität preisgibt

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.