LinkedIn hat sich zu einem Karrierenetzwerk entwickelt, auf das viele nicht mehr verzichten wollen. Wer neue berufliche Kontakte sucht, Jobupdates teilen oder eine neue Herausforderung suchen will, macht das oft über die US-amerikanische Plattform.
Die Tochterfirma des Microsoft-Konzerns bietet Nutzenden suggestiv und nicht zu übersehen an, ihr Profil mit einem grünen Haken zu verifizieren. Das soll sicherstellen, dass hinter dem Nutzernamen auch wirklich niemand anderer steckt als man selbst – und dass „verifizierte“ Accounts garantiert keine Fakes sind.
Doch der Haken bei LinkedIn hat einen Haken. Was viele nicht wissen: LinkedIn verifiziert die Nutzenden nicht selbst, sondern delegiert den Identitäts-Check an Persona. Eine US-Firma, die der rechtsautoritäre Tech-Milliardär Peter Thiel in der Frühphase finanziell aufgebaut hat. Sein Founders Fund investierte in mehreren Investitionsrunden 350 Millionen US-Dollar in die Firma. Die Beteiligung müsste damit bei über 10% der Firmenanteile liegen.
Doch nicht nur die Eigentümerstruktur, sondern auch die Funktionsweise der Verifizierung einer „Persona“ wirft Fragen auf. Für LinkedIn-Nutzende ist das problematisch. Wer dort anderen Vertrauen bieten will, dass man wirklich die Person ist, für die man sich auf LinkedIn ausgibt, sollte wissen: Vertrauen ist gut. Aber nur, wenn die Anbieter von Verifizierungslösungen selber vertrauenswürdig sind. Das ist bei LinkedIn und Persona nicht der Fall.
In 5 Minuten up to date
1× pro Woche die Top-Themen der letzten sieben Tage und die spannendsten Fundstücke als Newsletter.
Was passiert, wenn man sich bei LinkedIn verifiziert?
The Local Stack hat die Datenschutzrichtlinie und Nutzungsbedingen von Persona detailliert analysiert. Für einen dreiminütigen Identitätscheck sammelt Persona folgende Informationen:
Vollständiger Name
Reisepass-Foto: Das komplette Dokument, beide Seiten, alle Daten.
Selfie: Ein Echtzeit-Foto des Gesichts des Nutzenden.
Gesichtsgeometrie: Biometrische Daten, um das Selfie mit dem Pass abzugleichen.
Chip-Daten: Die digitalen Informationen auf dem Chip im Pass, die man über eine NFC-Schnittstelle einspielt.
Personalausweisnummer, Nationalität, Geschlecht, Geburtsdatum.
Technische Daten: IP-Adresse, Gerätetyp, MAC-Adresse, Browser, Standort.
Verhaltensbiometrie: „Zögerungserkennung“ und „Copy-and-Paste-Erkennung“.
Zudem findet im Hintergrund ein Abgleich mit einem „globalen Netzwerk vertrauenswürdiger Drittanbieter“ statt: Regierungsdatenbanken, Einwohnermelderegister, Kreditauskunfteien, Mobilfunkanbieter und Postdatenbanken.
In der Summe fließen eine Vielzahl an Datenpunkten ab, die nicht nur einen tiefen Einblick in die Privatsphäre der Nutzenden ermöglicht – sondern auch dazu dienen können, das Nutzungsverhalten der Personen weitflächig zu überwachen. Wer sich für alle Details interessiert, kann sie hier auf Englisch nachlesen.
Dies ist umso problematischer, da LinkedIn bei Beschwerden nach dem Digital Services Act (DSA) darauf drängt, dass sich Nutzende, die etwa gegen gelöschte Inhalte oder ein Shadowbanning vorgehen wollen, zunächst verifizieren.
Man gibt biometrische Daten ab – und wenn etwas schief geht kriegt man dafür 50 Dollar
Biometrische Daten sind einmalig. Im Gegensatz zu einem Passwort kann man sein Gesicht nicht ändern, wenn ein Foto in die falschen Hände gerät. Persona sagt zwar, dass sie diese Daten nach der Verifizierung löschen, aber es gibt eine Ausnahme: Wenn Gesetze oder rechtliche Prozesse eine längere Speicherung vorschreiben. Das ist sehr offen formuliert.
Digitale Grundrechte brauchen eine starke Stimme – deine Unterstützung macht sie hörbar.
Als gemeinnützige Organisation finanzieren wir uns durch Spenden. Hilf uns, Machtmissbrauch einzudämmen und digitale Souveränität zu stärken.
Sollte etwas schiefgehen (z. B. ein Datenleck und Identitätsdiebstahl), begrenzen Personas Nutzungsbedingungen die Haftung der Personen auf 50 USD. Diesem schlechten Deal stimmt man zu, wenn man sich bei LinkedIn verifizieren will. Es ist fraglich, ob solche Nutzungsbedingungen mit europäischem Verbraucherschutzrecht vereinbar sind – denn sie benachteiligt die Nutzenden unangemessen. Die Klausel für den Online-Dienst ist mit dem EU-Recht für die Kontrolle Allgemeiner Geschäftsbedingungen womöglich nicht vereinbar.
Der CEO von Persona hat auf die Recherche reagiert und gesagt: Die Daten werden maximal 30 Tage gespeichert und nicht für das Training von KI-Modellen verwendet. Selbst wenn das stimmt, was unabhängig zu überprüfen wäre, ist es problematisch, dass überhaupt so viele Daten erhoben werden.
Konflikte mit EU-Datenschutzrecht liegen auf der Hand
LinkedIn lagert Verantwortung an Persona aus. Es erhalte nach eigenen Angaben nur Namen, Geburtsjahr, Ausweistyp und ein „verschwommenes“ Bild des Ausweises. Unabhängig überprüfen lässt sich das kaum – und ob die zuständige irische Datenschutzbehörde am EU-Hauptsitz der Plattform genau auf die Finger schaut, ist fraglich. Trotz hoher gesetzlicher Standards ist die Durchsetzung der DSGVO bislang mangelhaft, weil Irland nur verhalten gegen die dort ansässigen Big-Tech-Firmen vorgeht.
Persona wiederum hat derzeit keinen EU-Sitz und operiert global allein aus San Francisco. Damit hat die EU faktisch keinen aufsichtsrechtlichen Zugriff. Umso problematischer ist es, dass LinkedIn die Verifikation nicht selbst durchführt, sondern die Aufgabe an Persona delegiert – und dass an deren Prozess 17 weitere Subunternehmen beteiligt sind. Mit einer Ausnahme (aus Kanada) haben diese Subunternehmen alle ihren Hauptsitz in den USA. Das wirft die Frage auf, wie sich diese aufwändige Datenverarbeitung mit den hohen datenschutzrechtlichen Anforderungen vereinbaren lässt, die EU-Bürger:innen schützen sollen oder warum nicht direkt auf eine europäische Lösung zurückgegriffen wird, denn:
Bei biometrischen Aufnahmen des Gesichts handelt es sich um besonders sensible Daten. Statt eine ausdrückliche Einwilligung der Nutzenden einzuholen, stützt sich die Plattform darauf, dass ihr Interesse, die personenbezogene Daten auf diese Weise zu verarbeiten, die grundrechtlichen Interessen auf Privatheit überwiegen. Es ist mehr als fragwürdig, ob es verhältnismäßig ist, für einen „grünen Haken“ auf einer Karriereplattform einen solch invasiven Hintergrund-Check durchzuführen.
Die Verifikation der Identität via Persona entpuppt sich als das Gegenteil von Datensparksamkeit und „Privacy by Design“. Für die Nutzenden lässt sich nicht kontrollieren, wer in welchem Umfang auf ihre Daten zugreifen kann. Es bleibt unklar, auf welchen Rechenzentren und in welchen algorithmischen Systemen die Daten zirkulieren. Das hat mit informationeller Selbstbestimmung und Datensouveränität nichts mehr zu tun.
Der Datentransfer in die USA lässt sich derzeit zwar noch auf den Angemessenheitsbeschluss der EU-Kommission stützen. Dieser steht aber auf wackligen Beinen – und könnte künftig vom EuGH erneut aufgehoben haben. Es besteht zu befürchten, dass die Kontrollinstanzen in den USA, die unter der Biden-Regierung etabliert wurden, nicht mehr dazu in der Lage sind, einen invasiven Zugriff von FBI, NSA, CIA und Co. effektiv zu verhindern.
Bei Firmen, die ihren Hauptsitz in den USA haben und Rechenzentren in der EU betreiben, besteht das immanente Risiko, dass US-Sicherheitsbehörden sich heimlich Zugriff darauf verschaffen.
Der Discord Vorfall
Sicherheitsforscher, die das auf Persona basierende System zur Altersverifizierung von Discord untersuchten, fanden ein öffentlich zugängliches „Frontend“ von Persona. Dieser befand sich auf einem US-Regierungsserver, der für autorisierte Zwecke gedacht war, und umfasste 2.456 zugängliche Dateien. Was durch diesen Leak bekannt wurde:
Massive Überwachung: Statt nur das Alter zu schätzen, führt die Software 269 verschiedene Prüfschrittedurch.
Abgleich mit Blacklists: Gesichter werden mit Fahndungslisten und Listen „politisch exponierter Personen“ (PEPs) abgeglichen. Dort landen unter der Regierung Trump mittlerweile auch zivilgesellschaftliche Akteure aus der EU, die sich für digitale Rechte und den Durchsetzung von Recht und Gesetz engagieren – wie das Beispiel der Geschäftsführerinnen von HateAid zeigt.
„Adverse Media“-Screening: Persona sucht nach belastenden Informationen über den Nutzer (darunter Terrorismus und Spionage).
Detaillierte Datenerfassung: Gesammelt werden IP-Adressen, Geräte-Fingerabdrücke, Ausweisnummern, Telefonnummern und Selfie-Analysen
Diese Konzentration hochsensibler Daten an einem einzigen Ort ist per se ein Sicherheitsrisiko. Sie zieht nicht nur Hacker an, sondern verstößt auch gegen zentrale Prinzipien des Datenschutzes wie die Datensparsamkeit. Und der Vorfall im Februar 2026, bei dem besagte 53 Megabyte des TypeScript-Quellcodes von Persona auf einem öffentlich zugänglichen Server entdeckt wurden, hat das Vertrauen in die technische Kompetenz des Anbieters beschädigt.
Ein schlechter Deal
Das Problem ist größer als LinkedIn und Discord. Hinter dem erklärten Ziel, der Nutzer- und Altersverifizierung, verbirgt sich eine Datensammlung riesigen Ausmaßes – finanziert von Peter Thiel, der Demokratie und Freiheit für inkompatibel hält und am digitalen Überwachungsstaat arbeitet. Der Erfolg von Persona wird durch eine Politik befeuert, die unter dem Vorwand von Jugendschutz und Sicherheit die informationelle Selbstbestimmung opfert. Zum Problem der Altersverifikation haben wir hier bereits Stellung genommen.
Auch Reddit nutzt die Dienste von Persona zur Altersverifizierung im Vereinigten Königreich, um dort neue gesetzliche Vorschriften einzuhalten. Das beliebte Videospiel Roblox verwendet seit Anfang 2026 weltweit Persona, um das Alter der Spieler mittels Gesichtsscans zu schätzen.
Die Open Rights Group warnt davor, dass Millionen von Menschen einem faktischen Zwang unterliegen, ihre biometrischen Daten an kaum regulierte US-Unternehmen auszuhändigen, ohne dass es adäquate Schutzmechanismen gibt.
Persona ist darauf ausgelegt, Nutzer nicht nur zu identifizieren, sondern sie in einem komplexen Raster von Risikoklassen einzustufen. Dies geschieht durch eine automatisierte Verknüpfung von biometrischen Merkmalen mit öffentlich zugänglichen Informationen und staatlichen Datenbanken. Diese Praxis schafft ein Machtgefälle, in dem der Wunsch nach vertrauensvoller Vernetzung gegen die Preisgabe hochsensibler privater Informationen ausgespielt wird.
Das sollte die Politik tun
Stopp des Biometrie-Zwangs: LinkedIn und andere Plattformen sollten nicht-biometrische Alternativen zur Verifizierung anbieten müssen, die den Grundsätzen der Datensparsamkeit entsprechen.
Schnelle und konsequente Maßnahmen der Datenschutzbehörden: Bereits in der Vergangenheit haben Datenschutzbehörden ihr Arsenal an Durchsetzungsmaßnahmen genutzt, um gegen fragwürdige Geschäftsmodelle – wie Clearview.AI – vorzugehen. Die BfDI und der Koordinator für digitale Dienste bei der Bundesnetzagentur sollten kein Zuständigkeits-Mikado spielen – sondern mit einer gemeinsamen Taskforce schnell Fakten schaffen. Damit die zuständige irische Datenschutzbehörde ein Verfahren einleitet und konsequent ermittelt, braucht es öffentlichen Druck.
Transparenz über Datenflüsse: Die Aufsichtsbehörden sollten insbesondere darauf drängen, dass LinkedIn lückenlos offenlegt, welche Daten ihrer Nutzenden zur Verifizierung an welche Subunternehmen fließen und ob diese Informationen für das Training von KI-Modellen oder für Sicherheitsüberprüfungen durch Drittstaaten genutzt werden.
Recht auf Anonymität: Das Recht, pseudonyme Profile zu führen, muss gerade im beruflichen Kontext gestärkt werden, um Schutzräume vor Stalking und Diskriminierung zu erhalten.
Echte Freiwilligkeit und datenschutzkonforme Lösungen: Das eigene Profil mit Ausweisdokumenten zu verifizieren, muss eine vollständig freiwillige Lösung bleiben. Die Plattformen dürfen auch keine „Dark Patterns“ nutzen, um Nutzende in diese Richtung zu drängen – etwa um sich bei LinkedIn zu beschweren. Um ihre Identität nachzuweisen, sollten die Nutzende Wahlfreiheit haben und mindestens eine originär europäische, datenschutzkonforme Lösung nutzen können.
In 5 Minuten up to date
1× pro Woche die Top-Themen der letzten sieben Tage und die spannendsten Fundstücke als Newsletter.