Wer auf LinkedIn den blauen Haken für verifizierte Identität will, landet unweigerlich bei einem Unternehmen namens Persona Identities, Inc. – einem US-amerikanischen Dienstleister aus San Francisco, den die meisten Nutzer noch nie gehört haben. Ein Blogger hat sich die Mühe gemacht, die 34 Seiten Datenschutzrichtlinien und Nutzungsbedingungen tatsächlich zu lesen – und was er herausfand, ist ernüchternd.
Persona sammelt nicht nur Passfoto und Selfie, sondern extrahiert daraus biometrische Gesichtsgeometrie, liest den NFC-Chip im Reisepass aus, erfasst IP-Adresse, Gerätedaten und Standort – und überwacht sogar, ob man während des Vorgangs gezögert oder Texte kopiert hat. Zusätzlich werden die Daten mit Behördendatenbanken, Kreditauskunfteien und Mobilfunkanbietern abgeglichen. Die Passdokumente fliessen ausserdem als Trainingsdaten in KI-Systeme, darunter Anthropic und OpenAI – auf Basis sogenannter „berechtigter Interessen“, also ohne explizite Einwilligung.
Besonders heikel für europäische Nutzer: Alle 17 Subunternehmen, die auf die Daten zugreifen, sitzen in Nordamerika. Durch den US-amerikanischen CLOUD Act können US-Behörden auf diese Daten zugreifen – selbst wenn sie physisch auf einem Server in Deutschland liegen. Das EU-US Data Privacy Framework bietet keinen verlässlichen Schutz, da es auf einer Executive Order basiert und jederzeit widerrufen werden kann.
Wer bereits verifiziert hat, sollte unter idv-privacy@withpersona.com eine Kopie seiner gespeicherten Daten anfordern und anschliessend die Löschung beantragen. Gegen die Nutzung als KI-Trainingsdaten kann man beim Datenschutzbeauftragten unter dpo@withpersona.com Widerspruch einlegen. Wer noch nicht verifiziert hat, sollte sich fragen, ob ein blauer Haken das wirklich wert ist.
Originalartikel: I Verified My LinkedIn Identity. Here’s What I Actually Handed Over.
