LinkedIn-Verifizierung: Wenn ein blaues Häkchen zum Grundrechtsproblem wird
Wie ein dreimaliges Tippen auf dem Smartphone europäische Reisepässe in die Hände US-amerikanischer KI-Unternehmen bringt
Ein Zürcher Datenschutz-Blogger hat im Februar 2026 offengelegt, was bei der LinkedIn-Identitätsverifizierung tatsächlich mit den persönlichen Daten europäischer Nutzer passiert. Die Recherche von „rogi" (Blog: The Local Stack) hat eine breite Debatte ausgelöst – Discord hat seine Zusammenarbeit mit dem Verifizierungsanbieter Persona bereits beendet, und weitere Plattformen überprüfen die Partnerschaft. Was der Vorfall für europäische Grundrechte und den Datenschutz bedeutet, verdient eine genauere Betrachtung.
Was passiert, wenn man auf „Verifizieren" tippt?
Wer sich auf LinkedIn verifizieren lässt, interagiert nicht mit LinkedIn. Der eigentliche Vorgang wird an Persona Identities, Inc. ausgelagert, ein Unternehmen mit Sitz in San Francisco. Persona operiert als unsichtbarer Vermittler zwischen den Nutzern und den Plattformen, denen sie vertrauen.
Für die Verifizierung werden unter anderem der Reisepass (inklusive NFC-Chipdaten), ein Echtzeit-Selfie, die daraus extrahierte Gesichtsgeometrie, die Ausweisnummer, Geburtsdatum, Geschlecht, Nationalität, IP-Adresse, Geräte- und Standortdaten erfasst. Darüber hinaus protokolliert Persona verhaltensbiometrische Daten: etwa, ob der Nutzer während des Prozesses zögert oder Informationen per Copy-and-Paste einfügt. Das geht weit über das hinaus, was für eine einfache Identitätsprüfung erforderlich wäre.
17 Auftragsverarbeiter – kein einziger in der EU
Persona betreibt nach eigener Subprocessor-Liste 17 Unterauftragsverarbeiter. Darunter befinden sich AWS, Google Cloud Platform, MongoDB, Snowflake, FingerprintJS und bemerkenwerterweise auch die drei KI-Unternehmen Anthropic, OpenAI und Groqcloud, die unter der Kategorie „Data Extraction and Analysis" geführt werden. Sämtliche 17 Unternehmen sitzen in den USA oder Kanada. Kein einziges davon hat seinen Sitz in der EU.
Ein europäischer Reisepass, der in Madrid, Berlin oder Wien gescannt wird, wird ausschließlich von nordamerikanischen Unternehmen verarbeitet.
Persona-CEO Rick Song hat auf die Vorwürfe reagiert und erklärt, dass Daten nicht für KI-Training verwendet würden, biometrische Daten sofort nach der Verarbeitung gelöscht und sonstige personenbezogene Daten innerhalb von 30 Tagen entfernt würden. Die Subprocessor-Liste bilde zudem alle Anbieter über alle Kunden hinweg ab, nicht spezifisch die für LinkedIn eingesetzten. Allerdings steht die Behauptung, es werde kein KI-Training durchgeführt, im Widerspruch zu Personas eigener Datenschutzrichtlinie, die „legitimate interests" als Rechtsgrundlage für die Nutzung von Ausweis-Bildern zur Verbesserung der Dienste anführt. Dieser Widerspruch ist bislang nicht aufgelöst.
Wieder einmal: DSGVO vs. CLOUD Act
Der Fall Persona ist ein Lehrstück für den ungelösten Konflikt zwischen europäischem Datenschutzrecht und dem US-amerikanischen CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018).
Der Konflikt im Kern
Die DSGVO schützt personenbezogene Daten europäischer Bürger und knüpft Datenübermittlungen in Drittstaaten an strenge Voraussetzungen (Kapitel V, Art. 44 ff. DSGVO). Art. 48 DSGVO stellt klar, dass Gerichtsurteile oder Verwaltungsentscheidungen eines Drittstaates allein keine rechtmäßige Grundlage für eine Datenübermittlung bilden, es sei denn, ein internationales Abkommen liegt vor.
Der CLOUD Act hingegen verpflichtet US-Unternehmen, Daten auf Anordnung von US-Behörden herauszugeben, und zwar unabhängig davon, wo diese Daten physisch gespeichert sind. Ein Datum kann auf einem Server in Frankfurt liegen: Wenn ein US-Gericht einen Beschluss erlässt, muss ein US-Unternehmen wie Persona diesem nachkommen. Die physische Lokation der Daten ist irrelevant – entscheidend ist die juristische Zugehörigkeit des Unternehmens.
Dieser Konflikt ist nicht theoretisch. Der EuGH hat bereits 2020 in der Schrems-II-Entscheidung das EU-US Privacy Shield genau aus diesem Grund für ungültig erklärt.
Die US-Überwachungsgesetzgebung macht es unmöglich, einen gleichwertigen Schutz europäischer Daten zu garantieren.
Das Data Privacy Framework: auf Sand gebaut?
Persona beruft sich auf das EU-US Data Privacy Framework (DPF), den Nachfolger des Privacy Shield. Das DPF basiert allerdings auf der US-Executive Order 14086, einer präsidialen Anordnung, die jeder künftige Präsident per Federstrich ändern kann. Es handelt sich nicht um ein Gesetz. Die Datenschutzorganisation noyb hat das DPF bereits angefochten. Zudem wurden Anfang 2025 drei von fünf Mitgliedern des US Privacy and Civil Liberties Oversight Board (der Aufsichtsbehörde für die DPF-Zusicherungen) abberufen, sodass das Gremium seit fast einem Jahr nicht mehr beschlussfähig war.
Der Europäische Datenschutzausschuss (EDPB) hat in seinem Überprüfungsbericht von November 2024 eine Neubewertung innerhalb von drei Jahren empfohlen. Das Europäische Parlament hatte bereits 2023 davor gewarnt, dass das DPF keine wesentliche Gleichwertigkeit herstelle.
Für europäische Nutzer bedeutet das: Der Schutzrahmen, unter dem ihre biometrischen Daten angeblich sicher sein sollen, steht auf fragilen Fundamenten.
Biometrische Daten als besondere Risiko
Die DSGVO behandelt biometrische Daten als besondere Kategorie personenbezogener Daten (Art. 9 DSGVO), deren Verarbeitung grundsätzlich verboten ist. Es sei denn, es liegt eine ausdrückliche Einwilligung oder eine gesetzliche Grundlage vor. Die Gesichtsgeometrie, die Persona aus Selfie und Passfoto extrahiert, fällt eindeutig in diese Kategorie.
Im Unterschied zu Passwörtern lässt sich ein biometrisches Merkmal nach einem Datenleck nicht ändern. Die Haftungsobergrenze in Personas AGB liegt laut der Recherche bei 50 US-Dollar, für einen Reisepass, Gesichtsdaten und eine Ausweisnummer.
Persona gibt an, biometrische Daten nach Abschluss der Verifizierung oder innerhalb von sechs Monaten nach der letzten Interaktion zu löschen. Allerdings enthält die Richtlinie eine Ausnahme für den Fall, dass eine gesetzliche Aufbewahrungspflicht besteht. In Kombination mit dem CLOUD Act kann ein US-Gericht die unbefristete Speicherung anordnen.
Die grundrechtliche Dimension
Über die DSGVO hinaus berührt der Vorgang fundamentale europäische Grundrechte:
Art. 7 GRC – Recht auf Achtung des Privatlebens: Die umfassende Erfassung biometrischer, verhaltensbezogener und identifizierender Daten durch ein US-Unternehmen, das dem CLOUD Act unterliegt, stellt einen erheblichen Eingriff in das Recht auf Privatheit dar. Insbesondere, wenn der Zugriff durch ausländische Behörden ohne Wissen der Betroffenen erfolgen kann.
Art. 8 GRC – Schutz personenbezogener Daten: Die Charta garantiert, dass personenbezogene Daten nur auf einer rechtmäßigen Grundlage verarbeitet werden und die Betroffenen ein Auskunfts- und Berichtigungsrecht haben. Wenn US-Behörden über CLOUD-Act-Anordnungen, möglicherweise verbunden mit Geheimhaltungsanordnungen (Gag Orders), auf diese Daten zugreifen, wird dieses Recht systematisch unterlaufen.
Art. 47 GRC – Recht auf wirksamen Rechtsbehelf: Europäische Bürger haben bei CLOUD-Act-Zugriffen faktisch keinen wirksamen Rechtsbehelf vor US-Gerichten. Genau dieses Defizit war ein zentraler Grund, warum der EuGH das Privacy Shield in Schrems II gekippt hat.
Wie sieht es mit der Verhältnismäßigkeit aus?
Im Kern steht die Frage der Verhältnismäßigkeit, ein zentrales Prinzip des europäischen Datenschutzrechts.
Ist es verhältnismäßig, für ein kosmetisches Vertrauensabzeichen auf einer Karriereplattform Reisepassdaten, Gesichtsgeometrie und Verhaltensmuster an ein US-Unternehmen zu übermitteln, das diese Daten mit 17 nordamerikanischen Subprocessoren teilt, gegen Regierungsdatenbanken und Kreditauskunfteien abgleicht und dessen Datenschutzrichtlinie eine Nutzung unter „berechtigtem Interesse" für KI-Verbesserungen vorsieht?
Die DSGVO verlangt bei jeder Datenverarbeitung eine Abwägung zwischen dem Zweck und den Grundrechten der Betroffenen. Ein Häkchen auf LinkedIn wiegt grundrechtlich nicht schwer genug, um diesen Umfang an Datenverarbeitung zu rechtfertigen.
Was europäische Nutzer tun können
Wer sich bereits verifiziert hat, kann folgende Schritte setzen:
Einen Auskunftsantrag nach Art. 15 DSGVO stellen (Mail an idv-privacy@withpersona.com). Persona hat 30 Tage Zeit zur Antwort. Ergänzend dazu kann man einen Löschantrag nach Art. 17 DSGVO einreichen, die Verifizierung ist abgeschlossen, LinkedIn hat das Ergebnis, eine weitere Speicherung von Reisepassdaten bei Persona ist nicht erforderlich. Wer der Nutzung seiner Ausweisdaten für KI-Trainingszwecke widersprechen möchte, kann das über den Datenschutzbeauftragten von Persona tun (dpo@withpersona.com). Schließlich lohnt es sich, vor einer Verifizierung zu überlegen, ob das Abzeichen den Eingriff in die eigenen Daten tatsächlich wert ist.
Mein Fazit: Symptom eines Systemproblems
Der Fall LinkedIn/Persona ist kein isolierter Vorfall, sondern ein Symptom eines grundlegenden Problems: Europäische Bürger werden routinemäßig gezwungen, ihre sensibelsten Daten über Infrastrukturen zu leiten, die dem CLOUD Act unterliegen, ohne dass ihnen dies bewusst ist und ohne dass ein wirksamer Rechtsschutz besteht.
Solange die EU keine verbindlichen Anforderungen an Identitätsverifizierungsdienste stellt, die den Einsatz EU-basierter Infrastruktur vorschreiben, wird sich daran nichts ändern. Das EU-US Data Privacy Framework in seiner aktuellen Form löst das Problem nicht. Es verschleiert es.
Für Unternehmen, die Identitätsverifizierung anbieten oder einsetzen, muss die Konsequenz lauten: Nur eine architektonisch sauber implementierte Lösung mit kundenkontrollierter Verschlüsselung und EU-basierter Verarbeitung kann den Konflikt zwischen CLOUD Act und DSGVO strukturell auflösen. Vertragliche Zusicherungen allein genügen nicht.
