W Social und W Identity: Wie aus einem Selfie verifizierte Souveränität werden soll

Anna Zeiter, ehemalige Chief Privacy Officer von eBay, baut mit W Social eine europäische Antwort auf X. Das Konzept steht und fällt mit einem Versprechen: Auf W posten nur verifizierte Menschen, und trotzdem bleibt die Identität in der Hand der Nutzerinnen und Nutzer. Möglich machen soll das eine eigene Identitäts-App namens W Identity. Ich habe mir die veröffentlichten Informationen über den Verifizierungsprozess und die Datenschutzerklärung im Detail angesehen und ordne sie aus DSGVO-Sicht ein.

Zwei Apps, zwei Verantwortliche, ein Account

Der erste bemerkenswerte Punkt ist die saubere organisatorische Trennung. W Social AB (Stockholm, FN 559544-6690) betreibt die Plattform auf Basis des AT-Protokolls, dem z.B. auch Bluesky zugrunde liegt. Die Identitätsprüfung läuft über eine zweite, eigenständige Gesellschaft: W Identity AB, ebenfalls in Stockholm. W Identity ist nach Art. 4 Z 7 DSGVO eigener Verantwortlicher für den Verifizierungsvorgang.

Hinzu kommt ein dritter Akteur: Trust Anchor Group AB unter Tommy Andorff, der gleichzeitig im Beirat von W Social sitzt. Trust Anchor Group betreibt als Auftragsverarbeiter die sogenannte Neuron-Server-Infrastruktur und übernimmt manuelle Reviews. Ob diese personelle Verflechtung problematisch ist, hängt davon ab, wie sauber die Auftragsverarbeitungsverträge gestaltet sind. Transparent ist die Konstellation für Endnutzer derzeit aber noch nicht.

Der Verifizierungsprozess Schritt für Schritt

W Identity wird als separate App im Apple App Store und bei Google Play angeboten. Der Onboarding-Flow läuft folgendermaßen ab:

1. Erfassung von Telefonnummer, E-Mail-Adresse und Geburtsdatum direkt in der App.
2. Identitätsprüfung mittels Reisepass, entweder per Foto oder durch NFC-Auslesen des Pass-Chips.
3. Aufnahme eines Selfies, das per biometrischem Face-Match mit dem Passfoto verglichen wird.
4. Serverseitige Verarbeitung der Daten samt IP-Adresse, Session-Informationen, Device-Identifier und User-Agent.
5. Bei Fehlschlag: manuelles Review durch Trust Anchor Group.
6. Erzeugung einer Account-UUID nach erfolgreicher Verifikation.

Auf der eigentlichen Plattform W Social entscheidest der Anwender dann pro Account, ob er mit Klarnamen oder pseudonym als „verified anonymous" auftritt. Verifizierte Attribute wie Volljährigkeit oder Nationalität können selektiv geteilt werden, vergleichbar mit dem Selective-Disclosure-Konzept, das die EUDI-Wallet ab 2027 nativ mitbringen soll.

Rechtsgrundlagen: sauber differenziert, aber strukturell fragil

Die Privacy Notice von W Identity (Stand 20.03.2026) listet die Rechtsgrundlagen sauber auf:

• Kontoanlage und nicht-biometrische Passdaten: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Biometrische Daten aus dem Pass: explizite Einwilligung nach Art. 9 Abs. 2 lit. a iVm Art. 6 Abs. 1 lit. a DSGVO
• Weitergabe verifizierter Attribute an Drittanwendungen: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, pro Attribut explizit
• Sicherheit und Betrugsprävention: Art. 6 Abs. 1 lit. f DSGVO
• Rechtspflichten: Art. 6 Abs. 1 lit. c DSGVO

Die Differenzierung zwischen biometrischen und nicht-biometrischen Passdaten ist datenschutzrechtlich korrekt und zeigt fachliche Tiefe. Strukturell bleibt das Konstrukt aber fragil: Eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO ist jederzeit widerrufbar (Art. 7 Abs. 3 DSGVO). Was passiert mit einem verifizierten Account, wenn die Einwilligung in die Biometrieverarbeitung im Nachhinein zurückgezogen wird? Die Privacy Notice schweigt dazu.

In der Praxis dürfte das wenig Effekt haben, weil die biometrischen Rohdaten nach maximal einer Minute serverseitig gelöscht sind.

Sauber wäre eine ausdrückliche Klarstellung dennoch.

Der eigentliche Trumpf: die Speicherfristen

Hier wird es spannend, und hier hebt sich W Identity tatsächlich vom Marktstandard ab. Die Privacy Notice unterscheidet drei Speicherbereiche:

Verifizierungsdaten serverseitig (Telefonnummer, E-Mail, Geburtsdatum, Passdaten, IP, Selfie) werden nur so lange gespeichert, wie für die Prüfung nötig. Bei erfolgreicher automatischer Prüfung beträgt die Speicherdauer maximal eine Minute. Wenn ein manuelles Review nötig wird, hat der Reviewer Zugriff auf Passfoto, Selfie, Geburtsjahr, Nationalität und den Grund des Fehlschlags, mit einer Aufbewahrungsfrist von bis zu 14 Tagen.

Die verifizierte Identität nach Abschluss wird ausschließlich lokal in der W Identity App auf dem Endgerät des Users gespeichert. Der Server hält kein Identitätsprofil vor. Optional gibt es ein clientseitig verschlüsseltes Backup auf den W-Identity-Servern, „in einem Format, das selbst für W Identity nicht zugänglich ist". Das ist also ein Zero-Knowledge-Ansatz.

Logs unterscheiden zwei Typen: ein Event-Log (Zeitstempel, XMPP-JID, IP-Adresse) mit 90 Tagen Aufbewahrung und ein Communication-Log mit identischem Inhalt und 7 Tagen Aufbewahrung.

Eine serverseitige Speicherdauer von einer Minute für ein vollständiges Identitätsdossier samt Selfie und Passdaten ist ungewöhnlich konsequent. Wer schon einmal Identitätsverifikationen bei klassischen KYC-Dienstleistern oder bei einer x-beliebigen Banking-App ausgerollt hat, kennt Aufbewahrungsfristen von mehreren Jahren als Standardfall. W Identity dreht diese Logik um.

Was die Privacy Notice nicht sagt

Drei Schwachstellen sind aus Sicht der DSGVO und der Transparenzpflichten nach Art. 13 DSGVO erwähnenswert:

• Erstens werden die konkreten Auftragsverarbeiter nicht namentlich genannt. Die Privacy Notice spricht abstrakt von „Hosting-Provider, E-Mail-Provider, Passvalidierungs-Provider und Telefonnummern-Verifizierungs-Provider". Art. 13 Abs. 1 lit. e DSGVO verlangt zwar nur Empfängerkategorien, eine namentliche Auflistung wäre aber im Sinne des Transparenzgrundsatzes (Art. 5 Abs. 1 lit. a DSGVO) zu erwarten, gerade bei einem Anbieter, der Privacy als Kernversprechen vermarktet. Die Aufsichtsbehörden sehen das zunehmend strenger.
• Zweitens verneint die Privacy Notice eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO. Das ist juristisch vertretbar, weil bei Fehlschlag ein manuelles Review erfolgt, also keine ausschließlich automatisierte Entscheidung im engeren Sinn vorliegt. Bei einem System, das Pass-Foto und Selfie automatisch matcht und mit binärer Pass/Fail-Logik über den Zugang zu einer Plattform entscheidet, wäre eine ausführlichere Begründung dieser Einordnung wünschenswert. Der EDSA hat in seinen Leitlinien zu Art. 22 wiederholt klargestellt, dass „menschliche Beteiligung" nicht trivial ist.
• Drittens: Drittlandtransfers werden ausdrücklich ausgeschlossen, alles bleibt im EWR. Das ist begrüßenswert. Die Privacy Notice erwähnt aber nicht, ob die genutzten Hosting- und E-Mail-Dienstleister Töchter US-amerikanischer Konzerne sind. Wer sich in der Diskussion um digitale Souveränität bewegt, sollte hier konsequent sein und konkret Auskunft geben.

Der Beirat von W Social: stark besetzt, datenschutzpolitisch relevant

Bemerkenswert ist die Zusammensetzung des Advisory Boards. Mit Louisa Specht-Riemenschneider sitzt die deutsche Bundesdatenschutzbeauftragte am Tisch, ebenso Elizabeth Denham, die ehemalige UK Information Commissioner. Hinzu kommen Travis LeBlanc (ehemals FCC, US Privacy and Civil Liberties Oversight Board), Marc Placzek (ehemals CPO PayPal, jetzt Tools for Humanity) und Harvey Jang (CPO Cisco, IAPP Board). Das ist eine Compliance-affine Aufstellung, die signalisiert, dass W Social das Thema ernst nimmt.

Einordnung für die Praxis

Aus meiner Sicht fällt die Bewertung folgendermaßen aus.

• Auf der Habenseite stehen ein architekturell sauberer Decentralized-Ansatz mit lokaler Speicherung, eine extrem kurze serverseitige Aufbewahrung der Rohdaten, eine klare Trennung der Verantwortlichkeiten zwischen Plattform und Identitätsanbieter, sowie selektive Attribut-Freigabe als Kernfunktion.
• Auf der Sollseite stehen die fehlende Nennung konkreter Subprozessoren, eine etwas zu schnelle Verneinung von Art. 22 DSGVO, die strukturelle Fragilität der Einwilligungsbasis bei Biometrie und die enge personelle Verflechtung mit Trust Anchor Group.

Für Unternehmen, die sich überlegen, ob W Social ein realistisches Substitut für X als Kommunikationskanal darstellt, ist die datenschutzrechtliche Architektur jedenfalls deutlich sauberer als beim US-Pendant. Wer dort einen Account betreibt, sollte den Vergleich der jeweiligen Datenschutzhinweise mal in Ruhe durchgehen.

Der Public-Beta-Start von W Social ist für den 17. Juni 2026 angekündigt. Bis dahin wird sich zeigen, ob das Versprechen technischer Sparsamkeit auch nach dem Skalierungsschritt hält.

Transparenzhinweis: Dieser Beitrag fasst meine Recherche zum Thema mit Unterstützung generativer KI (Claude Opus 4.7, Anthropic) zusammen.