Ein blaues Häkchen und dein Gesicht für immer

LinkedIn verkauft dir Glaubwürdigkeit. Den Preis erfährst du erst, wenn du die 34 Seiten Kleingedrucktes gelesen hast.

Irgendwo ist gerade ein Mensch dabei, sein Smartphone auf seinen Reisepass zu richten, weil LinkedIn ihm ein blaues Häkchen angeboten hat. Das Häkchen sagt: "Diese Person ist echt." Es ist ein Signal in einem Netzwerk voller KI-Profile, Fake-Recruiter und Bot-Accounts.

Drei Minuten. Scan. Selfie. Fertig.

Was dieser Mensch gerade tatsächlich getan hat, wird er nicht wissen. Weil niemand 34 Seiten Juristensprache liest, bevor er auf "Verifizieren" tippt. Und weil LinkedIn sehr sorgfältig darauf achtet, dass du gar nicht erst weißt, mit wem du es eigentlich zu tun hast.

LinkedIn ist gar nicht dein wirkliches Problem

Wenn du auf "Verifizieren" klickst, verlässt du LinkedIn. Du landest bei Persona Identities, Inc., eingetragen in San Francisco, Kalifornien. LinkedIn ist Kunde. Du bist Produkt. Persona sitzt unsichtbar zwischen dir und der Plattform, der du vertraust.

Und was genau gibt Persona über dich auf? Der Autor des Originalartikels, der das Wochenende damit verbracht hat, die Datenschutzerklärung und die Nutzungsbedingungen zu lesen, hat das aufgedröselt. Die Liste ist lang. Reisepass (beide Seiten, inklusive NFC-Chip), Selfie, Gesichtsgeometrie als mathematische Karte deines Schädels, nationale Identifikationsnummer, Geolokalisierung, IP-Adresse, Gerätedaten, Verhaltensbiometrie. Letztere bedeutet konkret: Persona hat dabei aufgezeichnet, ob du pausiertst und ob du Informationen eingekopiert oder eingetippt hast.

Obendrauf gleicht Persona dich mit einem "globalen Netzwerk vertrauenswürdiger Datenquellen" ab: Kreditauskunfteien, staatliche Melderegister, Mobilfunkanbieter, Postadressdatenbanken. Du hast deinen Reisepass gescannt, um auf LinkedIn als Mensch zu gelten, und im Hintergrund hat jemand einen vollständigen Hintergrundcheck durchgeführt.

Alles für ein kleines blaues Symbol neben deinem Profilbild.

Frankfurt schützt dich nicht

Persona betreibt Rechenzentren in den USA und in Deutschland. Viele werden jetzt denken: Prima, DSGVO, Frankfurter Server, Europa, bin ich sicher.

Nein.

Persona ist ein US-amerikanisches Unternehmen und unterliegt dem Cloud Act von 2018. Der Cloud Act bedeutet: US-Behörden können jedes in den USA ansässige Unternehmen zwingen, Daten herauszugeben, unabhängig davon, wo diese Daten physisch gespeichert sind. Ein Frankfurter Server mit Personas Reisepass-Scans ist für ein US-Gericht genauso zugänglich wie ein Server in Virginia. Was zählt, ist nicht der Standort der Festplatte, sondern der juristische Sitz des Unternehmens.

Das Data Privacy Framework, das als Nachfolger des 2020 vom EuGH gekippten Privacy Shield die Lücke schließen soll? Es basiert nicht auf einem Gesetz, sondern auf einer Executive Order des US-Präsidenten. Eine Executive Order kann der nächste Präsident am ersten Arbeitstag per Unterschrift aufheben. Noyb, die Organisation, die schon das Privacy Shield zu Fall gebracht hat, hat das DPF bereits angefochten.

Zwischen deinem biometrischen Datensatz und einem US-Behördenantrag auf nationale Sicherheit liegt im Ernstfall eine stille Vorladung, von der du rechtlich möglicherweise nie erfahren wirst. Persona selbst schreibt in seiner Datenschutzerklärung, dass Anfragen im Bereich "nationale Sicherheit" mit Schweigegeboten verbunden sein können.

50 Dollar

Stellen wir uns kurz vor, es kommt zu einem Datenleck. Reisepass-Scan, Gesichtsgeometrie, nationale Identifikationsnummer, alles in falschen Händen. Wie haftet Persona?

50 US-Dollar.

Das steht in den Nutzungsbedingungen. Maximal 50 Dollar Haftung für den vollständigen biometrischen Datensatz, den du Persona anvertraut hast. Kein Gericht, keine Jury, keine Sammelklage. Nur ein bindendes Schiedsverfahren vor der American Arbitration Association, selbst wenn du in Berlin sitzt und europäische Daten betroffen sind.

Das ist keine Kleinigkeit im Kleingedruckten. Das ist die Aussage eines Unternehmens über den tatsächlichen Wert, den es deiner biometrischen Identität beimisst.

Das eigentliche Problem

Gesichtsgeometrie ist kein Passwort. Ein Passwort kannst du ändern, wenn es kompromittiert wird. Dein Gesicht nicht. Die mathematischen Abstände zwischen deinen Augen, die Form deines Kinns, die Geometrie deines Schädels, das ist ein einmaliger, permanenter biometrischer Schlüssel. Wenn diese Daten einmal weg sind, sind sie weg. Für immer.

Und hier ist der Kern des Problems: Du hast das nicht für eine Banktransaktion getan, nicht für eine staatliche Leistung, nicht für eine rechtlich relevante Identifikation. Du hast es für ein dekoratives Symbol auf einem Berufsnetzwerk getan. Für einen sozialen Vertrauensindikator in einem System, das seit Jahren nicht in der Lage ist, Fake-Accounts strukturell zu unterbinden.

Die Bots, vor denen das blaue Häkchen dich schützen soll, haben übrigens keine biometrischen Daten an Persona übermittelt.

Was du tun kannst, wenn du bereits verifiziert bist

Erstens: Deine Daten anfragen. Das geht per E-Mail an oder . Persona ist nach DSGVO verpflichtet, innerhalb von 30 Tagen zu antworten.

Zweitens: Löschung beantragen. Die Verifizierung ist abgeschlossen, LinkedIn hat das Ergebnis. Es gibt keinen technischen Grund, warum Persona den Reisepass-Scan und die Gesichtsgeometrie weiter vorhalten muss.

Drittens: Den Datenschutzbeauftragten kontaktieren (), wenn du nicht möchtest, dass deine Dokumente unter dem Vorwand "berechtigter Interessen" als KI-Trainingsdaten verwendet werden. Ja, das steht auch in den Bedingungen.

Viertens: Zweimal nachdenken, bevor du dich das nächste Mal irgendwo verifizierst, ohne zu wissen, wer die andere Partei ist.

Worum es wirklich geht

LinkedIn ist eine Plattform im Eigentum von Microsoft, einem US-Konzern. Die Identitätsverifizierung läuft über Persona, einem US-Startup. Die Datenbasis liegt in einem rechtlichen Rahmen, der US-Behörden Zugriff ermöglicht. Die Haftung beträgt 50 Dollar.

Das ist kein Versehen. Das ist ein Geschäftsmodell.

Das Vertrauen, das du in LinkedIn als europäische Berufsplattform setzt, basiert auf einer Infrastruktur, die außerhalb jedes europäischen Einflusses liegt. Das ist keine neue Erkenntnis, aber sie trifft hier besonders scharf: Weil du aktiv aufgefordert wurdest, deinen Reisepass und dein Gesicht in dieses System einzuspeisen.

Und weil die meisten das getan haben, ohne es zu wissen.

Quelle: "LinkedIn Identity Verification & Privacy", The Local Stack (Pseudonym "rogi"), übersetzt und veröffentlicht bei Golem.de am 31. März 2026.