XING lernt aus PRISM nicht — XING nutzt wei­ter US-Ser­ver und ver­stößt hier­durch per­ma­nent gegen deut­schen Daten­schutz

Ent­sin­nen Sie sich? 2012 habe ich mehr­fach auf die ille­ga­le Nut­zung von US-Ser­vern durch XING hin­ge­wie­sen. Wer die Bei­trä­ge sei­ner­zeit nicht gele­sen hat — hier sind die Links:

Was pas­sier­te danach?

Nach­dem XING über einen Monat nicht auf mei­ne Kri­tik reagier­te, zeig­te ich XING am 31.05.2012 beim Ham­bur­ger Daten­schutz­be­auf­trag­ten an, der unter dem Akten­zei­chen D32/​2012/​492 ein Groß­ver­fah­ren gegen XING eröff­net hat, dass zur Zeit noch läuft. Der Ham­bur­ger Daten­schutz­be­auf­trag­te hat die Kom­mu­ni­ka­ti­on zu die­sem Vor­gang als per­sön­lich ein­ge­stuft, inso­fern wer­de ich an die­ser Stel­le nicht wei­ter dar­auf ein­ge­hen.

XING hat auch nach über einem Jahr noch nichts gelernt. Da wird auf der Web­sei­te wei­ter­hin wahr­heit­wid­rig gewor­ben:

Die XING AG ist ein deut­sches Unter­neh­men, sowohl der Unter­neh­mens­sitz als auch die Rechen­zen­tren für die unmit­tel­ba­re Daten­ver­ar­bei­tung sind in Deutsch­land. Dem­entspre­chend ist XING den stren­gen deut­schen Daten­schutz­be­stim­mun­gen respek­ti­ve den jewei­li­gen EU-Regeln ver­pflich­tet.
Wenn XING wei­te­re Fir­men mit der Ver­ar­bei­tung von Daten beauf­tragt1, wird grund­sätz­lich ver­langt, dass eine Ver­ar­bei­tung der Daten inner­halb der EU erfolgt.

Der kur­si­ve Text wur­de nach mei­nen Arti­keln hin­zu­ge­fügt und ist grob irre­füh­rend, weil das Ver­lan­gen von XING gegen­über ame­ri­ka­ni­schen Ver­trags­part­nern in Bezug auf den Daten­schutz schlicht unwirk­sam ist. Dies war auch schon vor der Ent­tar­nung von PRISM abso­lut unstrit­tig.

Bis auf den heu­ti­gen Tag wer­den wei­ter­hin unein­ge­schränkt die Ser­ver des ame­ri­ka­ni­schen Anbie­ters Aka­mai von XING genutzt — wo auf der Welt die­se ste­hen ist den US-Behör­den kom­plett egal, denn das ame­ri­ka­ni­sche Recht erlaubt ihnen den welt­wei­ten Zugriff auf die Infra­struk­tur ame­ri­ka­ni­scher Unter­neh­men — völ­lig unab­hän­gig von PRISM. Es wird mitt­ler­wei­le sogar sug­ge­riert bei der Nut­zung von XING auf deut­sche Ser­ver zuzu­grei­fen, wenn man in Fire­fox Flag­fox instal­liert hat, was ich schon dumm­dreist fin­de:

Der Look­up auf 2.17.253.135 bringt die Wahr­heit dann wie­der schnell ans Licht:

Der Ser­ver gehört Aka­mai Tech­no­lo­gies und ist damit ein Teil der welt­wei­ten ame­ri­ka­ni­schen Cloud-Infra­struk­tur. Oder anders aus­ge­drückt: XING über­mit­telt wei­ter­hin alle Daten sei­ner Nut­zer unge­hemmt an Aka­mai und damit unter Ver­stoß gegen alle Daten­schutz­ge­set­ze in die Ver­fü­gungs­ge­walt ame­ri­ka­ni­scher Behör­den.

Ich habe bewusst mit die­sem Bei­trag 12 Tage gewar­tet, denn XING soll­te die Chan­ce haben aus dem PRISM-Skan­dal zu ler­nen. XING hat beweis­bar nichts gelernt. Auch die Ermitt­lun­gen des Ham­bur­ger Daten­schutz­be­auf­trag­ten füh­ren beweis­bar nicht zu einem seriö­sen Umgang mit den Daten der Anwen­der.

Was kann man als Nut­zer gegen XING nun tun? Man kann auf die Ver­fü­gung des Ham­bur­ger Daten­schutz­be­auf­trag­ten war­ten, die nach mei­ner Erwar­tung XING die Nut­zung ame­ri­ka­ni­scher Ser­ver ver­bie­ten wird, nein muss.

Viel wirk­sa­mer erzieht man sol­che unse­riö­sen Anbie­ter aber über das Geld. XING hat mir gera­de mei­ne Mit­glied­schaft berech­net, ich habe aber kei­ne gül­ti­gen Zah­lungs­da­ten zur Ver­fü­gung gestellt. Im Gegen­teil!

Ich habe XING’s Zah­lungs­auf­for­de­rung mit der Auf­rech­nung beant­wor­tet und alle bis­her von mir gezahl­ten Mit­glieds­bei­trä­ge zurück gefor­dert. Dies hat­te ich schon im letz­ten Jahr getan, was aber von XING igno­riert wur­de. XING hat — vor­sätz­lich und grob irre­füh­rend — das eige­ne Pro­dukt­ver­spre­chen bis auf den heu­ti­gen Tag nicht ein­ge­löst, nicht gelie­fert und befin­det sich dadurch in einem per­ma­nen­ten Lie­fer­ver­zug, da das Pro­dukt­ver­spre­chen dau­er­haft nicht ein­ge­hal­ten wird:

Die XING AG ist ein deut­sches Unter­neh­men, sowohl der Unter­neh­mens­sitz als auch die Rechen­zen­tren für die unmit­tel­ba­re Daten­ver­ar­bei­tung sind in Deutsch­land. Dem­entspre­chend ist XING den stren­gen deut­schen Daten­schutz­be­stim­mun­gen respek­ti­ve den jewei­li­gen EU-Regeln ver­pflich­tet.

Machen Sie doch ein­fach das­sel­be. Ich bin fast sicher, dass XING sich nicht trau­en wird, sei­ne For­de­rung durch­zu­set­zen. Ich hin­ge­gen wer­de mich trau­en mei­ne For­de­rung durch­zu­set­zen, denn ich ver­traue den deut­schen Gerich­ten.

Emp­feh­len Sie die­sen Bei­trag bit­te wei­ter, damit vie­le Men­schen die Chan­ce haben XING’s unse­riö­ses Ver­hal­ten ken­nen­zu­ler­nen und Ihre Kon­se­quen­zen zu zie­hen. Emp­feh­len Sie den Bei­trag auch auf Twit­ter, Goog­le oder Face­book wei­ter — wenigs­tens dafür sind ame­ri­ka­ni­sche Schnüf­fel­ser­ver gut! 🙂


Ande­re inter­es­san­te Bei­trä­ge:
Das sind die bes­ten MDM-Lösun­gen — Umfra­ge von IP-Insi­der
IP-Insi­der, ein inter­es­san­tes Por­tal rund um The­men der Busi­ness-IT von Vogel Busi­ness Media, hat eine Umfra­ge gestar­tet zum The­ma „Das sind die bes­ten MDM-Lösun­gen”. datomo Mobi­le Device Manage­ment wur­de in die­ser Umfra­ge nomi­niert. Aus der Sicht der Anwen­der von datomo Mobi­le Device Manage­ment ist…
Bring Your Own Device — Vor­la­ge für BYOD-Ver­ein­ba­rung oder Dienst­ver­ein­ba­rung
Wäh­rend Bring Your Own Device (BYOD) in der ame­ri­ka­ni­schen Rea­li­tät weit weni­ger Aner­ken­nung fin­det und Bedeu­tung hat, als dies viel­fach in Deutsch­land ver­mu­tet und erwar­tet wird — ich habe dies in mei­nem Arti­kel Mobi­le Trends in den USA — Mei­ne Beob­ach­tun­gen der letz­ten bei­den Wochen beschrieb…
Gart­ner tes­tet Mobi­le Device Manage­ment (MDM) im Mai 2012 — was sind die Kri­te­ri­en?
Unser Arti­kel Gart­ner ver­öf­fent­licht Mobi­le Device Manage­ment Report 2012 mit Magic Qua­drant – Eine kri­ti­sche Sicht trifft auf viel Inter­es­se. Wir haben mit­ter­wei­le die aktu­el­le „Unter­su­chung” gele­sen und stau­nen, was die­se Exper­ten sich zutrau­en zu beur­tei­len! Wir haben des­halb ein­mal die Beur­tei­lu…
MDM-Essen­ti­als — Mobi­le Device Manage­ment und Push-Ser­vices unsi­cher? Der Sicher­heits­as­pekt
PRISM ist in aller Mun­de und PRISM zieht die Neu­be­wer­tung vie­ler all­täg­li­cher Pro­zes­se in der IT nach sich. Dies gilt auch für das The­ma Mobi­le Device Manage­ment (MDM). Auch im Mobi­le Device Manage­ment haben die Push Ser­vices von Apple (APNS — Apple Push Noti­fi­ca­ti­on Ser­vices) und Goog­le (GCM — Goog…
Mobi­le Device Manage­ment — Gart­ner ver­öf­fent­licht sei­nen obsku­ren Magi­cal Qua­drant 2013
Regel­mä­ßi­ge Leser des Pre­tio­so Blog wis­sen, dass ich die Aus­sa­gen jedes Voll­trun­ke­nen erns­ter neh­me als Gartner’s regel­mä­ßig kom­plett am Ziel vor­bei­ge­hen­de Bewer­tun­gen. Ed Bott hat die Bedeu­tungs­lo­sig­keit von Gart­ner in einem poin­tier­ten Bei­trag kom­men­tiert. den wir im Bei­trag War­um hört die IT-​Ind…

5 Kommentare

Schreibe einen Kommentar»
  1. […] und NSA Debat­te ist voll­ends ent­brannt, stellt Pre­tosio fest, dass sich nicht geän­dert habe an der Nut­zung von Aka­mai Ser­vern. Als @DerLarsHahn das Daten­schutz­the­ma auch in sei­nem Blog auf­greift, kommt es zu einer […]

  2. […] Ein aktu­el­ler Fall Der Busi­ness-Netz­werk Anbie­ter XING ist aktu­ell mit einem sol­chen Fall in der online Kom­mu­ni­ka­ti­on befasst und mit mas­si­ven Anwür­fen von Kun­den und der online Com­mu­ni­ty und einem ers­ten Rechts­streit kon­fron­tiert. Im Unter­schied zu Lin­kedIn beruft sich XING auf den stren­gen deut­schen Daten­schutz, hat aber zur Daten­ver­ar­bei­tung den US Anbie­ter Aka­mai unter Ver­trag. Bestimmt haben jedoch Kun­den XING unter ande­rem auch des­halb gewählt, weil sie sich dem US Anbie­ter Lin­kedIn aus genau die­sen Grün­den nicht aus­set­zen woll­ten. Lei­der ver­hält sich XING in der online Kom­mu­ni­ka­ti­on dies­be­züg­lich extrem unge­schickt. XING ver­sucht sich dar­auf aus­zu­re­den, man wür­de ja siche­re Ver­schlüs­se­lung ver­wen­den (das ist völ­lig uner­heb­lich, wenn die Daten auf US Rech­nern lie­gen, unter­lie­gen sie dort der Selbst­be­die­nung – wie sie über­tra­gen wur­den ist frei­lich neben­säch­lich – und: wur­den sie mit einem US Ver­schlüs­se­lungs­dienst ver­schlüs­selt? Oh. Ja, Sie ahnen rich­tig.). Wei­ters ver­sucht sich XING dar­auf aus­zu­re­den, Aka­mai hät­te ver­trag­lich zuge­si­chert, sich an deut­sches Daten­schutz­recht zu hal­ten. Dies ist frei­lich nicht mehr als ein ori­gi­nel­ler Ver­such: Aka­mai KANN als US Unter­neh­men wohl kaum ver­trag­lich zusi­chern, gegen US Recht zu ver­sto­ßen. Als nächs­tes for­mu­lier­te XING, man hät­te Aka­mai um Stel­lung­nah­me gebe­ten. Es stellt sich frei­lich die Fra­ge, was man sich davon erwar­ten kann. Viel­leicht: “Aus­nahms­wei­se, aber nur für XING, hal­ten wir uns nicht an ame­ri­ka­ni­sches Recht.” Fazit: Die de fac­to ein­zig mög­li­che Reak­ti­on von XING wäre, im Lich­te der neu­en Erkennt­nis­se unmit­tel­bar, so wie bereits 10% der Kun­den von US-Cloud Anbie­tern, den Ver­trag bei Aka­mai zu kün­di­gen (auch vor­zei­tig) und bei­spiels­wei­se einen deut­schen Anbie­ter zu ver­pflich­ten. Bis­lang hat sich XING in der Dis­kus­si­on mit Nut­zern und Kun­den lei­der aller­dings äußerst unge­schickt ver­hal­ten. Es han­delt sich dabei jedoch nicht um ori­gi­nel­le Unter­neh­mens­kom­mu­ni­ka­ti­on, son­dern um ein hand­fes­tes, recht­li­ches Pro­blem. Ein lau­fen­des Gerichts­ver­fah­ren ist mir bereits bekannt. Ich gehe eigent­lich davon aus, dass eine gan­ze Rei­he wei­te­rer fol­gen wer­den. Eine Sam­mel­kla­ge von XING Nut­zern ist eben­falls in Vor­be­rei­tung, wie wir in der öffent­li­chen Dis­kus­si­on auf Twit­ter erfah­ren konn­ten. XING hat mit Lin­kedIn ohne­dies einen über­mäch­ti­gen Kon­kur­ren­ten und könn­te genau die­sen Punkt nun für sich nut­zen. Manch­mal kom­men gute Lösun­gen ja auch dar­aus, dass man ein Pro­blem geschickt gelöst und für sich genutzt hat. Momen­tan sieht es lei­der nicht danach aus – man ver­scherzt es sich mit jedem Tag des Zögerns mit den Kun­den wei­ter. Einen Teil der bis­he­ri­gen Online-Dis­kus­si­on zum The­ma hat Micha­el Rajiv Shah hier zum Nach­le­sen zusam­men­ge­tra­gen: http://​sto​ri​fy​.com/​n​e​t​w​o​r​k​f​i​n​d​e​r​c​c​/​x​i​n​g​-​a​n​d​-​a​k​a​m​a​i​-​p​a​t​r​i​o​t​-​act Den Fall gegen XING ange­stos­sen hat die Pre­tio­so GmbH, die bereits lan­ge vor den aktu­el­len Ent­hül­lun­gen des “Data­ga­te” die Pro­ble­me auf­zeig­te, die durch das Beauf­tra­gen von US-Cloud- und Tech­no­lo­gie­an­bie­tern ent­ste­hen. Sehr, sehr löb­lich. Hier die Quel­le zu dem Fall, der die Sache im Umfeld von XING ins Rol­len brach­te: Link. […]

  3. […] Vor­wurf: XING lage­re User-Daten auf Ser­vern in den USA. Das Pre­tio­so-Blog hat­te auf die­se Pro­ble­ma­tik schon in der Ver­gan­gen­heit auf­merk­sam gemacht und ein Ver­fah­ren gegen […]

  4. Hal­lo Herr Düll, Ihr Bei­trag kam ges­tern über Pin­te­rest zu mir, sodass ich XING auf Twit­ter ansprach und zu guter letzt fol­gen­de Ant­wort bekam:

    @xingfinder Unser Secu­ri­ty Team ist unter bit​.ly/​R​i​w​d0K für alle Anfra­gen rund zum The­ma Daten­schutz & Sicher­heit ansprech­bar.

    Was ich aller­dings nicht ganz ver­ste­he, ist Ihre Inten­si­on. Auf­klä­rung hal­te ich für wich­tig, wes­we­gen ich mich als Buch­au­tor des ers­ten XING und Lin­kedIn Buches auf Deutsch in die Dis­kus­si­on ein­mi­sche. Denn eine der Grund­an­nah­men die mei­ne Co-Autorin Isa­bel­la Mader und ich in Sachen Patri­ot Act gestellt haben ist:

    Wenn Daten­si­cher­heit wich­tig ist, dann kommt auf­grund des Patri­ot Acts und ent­spre­chen­der Lin­kedIn AGB-Klau­seln nur XING als Busi­ness Netz­werk in Fra­ge.

    Die­se scheint durch Ihre Hin­ter­fra­gung obso­let gewor­den zu sein. Inso­fern bin ich sehr gespannt auf die Auf­klä­rung die­ser mög­li­cher­wei­se ent­schei­den­den Fra­ge zum Zukunfts­ver­tei­lung des D-A-CH Mark­tes zwi­schen den Busi­ness­netz­wer­ken!

    Grüs­se aus Wien
    Ihr Micha­el Rajiv Shah

    1. Hal­lo Herr Shah,

      Dan­ke für Ihren Bei­trag. Die Inten­ti­on ist ganz ein­fach. Ich mag kei­nen Betrug bzw. Sach­ver­hal­te, die umgangs­sprach­lich als Betrug wahr­ge­nom­men wer­den kön­nen. Und XING’s Wer­bung ist mei­ner Auf­fas­sung nach grob irre­füh­rend. XING ist bei der Nut­zung nicht weni­ger gefähr­lich als Lin­kedIn und ver­sucht im Män­tel­chen des lie­ben deut­schen Unter­neh­mens mit deut­schem Daten­schutz daher­zu­kom­men.

      Und die­ses Män­tel­chen neh­me ich und hof­fent­lich bald der Ham­bur­ger Daten­schutz­be­auf­trag­te XING weg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.