XING und Daten­schutz — Es ste­hen Ser­ver bei einem Anbie­ter aus den USA!

War­um habe ich auf XING — im Gegen­satz zu Face­book oder Lin­kedin — mehr per­sön­li­che Daten in mei­nem XING-Pro­fil gespei­chert? Weil XING expli­zit mit deut­schem Daten­schutz wirbt:

Die XING AG ist ein deut­sches Unter­neh­men, sowohl der Unter­neh­mens­sitz als auch die Rechen­zen­tren für die Daten­ver­ar­bei­tung auf der Platt­form sind im Ham­bur­ger Raum. Dem­entspre­chend ist XING den stren­gen deut­schen Daten­schutz­re­geln ver­pflich­tet.

Lei­der stimmt das nicht (mehr?) unein­ge­schränkt, inso­fern betrach­te ich die Wer­bung mitt­ler­wei­le als irre­füh­rend. Glück­li­cher­wei­se habe ich Flag­fox in mei­nem Brow­ser instal­liert, so dass mir heu­te auf­fiel, dass mei­ne Daten aus den USA gelie­fert wur­den — wie lan­ge das schon so ist, weiss ich nicht, da ich bei Anbie­tern, die mein Ver­trau­en genie­ßen, nicht andau­ernd auf Flag­fox ach­te:

Man kann dies an der klei­nen ame­ri­ka­ni­schen Flag­ge in der Adress­zei­le erken­nen. Wenn man auf die­se klickt, sieht man Details zu der aus­lie­fern­den Infra­struk­tur:

Um her­aus­zu­fin­den, wer der Betrei­ber des Ser­vers ist, hilft uns eine Rever­se-IP-Abfra­ge:

Die Sei­ten, auf denen XING mit der strik­ten Ein­hal­tung des deut­schen Daten­schut­zes wirbt, lie­gen wei­ter auf deut­schen Ser­vern:

Ein Schelm, wer dabei wei­ter­denkt … Die Stand­ort­ab­fra­ge über Flag­fox führt zu fol­gen­dem Ergeb­nis:

Ein Tracert zu der IP-Adres­se endet bei e.fw.fra1.xing.net [109.233.152.3]:

Es liegt die Ver­mu­tung allein auf­grund des Ser­ver­na­mens sehr nahe, dass sich die­ser Ser­ver phy­si­ka­lisch im Raum Frank­furt befin­det, was der Aus­sa­ge „die Rechen­zen­tren für die Daten­ver­ar­bei­tung auf der Platt­form sind im Ham­bur­ger Raum” auch wider­spricht. Um Miss­ver­ständ­nis­se zu ver­mei­den — dies ist kein erns­tes Pro­blem, zeigt aber, wie wenig man den Aus­sa­gen von XING zum The­ma ver­trau­en kann.

Ein erns­tes Pro­blem ist für mich aller­dings die Nut­zung von Aka­mai, einem der Markt­füh­rer für Media-Deli­very und Strea­ming, zu deren Kun­den unter ande­rem Apple, Yahoo und Face­book!!! gehö­ren. Ich gebe ganz absicht­lich Face­book kei­ne detail­lier­ten Daten, weil ich mei­ne Daten nicht auf Ser­vern lie­gen haben will, die der ame­ri­ka­ni­schen Rechts­spre­chung unter­lie­gen und der ein­zi­ge Soci­al Net­work Anbie­ter, dem ich bis­her ver­traut habe, packt mei­ne Daten auf die­sel­be Infra­struk­tur wie Face­book es tut. Das wider­spricht nicht nur dem Wer­be­ver­spre­chen — das ist auch eine gro­ße Ent­täu­schung für mich.

Mich inter­es­sie­ren jetzt auch kei­ne Ent­schul­di­gun­gen und Erklä­run­gen wie bei­spiels­wei­se, dass die Daten per https über­tra­gen wer­den. Fakt ist, dass die Daten auf Ser­vern eines ame­ri­ka­ni­schen Unter­neh­mens lie­gen. Wo die Daten bei einem Cloud-Kon­zept wie Aka­mai lie­gen, ist letzt­end­lich oft schwer fest­stell­bar. Fakt ist, dass Aka­mai ame­ri­ka­ni­schem Recht unter­liegt und wel­che Fra­ge­stel­lun­gen damit impli­ziert sind, habe ich in einem ande­ren Arti­kel beschrie­ben. Die Aus­sa­ge Dem­entspre­chend ist XING den stren­gen deut­schen Daten­schutz­re­geln ver­pflich­tet. ist äußerst irre­füh­rend. Ja, XING ist den stren­gen deut­schen Daten­schutz­re­geln ver­pflich­tet, Aka­mai mit Unter­neh­mens­sitz in Cam­bridge, USA aber über­haupt nicht! Was inter­es­siert einen ame­ri­ka­ni­schen Staats­an­walt in Cam­bridge das deut­sche Daten­schutz­recht? Weni­ger als über­haupt nicht, denn er ist bei­spiels­wei­se den aus­ufern­den Bestim­mun­gen des Patri­ot Act ver­pflich­tet.

Ich wer­de jetzt nicht kün­di­gen, denn das hat im Kern kei­nen Sinn- die Daten lie­gen jetzt auf ame­ri­ka­ni­schen Ser­vern. Aber ich erwar­te von XING, dass sie schleu­nigst ihr Wer­be­ver­spre­chen ein­hal­ten.

PS: Ich habe gera­de noch ein­mal gegoo­gelt „XING Ser­ver in USA”, was kei­ne rele­van­ten Ergeb­nis­se bringt. Aller­dings habe ich eini­ge inter­es­san­te Posts von Ralf Wen­zel zu die­sem The­ma auf XING in einem Post gefun­den. Wen­zel schreibt völ­lig zu Recht auf eine Sales­force-Wer­bung ant­wor­tend u.a.:

Ich schla­ge vor, mal inten­siv das Bun­des­da­ten­schutz­ge­setz zu lesen. Danach ist das Spei­chern per­so­nen­be­zo­ge­ner Daten grund­sätz­lich ver­bo­ten, das betrifft ins­be­son­de­re das Spei­chern auf Ser­vern außer­halb der EU.

Wei­ter­hin unter­lie­gen Ser­ver von US-Unter­neh­men selbst DANN dem Patri­ot Act, wenn die Ser­ver nicht in den USA ste­hen. Da freu­en sich doch US-Geheim­diens­te (die aus­drück­lich auch mit der Daten­ak­qui­se beauf­tragt sind) über deut­sche Unter­neh­men, die locker flo­ckig ihre Kun­den­da­ten­bank und ihre Kal­ku­la­tio­nen auf Ser­vern von US-Unter­neh­men able­gen.

Dem ist nichts hin­zu­zu­fü­gen.

Update 18.04.2012

Auf basic​t​hin​king​.de erschien ges­tern der Bei­trag Ach­tung, Xing! Bran­chOut über­holt von rechts von Jür­gen Viel­mei­er. Ich tei­le die Schluss­fol­ge­rung dort nicht, dass sich XING mit Face­book inte­grie­ren soll­te. Die dor­ti­gen Kom­men­ta­re zei­gen mir, dass ich mit mei­ner Wer­tung der Bedeu­tung des Daten­schut­zes auf XING nicht allei­ne bin. So schreibt dort der Nut­zer Sopri­ni: Ich bin bei XING, weil ich nicht bei Face­book sein möch­te. Ich auch!


Ande­re inter­es­san­te Bei­trä­ge:
Mobi­le Device Manage­ment (MDM) mit Con­tai­nern — Erfah­run­gen der Anwen­der
Vor­ges­tern hat­te ich ein wun­der­ba­res Erleb­nis. Wir hat­ten im Sep­tem­ber einen gro­ßen Dienst­leis­ter im Gesund­heits­we­sen über län­ge­re Zeit mit datomo Mobi­le Device Manage­ment pilo­tiert. Man war dort sehr zufrie­den mit datomo MDM und unse­rem Ser­vice — aber nicht zufrie­den genug, um sich für einen Ein­sat…
CeBIT 2013: Podi­ums­dis­kus­sio­nen zu Bring Your Own Device — Fazit: BYOD geht nicht!
Am Diens­tag und ges­tern war ich ein­ge­la­den zusam­men mit ande­ren inter­es­san­ten Teil­neh­mern im Rah­men des Mobi­le Busi­ness Solu­ti­ons Forum auf der CeBIT 2013 das The­ma ‘BYOD — Fluch oder Segen für die Unter­neh­mens-IT?’ zu dis­ku­tie­ren. Am Diens­tag erfolg­te dies mit Ver­tre­tern von der Wep­tun GmbH, Deutsc…
Mobi­le Device Manage­ment (MDM) 2013 — Wohin geht die Rei­se?
Vor uns liegt ein neu­es Jahr und das Jahr 2013 wird auch für das The­ma Mobi­le Device Manage­ment (MDM) Ver­än­de­run­gen brin­gen. Die Fra­ge ist bloß, wel­che dies sein wer­den. Wir als Her­stel­ler von datomo Mobi­le Device Manage­ment wis­sen dies heu­te auch noch nicht, aber wir ken­nen den Markt, die (tech­nisc…
Mobi­le Device Manage­ment (MDM) in siche­rer Aus­füh­rung mit siche­rer Ver­schlüs­se­lung — in den USA sehr gefragt!
Ich bin heu­te den letz­ten Tag in Deutsch­land, mor­gen geht es für 10 Tage in die USA. War­um? Ich wer­de dort unser Geschäft ver­tie­fen, ver­brei­tern und aus­bau­en. Wir haben in den letz­ten Mona­ten gelernt, dass es in den USA einen inter­es­san­ten Markt für euro­päi­sches Mobi­le Device Manage­ment (MDM) gibt. …
Bring Your Own Device (BYOD) — Alle wis­sen Bescheid, da will auch Bit­kom nicht feh­len!
Alle reden über BYOD ohne jede Ahnung. Toll! Da haben wir unse­ren Fir­men­hund auch ein­mal gefragt: „Bist Du für BYOD?” Er ist unein­ge­schränkt dafür, denn er hat immer Hun­ger und wür­de es sehr begrü­ßen, wenn sei­ne Men­schen end­lich ein­mal auf ihn hören wür­den! Eben BYOD — Belie­ve Your Own Dog! Wäh­rend…

2 Kommentare

Schreibe einen Kommentar»
  1. […] Tage vor Ver­öf­fent­li­chung unse­res Buchs fand das IT-Unter­neh­men Pre­tosio GmbH her­aus, dass XING US-Ame­ri­ka­ni­sche Ser­ver nut­ze. Im Juni die­sen Jah­res dann, die PRISM und NSA Debat­te ist voll­ends ent­brannt, stellt Pre­tosio […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.