XING und Daten­schutz — Es ste­hen Ser­ver bei einem Anbie­ter aus den USA!

War­um habe ich auf XING — im Gegen­satz zu Face­book oder Lin­kedin — mehr per­sön­li­che Daten in mei­nem XING-Pro­fil gespei­chert? Weil XING expli­zit mit deut­schem Daten­schutz wirbt:

Die XING AG ist ein deut­sches Unter­neh­men, sowohl der Unter­neh­mens­sitz als auch die Rechen­zen­tren für die Daten­ver­ar­bei­tung auf der Platt­form sind im Ham­bur­ger Raum. Dem­entspre­chend ist XING den stren­gen deut­schen Daten­schutz­re­geln ver­pflich­tet.

Lei­der stimmt das nicht (mehr?) unein­ge­schränkt, inso­fern betrach­te ich die Wer­bung mitt­ler­wei­le als irre­füh­rend. Glück­li­cher­wei­se habe ich Flag­fox in mei­nem Brow­ser instal­liert, so dass mir heu­te auf­fiel, dass mei­ne Daten aus den USA gelie­fert wur­den — wie lan­ge das schon so ist, weiss ich nicht, da ich bei Anbie­tern, die mein Ver­trau­en genie­ßen, nicht andau­ernd auf Flag­fox ach­te:

Man kann dies an der klei­nen ame­ri­ka­ni­schen Flag­ge in der Adress­zei­le erken­nen. Wenn man auf die­se klickt, sieht man Details zu der aus­lie­fern­den Infra­struk­tur:

Um her­aus­zu­fin­den, wer der Betrei­ber des Ser­vers ist, hilft uns eine Rever­se-IP-Abfra­ge:

Die Sei­ten, auf denen XING mit der strik­ten Ein­hal­tung des deut­schen Daten­schut­zes wirbt, lie­gen wei­ter auf deut­schen Ser­vern:

Ein Schelm, wer dabei wei­ter­denkt … Die Stand­ort­ab­fra­ge über Flag­fox führt zu fol­gen­dem Ergeb­nis:

Ein Tracert zu der IP-Adres­se endet bei e.fw.fra1.xing.net [109.233.152.3]:

Es liegt die Ver­mu­tung allein auf­grund des Ser­ver­na­mens sehr nahe, dass sich die­ser Ser­ver phy­si­ka­lisch im Raum Frank­furt befin­det, was der Aus­sa­ge „die Rechen­zen­tren für die Daten­ver­ar­bei­tung auf der Platt­form sind im Ham­bur­ger Raum” auch wider­spricht. Um Miss­ver­ständ­nis­se zu ver­mei­den — dies ist kein erns­tes Pro­blem, zeigt aber, wie wenig man den Aus­sa­gen von XING zum The­ma ver­trau­en kann.

Ein erns­tes Pro­blem ist für mich aller­dings die Nut­zung von Aka­mai, einem der Markt­füh­rer für Media-Deli­very und Strea­ming, zu deren Kun­den unter ande­rem Apple, Yahoo und Face­book!!! gehö­ren. Ich gebe ganz absicht­lich Face­book kei­ne detail­lier­ten Daten, weil ich mei­ne Daten nicht auf Ser­vern lie­gen haben will, die der ame­ri­ka­ni­schen Rechts­spre­chung unter­lie­gen und der ein­zi­ge Soci­al Net­work Anbie­ter, dem ich bis­her ver­traut habe, packt mei­ne Daten auf die­sel­be Infra­struk­tur wie Face­book es tut. Das wider­spricht nicht nur dem Wer­be­ver­spre­chen — das ist auch eine gro­ße Ent­täu­schung für mich.

Mich inter­es­sie­ren jetzt auch kei­ne Ent­schul­di­gun­gen und Erklä­run­gen wie bei­spiels­wei­se, dass die Daten per https über­tra­gen wer­den. Fakt ist, dass die Daten auf Ser­vern eines ame­ri­ka­ni­schen Unter­neh­mens lie­gen. Wo die Daten bei einem Cloud-Kon­zept wie Aka­mai lie­gen, ist letzt­end­lich oft schwer fest­stell­bar. Fakt ist, dass Aka­mai ame­ri­ka­ni­schem Recht unter­liegt und wel­che Fra­ge­stel­lun­gen damit impli­ziert sind, habe ich in einem ande­ren Arti­kel beschrie­ben. Die Aus­sa­ge Dem­entspre­chend ist XING den stren­gen deut­schen Daten­schutz­re­geln ver­pflich­tet. ist äußerst irre­füh­rend. Ja, XING ist den stren­gen deut­schen Daten­schutz­re­geln ver­pflich­tet, Aka­mai mit Unter­neh­mens­sitz in Cam­bridge, USA aber über­haupt nicht! Was inter­es­siert einen ame­ri­ka­ni­schen Staats­an­walt in Cam­bridge das deut­sche Daten­schutz­recht? Weni­ger als über­haupt nicht, denn er ist bei­spiels­wei­se den aus­ufern­den Bestim­mun­gen des Patri­ot Act ver­pflich­tet.

Ich wer­de jetzt nicht kün­di­gen, denn das hat im Kern kei­nen Sinn- die Daten lie­gen jetzt auf ame­ri­ka­ni­schen Ser­vern. Aber ich erwar­te von XING, dass sie schleu­nigst ihr Wer­be­ver­spre­chen ein­hal­ten.

PS: Ich habe gera­de noch ein­mal gegoo­gelt „XING Ser­ver in USA”, was kei­ne rele­van­ten Ergeb­nis­se bringt. Aller­dings habe ich eini­ge inter­es­san­te Posts von Ralf Wen­zel zu die­sem The­ma auf XING in einem Post gefun­den. Wen­zel schreibt völ­lig zu Recht auf eine Sales­force-Wer­bung ant­wor­tend u.a.:

Ich schla­ge vor, mal inten­siv das Bun­des­da­ten­schutz­ge­setz zu lesen. Danach ist das Spei­chern per­so­nen­be­zo­ge­ner Daten grund­sätz­lich ver­bo­ten, das betrifft ins­be­son­de­re das Spei­chern auf Ser­vern außer­halb der EU.

Wei­ter­hin unter­lie­gen Ser­ver von US-Unter­neh­men selbst DANN dem Patri­ot Act, wenn die Ser­ver nicht in den USA ste­hen. Da freu­en sich doch US-Geheim­diens­te (die aus­drück­lich auch mit der Daten­ak­qui­se beauf­tragt sind) über deut­sche Unter­neh­men, die locker flo­ckig ihre Kun­den­da­ten­bank und ihre Kal­ku­la­tio­nen auf Ser­vern von US-Unter­neh­men able­gen.

Dem ist nichts hin­zu­zu­fü­gen.

Update 18.04.2012

Auf basic​t​hin​king​.de erschien ges­tern der Bei­trag Ach­tung, Xing! Bran­chOut über­holt von rechts von Jür­gen Viel­mei­er. Ich tei­le die Schluss­fol­ge­rung dort nicht, dass sich XING mit Face­book inte­grie­ren soll­te. Die dor­ti­gen Kom­men­ta­re zei­gen mir, dass ich mit mei­ner Wer­tung der Bedeu­tung des Daten­schut­zes auf XING nicht allei­ne bin. So schreibt dort der Nut­zer Sopri­ni: Ich bin bei XING, weil ich nicht bei Face­book sein möch­te. Ich auch!


Ande­re inter­es­san­te Bei­trä­ge:
Mobi­le Device Manage­ment (MDM) 2013 — Wohin geht die Rei­se?
Vor uns liegt ein neu­es Jahr und das Jahr 2013 wird auch für das The­ma Mobi­le Device Manage­ment (MDM) Ver­än­de­run­gen brin­gen. Die Fra­ge ist bloß, wel­che dies sein wer­den. Wir als Her­stel­ler von datomo Mobi­le Device Manage­ment wis­sen dies heu­te auch noch nicht, aber wir ken­nen den Markt, die (tech­nisc…
MDM Essen­ti­als – Bring Your Own Device (BYOD) und Mobi­le Device Manage­ment (MDM) schafft tech­ni­sche Pro­ble­me und kei­ne Lösun­gen
Nach mei­nem Arti­kel über die recht­li­chen Pro­ble­me von Bring Your Own Device-Stra­te­gi­en gehe ich heu­te nun auf die tech­ni­schen Pro­ble­me von BYOD ein, die nach mei­ner Über­zeu­gung viel gra­vie­ren­der als die recht­li­chen Pro­ble­me sind. Ich hät­te es mir für die­sen Bei­trag leicht machen kön­nen und ein­fach d…
Mobi­le Device Manage­ment (MDM) und siche­rer Zugriff auf Doku­men­te mit iCloud? Und was ist bei BYOD-Kon­zep­ten?
Heu­te hat­te ich eine lan­ge Dis­kus­si­on mit einem Con­sul­tant eines gro­ßen IT-Con­sul­ters. Ich glau­be, dass das Gespräch von all­ge­mei­nem Inter­es­se ist. Aus­gangs­punkt war, dass er auf­grund mei­nes Arti­kels über Online-Spei­cher-Diens­te mir erklä­ren woll­te, dass es für Fir­men wich­tig sei, App­les iCloud in d…
Andro­id, Black­Ber­ry, iOS sind von der NSA und dem GCHQ geknackt — Wie geht siche­re Enter­pri­se Mobi­li­ty ab jetzt?
Der Spie­gel deckt heu­te den nächs­ten Skan­dal im Bei­trag NSA-Affä­re: „Cham­pa­gner!” auf. Dan­ke, Spie­gel! Die Ver­bre­cher an der Infor­ma­ti­ons­frei­heit, NSA und GCHQ, haben im Kern die gesam­te Mobil­kom­mu­ni­ka­ti­on der Welt geknackt — nichts ist mehr sicher. Mensch, Geor­ge Orwell, was war 1984 (Das Buch über…
CeBIT 2016 Vor­trags­prä­sen­ta­tio­nen (6−10) als Down­load zum The­ma Mobi­le Device Manage­ment
Die Pre­tio­so GmbH, Anbie­ter der siche­ren und deut­schen MDM Lösung datomo MDM war mit einem Stand und mit zahl­rei­chen Vor­trä­gen rund um das The­ma Mobi­le Device Manage­ment auf der CeBIT 2016 ver­tre­ten. Klaus Düll, MDM Exper­te und Geschäfts­füh­rer der Pre­tio­so GmbH hielt auf dem Vor­trags­fo­rum des Han­nov…

2 Kommentare

Schreibe einen Kommentar»
  1. […] Tage vor Ver­öf­fent­li­chung unse­res Buchs fand das IT-Unter­neh­men Pre­tosio GmbH her­aus, dass XING US-Ame­ri­ka­ni­sche Ser­ver nut­ze. Im Juni die­sen Jah­res dann, die PRISM und NSA Debat­te ist voll­ends ent­brannt, stellt Pre­tosio […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.