XING und Daten­schutz — Es ste­hen Ser­ver bei einem Anbie­ter aus den USA!

War­um habe ich auf XING — im Gegen­satz zu Face­book oder Lin­kedin — mehr per­sön­li­che Daten in mei­nem XING-Pro­fil gespei­chert? Weil XING expli­zit mit deut­schem Daten­schutz wirbt:

Die XING AG ist ein deut­sches Unter­neh­men, sowohl der Unter­neh­mens­sitz als auch die Rechen­zen­tren für die Daten­ver­ar­bei­tung auf der Platt­form sind im Ham­bur­ger Raum. Dem­entspre­chend ist XING den stren­gen deut­schen Daten­schutz­re­geln ver­pflich­tet.

Lei­der stimmt das nicht (mehr?) unein­ge­schränkt, inso­fern betrach­te ich die Wer­bung mitt­ler­wei­le als irre­füh­rend. Glück­li­cher­wei­se habe ich Flag­fox in mei­nem Brow­ser instal­liert, so dass mir heu­te auf­fiel, dass mei­ne Daten aus den USA gelie­fert wur­den — wie lan­ge das schon so ist, weiss ich nicht, da ich bei Anbie­tern, die mein Ver­trau­en genie­ßen, nicht andau­ernd auf Flag­fox ach­te:

Man kann dies an der klei­nen ame­ri­ka­ni­schen Flag­ge in der Adress­zei­le erken­nen. Wenn man auf die­se klickt, sieht man Details zu der aus­lie­fern­den Infra­struk­tur:

Um her­aus­zu­fin­den, wer der Betrei­ber des Ser­vers ist, hilft uns eine Rever­se-IP-Abfra­ge:

Die Sei­ten, auf denen XING mit der strik­ten Ein­hal­tung des deut­schen Daten­schut­zes wirbt, lie­gen wei­ter auf deut­schen Ser­vern:

Ein Schelm, wer dabei wei­ter­denkt … Die Stand­ort­ab­fra­ge über Flag­fox führt zu fol­gen­dem Ergeb­nis:

Ein Tracert zu der IP-Adres­se endet bei e.fw.fra1.xing.net [109.233.152.3]:

Es liegt die Ver­mu­tung allein auf­grund des Ser­ver­na­mens sehr nahe, dass sich die­ser Ser­ver phy­si­ka­lisch im Raum Frank­furt befin­det, was der Aus­sa­ge „die Rechen­zen­tren für die Daten­ver­ar­bei­tung auf der Platt­form sind im Ham­bur­ger Raum” auch wider­spricht. Um Miss­ver­ständ­nis­se zu ver­mei­den — dies ist kein erns­tes Pro­blem, zeigt aber, wie wenig man den Aus­sa­gen von XING zum The­ma ver­trau­en kann.

Ein erns­tes Pro­blem ist für mich aller­dings die Nut­zung von Aka­mai, einem der Markt­füh­rer für Media-Deli­very und Strea­ming, zu deren Kun­den unter ande­rem Apple, Yahoo und Face­book!!! gehö­ren. Ich gebe ganz absicht­lich Face­book kei­ne detail­lier­ten Daten, weil ich mei­ne Daten nicht auf Ser­vern lie­gen haben will, die der ame­ri­ka­ni­schen Rechts­spre­chung unter­lie­gen und der ein­zi­ge Social Net­work Anbie­ter, dem ich bis­her ver­traut habe, packt mei­ne Daten auf die­sel­be Infra­struk­tur wie Face­book es tut. Das wider­spricht nicht nur dem Wer­be­ver­spre­chen — das ist auch eine gro­ße Ent­täu­schung für mich.

Mich inter­es­sie­ren jetzt auch kei­ne Ent­schul­di­gun­gen und Erklä­run­gen wie bei­spiels­wei­se, dass die Daten per htt­ps über­tra­gen wer­den. Fakt ist, dass die Daten auf Ser­vern eines ame­ri­ka­ni­schen Unter­neh­mens lie­gen. Wo die Daten bei einem Cloud-Kon­zept wie Aka­mai lie­gen, ist letzt­end­lich oft schwer fest­stell­bar. Fakt ist, dass Aka­mai ame­ri­ka­ni­schem Recht unter­liegt und wel­che Fra­ge­stel­lun­gen damit impli­ziert sind, habe ich in einem ande­ren Arti­kel beschrie­ben. Die Aus­sa­ge Dem­entspre­chend ist XING den stren­gen deut­schen Daten­schutz­re­geln ver­pflich­tet. ist äußerst irre­füh­rend. Ja, XING ist den stren­gen deut­schen Daten­schutz­re­geln ver­pflich­tet, Aka­mai mit Unter­neh­mens­sitz in Cam­bridge, USA aber über­haupt nicht! Was inter­es­siert einen ame­ri­ka­ni­schen Staats­an­walt in Cam­bridge das deut­sche Daten­schutz­recht? Weni­ger als über­haupt nicht, denn er ist bei­spiels­wei­se den aus­ufern­den Bestim­mun­gen des Patri­ot Act ver­pflich­tet.

Ich wer­de jetzt nicht kün­di­gen, denn das hat im Kern kei­nen Sinn- die Daten lie­gen jetzt auf ame­ri­ka­ni­schen Ser­vern. Aber ich erwar­te von XING, dass sie schleu­nigst ihr Wer­be­ver­spre­chen ein­hal­ten.

PS: Ich habe gera­de noch ein­mal gegoo­gelt „XING Ser­ver in USA”, was kei­ne rele­van­ten Ergeb­nis­se bringt. Aller­dings habe ich eini­ge inter­es­san­te Posts von Ralf Wen­zel zu die­sem The­ma auf XING in einem Post gefun­den. Wen­zel schreibt völ­lig zu Recht auf eine Sales­for­ce-Wer­bung ant­wor­tend u.a.:

Ich schla­ge vor, mal inten­siv das Bun­des­da­ten­schutz­ge­setz zu lesen. Danach ist das Spei­chern per­so­nen­be­zo­ge­ner Daten grund­sätz­lich ver­bo­ten, das betrifft ins­be­son­de­re das Spei­chern auf Ser­vern außer­halb der EU.

Wei­ter­hin unter­lie­gen Ser­ver von US-Unter­neh­men selbst DANN dem Patri­ot Act, wenn die Ser­ver nicht in den USA ste­hen. Da freu­en sich doch US-Geheim­diens­te (die aus­drück­lich auch mit der Daten­ak­qui­se beauf­tragt sind) über deut­sche Unter­neh­men, die locker flo­ckig ihre Kun­den­da­ten­bank und ihre Kal­ku­la­tio­nen auf Ser­vern von US-Unter­neh­men able­gen.

Dem ist nichts hin­zu­zu­fü­gen.

Update 18.04.2012

Auf basict​hin​king​.de erschien ges­tern der Bei­trag Ach­tung, Xing! Bran­chOut über­holt von rechts von Jür­gen Viel­mei­er. Ich tei­le die Schluss­fol­ge­rung dort nicht, dass sich XING mit Face­book inte­grie­ren soll­te. Die dor­ti­gen Kom­men­ta­re zei­gen mir, dass ich mit mei­ner Wer­tung der Bedeu­tung des Daten­schut­zes auf XING nicht allei­ne bin. So schreibt dort der Nut­zer Sopri­ni: Ich bin bei XING, weil ich nicht bei Face­book sein möch­te. Ich auch!


Ande­re inter­es­san­te Bei­trä­ge:
Secu­re­View — schon wie­der ein neu­es Fea­ture für unse­re Lösung zum Mobi­le Device Manage­ment (MDM) von datomo
Heu­te haben wir ein wei­te­res mäch­ti­ges Fea­ture für datomo Device Manage­ment, unse­re viel­sei­ti­ge MDM-Lösung frei­ge­ge­ben und dazu auch eine Pres­se­mit­tei­lung ver­öf­fent­licht in unse­rer Pres­se­box. Was bringt dem Anwen­der Secu­re­View? Secu­re­View stellt sicher, dass Doku­men­te auf mobi­len End­ge­rä­ten sicher …
Bring Your Own Device (BYOD) und Online­spei­cher — Wel­che Pro­ble­me brin­gen iCloud, Drop­box, Sug­ar­sync & Co?
Wie wenig ich von Bring Your Own Device (BYOD) hal­te und die Grün­de, die gegen BYOD spre­chen, habe ich hier im Blog schon oft erläu­tert, schau­en Sie in der Navi­ga­ti­on bei MDM nach, um Alles über MDM und BYOD zu erfah­ren, was in die­sem Blog ver­öf­fent­licht wur­de. Eine zusätz­li­che Dimen­si­on gewin­nen di…
White­pa­per datomo MDM um neue Fea­tures und EU-DSGVO aktua­li­siert — jetzt anfor­dern!
Wir haben das White­pa­per datomo Mobi­le Device Manage­ment (datomo MDM) aktua­li­siert und um neu­es­te tech­ni­sche Fea­tures und aktu­ells­te The­men zum Daten­schutz wie die im Mai 2018 in Kraft tre­ten­de Euro­päi­sche Daten­schutz­grund­ver­ord­nung (EO-DSGVO) erwei­tert. Lesen Sie in unse­rem aktu­el­len, aus­führ­lic…
Das BSI erklärt Mobi­le Device Manage­ment (MDM) — Das The­ma per­fekt auf den Punkt gebracht!
Von einem Stu­den­ten, der der­zeit sei­ne Bache­lor­ar­beit zum The­ma Mobi­le Device Manage­ment (MDM) schreibt, wur­de ich auf das am 13.03.13 ver­öf­fent­lich­te White­pa­per des BSI zum The­ma MDM auf­merk­sam gemacht. Das BSI führt in dem neun­sei­ti­gen White­pa­per zum The­ma sehr gut aus, was bei der Ent­schei­dung fü…
MDM Essen­ti­als — Gefahr für Bring Your Own Device (BYOD) und Con­tai­ner-Kon­zep­te durch Key­log­ger am Bei­spiel von iKey­Mo­ni­tor
Ich habe lan­ge über­legt, ob ich die­sen Arti­kel schrei­ben soll. Ich bin zu der Auf­fas­sung gekom­men, dass die Gefahr, die vom Unwis­sen über die heu­te tech­ni­schen Mög­lich­kei­ten auf Smart­pho­nes aus­geht deut­lich grö­ßer ist, als die Gefahr, die durch Key­log­ger ent­steht oder ent­ste­hen kann. Im Gegen­teil, e…

2 Kommentare

Schreibe einen Kommentar»
  1. […] Tage vor Ver­öf­fent­li­chung unse­res Buchs fand das IT-Unter­neh­men Pre­tosio GmbH her­aus, dass XING US-Ame­ri­ka­ni­sche Ser­ver nut­ze. Im Juni die­sen Jah­res dann, die PRISM und NSA Debat­te ist voll­ends ent­brannt, stellt Pre­tosio […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.