Artikelformat

XING, Datenschutz, Social Media. Ein Widerspruch?

Update, 29.08.2013: XING hat seine Datenschutzpolitik noch einmal überarbeitet und zwar mit der Begründung, dass „die Diskussionen der vergangenen Wochen … gezeigt (haben), dass die Themen Datensicherheit und -kontrolle Internetnutzer intensiv bewegen“. Unter anderem wirbt XING jetzt mit dem Siegel „Datenschutz – Made in Germany“.

Hier der ursprüngliche Artikel:

XING, Prism und der Datenschutz

Taucht XING bei kritischen Fragen ab?

Taucht XING bei kritischen Fragen ab?

Da entwickelt sich bei Twitter eine lebendige Diskussion zur Frage, wie es XING wirklich mit dem Datenschutz hält. Und passend zur aktuellen Thematik um die Abhör-Affären Prism und Tempora wird die Frage gestellt, wo XING eigentlich seine Daten speichert. Sind sie wirklich auf Servern in Deutschland oder – wie Klaus Düll und andere darlegen, auf den Servern eines amerikanischen Anbieters, was zur Folge hätte, dass die Datei-Schnüffeleien im Zuge von Prism hundertprozentig auch bei XING stattfinden könnten. Damit wären die Datenschutz-Aussagen, die XING tätigt, hinfällig.

XING und die Twitter-Diskussion

Interessant wie sich aus der Twitter Anfrage von Michael Rajiv Shah eine lebhafte Diskussion entwickelte, bei der sich anfänglich auch XING beteiligt. Interessant ist aber besonders das vorläufige Ende der Diskussion bei der die Positionierung des Unternehmens offen bleibt.

 

Nach der Beteiligung mehrerer Personen an der Diskussion werden härtere Vorwürfe und damit verbundene Forderungen auf Verlassen des amerikanischen Lieferantenservers gegenüber XING geäußert:

 

 

Die Twitterer von XING versuchen – wie unter Social Media Managern üblich – die Diskussion raus aus Social Media zu ziehen und lenken auf ihr Security-Team, die Datenschutz-Experten.

 

Als das auch nicht wirkt, landet XING in der Social Media-Sackgasse und verweist auf ein Kontaktformular (!), bei dem die – bestens informierten – Diskutanten ihr Anliegen allen Ernstes vorbringen sollen.

 

XING und professioneller Umgang in Social Media

Es ist interessant, wie XING versucht, diese Diskussion aus Twitter herauszuziehen und schließlich einfach schweigt. Zeugt es von fehlender Souveränität, Ignoranz oder schlichtweg von Hilflosigkeit, mit Bloggern und der Community zu reden? Oder ist es eher gewollte Deeskalation durch Nicht-Reaktion? Ich bin gespannt, ob XING zu dieser Angelegenheit noch eine ausführlichere Mitteilung abgibt oder gar wieder in den Dialog eintritt. In Twitter, im eigenen Blog?

Zwischenzeitlich ist die Diskussion vorerst verstummt. Unter den Beteiligten vermutet man, dass XING am Wochenende bei Twitter nicht präsent sein wird.

XING macht also Wochenende von Social Media?

Offen bleiben damit zwei Fragen:

  1. Wie professionell handelt XING in der Social Media-Kommunikation? Ist das vorläufige Schweigen möglicherweise gar ein Beispiel für eine clevere Strategie?
  2. Ist ein zuverlässiger Datenschutz gegeben? Wie sicher sind unsere Daten auf XING in Hinblick auf die aktuelle Diskussion um Prism und Tempora?

Der Autor: Lars Hahn ist der Entdecker von ‚Systematisch Kaffeetrinken‘. Hier bloggt er persönlich. Als Geschäftsführer der LVQ Weiterbildung gGmbH beschäftigt er sich mit Weiterbildung, Recruiting, Arbeitsmarktthemen, Karriereberatung und Social Media. Lars Hahn ist zu finden bei XING, Google+, Twitter und in vielen anderen sozialen Netzwerken.

Autor: Lars Hahn

Entdecker von 'Systematisch Kaffeetrinken'. Hier persönlich. Sonst CEO @LVQ_Bildung. Bloggt über Recruiting, Karriere, Arbeitsmarkt, Weiterbildung, SocialMedia und vieles.

22 Kommentare

  1. XING handelt im Umgang mit Social Media immer auf Basis von Beschwichtigungsversuchen, genau dies habe ich 2012 ausführlich erlebt und im Beitrag http://pretioso-blog.com/xing-sagt-speicherung-der-daten-auf-akamai-servern-findet-nicht-statt-eine-akamai-unterlage-sagt-das-gegenteil/ detailliert beschrieben.

    Dort habe ich auch auf das Kernproblem hingewiesen, indem ich Originalaussagen von Akamai zitiert habe, die in Bezug auf Facebook getroffen wurden:

    „Akamai ist ein Con­tent­lie­fe­rungs­netz­werk. Wir hos­tie­ren kei­nen Con­tent von Face­book, son­dern wir lie­fern den Con­tent über unsere Ser­ver wei­ter. Der Kunde, in dem Falle Face­book Inc., ent­schei­det, wie lange sein Con­tent im Cache auf unse­ren Ser­vern behal­ten wird.“

    Ich führte weiter aus:

    „Dies zeigt zwei­fels­frei, dass bei der Nut­zung von Akamai Con­tent auf Akamai-​Servern gespei­chert wird – genau dies bestrei­tet XING. Inso­fern ist es an XING, hier­über Klar­heit zu schaf­fen. Denn mein Wunsch ist wei­ter­hin, dass XING kein zwei­tes Face­book ist /​bleibt, son­dern glas­klar deut­schen und euro­päi­schen Daten­schutz­stan­dards genügt.

    PS: Ich habe XING ange­bo­ten, eine tech­ni­sche Erklä­rung hier zu ver­öf­fent­li­chen, die ein­deu­tig klar­stellt, dass auf Akamai-​Servern keine Daten von XING /​XING-​Benutzern gespei­chert wer­den. Dies hat XING bis­her nicht gewollt. Das Ange­bot gilt selbst­ver­ständ­lich weiterhin.“

    XING ist in nun fast 14 Monaten nicht auf mein Angebot eingegangen, die technische Erklärung zur Veröffentlichung zu liefern. Dies ist verständlich, da dies nicht möglich ist.

    Vor dem Hintergrund der PRISM-Diskussion gilt zweierlei:

    1. Die Nutzung von Akamai ist in Deutschland und vielen europäischen Ländern schlicht rechtswidrig, sofern personenbezogene Daten verarbeitet werden. Diese Datenverarbeitung ist bei einem Social Network regelmäßig gegeben, sie ist nur noch wesentlich brisanter als in anderen Anwendungssituationen, da regelmäßig auch personenbezogene Wertungen, Einschätzungen und Urteile abgegeben werden, die in vielen Fällen nicht öffentlich oder nur teilöffentlich verwandt werden sollen und dürfen.

    2. Akamai ist in meinen Augen zentraler Bestandteil der amerikanischen Cyber-Spionage und gehört in Deutschland und Europa verboten. Schnelle, performante und zuverlässige Auslieferung von Inhalten ist auch ohne Akamai problemlos möglich und technisch beherrschbar.

    Ich bin aber zuversichtlich, dass XING vom Hamburger Datenschutzbeauftragten die Grenzen datenschutzrechtlich seriösen Verhaltens erklärt bekommen wird. Das anhängige Großverfahren wird von Dr. Moritz Karg, einem der kompetentesten Datenschützer in Deutschland, geführt.

    Antworten
    • Danke für die kompetenten und tiefgehenden Infos. Das Verfahren mit dem Hamburger DBA wird sicher ein gutes Ergebnis bringen. XING sollte natürlich gehalten sein, seine Werbeaussagen zu erfüllen.
      Einstweilen geht es mir auch um die Seite, wie ein Unternehmen in sozialen Netzwerken mit seinen Kunden kommuniziert. Da bin ich mal gespannt, wie XING das weiter macht.

      Antworten
  2. Pingback: XING will PRISM aussitzen und wirbt weiter falsch - Nutzer bezahlen nicht mehr › Mobile Device Management (MDM) und viel mehr - Pretioso Blog

  3. Hallo Herr Hahn,

    gerne möchte ich Ihnen Ihre Fragen hier ausführlich beantworten.

    Wichtig ist: Wir speichern Mitgliederdaten ausschließlich in Deutschland (Frankfurt). Und wir tun auch darüber hinaus alles, um die Daten unserer Mitglieder zu schützen: Neben der Speicherung in Deutschland und sicheren SSL-Verschlüsselung der Datenströme erreichen wir mithilfe von Audits neuer Features sowie Mitarbeiterschulungen bereits bei der Entwicklung unserer Produkte eine hohe Sicherheit.

    Auch wenn wir hohe Sicherheitsmaßnahmen haben, ist die Sicherheit nicht absolut: Wir sind wie alle Online-Unternehmen gezwungen, auf die Infrastruktur des Internets zurückzugreifen. So ist es für uns alternativlos, mittels eines Content Delivery Networks die Daten sicher, schnell und zuverlässig auszuliefern. Die XING AG hat einen Auftragsdatenverarbeitungsvertrag mit dem Dienstleister Akamai, der den Anforderungen des § 11 BDSG und dem Art. 17 der EG-Datenschutzrichtlinie (95/46/EG) entspricht.

    Dabei ist wichtig zu wissen: Gecached werden ausschließlich statische Inhalte wie z.B. Javascript und CSS. Sämtliche dynamische Inhalte (das sind die Inhalte, die Nutzer in Formulare eingetragen haben, wie z.B. Profilinformationen oder Nachrichten), werden von Akamai nicht gecached, sondern SSL-verschlüsselt durchgeleitet. Das ist ein erheblicher Unterschied!

    Noch einmal: XING speichert Mitgliederdaten ausschließlich in Deutschland (Frankfurt).

    Das heißt: US-amerikanische Behörden haben keinen automatischen Zugriff auf die Mitglieder-Daten bei XING. Hintergrund ist, dass bei Akamai keine Datenbank mit unseren Mitgliederdaten steht. In den Veröffentlichungen zu Prism wird hervorgehoben, dass amerikanische Firmen Datenbankinhalte auf Anfrage übergeben hätten. Das ist bei uns nicht der Fall. Deutsche Strafverfolgungsbehörden haben nur im absoluten Einzelfall und nur bei Vorliegen einer Rechtsgrundlage für diesen Einzelfall die Möglichkeit, von uns Informationen anzufordern.

    Wenn die Kritik so zu verstehen ist, dass Sie das Abhören von verschlüsselten Datenströmen auf dem Transportweg meinen (und nicht den Abruf von Datenbankinhalten): Die Datenströme müssen letztendlich den Kunden erreichen. Die Enthüllungen zu Tempora und ähnlichen Programmen von Behörden anderer Nationen lassen den Schluss zu, dass der Transportweg einer jeglichen Internetverbindung theoretisch abgehört werden kann und dass das in einem gewissen Umfang auch geschieht. Das ist ein jedes Unternehmen, jeden Internetnutzer auf der Welt treffendes Risiko, nicht nur in Deutschland. Dieses Risiko in der Infrastruktur des Internets ändert sich durch die Wahl des Content Delivery Network-Anbieters nicht, und selbst dann nicht, wenn wir kein CDN benutzen würden.

    Übrigens haben wir von Anfang an transparent mit unseren Mitgliedern kommuniziert und Fragen beantwortet (https://www.xing.com/net/pri1c8227x/XING/fragen-und-antworten-zu-xing-funktionen-278482/datenschutz-auf-xing-44452260/p0). Uns ist im Rahmen dieser Diskussion vor allem wichtig, deutlich zu machen, dass wir alles tun, um die Sicherheit der Nutzerdaten zu gewährleisten und das Risiko eines Zugriffs durch Dritte zu minimieren.

    Viele Grüße

    Ingo Chao, Team Leader Security, XING AG

    Antworten
    • Vielen Dank für die ausführliche Antwort, Herr Chao. Ich finde sie durchaus zufriedenstellend, denn auf dieser Basis kann ich entsprechend bei Workshops und Beratungen agieren. Meine persönliche Kritik im Beitrag bezog sich mehr auf das Kommunikationsverhalten Ihres Hauses. Drum schließ ich ja dort auch mit „Ich bin gespannt…“. Ihre Antwort ist mir durchaus absolut ausreichend – zeitlich und inhaltlich.

      Nochmal danke dafür.
      Lars Hahn

      P.S. Die Klarheit Ihrer Formulierungen fand ich im genannten Gruppen-Stream noch nicht.

      Antworten
  4. Auch meinerseits Danke für die erstmalige ausführliche Klarheit zu dieser Frage Herr Chao. Ich kann Herrn Hahn nur zustimmen, dass mein Teil der Kritik vor allem das Kommunikationsverhalten der XING AG betrifft, weswegen ich auch die Frage auf Twitter stellte. Meines erachtens nach ist Ihre hiesige Stellungnahme eine eigene Pressemeldung wert, um das Thema proaktiver als bisher zu kommunizieren.

    Grüsse aus Wien
    Michael Rajiv Shah

    Antworten
    • Das ist ja meine Rede! Letzte Woche hatte ich am Rande eines Vortrags mit über 200 Zuhörern zum Thema Karriere 2.0 einige kritische Nachfragen von Seiten der Besucher zum Thema Datenschutz. Skepsis, Misstrauen und das Werfen der sozialen Netzwerke in einen Topf herrschte vor.
      Deswegen ist es eine gute Idee, proaktiv damit voranzugehen.

      Antworten
  5. Die Antworten sind absolut nicht befriedigend und verwischen die Fakten sehr stark. Die Aussage

    „So ist es für uns alternativlos, mittels eines Content Delivery Networks die Daten sicher, schnell und zuverlässig auszuliefern. Die XING AG hat einen Auftragsdatenverarbeitungsvertrag mit dem Dienstleister Akamai, der den Anforderungen des § 11 BDSG und dem Art. 17 der EG-Datenschutzrichtlinie (95/46/EG) entspricht. “

    ist völlig falsch. Es ist keineswegs alternativlos Akamai o.ä. Anbieter zu nutzen. Über den Auftragsdatenverarbeitungsvertrag lachen sich NSA & Co nur tot – sie greifen trotzdem legal (nach US-Recht) auf die Daten jeden Nutzers zu.

    Die Aussage

    „Dabei ist wichtig zu wissen: Gecached werden ausschließlich statische Inhalte wie z.B. Javascript und CSS. Sämtliche dynamische Inhalte (das sind die Inhalte, die Nutzer in Formulare eingetragen haben, wie z.B. Profilinformationen oder Nachrichten), werden von Akamai nicht gecached, sondern SSL-verschlüsselt durchgeleitet. Das ist ein erheblicher Unterschied! “

    ist eine unbewiesene Behauptung. Facebook hat sehr ähnlich in den Streitigkeiten um Europe vs Facebook argumentiert und wiederlegt. Nach ausführlicher Beschäftigung mit der Akamai-Architektur ist diese Behauptung für mich widerlegt.

    Jeder kann dies einfach selbst testen. Mein Profilbild wird aktuell über den Link … ausgeliefert und kommt vom Server mit der IP 2.20.41.135. Dieser Server gehört Akamai wie jeder Leser unschwer feststellen kann. http://geoip.flagfox.net/?ip=2.20.41.135&host=www.xing.com.

    Die nächste Nebelkerze:

    „Das heißt: US-amerikanische Behörden haben keinen automatischen Zugriff auf die Mitglieder-Daten bei XING. Hintergrund ist, dass bei Akamai keine Datenbank mit unseren Mitgliederdaten steht.“

    Ich kenne niemanden, der das behauptet, der Skandal ist so schon viel zu groß. Es dürfen aber überhaupt keine einem Anwender zuzuordnenden Daten bei Akamai gespeichert werden und genau diese Zusicherung vermeidet XING ganz explizit!

    Die Aussage

    „Dieses Risiko in der Infrastruktur des Internets ändert sich durch die Wahl des Content Delivery Network-Anbieters nicht, und selbst dann nicht, wenn wir kein CDN benutzen würden. “

    ist interessant. Zeigt sie doch, dass XING sehr wohl weiss, dass es auch ohne CDN gehen würde.

    Mich erstaunt, wie unkritisch und positiv dieses Statement aufgenommen wird. Tenor: „Hurra, XING ist doch ehrlich!“ Solange dies so ist, werden Unternehmen wie XING einfach „Weiter so“ denken. Aber vielleicht ist diese Zustimmung auch logisch und zwangsläufig, wenn man sein Geschäftsmodell sehr nahe an den Social Media aufgebaut hat.

    Die einzige Chance für XING ist die Abkehr von amerikanischen Anbietern, nicht verbesserte halbwahre PR.

    Antworten
    • Hallo Herr Düll,

      vielen Dank für Ihre intensive Beschäftigung mit der Thematik. Unkritisch? Jein. IT-seitig mögen Ihre Bedenken durchaus Bestand haben. In meinem Beitrag ging es zuerst um die Frage der Kommunikation von XING. Insbesondere weil ich in Sachen sozialer Netzwerke und Karriere berate. Ich spreche dort schließlich sogar drüber, wie man Facebook noch nutzen kann.

      Ich werde den Wortlaut der XING-Aussage gegenüber meinen Kunden transportieren. Insbesondere den Satz „Die Enthüllungen zu Tempora und ähnlichen Programmen von Behörden anderer Nationen lassen den Schluss zu, dass der Transportweg einer jeglichen Internetverbindung theoretisch abgehört werden kann und dass das in einem gewissen Umfang auch geschieht. Das ist ein jedes Unternehmen, jeden Internetnutzer auf der Welt treffendes Risiko, nicht nur in Deutschland.“

      Was nur heißen kann: Wenn Ihr 100%ige Sicherheit wollt, dann müsst Ihr draußen bleiben.

      Antworten
      • Hohe Sicherheit ist mit vertretbarem Aufwand möglich – allerdings nicht mit US-Anbietern. Insofern hat XING hier eine große Chance vertan. Doch es ist nie zu spät den richtigen Weg zu gehen.

        Es gibt sichere Alternativen – gerade zu Social Media. Denn mir sagen viele Kunden in den letzten Tagen: „Ich nutze das jetzt nicht mehr!“ Gut so. So erfolgt eine Rückbesinnung auf andere Kommunikationsformen.

        Antworten
        • Telefonieren und persönliche Gespräche finde ich auch gut. Deshalb ja Systematisch Kaffeetrinken. Allerdings glaube ich nicht, dass eine Ignoranz der Social Media die Lösung ist. Bewusstes Kommunizieren scheint mir die bessere Lösung.

          Antworten
  6. Der Traceroute zu dem Server wo mein Bild liegt:

    Microsoft Windows [Version 6.1.7601]
    Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

    C:\Users\duell>tracert 2.20.41.135

    Routenverfolgung zu 2.20.41.135 über maximal 30 Abschnitte

    1 <1 ms <1 ms <1 ms xxx.xxx.xxx.xxx
    2 52 ms 52 ms 52 ms l1.fra3.blatzheim.com [217.76.103.251]
    3 52 ms 52 ms 52 ms ge1-3.fra1.blatzheim.com [217.76.99.69]
    4 52 ms 52 ms 52 ms gw6-blatzheim.fra1.level3.net [212.162.19.185]
    5 51 ms 53 ms 52 ms ae-4-90.edge3.frankfurt1.level3.net [4.69.154.19
    9]
    6 52 ms 52 ms 52 ms ae5.franco31.fra.seabone.net [195.22.214.52]
    7 53 ms 52 ms 53 ms akamai-row.franco31.fra.seabone.net [89.221.34.2
    34]
    8 67 ms 52 ms 52 ms 2.20.41.135

    Ablaufverfolgung beendet.

    Der Server steht eindeutig im Verantwortungsbereich von Akamai. Ohne wenn und aber! Und auf der gesamten Strecke ist nicht ein einziger Server von XING.

    Was soll das Storytelling?

    Antworten
    • Es geht nicht um Storytelling, sondern um nutzbare Aussagen gegenüber Kunden.

      Dabei kann ich auf die Diskussion und Ihre Kommentare verweisen, so dass jeder seine Konsequenzen selbst ziehen kann.

      Antworten
    • Klar. Die Gesamtdiskussion gehört nicht hierhin. Ich hatte aber zwischenzeitlich noch anderswo eine konkrete Frage gestellt. Und die ist beantwortet. 🙂

      Antworten
  7. Pingback: Quo Vadis XING? Datenschutz, XING Portfolio, Job Anzeigen, Kununu & Wahlkampf | Social Media Business

  8. Pingback: XING: Wie hält das Unternehmen es mit dem Datenschutz? - Steadynews | Steadynews

  9. Hallo,
    ich habe mich heute mal ein wenig intensiver mit Xing beschäftigt und wollte mein Profil vervollständigen. Dabei ist mit aufgefallen, dass es so gut wie keine wirksamen Privatsphäre-Einstellungen gibt. Sobald jemand bei Xing angemeldet ist, kann er recht persönliche und vertrauliche Informationen von mir erhalten; ich habe keine Möglichkeit, dies zu verhindern (ausser Xing eben nicht zu nutzen). Mir ist es (fast) egal, ob irgend eine Behörde Daten von mir hat (hier sei mal gesagt: die GEZ ist in Deutschland wohl die größte „persönliche“ Datenbank). Aber: wenn Freunde und Bekannte Informationen über mich haben können, die ich Ihnen selbst nicht mitteilen wollte (dafür gibt es verschiedenste Grüne), kann und darf ich Xing nicht nutzen. Wahrscheinlich bin ich mal wieder zu vorsichtig, aber wenn ich eines tatsächlich in fast 20 Jahren Internetnutzung gelernt habe, dann: „das Internet vergisst nie“. Ich warte jetzt noch eine Antwort von Xing ab, denke aber, dass ich um dieses Netzwerk einen Bogen machen „muss“… leider.

    Antworten
    • In der Tat ist ja XING dazu da, dass Sie Informationen von Ihnen preis geben. Allerdings entscheiden ja Sie, welche. Für geschäftliche Zwecke müssen Sie ja nicht privat werden.
      Wenn Sie nichts preisgeben möchten, bleibt Ihnen, offline zu Netzwerken.

      Antworten
  10. Pingback: Heimliches psychologisches Experiment bei Facebook - Seite 2

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.