LinkedIn 'Browsergate': Was die Vorwürfe für Ihre Privatsphäre bedeuten

LinkedIn beschuldigt, im Rahmen der „Browsergate"-Untersuchung verdeckt Browser zu scannen

Eine Untersuchung, die inzwischen weithin als „Browsergate" bezeichnet wird, hat schwerwiegende Vorwürfe gegen LinkedIn erhoben und wirft der professionellen Netzwerkplattform vor, heimlich die installierten Browser-Erweiterungen der Nutzer zu scannen und umfangreiche Gerätedaten ohne Zustimmung der Nutzer oder eine aussagekräftige Offenlegung in der Datenschutzrichtlinie zu sammeln. Sollten sich die Behauptungen unter näherer Prüfung bestätigen, könnte dies eine der bedeutendsten Kontroversen über Unternehmensdatenerhebung handeln, die eine große Verbraucherplattform je betroffen hat.

Die Vorwürfe konzentrieren sich auf zwei spezifische Verhaltensweisen: das Scannen nach Tausenden von installierten Browser-Erweiterungen sowie das Erfassen von 48 verschiedenen Geräteeigenschaften der Nutzer. Der Untersuchung zufolge werden diese Daten anschließend an LinkedIn-Server und angeblich auch an Drittanbieter-Sicherheitsunternehmen übermittelt. Das Ausmaß ist bemerkenswert. Einige in der Berichterstattung zur Untersuchung zitierte Schätzungen legen nahe, dass weltweit bis zu 405 Millionen Nutzer betroffen sein könnten.

Welche Daten angeblich gesammelt werden – und warum das von Bedeutung ist

Die Bedenken gehen über einfaches Geräte-Fingerprinting hinaus. Browser-Erweiterungen können viel über die Gewohnheiten, Überzeugungen und Lebensumstände einer Person verraten. Jemand, der Erweiterungen im Zusammenhang mit religiösen Inhalten, Gesundheitsmanagement, politischem Aktivismus oder der Jobsuche nutzt, legt durch sein Browser-Profil faktisch persönliche Informationen offen – oft ohne es zu bemerken.

Was die Browsergate-Vorwürfe besonders schwerwiegend macht, ist die Behauptung, dass die gesammelten Daten nicht isoliert gespeichert werden. Der Untersuchung zufolge werden die Informationen direkt den Klarnamen, Arbeitgebern und Berufsbezeichnungen der Nutzer zugeordnet. Diese Verknüpfung verwandelt scheinbar anonyme technische Daten in detaillierte Einzelprofile mit beruflichem Kontext.

Das ist von Bedeutung, weil LinkedIn unter den sozialen Plattformen eine ungewöhnliche Stellung einnimmt. Nutzer teilen dort in der Regel ihre echten Identitäten, aktuellen Arbeitgeber, Karriereverläufe und beruflichen Netzwerke. Die Kombination dieser verifizierten Identitätsdaten mit verdeckt gesammelten Browser-Eigenschaften und Erweiterungslisten erzeugt eine Profiltiefe, die weit über das hinausgeht, was die meisten Nutzer angesichts des erklärten Zwecks der Plattform für akzeptabel halten würden.

Regulatorische Konsequenzen im Rahmen der DSGVO und des Digital Markets Act

Die Untersuchung wirft gezielte Fragen zur Einhaltung europäischer Datenschutzvorschriften auf. Nach der Datenschutz-Grundverordnung ist das Erheben personenbezogener Daten ohne eine rechtmäßige Grundlage und eine klare Offenlegung gegenüber dem Nutzer verboten. Der Digital Markets Act fügt für große Plattformen, die in der Europäischen Union tätig sind, weitere Verpflichtungen hinzu.

Sollten die behaupteten Datenerhebungspraktiken nicht in LinkedIns Datenschutzrichtlinie offengelegt worden sein, würde bereits diese Unterlassung wahrscheinlich das Interesse der Aufsichtsbehörden wecken. Europäische Datenschutzbehörden haben wiederholt ihre Bereitschaft unter Beweis gestellt, große Technologieunternehmen wegen DSGVO-Verstößen zu untersuchen und mit Bußgeldern zu belegen, und nicht offengelegtes Verhaltens-Tracking stand dabei immer wieder im Mittelpunkt von Durchsetzungsmaßnahmen.

LinkedIn hat zum Zeitpunkt dieses Artikels keine detaillierte öffentliche Stellungnahme veröffentlicht, die auf die spezifischen technischen Behauptungen der Untersuchung eingeht. Dieses Schweigen könnte selbst zu einem Faktor werden, sollten die Behörden die Angelegenheit weiterverfolgen.

Was das für Sie bedeutet

Für den durchschnittlichen LinkedIn-Nutzer sind die Browsergate-Vorwürfe eine praktische Erinnerung daran, dass die Datenerhebungspraktiken einer Plattform weit über das hinausgehen können, was in den Einstellungsmenüs sichtbar ist oder in einer Datenschutzrichtlinie zusammengefasst wird.

Browser-Erweiterungen sind ein besonders häufig übersehener Angriffsvektor. Die meisten Menschen installieren Erweiterungen der Bequemlichkeit halber und denken kaum darüber nach, welche Informationen diese Erweiterungen in ihrer Gesamtheit über sie preisgeben könnten. Die Behauptung, dass LinkedIn diese Erweiterungen aktiv scannt und katalogisiert, legt nahe, dass alltägliche Browser-Infrastruktur auf eine Weise zur Datenquelle werden kann, der die Nutzer nicht zugestimmt haben.

Geräte-Fingerprinting – das Kombinieren mehrerer Hardware- und Software-Eigenschaften zur Erstellung eines eindeutigen Identifikators – ist eine gut dokumentierte Technik, die im gesamten Web eingesetzt wird. Es kann selbst dann bestehen bleiben, wenn Cookies gelöscht werden oder ein VPN verwendet wird, da es auf die Eigenschaften des Geräts selbst zurückgreift und nicht auf gespeicherte Identifikatoren. Das Bewusstsein für diese Technik ist der erste Schritt zum Verständnis der eigenen Gefährdung.

Praktische Schritte, die es zu erwägen gilt:

• Überprüfen und bereinigen Sie regelmäßig Ihre installierten Browser-Erweiterungen und entfernen Sie alle, die Sie nicht mehr aktiv verwenden
• Überprüfen Sie die Datenschutzeinstellungen Ihres Browsers und erwägen Sie, ob Ihr aktueller Browser einen gewissen Schutz gegen Fingerprinting bietet
• Lesen Sie die Datenschutzrichtlinien der Plattformen, die Sie beruflich nutzen, insbesondere die Abschnitte zur Datenerfassung und zur Weitergabe an Dritte
• Verfolgen Sie regulatorische Nachrichten zu den Plattformen, auf die Sie angewiesen sind, da Durchsetzungsmaßnahmen oft Details ans Licht bringen, die Unternehmen nicht freiwillig preisgeben

Die Browsergate-Untersuchung ist noch im Gange, und es lohnt sich zu verfolgen, ob LinkedIn substanziell reagiert oder ob Regulierungsbehörden die Vorwürfe aufgreifen. Unabhängig davon, wie dieser konkrete Fall ausgeht, verdeutlicht er, dass es ein vernünftiger und notwendiger Bestandteil der professionellen Nutzung eines Online-Dienstes ist zu verstehen, was eine Plattform sammelt – und ob dies mit dem übereinstimmt, was sie offenlegt.