Brave: Datenschutz-Browser sendet Benutzer-ID ohne Nachfrage

Sven Bauduin 100 Kommentare
Brave: Datenschutz-Browser sendet Benutzer-ID ohne Nachfrage
Bild: Brave

Der Browser Brave wirbt damit, besonderen Wert auf die Privatsphäre und Werbefreiheit zu legen, doch versendet er ungefragt die Benutzer-ID in Form von Referral-Links an seine Affiliate-Partner. Dabei handelt es sich in erster Linie um Krypto-Handelsplattformen wie Coinbase und Binance, wie das Portal Decrypt herausgefunden hat.

Brave unterhält Partnerschaften zu zahlreichen Krypto-Unternehmen, womit die Macher des Browsers auch offen umgehen und Anwender zudem über das Finanzierungsmodell Brave Rewards an möglichen Werbeeinnahmen beteiligen. Dieses Feature sollte laut Brave allerdings ausschließlich per Opt-in zur Verfügung stehen und nur auf den ausdrücklichen Wunsch der Nutzer hin aktiviert werden. Dem ist aber nicht so.

Ganz ohne ausdrückliches Zustimmungsverfahren sendet Brave per Referral-Link eine Benutzer-ID an seine Werbepartner und verdient damit Geld wenn sich ein Nutzer bei einem Partnerdienst anmeldet – selbst im anonymen Tor-Modus des Browsers.

Das Portal Decrypt fand unter anderem Referral-Links zu den Affiliate-Programmen der Krypto-Börsen Coinbase und Binance sowie den Krypto-Wallets Ledger und Trezor, nachdem sie sich die GitHub-Seite von Brave einmal genauer angesehen haben.

Brave, dessen Unterbau wie bei Chrome, Edge oder Vivaldi auf Chromium setzt, soll die Brave- sowie Benutzer-ID, über die der Anwender optional an möglichen Einnahmen partizipieren kann, eigentlich nur auf expliziten Wunsch des Anwenders hin an seine Partner übermitteln.

Brave äußert sich und spricht von einem Fehler

Brendan Eich, ehemaliger CEO von Mozilla und aktuell Co-Founder und CEO von Brave, hat sich ebenfalls bereits auf die Vorwürfe hin zu Wort gemeldet. Zunächst verwies Brendan Eich auf das Affiliate-Partnerprogramm und rechtfertigte das Vorgehen, doch auf die steigende Kritik der Nutzer hin, sprach auch der CEO von Brave via Twitter von einem Fehler und versprach Nachbesserung.

Der Brave-Chef merkte allerdings an, dass die von Decrypt aufgedeckten Weiterleitungen respektive automatischen Vervollständigungen der URL keinerlei Nutzerdaten an die Werbepartner übermittelt hätten und ausschließlich dazu gedient hätten, Brave als Browser auf diesen Plattformen zu identifizieren.

Nutzer bemängeln fehlende Transparenz

Wie der CEO argumentierte, sei diese Praxis nie ein Geheimnis gewesen, denn der Code sei auf GitHub einsehbar. Auf Twitter häufen sich dennoch die Beschwerden von Nutzern. Diese richten sich vor allem gegen das Verschweigen dieser Praxis und gegen das fehlende Einholen der Zustimmung beim Anwender.

Update 09.06.2020 11:52 Uhr

Brave entschuldigt sich und bessert per Update nach

Die Macher hinter dem Browser Brave haben sich für die automatische Weiterleitung zu Affiliate-Partnern entschuldigt und bessern mit einem Update nach, das die bislang standardmäßige Vervollständigung in Brave deaktiviert und diese Weiterleitungen zukünftig verhindern soll.

Over the weekend, one of our users noticed that typing “binance.us” into Brave’s address bar added an affiliate code to the end of the address (commonly called a URL) that was typed in.

The bad news is that we made a mistake when adding affiliate codes and logic using them to suggest alternative completions shown in the drop-down under the address bar. The error was adding the affiliate code to the default completion for a small set of URLs, instead of only to the suggested alternative completions that users must pick manually.

We apologize to our users for this error.

Brave

Das Update auf die neue Version 1.9.80 des Browsers ohne automatische Vervollständigung ist ab sofort verfügbar. Der Quellcode von Brave kann nach wie vor auf der Entwickler-Plattform GitHub eingesehen werden.