Datenschutz

LinkedIn scannt bei jedem Besuch über 6.000 Browser-Extensions

Michael Mrak

Michael Mrak

5 Min. Lesezeit
LinkedIn scannt bei jedem Besuch über 6.000 Browser-Extensions
Photo by Kevin Ku / Unsplash
Microsofts Karrierenetzwerk betreibt verdeckte Überwachung im Browser – ohne Einwilligung, ohne Offenlegung, ohne Opt-out.

Wer LinkedIn in einem Chromium-basierten Browser öffnet (also Chrome, Edge, Brave oder Opera), löst damit ein verstecktes JavaScript-Programm aus. Es durchsucht den Browser nach über 6.000 installierten Extensions, erstellt einen detaillierten Hardware-Fingerabdruck des Geräts, verschlüsselt die Ergebnisse und überträgt sie an die Server von LinkedIn. All das geschieht bei jedem Seitenaufruf, vollständig im Hintergrund, ohne sichtbaren Hinweis und ohne Einwilligung der Nutzerin oder des Nutzers.

Diese Praxis wurde Anfang April 2026 durch die Untersuchung „BrowserGate" der europäischen Interessenvertretung Fairlinked e.V. öffentlich dokumentiert. Das IT-Sicherheitsmedium BleepingComputer hat die Existenz und Funktionsweise des Fingerprinting-Skripts unabhängig bestätigt.

Wie das Scanning technisch funktioniert

LinkedIn lädt bei jedem Seitenaufruf ein 2,7 Megabyte großes JavaScript-Bundle, das intern als „Spectroscopy" bezeichnet wird. Das Skript nutzt eine bekannte Schwachstelle in Chromium-basierten Browsern: Extensions können über das Feld web_accessible_resources in ihrer manifest.json Dateien nach außen freigeben. LinkedIn versucht per fetch()-Aufruf, für jede der über 6.000 Extension-IDs eine solche Datei zu laden. Gelingt der Zugriff, ist die Extension installiert. Schlägt er fehl, blockt Chrome die Anfrage.

Zusätzlich zum Extension-Scan sammelt das Skript eine Reihe von Geräte- und Browser-Merkmalen: CPU-Kernanzahl, verfügbarer Arbeitsspeicher, Bildschirmauflösung, Zeitzone, Spracheinstellungen, Batteriestatus, Audio-Informationen und Speicherkapazitäten. Diese Datenpunkte eignen sich einzeln zur groben Kategorisierung, in Kombination aber zur eindeutigen Identifikation eines Geräts, dem sogenannten Browser-Fingerprinting.

Von 38 auf über 6.000: Die rasante Ausweitung

Die Scan-Liste ist nicht statisch. Laut der BrowserGate-Untersuchung begann LinkedIn 2017 mit der Erkennung von 38 Extensions. Bis 2024 wuchs die Liste auf 461 Einträge. Ein GitHub-Repository dokumentierte Anfang 2025 rund 2.000, wenige Monate später bereits 3.000 Extensions. Im Februar 2026 waren es 6.167, im April 2026 stehen aktuell 6.236 Extensions auf der Liste.

Warum ist das problematisch?

Die Scan-Liste geht weit über Tools hinaus, die zum Scraping von LinkedIn-Daten genutzt werden könnten. Fairlinked identifiziert folgende Kategorien:

Konkurrenzprodukte: Über 200 Sales-Intelligence-Tools, die direkt mit LinkedIns eigenem Produkt Sales Navigator konkurrieren: darunter Apollo, Lusha, ZoomInfo, HubSpot, Salesforce und Pipedrive. Da LinkedIn den Arbeitgeber jedes registrierten Nutzers kennt, kann die Plattform systematisch erfassen, welche Unternehmen welche Konkurrenzprodukte einsetzen.

Jobsuche-Tools: 509 Extensions für die Jobsuche, also Tools von Indeed, Glassdoor, Monster und ähnlichen Diensten. LinkedIn kann damit erkennen, wer aktiv auf Jobsuche ist. Und das auf einer Plattform, auf der auch der aktuelle Arbeitgeber mitlesen kann.

Religiöse Extensions: Etwa die PordaAI-Extension, die auf islamische Gebetszeiten hinweist. Wer diese Extension installiert hat, wird als vermutlich praktizierende Muslimin oder praktizierender Muslim erkennbar.
Politische Extensions: Darunter „Anti-Zionist Tag", „No more Musk" und andere politisch orientierte Tools. Die Nutzung solcher Extensions lässt direkte Rückschlüsse auf politische Überzeugungen zu.
Barrierefreiheit und Gesundheit: Extensions für neurodivergente Nutzer, ADHS-Management-Apps, Autismus-Unterstützungstools und Screenreader. Diese verraten potenziell Informationen über gesundheitliche Einschränkungen.

Sonstige: Grammatik- und Sprachtools, Software für Steuerberater, Apotheken-Betriebstools und Amazon-Downloader. Extensions, die keinerlei erkennbaren Bezug zu LinkedIns Plattformsicherheit haben.

LinkedIn gehört Microsoft

Microsoft hat LinkedIn 2016 für 26,2 Milliarden US-Dollar übernommen.

LinkedIn ist kein unabhängiges Start-up, sondern also eine hundertprozentige Tochtergesellschaft von Microsoft. Wenn LinkedIn Browser-Extensions scannt, dann tut das ein Microsoft-Unternehmen.

Das ist aus mehreren Gründen relevant:

  • Microsoft ist unter dem Digital Markets Act (DMA) der EU als Gatekeeper eingestuft. Die EU-Kommission hat im November 2025 bereits Cloud-Gatekeeper-Untersuchungen gegen Amazon Web Services und Microsoft Azure eingeleitet. Die BrowserGate-Vorwürfe treffen also auf ein Unternehmen, das ohnehin unter verschärfter regulatorischer Beobachtung steht.
  • Microsoft positioniert sich gleichzeitig aktiv als vertrauenswürdiger Partner für Unternehmen, Behörden und den öffentlichen Sektor in Europa. Wer Microsoft 365, Azure oder Dynamics einsetzt, vertraut dem Konzern bereits umfangreiche Daten an. Dass eine andere Microsoft-Tochter im Hintergrund die Browser der Nutzer durchsucht, untergräbt genau dieses Vertrauen.

Zudem stellt sich die Frage, ob die durch das Scanning gewonnenen Daten innerhalb des Microsoft-Konzerns weiterverwendet werden. Fairlinked behauptet, die Scan-Daten würden an Drittunternehmen weitergegeben, darunter die amerikanisch-israelische Cybersecurity-Firma HUMAN Security. BleepingComputer konnte diese Behauptung jedoch nicht unabhängig verifizieren. Ob die Daten auch für das Training von KI-Modellen innerhalb des Microsoft-Ökosystems genutzt werden, ist ebenfalls ungeklärt.

Die Rechtliche Dimension: DSGVO, DMA und Sammelklagen

Die rechtliche Bewertung des Scannings ist eindeutig problematisch:

Unter der DSGVO (GDPR) fallen Daten, die religiöse Überzeugungen, politische Meinungen, Gesundheitszustände oder Gewerkschaftszugehörigkeit offenbaren, unter Artikel 9 als „besondere Kategorien personenbezogener Daten". Deren Verarbeitung ist grundsätzlich verboten und erfordert eine ausdrückliche Einwilligung, die LinkedIn nicht einholt. In der Datenschutzerklärung von LinkedIn findet sich kein Hinweis auf das Extension-Scanning.

Das ist kein Neuland für LinkedIn: Im Oktober 2024 verhängte die irische Datenschutzkommission (DPC), die als Lead-Aufsichtsbehörde für LinkedIn in der EU zuständig ist, bereits eine Geldbuße von 310 Millionen Euro wegen unzulässiger Verarbeitung personenbezogener Daten für Werbezwecke.

Fairlinked hat Verfahren nach dem Digital Markets Act eingeleitet und argumentiert, dass das Scanning gegen die Transparenzanforderungen für Gatekeeper verstößt. Zusätzlich sieht Fairlinked mögliche strafrechtliche Relevanz nach § 202a StGB (Ausspähen von Daten), der einen Strafrahmen von bis zu drei Jahren Freiheitsstrafe vorsieht.

In den USA wurden im April 2026 zwei Sammelklagen (Class Actions) vor dem US District Court for the Northern District of California eingereicht – eingeklagt werden Verstöße gegen den Computer Fraud and Abuse Act, den Electronic Communications Privacy Act und kalifornische Datenschutzgesetze. LinkedIn sieht sich damit parallel auf beiden Seiten des Atlantiks mit rechtlichen Konsequenzen konfrontiert.

LinkedIns Verteidigungsstrategie

LinkedIn bestreitet nicht, dass das Extension-Scanning stattfindet. Die Plattform erklärt, die Erkennung diene dem Schutz der Privatsphäre der Mitglieder und der Stabilität der Plattform. Man identifiziere Extensions, die ohne Zustimmung der Nutzer Daten abgreifen oder die Nutzungsbedingungen verletzen. Die gesammelten Daten würden nicht verwendet, um sensible Informationen über Mitglieder abzuleiten.

LinkedIn weist außerdem darauf hin, dass der BrowserGate-Bericht von einer Person stamme, deren Konto wegen Scraping-Verstößen gesperrt wurde. Diese Person sei der Entwickler der Extension „Teamfluence", die gegen LinkedIns Nutzungsbedingungen verstoßen habe. Ein deutsches Gericht habe einen Antrag auf einstweilige Verfügung gegen LinkedIn abgelehnt.

Diese Argumente haben allerdings massive Schwächen: Die technischen Fakten des Scannings wurden unabhängig von BleepingComputer bestätigt – unabhängig davon, wer den Bericht zuerst veröffentlicht hat. Und eine Scan-Liste mit über 6.000 Extensions, die religiöse Tools, politische Meinungs-Extensions, Jobsuche-Werkzeuge und Gesundheits-Apps enthält, lässt sich schwer allein mit dem Schutz vor Scraping begründen.

Was kann man tun?

Wer sich vor dem Extension-Scanning schützen möchte, hat folgende Möglichkeiten:

Firefox oder Safari verwenden: Firefox und Safari blockieren diese Art der Extension-Erkennung architekturbedingt. Das Skript kann nicht die gleichen Informationen abfragen wie in Chromium-Browsern.

Separates Browser-Profil für LinkedIn: Wer bei Chrome oder Edge bleiben möchte, kann ein eigenes Browser-Profil ohne Extensions einrichten und LinkedIn ausschließlich darin nutzen.

Mobile App statt Webversion: Die LinkedIn-App auf dem Smartphone unterliegt nicht dem Browser-Extension-Scanning.

Tracking-Pixel in E-Mails blockieren: LinkedIn setzt auch in seinen Marketing-E-Mails Tracking-Pixel ein. Tools wie Gblock oder die Deaktivierung des automatischen Bildladens im E-Mail-Client helfen hier.

Die Möglichkeit eines Ein Opt-out innerhalb von LinkedIn selbst existiert nicht weil die Plattform die Praxis offiziell gar nicht offenlegt.

Fazit: Vertrauen ist keine Einbahnstraße

Der BrowserGate-Skandal ist mehr als ein technisches Datenschutzproblem. Er stellt eine grundsätzliche Frage an das Verhältnis zwischen großen Plattformen und ihren Nutzern:

Darf ein Unternehmen, das über eine Milliarde Nutzerprofile mit Klarnamen, Arbeitgebern und Karrieredaten verwaltet, heimlich deren Browser durchsuchen und das Ergebnis mit diesen Profilen verknüpfen?

Dass dieses Unternehmen Microsoft heißt und in Europa gleichzeitig Verträge mit Behörden, Krankenhäusern und kritischer Infrastruktur abschließt, macht die Angelegenheit nicht kleiner. Im Gegenteil.

Für Unternehmen, die Microsoft-Produkte einsetzen, ergibt sich eine unbequeme Compliance-Frage: Wenn eine Microsoft-Tochter nachweislich verdeckte Datenerhebung betreibt, die gegen die DSGVO verstoßen könnte, welche Auswirkungen hat das auf die eigene Risikobewertung des Auftragsverarbeiters Microsoft?

Die europäischen Datenschutzbehörden sind informiert. Ob sie schnell genug handeln, um mit dem Tempo der Datenerhebung Schritt zu halten, bleibt die offene Frage.

Weiterlesen

KI-Skeptiker vereint euch? Die ungewöhnliche Allianz zwischen Silicon Valley und Populisten

KI-Skeptiker vereint euch? Die ungewöhnliche Allianz zwischen Silicon Valley und Populisten

An einem Februartag in Berkeley, Kalifornien, saß Senator Bernie Sanders mit den prominentesten KI-Untergangspropheten der Welt an einem Tisch. Eliezer Yudkowsky, Mitgründer des Machine Intelligence Research Institute, erklärte ihm, warum die Menschheit durch KI aussterben könnte. Sanders, bisher vor allem für seinen Kampf gegen Milliardäre bekannt, nahm die Warnung ernst.

Von Michael Mrak