DuckDuckGo, das selbsternannte „Internet-Datenschutzunternehmen“ – das seit Jahren eine Marke um den Anspruch der nicht nachverfolgbaren Websuche herum aufgebaut hat und vor kurzem seinen eigenen „privaten“ Browser mit eingebauter Tracker-Blockierung auf den Markt gebracht hat befand sich in heißem Wasser, nachdem ein Forscher versteckte Grenzen seines Tracking-Schutzes gefunden hatte, die eine Ausnahme für bestimmte Werbedatenanfragen seines Such-Syndizierungspartners Microsoft schaffen.
Gestern spät hat der fragliche Forscher, Zach Edwards, getwittert die Ergebnisse seiner Prüfung – er habe festgestellt, dass die mobilen Browser von DDG keine Werbeanfragen blockieren, die von Microsoft-Skripten auf Nicht-Microsoft-Webseiten gestellt werden. (Hinweis: Dies ist eine andere Angelegenheit als das, was passiert, wenn Sie tatsächlich auf eine Anzeige klicken, wenn Sie DDG verwenden – da es sich um eine Anzeige handelt Datenschutz-Bestimmungen legt klar offen, dass alle Datenschutzwetten zu diesem Zeitpunkt deaktiviert sind.)
Edwards testete Browser-Datenflüsse auf einer Facebook-eigenen Website, Workplace.com, und stellte fest, dass DDG zwar Benutzer darüber informierte, Google- und Facebook-Tracker blockiert zu haben, Microsoft jedoch nicht daran gehindert wurde, Datenflüsse im Zusammenhang mit ihrem Surfen auf der Nicht-Microsoft-Website zu erhalten …
Edwards hatte ein paar Twitter-Kontakte mit dem Gründer und CEO von DDG, Gabe Weinberg, der anfangs so aussah versucht herunterzuspielen die Feststellung, indem er all das Zeug betonte, sagte er DDGs Browser tut blockieren (z. B. Tracking-Cookies von Drittanbietern, einschließlich derer von Microsoft).
Weinberg war auch besonders daran interessiert, klarzustellen, dass das Problem des Datenflusses nichts mit der DuckDuckGo-Suche zu tun hat.
Die Einschränkung der Tracker-Blockierung des DDG-Browsers kommt jedoch einer Ausnahme vom Schutz vor bestimmten Werbedatenübertragungen an Microsoft-Tochtergesellschaften (Bing, LinkedIn) gleich, die für das Cross-Site-Tracking von Webbenutzern zum Zwecke der Anzeigenausrichtung verwendet werden könnten. Oder mit anderen Worten, um die Privatsphäre der Benutzer von DDG-Browsern zu untergraben.
Auf Twitter bestätigte Weinberg hin und her, dass die Prüfung von Edwards korrekt war – „er gab zu, dass eine Kontaktvereinbarung die Fähigkeit von DDG, Tracker in diesem Szenario zu blockieren, eingeschränkt habe, indem er die „Such-Syndizierungsvereinbarung“ von DDG mit Microsoft, dem Eigentümer und Betreiber von, schrieb Bing-Suchmaschine und -Index „verhindert, dass wir Microsoft-eigene Skripte am Laden hindern“.
Er fügte hinzu, dass DDG „daran arbeite, das zu ändern“.
Über Twitter gefragt, ob der Vertrag von DDG eine Klausel enthielt, die es daran hindert, sich öffentlich über die Einschränkungen zu beschweren, die ihm von Microsoft, einem Technologieriesen, auferlegt wurden ein wachsendes Adtech-GeschäftWeinberg sagte uns: „Unser Syndizierungsvertrag hat weitreichende Vertraulichkeitsanforderungen, und die spezifischen Anforderungsdokumente selbst sind zusätzlich ausdrücklich als vertraulich gekennzeichnet.“
Als Edwards seine Ergebnisse und die Antwort von DDG mit Tech besprach, beschrieb er sich selbst als „ziemlich schockiert“ über Weinbergs öffentliche Reaktion auf seine Prüfung – und darüber, dass er „keine öffentlichen Lösungen für die Probleme hatte, die durch die geheime Partnerschaft zwischen DuckDuckgo und Microsoft entstanden sind“. .
„Ich habe erhebliche Bedenken … über die öffentlichen Behauptungen von DDG, insbesondere diejenigen, die sie auf ihren Websites zur Installation von iOS/Android-Apps machen und die Schutz vor Nachverfolgung versprechen“, fügte Edwards hinzu. „Wenn Sie die Sprache in den App-Details mit den Informationen vergleichen, die der CEO von DuckDuckGo gestern geteilt hat, können Sie nicht umhin, sich zu fragen, warum sie so offen an einem Ort des Internets liegen und nicht in einem anderen Bereich des Internets , und anscheinend versuchten, ihren Top-Werbepartner Microsoft unter eine Art Bus zu werfen – im Wesentlichen machte der CEO von DDG zahlreiche Kommentare darüber, wie er versuchte und hoffte, aus ihrem aktuellen Vertrag mit Microsoft herauszukommen – dies war ein schockierendes Eingeständnis, das öffentlich zu sehen war, und so etwas Ich hoffe, die Aufsichtsbehörden werden sich das ernsthaft ansehen.“
Das Problem ist explodiert Hacker-News im Laufe des Tages – wo Weinberg (alias yegg) in den Kommentaren mehr Brandbekämpfung betrieben hat, wiederholte, dass DDGs Hände durch seinen Vertrag mit Microsoft gebunden seien, und behauptete weiter, es habe weiterhin auf Änderungen an „dieser begrenzten Einschränkung“ gedrängt.
„Hier geht es nur um Nicht-DuckDuckGo- und Nicht-Microsoft-Websites in unseren Browsern, bei denen unsere Suchsyndikationsvereinbarung derzeit verhindert, dass Microsoft-eigene Skripts nicht geladen werden, obwohl wir nach dem Laden weiterhin die Schutzmaßnahmen unseres Browsers anwenden können (z. B. Cookie von Drittanbietern blockieren und andere oben erwähnte und tun). Wir haben auch hinter den Kulissen unermüdlich daran gearbeitet, diese begrenzte Einschränkung zu ändern“, schrieb Weinberg auf der Website.
„Ich verstehe auch, dass dies verwirrend ist, weil es sich um einen Vertrag zur Syndizierung der Suche handelt, der uns daran hindert, etwas Nicht-Suche zu tun. Das liegt daran, dass unser Produkt ein Bündel mehrerer Datenschutzmaßnahmen ist, und dies ist eine Verteilungsanforderung, die uns im Rahmen der Vereinbarung zur Syndizierung von Suchmaschinen auferlegt wird. Unsere Syndizierungsvereinbarung enthält auch umfassende Vertraulichkeitsbestimmungen, und die Anforderungsdokumente selbst sind ausdrücklich als vertraulich gekennzeichnet“, fügte er hinzu.
Während der Browser von DDG eindeutig nicht alle Skripte blockiert – und kein Tracker-Blocker zu 100 % wirksam sein wird, da sich Tracking-Techniken ständig weiterentwickeln – sieht diese Ausnahme für Microsoft-Skripts anders aus, da es sich um eine spezifische Ausnahme handelt, die an eine vertragliche Vereinbarung gebunden ist verbunden mit einem kommerziellen Deal, der es DDG ermöglicht, den Suchindex von Microsoft in seinem Kernprodukt zu verwenden – nichts davon war (scheinbar) öffentlich bekannt vor der Prüfung durch Edwards.
In weiteren öffentlichen Äußerungen zu diesem Thema implizierte Weinberg, dass DDG versucht, das Ziel, Browserbenutzern eine sehr einfache Tracker-Blocker-Erfahrung zu bieten (dh die Zugänglichkeit zu maximieren), mit einem verstärkten Schutz in Einklang zu bringen, der die Privatsphäre der Benutzer weiter verbessern könnte, jedoch mit potenziellen Kosten der Erfahrung (z. B. defekte Webseiten).
Das Fehlen einer Offenlegung von DDG gegenüber Browserbenutzern der Microsoft-bezogenen Einschränkung seines Schutzes ist jedoch besonders besorgniserregend – insbesondere angesichts des starken Kontrasts zu seinem auf den Datenschutz ausgerichteten Marketing, das den Benutzern mitteilt, dass sie „dem Website-Tracking entgehen“ (was eindeutig tritt in den von Edwards identifizierten spezifischen Microsoft-bezogenen Fällen nicht auf). DDG riskiert also, Benutzer in die Irre zu führen und seinen eigenen Ruf als datenschutzfreundliches Unternehmen zu untergraben.
In einer neueren Antwort, die als Antwort auf Kommentare von Hacker News veröffentlicht wurde, Weinberg scheint die Notwendigkeit einer umfassenderen Offenlegung durch DDG akzeptiert zu haben, indem er schreibt: „Wir werden heute fleißig daran arbeiten, einen Weg zu finden, etwas in unseren App-Store-Beschreibungen im Sinne einer besseren Offenlegung zu sagen – bis zum Ende des Tages wird es wahrscheinlich etwas geben.“
„Ich verstehe die Bedenken hier, dass wir auf verschiedene Weise daran arbeiten, aber um es klarzustellen, keine App wird aus verschiedenen Gründen 100% Schutz bieten, und die hier fraglichen Skripte haben derzeit einen erheblichen Schutz in unserem Browser ,“ er fügte hinzu.
Wir haben uns mit Fragen an Weinberg gewandt. Er schickte uns diese Erklärung:
„Wir haben immer sehr darauf geachtet, beim Surfen niemals Anonymität zu versprechen, denn das ist offen gesagt nicht möglich, wenn man bedenkt, wie schnell Tracker ihre Arbeitsweise ändern, um Schutzmaßnahmen zu umgehen, und die Tools, die wir derzeit anbieten. Wenn die meisten anderen Browser auf dem Markt über Tracking-Schutz sprechen, beziehen sie sich normalerweise auf den Cookie-Schutz und den Fingerabdruckschutz von Drittanbietern, und unsere Browser für iOS, Android und unsere neue Mac-Beta legen diese Einschränkungen für Tracking-Skripte von Drittanbietern fest, einschließlich die von Microsoft. Wir sprechen hier von einem weitreichenden Schutz, den die meisten Browser nicht einmal versuchen – das heißt, Tracking-Skripte von Drittanbietern zu blockieren, bevor sie überhaupt auf Websites von Drittanbietern geladen werden. Da dies dazu führen kann, dass Websites kaputt gehen, können wir dies ohnehin nicht so tun, wie wir es möchten. Unser Ziel war es jedoch immer, die größtmögliche Privatsphäre in einem Download bereitzustellen, standardmäßig ohne komplizierte Einstellungen, also haben wir uns das vorgenommen.“
Wir haben Microsoft auch Fragen zu den Beschränkungen gestellt, die es Partnern für Suchsyndizierung auferlegt, aber zum Zeitpunkt des Verfassens dieses Artikels hatte der Technologieriese noch nicht geantwortet.
Kompromisse beim Datenschutz sind nie großartig, aber eine Schlussfolgerung scheint hier unausweichlich: Kartellbehörden müssen den Markt für Suchsyndizierung genau untersuchen – da er im Wesentlichen aus zwei Gatekeeping-Adtech-Giganten besteht, Google und Microsoft, die uneingeschränkt befugt sind, (missbräuchliche) Bedingungen durchzusetzen jeder andere, der ein konkurrenzfähiges Suchprodukt oder in bestimmten Fällen sogar einen alternativen Webbrowser anbieten möchte.
Die europäischen Regulierungsbehörden haben sich kürzlich auf ein neues Ex-ante-Wettbewerbsregime geeinigt, das auf die mächtigsten Vermittlungsplattformen abzielt – die im Digital Markets Act als Internet-„Gatekeeper“ bezeichnet werden. Das DMA ist eindeutig auf Suchmaschinen anwendbar, aber es bleibt abzuwarten, ob die Kommission die Gelegenheit erkennen wird, die kommende Verordnung zu nutzen, um den Suchmarkt zu knacken, indem sie faire Nutzungsbedingungen rund um die Suche syndiziert auf den einzigen beiden Indizes durchsetzt, die zählen.