BrowserGate: LinkedIn scannt heimlich über 6.000 Browser-Erweiterungen

Die Microsoft-Tochter LinkedIn durchsucht bei jedem Seitenaufruf den Browser ihrer Nutzer nach installierten Chrome-Erweiterungen – ohne Einwilligung, ohne Hinweis in der Datenschutzerklärung und ohne dass die Betroffenen davon etwas mitbekommen. Das geht aus einer umfangreichen Untersuchung der deutschen Organisation Fairlinked – Allianz für digitale Fairness e.V. hervor, die unter dem Namen „BrowserGate“ veröffentlicht wurde.

Laut der Untersuchung enthält LinkedIns Quellcode eine fest hinterlegte Liste von über 6.200 Chrome-Extension-IDs, die bei jedem Besuch der Plattform systematisch abgefragt werden. Die Ergebnisse werden verschlüsselt an LinkedIns Server übermittelt – und offenbar auch an Dritte weitergeleitet, darunter das US-israelische Cybersicherheitsunternehmen HUMAN Security.

Von 461 auf über 6.000 Erweiterungen in zwei Jahren

Die Scan-Liste ist in kurzer Zeit massiv gewachsen. Im Jahr 2024 umfasste sie rund 461 Erweiterungen. Bis Februar 2026 stieg die Zahl auf über 6.000 – ein Zuwachs von durchschnittlich zwölf neuen Einträgen pro Tag allein zwischen Dezember 2025 und Februar 2026. Jede einzelne Extension-ID ist mit einem spezifischen internen Dateipfad gepaart, den LinkedIns Entwickler manuell für die Erkennung zugeordnet haben.

Das in die LinkedIn-Seite eingebettete JavaScript nutzt eine dreistufige Fallback-Kette, um installierte Erweiterungen zu identifizieren. In der ersten Stufe versucht der Code, die Erweiterung über Chromes externally_connectable-Messaging-API direkt anzusprechen. Schlägt das fehl, greift Stufe zwei: Das Skript versucht, eine bekannte Datei der Erweiterung über deren Web Accessible Resources zu laden – über den Pfad chrome-extension://<extension-id>/<dateipfad>. Existiert die Datei, gilt die Erweiterung als installiert. Eine dritte Fallback-Methode sichert die Erkennung zusätzlich ab.

Die Ergebnisse werden gebündelt – bis zu 29 Ereignisse pro Anfrage –, mit einem RSA-Schlüssel verschlüsselt und über eine interne Tracking-Funktion namens fireTrackingPayload mit dem Ereignistyp AedEvent an LinkedIns Server gesendet. Bei Fehlern wird bis zu viermal erneut versucht. Da der Nutzer eingeloggt ist, kann LinkedIn die Scan-Ergebnisse einer konkreten Person zuordnen – mit Namen, Arbeitgeber, Jobtitel und Standort.

Erweiterungen verraten Religion, Politik und Jobsuche

Die eigentliche Brisanz liegt darin, was sich aus den erkannten Erweiterungen ableiten lässt. Laut BrowserGate scannt LinkedIn unter anderem nach Erweiterungen, die praktizierende Muslime identifizieren, nach Tools, die Rückschlüsse auf die politische Orientierung zulassen, und nach Erweiterungen für neurodivergente Nutzer oder Menschen mit Behinderungen.

Über 500 Jobsuche-Tools befinden sich auf der Liste. Auf einer Plattform, auf der Arbeitgeber die Profile ihrer Mitarbeiter einsehen können, bedeutet das: LinkedIn weiß, wer heimlich nach einem neuen Job sucht – und kann diese Information dem Nutzerprofil zuordnen.

Darüber hinaus scannt LinkedIn nach über 200 Produkten, die direkt mit den eigenen Vertriebs-Tools konkurrieren, darunter Apollo, Lusha und ZoomInfo. Nutzer der Adobe-Acrobat-Erweiterung werden mit Namen, Arbeitgeber und Jobtitel erfasst – was LinkedIn faktisch eine nach Unternehmen, Branche und Position segmentierte Kundenliste der Konkurrenz liefert.

DSGVO-Artikel 9 und der Digital Markets Act

Die Verarbeitung von Daten, die religiöse Überzeugungen, politische Meinungen oder Gesundheitsinformationen offenlegen, fällt unter Artikel 9 der DSGVO – die Verarbeitung besonderer Kategorien personenbezogener Daten. Diese ist grundsätzlich verboten, sofern keine ausdrückliche Einwilligung vorliegt. LinkedIn holt eine solche Einwilligung nicht ein. Der Vorgang wird nicht einmal in der Datenschutzerklärung der Plattform erwähnt.

LinkedIn wurde bereits 2024 von der irischen Datenschutzbehörde zu einer Strafe von 310 Millionen Euro wegen unzulässigem Ad-Tracking verurteilt.

Hinzu kommt ein wettbewerbsrechtliches Problem: Im September 2023 stufte die EU-Kommission LinkedIn als Gatekeeper unter dem Digital Markets Act (DMA) ein. Der DMA verpflichtet Gatekeeper, Drittanbieter-Tools Zugang zur Plattform zu gewähren und Interoperabilität zu fördern. LinkedIns Reaktion war laut BrowserGate das genaue Gegenteil: eine massive Ausweitung der Überwachung genau jener Tools, die das Gesetz schützen soll. Während Entwicklern nur ein stark eingeschränkter API-Zugang gewährt werde, nutze LinkedIn intern seine Systeme mit deutlich höherer Geschwindigkeit für die Ausspähung.

Einstweilige Verfügung am Landgericht München

Im Januar 2026 hat das estnische Unternehmen Teamfluence Signal Systems OÜ, Betreiber der Social-Selling-Plattform Teamfluence, eine einstweilige Verfügung gegen LinkedIn Ireland Unlimited Company und LinkedIn Germany GmbH beim Landgericht München I beantragt (Aktenzeichen 37 O 104/26). Die Klage stützt sich auf mutmaßliche Verstöße gegen den Digital Markets Act, EU-Wettbewerbsrecht und deutsches Datenschutzrecht.

Vertreten wird Teamfluence von der Kanzlei Glade Michel Wirtz (GMW) – derselben Kanzlei, die bereits die erste erfolgreiche private DMA-Durchsetzungsklage gewann, als das Landgericht Mainz Google untersagte, seinen eigenen Gmail-Dienst bei der Android-Kontoeinrichtung zu bevorzugen.

LinkedIn und Microsoft haben sich zu den Vorwürfen bislang nicht öffentlich geäußert.

Fünf Maßnahmen, die Betroffene jetzt ergreifen können

Die BrowserGate-Kampagne empfiehlt fünf konkrete Schritte:

Beschwerde bei der Datenschutzbehörde: Auf browsergate.eu stehen vorgefertigte, länderspezifische Beschwerdeformulare für jede EU/EWR-Datenschutzbehörde bereit.
DSGVO-Auskunftsrecht nutzen: Über Artikel 15 DSGVO können Betroffene von LinkedIn bzw. Microsoft eine vollständige Auskunft über die gesammelten Browser-Daten verlangen.
Meldung an die nationale IT-Sicherheitsbehörde (CERT): Die unautorisierte Code-Ausführung kann als Sicherheitsvorfall gemeldet werden.
Beweise sichern: Die BrowserGate-Chrome-Erweiterung „Extension Scanner“ dokumentiert LinkedIns Scan-Verhalten und erfasst Beweise mit fälschungssicherem Zeitstempel.
Sammelklage unterstützen: Auf browsergate.eu können sich Betroffene für Sammelklagen registrieren, die in mehreren Ländern vorbereitet werden – ohne Verpflichtung bis zur tatsächlichen Klageerhebung.

Europäische Spyware-Debatte als Hintergrund

Der Fall reiht sich in eine wachsende europäische Debatte über digitale Überwachung ein. Erst im März 2026 verurteilte ein griechisches Gericht Tal Dilian, den Gründer des Intellexa-Konsortiums, und drei Mitangeklagte wegen des illegalen Einsatzes der Predator-Spyware gegen Politiker, Wirtschaftsführer und Journalisten. Im Januar 2026 stellte Spaniens Oberster Gerichtshof seine Ermittlungen zum Einsatz von NSO Groups Pegasus gegen den spanischen Ministerpräsidenten Pedro Sánchez ein – unter Verweis auf fehlende Kooperation israelischer Behörden.

Während diese Fälle staatliche Akteure und spezialisierte Spyware-Hersteller betreffen, zeigt BrowserGate eine andere Dimension: Hier ist es ein Mainstream-Unternehmen mit über einer Milliarde Nutzern, das laut den Vorwürfen die Browser seiner Nutzer systematisch durchsucht – nicht im Auftrag einer Regierung, sondern offenbar zum eigenen wirtschaftlichen Vorteil.

Ausblick

Mit der Klage am Landgericht München, vorgefertigten Beschwerdeformularen für sämtliche EU-Datenschutzbehörden und einer Chrome-Erweiterung zur Beweissicherung hat BrowserGate den Vorgang von einer technischen Analyse in eine koordinierte juristische Kampagne überführt. Ob die Vorwürfe vor Gericht Bestand haben, wird sich zeigen. Die Tatsache, dass LinkedIn als DMA-Gatekeeper eingestuft ist und die Überwachung laut der Untersuchung ausgerechnet nach dieser Einstufung massiv ausgebaut wurde, dürfte den Fall für die europäischen Regulierungsbehörden besonders relevant machen.

Betroffene Nutzer können unter browsergate.eu/take-action Beschwerden einreichen und Beweise sichern.

Andere Artikel:

BrowserGate: LinkedIn scannt heimlich über 6.000 Browser-Erweiterungen; Erste Klage am Landgericht München