Immer wieder liest man, Vivaldi ist ein europäischer Browser, datenschutzfreundlich und ohne Tracking. Leider sehe ich aber ein massives Problem, gerade, was das potentielle Tracking betrifft.
Zuletzt habe ich bei Markus das gelesen:
Trotzdem gibt es europäische Alternativen, wie den neuerdings sehr populär gewordenen und datenschutzfreundlichen „Vivaldi„-Browser aus Norwegen. Er basiert, wie Chrome, auf der offenen Chromium-Engine, aber eben ohne das Tracking.
Nun. Es ist nicht meine Intention auf Markus los zu gehen. Ich nahm seinen Beitrag lediglich als Anlass, endlich darüber zu bloggen, denn selbige Aussagen habe ich gerade in den letzten Wochen quer durchs Web gelesen.
Mike Kuketz vom Kuketz-Blog hat sich das Datesendeverhalten von Vivaldi im Zuge einer größer angelegten Browser-Reihe genauer angesehen und fand das hier:
Mehrere Funktionen in Vivaldi hängen von Google-Komponenten ab. Das ist wenig verwunderlich, denn Vivaldi basiert auf Chromium. Über die Adresse »clients2.google.com« stößt der Browser seinen Update-Prozess an und sucht nach Aktualisierungen für die mitgelieferten bzw. zusätzlich installierten Add-ons.
Dieser Request (Detail-Request bitte am Kuketz-Blog nachsehen) wird bei jedem Start des Browsers ausgeführt.
Weiters:
Um den Nutzer vor schädlichen Domains bzw. Schadsoftware(-Downloads) zu schützen, lädt Vivaldi in regelmäßigen Abständen eine Blockliste bei Google. Die Schutzfunktion basiert auf Google Safe Browsing und ist unter anderem auch in Firefox anzutreffen. Eine Überprüfung auf schädliche Domains erfolgt zunächst lokal auf dem Gerät des Anwenders. Bei einem Treffer sendet der Browser einen Hash der aufgerufenen Seite (URL) an Google, um zu prüfen, ob die Seite seit der letzten Aktualisierung von der Liste entfernt worden ist oder blockiert werden sollte. Diese Anfrage enthält nicht die vollständige Adresse der besuchten Seite, sondern nur Teildaten, die aus der Adresse generiert wurden.
Und dann:
Während dem Test kontaktierte Vivaldi ca. alle 2 Minuten die Adresse »safebrowsing.googleapis.com«, um die Blockliste herunterzuladen. Das ist dann doch etwas zu viel des Guten.
Und mein Highlight:
Jedes Mal wenn der Browser ein Eingabefeld auf einer Webseite findet, öffnet er offenbar eine Verbindung zur Adresse »content-autofill.googleapis.com«.
Ich fasse zusammen:
- Google weiß, wann ihr den Browser startet
- Google weiß, wie lange ihr ihn geöffnet habt
- Google weiß, welche Seite ihr angesurft habt
- usw.
Das ist nicht die Definition eines Browsers ohne Tracking.
So, nun könnte jemand meinen, das die Analyse von Mike Kuketz bereits im Jahr 2021 durchgeführt wurde. Das ist richtig und deswegen habe ich mir das selbst angesehen. Und hier sind meine Ergebnisse:
Der Download scheint mittlerweile über Vivaldi selbst passieren (Adresse: update.vivaldi.com). Es gab keinen Aufruf mehr der Adresse clients2.google.com, oder einer ähnlichen Adresse. Das ist gut.
Allerdings gibt es alle 45 Sekunden Aufrufe über unterschiedliche Protokolle hinweg zu:
- safebrowsing.googleapis.com
- mobile-gtalk.l.google.com
- android.l.google.com
D.h. die grundlegende Aussage ändert sich nicht. Ein Tracking ist damit möglich und wird wohl fix auch gemacht. Nur auf einer anderen Ebene.
Als ich dann auch noch gesehen habe, dass Vivaldi einen US-Anbieter für ihr CDN verwenden, habe ich nicht mehr Zeit investiert, da noch tiefer einzusteigen und weitere Analysen durchzuführen.
Es mag schon sein, dass sie bei Vivaldi Trackern und Co. den Kampf ansagen und eine gute Grundintention haben, aber dann müssen sie das Problem bei der Wurzel angreifen. Ist der Keller feucht und schimmelt, dann setzt sich das noch oben fort. Wer sich
Wir kämpfen für ein Ende des Würgegriffs der Tech-Giganten über das Internet. (Vivaldi)
auf die Fahnen heftet, sollte sich fragen, ob Chromium mit den Anbindungen zu Google eine gute Idee ist. Und ob es eine gute Idee ist, für die Infrastruktur ein US-Unternehmen zu verwenden.
Ich finde: Nein.
Schade. Eine gute Chance vertan.
Wie so oft: Tolle Texte auf der Website, die nichts bringen.
Somit empfehle ich weiterhin LibreWolf.
Update 05.02.2026:
Ich möchte auf noch eine Sache verweisen. Vorneweg: Ich finde es gut, dass Vivaldi dies transparent kommuniziert:
Um zu wissen, wie viele Nutzer wir haben, generiert Vivaldi bei der Installation eine ID. Diese ID hilft uns sicherzustellen, dass wir Sie nicht mehr als einmal zählen, auch wenn Sie den Browser neu installieren oder mehrere Profile auf demselben Gerät verwenden. Die ID wird ausschließlich zur Zählung der Nutzer verwendet und nicht mit anderen Daten kombiniert. Sie verfolgt nicht, was Sie tun, wohin Sie gehen oder wie Sie den Browser verwenden.
Quelle: https://vivaldi.com/de/we-respect-your-privacy/
Allerdings finde ich die Tatsache problematisch, dass es einen eindeutigen Identifier jeder Installation gibt. Nun kann man Vivaldi vertrauen, dass dieser Identifier nicht für ein Tracking verwendet wird, Tatsache ist, dass über diesen Identifier ein Tracking möglich ist. Die Frage ist, wann und wie oft wird dieser Identifier übertragen und wer kann diesen abgreifen (nur Vivaldi selbst, der Hoster, der CDN-Anbieter, wo werden die Daten gespeichert, wer hat darauf Zugriff usw.) und zuordnen kann.
Ich kann die Intention von Vivaldi nachvollziehen, allerdings bietet nur die Existenz einer eindeutig zuordenbaren ID ein großes Potential für Missbrauch. Aktuell ist mir nicht bekannt, dass es hierzu ein Audit einer unabhängigen Stelle gibt, die dies bestätigen kann. Bitte gerne um diesbezügliche Informationen.
Schreibe einen Kommentar