Browsererweiterungen für mehr Privatsphäre sammeln heimlich Chats mit ChatGPT und Co.

Technisch ist das Vorgehen raffiniert: Die Erweiterung injiziert Skripte in die besuchten Webseiten, umgeht grundlegende Browserfunktionen und extrahiert so sämtliche Prompts, Antworten, Zeitstempel und Session-Daten. Aktuell sind ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok und Meta AI betroffen. Diese Informationen werden dann an Server von Urban VPN und dessen Partnerunternehmen BiScience übermittelt. Damit erhält das Marktforschungsinstitut Einblicke in den Nutzer und potenziell auch Trainingsdaten für eine eigene KI.

Das Problem betrifft nicht nur Urban VPN Proxy. KOI identifizierte insgesamt acht Erweiterungen, die denselben Code zum Datensammeln enthalten, darunter auch Ad-Blocker und Browser-Schutztools, die ebenfalls an der heimlichen Datenerhebung beteiligt sind. Zusammengenommen sollen 8 Millionen Nutzer der Anwendungen vorhanden sein. Namentlich sind es Urban VPN Proxy, 1Click VPN Proxy, Urban Browser Guard und Urban Ad Blocker, bei denen die Datenschutzlücke jeweils in den Erweiterungen für Chrome und Edge gefunden wurde. Alle vier sind auch für Firefox verfügbar, hier steht eine Analyse noch aus. Ironischerweise bewirbt Urban sogar eine „KI-Schutz“-Funktion, die vor dem Teilen sensibler Daten mit Chat Bots warnen soll, während diese Daten selbst gesammelt und verkauft werden.

Im Chrome Web Store sind die vier Browsererweiterungen noch zu finden, drei davon haben (zum Recherchezeitpunkt) noch immer den Status „von Google empfohlen“. Zudem sind die Anwendungen und Erweiterungen von Urban und 1Click teils auch für Edge, FireFox, Android, iOS und Windows erhältlich. 

Die Diskrepanz zwischen den Versprechungen der Erweiterungen, den tatsächlichen Datenschutzrichtlinien und den Angaben im Chrome Web Store und anderen Stores ist erheblich. Nutzer wurden hier nicht eindringlich über die Datenerhebung informiert. Google's „Empfohlen“-Badge, das eigentlich für Qualität und Sicherheit stehen soll, scheint in diesem Fall irreführend zu sein. Fragt man etwa Google Gemini nach der Privacy Policy von Urban erhält man eine sehr genaue Aufzählung, welche Daten die Browsererweiterungen sammeln und weiterverkaufen. Gemini schlussfolgert: „Die Erklärungen im Chrome Web Store sind in diesem Fall leider irreführend. Die tatsächliche Privacy Policy und das Geschäftsmodell des Anbieters (Daten gegen kostenlosen Dienst) stehen im direkten Gegensatz zum Versprechen der Datensparsamkeit. Wenn du Wert auf echte Privatsphäre legst, ist diese Diskrepanz ein rotes Tuch.“

Die Erkenntnisse von KOI unterstreichen die Notwendigkeit, Browser-Erweiterungen mit Vorsicht zu behandeln und sich bewusst zu machen, dass kostenlose Angebote oft einen Preis haben – in diesem Fall den Verlust der eigenen Privatsphäre. Wer ChatGPT, Claude oder andere KI-Dienste seit Juli 2025 im Zusammenhang mit einer dieser Erweiterungen genutzt hat, sollte davon ausgehen, dass seine Gespräche nun auf fremden Servern liegen und weiterverbreitet werden. Zugutehalten kann man Urban und 1Click, dass die Datensammlung eigentlich keinesfalls heimlich stattfindet. Ein Blick in die (leider nur auf Englisch einsehbaren) Datenschutzbedingungen des Entwicklers verrät deutlich, welche Daten zu welchen Zwecken gesammelt werden, und an wen die Daten gehen. Auch B.I Science wird benannt und deren Datenschutzerklärung wird ebenfalls verlinkt. Insgesamt ist es ein höchst fragwürdiges Vorgehen, wenn ein Marktanalyst, der auf das Tracking von Nutzerdaten angewiesen ist, vermeintliche Tools für die Datensicherheit und gegen das Tracking über Tochterfirmen anbietet. Man könnte hier schlussfolgern, dass BIScience versucht, die Analysemethoden anderer Anbieter auszusperren und gleichzeitig selbst mehr Nutzerdaten einkassiert. Mit Urban VPN und Co. wird der Bock zum Gärtner gemacht.