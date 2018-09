Der Kryptografie-Dozent Matthew D. Green ist ein Nerd im besten Sinn. Kein Hacker-Rockstar, aber ein angesehener Experte für angewandte Verschlüsselungs- und Anonymisierungsmethoden an der John Hopkins University in Baltimore. Und ein Blogger. In seinem Blog geht es meistens um komplizierte Angriffe auf Verschlüsselungstechnik. Am vergangenen Sonntag jedoch veröffentlichte Green einen Blogpost mit dem Titel "Warum ich fertig bin mit Chrome". Sein Text blieb nicht ohne Folgen, brachte Google sogar in eine gewisse Erklärungsnot.

Green beschrieb eine Neuerung in der Version 69 des von ihm bis dahin sehr geschätzten Chrome-Browsers, die zwei Wochen zuvor schon anderen aufgefallen und die zumindest in Foren wie "Hacker News" auch diskutiert worden war: Wer Chrome nutzt, um sich in einem anderen Google-Dienst wie etwa Gmail oder YouTube anzumelden, wird seit Chrome 69 ungefragt auch im Browser selbst angemeldet.

Das hat zur Folge, dass dann alles, was man im Browser tut, mit dem jeweiligen Google-Konto verknüpft und dazu über Googles Server geschickt werden kann. Das jedoch geschieht nicht automatisch, betont Google. Wer seinen Browserverlauf, gespeicherte Passwörter und Lesezeichen auf anderen Geräten haben will, muss das nach dem Login per Klick auf einen "Synchronisieren"-Button bestätigen.

In den Datenschutzhinweisen klang das bisher allerdings anders: "Wenn Sie sich mit Ihrem Google-Konto im Chrome-Browser oder auf einem Chromebook anmelden, werden Ihre persönlichen Browserdaten auf Google-Servern gespeichert und mit Ihrem Konto synchronisiert".

"Warum sollte ich euch vertrauen?"

Green jedenfalls nahm die Änderung zum Anlass, zu Firefox zu wechseln und Google hart zu kritisieren. Weil die Änderung für ihn kaum zu erkennen war, weil sie schlecht kommuniziert wurde, weil die Synchronisation, die er auf keinen Fall will, damit nur noch einen Klick entfernt ist und weil Google diesen Klick durch eine farbliche Unterlegung des entsprechenden Buttons auch noch wahrscheinlicher macht. Kurz: Green kam zu dem Schluss, Googles Entscheidung habe "enorme Auswirkungen auf die Privatsphäre und das Vertrauen der Nutzer".

"Zehn Jahre lang hat mich Chrome immer wieder gefragt: 'Willst du dich mit deinem Google-Konto anmelden?' Und zehn Jahre lang habe ich 'Nein, danke' gesagt. Chrome fragt mich das immer noch - nur berücksichtigt es meine Entscheidung nicht länger", schreibt er. "Wenn ihr mein fehlendes Einverständnis zur Anmeldung nicht respektiert, warum sollte ich euch dann bei irgendeiner anderen Einwilligungsoption vertrauen, die ihr mir gebt?"

Sein Ärger blieb nicht unbemerkt, viele Medien und Blogger griffen den Blogpost am Montag auf, ebenso wie die Diskussion von Green mit einer Google-Managerin auf Twitter. Die Reaktionen und Berichte reichten von "Wer Chrome nutzt, schickt Google automatisch seinen Browser-Verlauf" (was falsch ist) bis "Verstehe den Wind gerade eher nicht".

Das nächste Chrome-Update kommt Mitte Oktober

Nun hat Google darauf reagiert. "Wir haben euer Feedback gehört und sind dankbar dafür", heißt es in einem Blogpost des Unternehmens. Die Chrome-Version 70, die Mitte Oktober veröffentlicht wird, bekommt in den Einstellungen einen Schalter, mit dem sich der automatische Login deaktivieren lassen wird. Es wird also eine Opt-out-Lösung.

Wer nicht so lange warten, Chrome aber weiter ohne automatische Anmeldung nutzen will, muss chrome://flags/#account-consistency in die Adresszeile eingeben und die Einstellung Identity consistency between browser and cookie jar von Default auf Disabled ändern und den Browser dann neu starten.

Außerdem will Google künftig eindeutiger darstellen, ob Nutzer in Chrome angemeldet sind und die Synchronisation aktiviert oder deaktiviert ist. Seine Datenschutzhinweise für Chrome hat Google nach der Kritik bereits angepasst, allerdings noch nicht in der deutschen Version.

Matthew Green will trotzdem bei Firefox bleiben.