Dem Leitprinzip Privacy by Design folgend schafft Cliqz innovative Browserfunktionen, ohne die Privatsphäre der Nutzer zu gefährden.
Nutzer „bezahlen“ im Netz mit teilweise höchst privaten Daten. Das ist die Kehrseite vieler, nur auf den ersten Blick „kostenloser“ Dienste von Konzernen wie Google oder Facebook. Diese protokollieren im großen Stil die Aktivitäten von Internetnutzern, nicht nur auf ihren eigenen Seiten, was durchaus legitim ist, sondern auch auf fremden Websites – für den User normalerweise „unsichtbar“ per Drittanbieter-Tracker. Google, Facebook und Co sammeln so viele Daten wie möglich, nach eigener Aussage um die Qualität ihrer Services zu verbessern. Tatsächlich geht es ihnen aber um zielgerichtete Werbung, weshalb sie wirklich alles über den Nutzer wissen wollen.
Cliqz benötigt für seine innovative Suchmaschine und sein Anti-Tracking ebenfalls große Datenmengen. Unserer Ansicht nach ist das Sammeln von Daten an sich auch nicht verwerflich und für manche Dienste einfach notwendig. Allerdings darf dabei der Datenschutz nicht auf der Strecke bleiben. Deshalb beschränken wir uns im Gegensatz zu den meisten anderen Internetunternehmen ausschließlich auf anonyme statistische Daten. Denn wir müssen absolut nichts über dich als Person wissen, um dir die Suche und das Surfen im Web zu erleichtern. Dein Name, Alter, Geschlecht, deine persönlichen Interessen und Vorlieben gehen uns nichts an. Daher speichern wir grundsätzlich keine personenbezogenen Informationen, anhand derer User identifiziert und Nutzerprofile erstellt werden könnten.
Wir sind überzeugt und haben bewiesen, dass sich komplexe Systeme wie eine Websuche auch aufbauen und betreiben lassen, ohne die Privatsphäre der Nutzer zu gefährden. Dazu orientieren wir uns an dem schon Mitte der Neunzigerjahre von Datenschützern entwickelten Konzept Privacy by Design. In den „7 Grundprinzipien des Privacy by Design“ erklärt die damalige Datenschutzbeauftrage der kanadischen Provinz Ontario, Ann Cavoukian: „Privacy by Design erstreckt sich auf eine ‚Trilogie‘ umfassender Anwendungen: 1) IT-Systeme, 2) verantwortungsvolle Geschäftspraktiken sowie 3) physikalisches Design und vernetzte Infrastrukturen.“ Ziel sei „die Gewährleistung des Datenschutzes und die persönliche Kontrolle über die eigenen Daten sowie die Gewinnung eines nachhaltigen Wettbewerbsvorteils für Organisationen“.
Unsere Umsetzung von Privacy by Design garantiert, dass niemand etwas über dein Surfverhalten in Erfahrung bringen kann. Zugleich verschafft uns der konsequente Datenschutz und die kompromisslose Wahrung der Privatsphäre ein Alleinstellungsmerkmal in dem von Quasi-Monopolisten besetzten Markt. Dem Cliqz-Browser sowie der Cliqz-Erweiterung für Firefox mit integrierter Schnellsuche und Anti-Tracking-Funktion liegt eine TÜV-zertifizierte Architektur zugrunde, die von Vornherein auf Datenschutz und die Privatsphäre der Nutzer ausgelegt ist. Unsere Dateninfrastruktur ist durch mehrere Schutzschichten abgesichert. Das gilt sowohl für die Server selbst (Backend) als auch für die Kommunikation zwischen der Cliqz-Software auf dem Endgerät des Nutzers und dem Backend. Wir setzen unter anderem ein Netzwerk aus mehreren Proxy-Servern sowie Verschlüsselung ein, um sicherzustellen, dass anhand der übermittelten Daten keine Rückschlüsse auf die übermittelnde Person möglich sind.
Private Daten bleiben unter der Kontrolle des Nutzers
Wir haben die Datenaggregation von der Server- auf die Client-Seite verlagert. Beispielsweise liegen deine Chronik und deine Lesezeichen ausschließlich auf deinem Endgerät und werden nicht wie bei anderen Anbietern auf Server übertragen. Du hast also immer die volle Kontrolle über deine Daten und kannst sie jederzeit löschen.
Um unsere Suchtechnologie zu pflegen und zu verbessern, sammeln wir ausschließlich streng anonyme Daten darüber, wie du Cliqz verwendest. Dazu nutzen wir drei Kanäle:
- Telemetrie
Hinweise über dein System: Welche Cliqz-Softwareversion nutzt du, über welchen Kanal hast du sie installiert und wie sieht dein Systemumfeld aus? Diese Informationen werden nie mit deinen Online-Aktivitäten verknüpft, etwa von dir besuchten Webseiten oder durchgeführten Suchanfragen. Wir nutzen sie, um mögliche Fehler in bestimmten Versionen zu finden. Anhand der Telemetriedaten sehen wir nur, WIE du die Cliqz-Suche verwendest, aber nicht, was du suchst. Das hilft uns, unsere Suche weiter zu verbessern. - Protokollierung von Suchanfragen
WAS die Gesamtheit der Cliqz-Nutzer sucht und auf welchen Seiten sie landet. Die Informationen dienen dazu, das Cliqz-Backend zu optimieren, sodass du noch bessere Suchresultate erhälst. - Human Web
Freiwillig übermittelte statistische Daten, die wir nutzen, um Internetseiten zum Cliqz-Suchindex hinzuzufügen sowie ihre Relevanz und Sicherheit zu bewerten.
Zu keinem Zeitpunkt erfasst Cliqz persönlich identifizierbare Informationen aus einem dieser Kanäle. Ein Erstellen von Nutzerprofilen ist ausgeschlossen.
Proxy-Netzwerk verschleiert Nutzeridentität
Für die ordnungsgemäße Funktion der Websuche benötigte IP-Adressen werden nach dem Bearbeiten der jeweiligen Suchanfrage umgehend wieder gelöscht. Auf Wunsch kannst du auch über ein Proxy-Netzwerk suchen. Das verlangsamt jedoch den Suchprozess, weil die Daten mehrfach umgeleitet werden. Dafür bleibt deine IP-Adresse auf diese Weise den Cliqz-Servern gänzlich unbekannt.
Auch die Übermittlung der Human-Web-Daten läuft verschlüsselt über ein Proxy-Netzwerk. Wir erhalten lediglich die IP-Adresse des Proxy-Netzwerks und können keine Nutzer daraus ableiten. Die Proxies selbst sind nicht in der Lage, die verschlüsselten Informationen zu lesen oder etwas darüber zu erfahren. Dadurch sind Absender und Inhalt vollständig voneinander getrennt. Das macht es unmöglich, Nutzer und Nutzungsdaten je miteinander in Verbindung zu bringen.
Anonymisierung verräterischer URLs
Im Prinzip lässt sich alles, was in Sachen Datenaggregation auf der Server-Seite getan werden kann, auch auf der Client-Seite erledigen. Statt auf den Servern des Dienstbetreibers verbleiben die Daten also lokal auf dem Rechner des Nutzers und werden bei Bedarf dort abgefragt. Jedoch sind hier ebenfalls einige Dinge zu beachten, um die Privatsphäre der User nicht zu gefährden. Beispielsweise erfassen wir keine Webadressen (URLs), die persönliche Informationen enthalten.
Wir unterscheiden aber nicht nur zwischen öffentlichen und privaten URLs. Denn öffentliche URLs können unter Umständen zahlreiche Zusatzinformationen enthalten. Sucht man zum Beispiel auf einem Reiseportal nach einem Hotel, finden sich etwa Angaben zu Reisezeitraum und -ziel häufig als Parameter in der URL wieder. Private URLs wiederum können oftmals ohne vorherigen Log-in aufgerufen werden und sogar personenbezogene Daten wie Benutzernamen oder Passwörter aufweisen (z.B. twitter.com/benutzername), die eine Identifizierung von Einzelpersonen erlauben. Manche URLs enthalten auch Parameter, die sogar eine Verfolgung des Nutzers über mehrere Domains ermöglichen. Um solche „unsicheren“ URLs herauszufiltern und zu verhindern, dass über sie personenbezogene Daten auf unseren Servern landen, setzen wir verschiedene heuristische und auf Maschinenlernen basierende Verfahren ein.
Verhindern von Deanonymisierung
Aufgrund der Art wie wir Daten erfassen und speichern ist eine nachträgliche Deanonymisierung ausgeschlossen. Zum Schutz deiner Privatsphäre trennen wir Website-Besuchsstatistiken strikt von den statistischen Daten über Sucheingaben. So wird die Verbindung zwischen zwei Datenpunkten – so harmlos sie für sich gesehen auch sein mögen – verhindert. Zudem speichern wir keine Session-IDs oder sekunden- bzw. minutengenaue Zeitstempel. Um auszuschließen, dass sich Browsersitzungen rekonstruieren lassen, übertragen wir die Daten über jeden Seitenbesuch einzeln und mindestens eine Stunde zeitversetzt. Das macht es unmöglich, dich über mehrere Seiten oder Domains hinweg zu verfolgen. Weder wir noch Dritte, die sich eventuell legal (Behörden) oder illegal (Hacker) Zugriff auf die Daten verschaffen, sind in der Lage, durch ein Zusammenführen aller Datenpunkte ein Nutzerprofil zu erstellen. Dank der Privacy-by-Design-Architektur existieren in den auf Cliqz-Servern gespeicherten Daten keinerlei Bezugspunkte, die ein Zusammenführen oder Verbinden von Datenpunkten zur Rekonstruktion von Profilen erlauben würden.
Deine Anonymität bleibt also immer gewahrt. Selbst wenn wir wollten oder gesetzlich dazu verpflichtet würden, könnten wir niemals persönlich identifizierbare Informationen an Dritte weitergeben, weil wir dank der Privacy-by-Design-Architektur technisch ausgeschlossen haben, solche zu erheben.
Maximale Transparenz
Der Cliqz Browser und alle integrierten Funktionen sind Open Source. Somit kann jeder mit ausreichend Fachwissen den Softwarecode untersuchen. Unsere Software, unsere Infrastruktur sowie unsere Methoden zur Datensammlung werden zudem regelmäßig intern wie extern überprüft. An externen Gutachten waren unter anderem Mozilla, Forscher der Princeton University und RedTeam Pentesting beteiligt. Zusätzlich haben wir in unseren Browser ein Transparenz-Cockpit eingebaut, das einen Echtzeit-Überblick über die von deinem Endgerät an Cliqz übermittelten Daten gibt.
Auch beim Geschäftsmodells bleibt Cliqz den Prinzipien von Privacy by Design treu. Wir entwickeln zurzeit eine Plattform, die im passenden Kontext auf die Interessen des Users zugeschnittene Angebote einblendet. Das Besondere: Das Wissen über Interessen liegt hier erneut ausschließlich auf dem Endgerät des Nutzers und nicht auf unseren Servern. Der Browser „weiß“, was du möchtest – auf der Grundlage von Informationen über Suchen und Website-Besuche, die in der Cliqz-Software auf deinem Gerät erfolgen. Die für das gezielte Ansprechen erforderlichen Daten bleiben alle auf deinem Gerät, in deinem Besitz und unter deiner Kontrolle. Das Erstellen von Nutzerprofilen ist auch für das Geschäftsmodell von Cliqz nicht vonnöten. Um dir die richtige Website, die richtige Information oder das richtige Angebot zu zeigen, müssen wir rein gar nichts über dich wissen. Das ist nichts weniger als ein Paradigmenwechsel.