Firefox Version 128 ist veröffentlicht worden, doch statt durch neue praktische Funktionen fällt es durch eine Datenschutzkontroverse auf. Nutzer werfen dem Entwickler Mozilla vor, die eigenen Anwender bewusst in die Irre zu führen. Der Grund ist eine neue Methode zur anonymisierten Werbemessung, die mit dieser Version eingeführt wurde.
Obwohl die Technologie auf den ersten Blick vielversprechend wirkt, stößt sie bei vielen Anwendern auf mit recht auf Ablehnung. Mozilla hat die Privacy-Preserving Attribution (PPA) als experimentelles Feature automatisch mit dem Update integriert und aktiviert. Nutzer müssen die PPA manuell deaktivieren, was voraussetzt, dass sie überhaupt von dieser Funktion wissen. Eine aktive Information gibt es aber nicht.
Unabhängig von einer derartigen Information widerspricht das Vorgehen jedoch in jedem Fall dem Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) sowie jeder Logik. Jemand, der nicht ablehnt, stimmt nämlich nicht zu, insbesondere wenn er gar nichts von der Funktion weiß. Da die Datenerhebung nicht für den Betrieb und damit den eigentlichen Zweck des Browsers erforderlich ist, steht sie in mehreren Punkten im Widerspruch zu Art. 5 DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten). Eine derartige Verarbeitung bedarf daher einer ausdrücklichen informierten Zustimmung durch den Betroffenen.
Durch das erkennbare Vorgehen werden m.E. die Rechte der Nutzer auf informationelle Selbstbestimmung, als Teil des Allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Artikel 1 Absatz 1 Grundgesetz, missachtet und das Datenschutzversprechen, welches die Mozilla Corporation gegeben hat, gebrochen.
Der Blogger Jonah Aragon kritisiert, dass Mozilla bewusst sei, dass die Firefox-Nutzer diese Funktion nicht möchten. Hätten die Entwickler die PPA zuvor breit vorgestellt und der Community zur Prüfung gegeben, wäre der Unmut möglicherweise geringer. Obwohl Mozilla seit einem Monat Informationen zur PPA bereitstellt, fühlen sich viele Nutzer übergangen.
Bas Schouten, technischer Leiter für die Performance von Firefox, erklärt, dass es schwierig gewesen wäre, die PPA verständlich zu erklären. Daher sei ein Opt-in nicht sinnvoll gewesen, da Nutzer sonst nicht ausreichend informiert entscheiden könnten. Die automatische Aktivierung soll vor Werbetracking schützen, jedoch kommt diese Vorgehensweise bei den Nutzern nicht gut an. Zumal eine derartig konstruierte und verbrämte Darstellung aus datenschutzrechtlicher Sicht ohnehin eher peinlich und entlarvend erscheint.
Jonah Aragon wirft Mozilla vor, die Nutzer wie eine uninformierte Masse zu behandeln, die in die richtige Richtung gedrängt werden müsse. Dies widerspreche dem Profil der selbstbewussten und informierten Firefox-Nutzer, die man ernst nehmen sollte.
Es besteht der Verdacht, dass Mozilla mit der PPA finanzielle Interessen verfolgt, obwohl unklar ist, um welche Summen es geht. Die PPA wurde von einem Entwickler namens Anonym entwickelt, den Mozilla kürzlich übernommen hat. Anonym agiert als Mittelsmann zwischen Werbekunden und Nutzern.
Technisch gesehen funktioniert die PPA über einen Aggregationsserver, der die Browserdaten erhebt also gem. Art. 4 Abs. 2 DSGVO verarbeitet, anonymisiert und dann an die Werbekunden weitergibt. Kritiker bemängeln, dass die Daten den eigenen Rechner verlassen und auf dem Server gesammelt werden, was Sicherheitsbedenken aufwirft. Mozilla betrachtet diesen Server nicht als Teil eines Werbenetzwerks, was viele Nutzer zurecht kritisch sehen, immerhin gibt es ohne informierte Zustimmung keine Rechtsgrundlage auf die sich die Mozilla Cooperation stützen kann.
Die Frage bleibt, wie viel Vertrauen haben und wie viel Entrechtung Firefox-Nutzer sich von einem Browser-Anbieter gefallen lassen wollen, der mit Datenschutz wirbt, aber gleichzeitig derartige Verstöße begeht. Kritiker befürchten, dass die gesammelten Daten trotz Versprechen nicht sicher sind und dass sich das System leicht ändern könnte, um Werbekunden Zugang zu individuellen Daten zu gewähren. Nach gut 15 Jahren als Berater und Auditor für Datenschutz schätze ich die Wahrscheinlichkeit auf 99%, dass genau dies auch getan wird.
Diese Bedenken wurden bereits bei Mozillas Kauf von Anonym geäußert. Dass Mozilla jetzt quasi ein Werbenetzwerk einführt, verärgert viele, zumal das Unternehmen mit Datenschutz geworben hatte.
Leider bleibt Firefox als einziger großer Konkurrent zu Google Chrome übrig, während andere Browser auf Chromium basieren. Mozilla macht es Nutzern somit erheblich schwerer, datenschutzfreundliche Entscheidungen zu treffen. Ein neuer Browser namens Ladybird könnte eine Alternative sein, befindet sich aber noch in der Entwicklung.
Folgendes ist zu tun um die PPA zu deaktivieren:
Datenschutz & Sicherheit -> Werbeeinstellungen für Websites -> Websites erlauben, datenschutzfreundliche Werbe-Messungen durchzuführen.
Benötigen Sie Unterstützung bei den Themen Datenschutz und Informationssicherheit?
Kontaktieren Sie uns für ein unverbindliches Erstgespräch!
Wir kümmern uns gerne um Ihre Anliegen und sorgen dafür, dass Ihr Unternehmen sicher und rechtskonform aufgestellt ist.
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Datenschutzerklärung der Mozilla Corporation
https://www.mozilla.org/de/privacy/firefox
Ladybird browser
https://www.youtube.com/watch?v=cbw0KrMGHvc
Artikel zu Firefox Privacy-Preserving Attribution (PPA) – Netzpolitik
https://netzpolitik.org/2024/privatsphaere-firefox-sammelt-jetzt-standardmaessig-daten-fuer-die-werbeindustrie
Artikel zu Firefox Privacy-Preserving Attribution (PPA) – Heise
https://www.heise.de/news/Fuer-Werbung-Firefox-sammelt-ab-sofort-standardmaessig-Nutzerdaten-9801279.html
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX und PCI-DSS.