Mit dem Update auf Version 128.0.1 hat der Anbieter des Firefox-Browsers eine neue Technologie integriert – und damit zu Recht harsche Kritik geerntet.
PPA heißt das neue Tool, das steht für „Privacy Preserving Attribution“. Damit sollen Werbekunden künftig erfahren können, wie viele Nutzer*innen eine Werbung sehen und wie gewünscht darauf reagieren – zum Beispiel, indem sie das beworbene Produkt kaufen. Und zwar ohne, wie bisher, Nutzer*innen dafür durchs gesamte Internet zu verfolgen.
Nette Idee – katastrophale Umsetzung
Der Ansatz ist eigentlich nicht schlecht. Trotzdem ist die ganze Aktion aus unserer Sicht völlig inakzeptabel.
Das liegt vor allem daran, dass Mozilla die Funktion klammheimlich eingeführt und aktiviert hat. Man kann sie zwar abschalten. Aber nur, wenn man überhaupt weiß, dass es sie gibt. Und das wäre wohl ohne Berichte wie den von netzpolitik.org nicht der Fall. Es gibt keine Abfrage beim Installieren wie man sie von den Cookie-Bannern kennt, noch nicht mal eine Information in der „Was ist neu“-Sektion zum Update.
So deaktiviert ihr die Funktion PPA auf dem Desktop
- Öffnet den Browser und klickt oben links auf das Sandwich-Menü.
- Navigiert dort zu Einstellungen und wählt auf der folgenden Seite den Punkt „Datenschutz & Sicherheit“ im Menü links.
- Scrollt bis zum Punkt „Werbeeinstellungen für Websites“. Entfernt den Haken bei dem Punkt „Websites erlauben, datenschutzfreundliche Werbe-Messungen durchzuführen“.
Auf Handys ist kein Opt-out vorgesehen
Bei Handys setzt Mozilla sogar noch einen drauf: Hier hat der Anbieter offenbar überhaupt keinen Opt-out vorgesehen. In den Einstellungen gibt es keinen entsprechenden Menüpunkt dafür.
Heißt das vielleicht, dass die Funktion für Mobilgeräte gar nicht aktiv ist?
Dagegen spricht ein Vergleich der Einträge in der sogenannten „about:config“. Das ist ein verstecktes Einstellungsmenü, das eigentlich für Entwicklung und Tester*innen gedacht ist und sämtliche Funktionen haarklein auflistet.
Dort ist mit der neuen Funktion auch ein entsprechender neuer Eintrag aufgetaucht, der in der Desktop-Version auf „an“ steht. In der mobilen Version findet man diesen Eintrag nach dem Update ebenfalls - er steht dort ebenfalls auf „an“.
Ganz genau kann das natürlich nur Mozilla selber sagen. Auf unsere Anfrage gab es bisher noch keine Antwort.
Update: In der Version 128.0.3 ist die Funktion standardmäßig inaktiv. Hier müsst ihr also nichts weiter tun.
Und was ist mit iOS?
Firefox auf iPhones ist ein Sonderfall. Apple lässt nämlich andere Browser nur eingeschränkt zu. Deshalb funktioniert hier einiges anders und es sind noch weniger Einstellungen verfügbar. Wir haben keine Anhaltspunkte, ob das neue Feature hier ebenfalls schon aktiv ist und was man dagegen tun kann.
Wie funktioniert PPA in Firefox?
Wenn ein Werbetreibender eine Anzeige schaltet, möchte er wissen, wie viele Nutzende das beworbene Produkt gekauft haben, nachdem sie die Anzeige gesehen haben.
Aktuell funktioniert das so: Der Werbetreibende versucht, jede Person, die seine Anzeige sieht, eindeutig zu identifizieren. Entweder, indem er ein Cookie setzt, oder eine Kennnummer, die Werbe-ID, von ihrem Gerät ausliest. Wenn die Person später in seinen Online-Shop surft und das beworbene Produkt kauft, erkennt er sie wieder.
Der Nachteil dabei: Der Werbetreibende kann die Person auch auf vielen anderen Webseiten wiedererkennen und verfolgen, was sie im Internet tut. Und diese Daten gar verkaufen.
Das neue Modell von Mozilla will dieses Tracking verhindern. Stattdessen soll der Browser selbst erfassen, welche Werbeanzeigen der oder die Nutzer*in gesehen hat. Kommt es später zu einer sogenannten conversion, also zum Beispiel zu einem Kauf des beworbenen Produktes, merkt sich das wieder nur der Browser. Der Browser leitet diese Information an einen Server von Mozilla weiter, der sie wiederum aggregiert an den Werbetreibenden gibt. Der erfährt im Idealfall also nur: Anzeige x hat zu y Käufen geführt.
Was ist das Problem an PPA?
Erstens: Das Feature wurde auf vollkommen intransparente Art und Weise eingeführt. Hier hätten wir von Mozilla eine Opt-in-Lösung erwartet, bei der man aktiv zustimmen kann.
Zweitens: Ebenfalls intransparent ist, wie genau die Datensammlung auf Mozillas Server funktionieren soll. Datenschützer Patrick Breyer sagt dazu, auch nach Lesen der Spezifikation und der Datenschutzerklärung sei völlig unklar, „welche personenbezogenen Nutzungsdaten der sogenannte 'Aggregierungsserver' speichert; dazu gehören auch Metadaten wie die möglicherweise geloggte IP-Adresse des Nutzers. Das Internetnutzungsverhalten einer Person ist hochsensibel und geht niemanden, auch den Browserhersteller, etwas an - dies garantiert auch das Datenschutzrecht.“ Eine Abstimmung mit Datenschutzbehörden sei offensichtlich nicht erfolgt. Er fordert Mozilla deshalb auf, die Datensammlung bis auf weiteres auf Eis zu legen.
Drittens: Ob der eigene Browser überhaupt ein Werkzeug im Dienste der Werbeindustrie werden sollte, kann man ebenfalls diskutieren.
Das sind die Alternativen
Was Mozilla hier macht, ist undurchsichtig und nicht fair gegenüber den Nutzer*innen. Wir können Mozilla nur dringend auffordern, schnellsmöglich auf eine Opt-in-Lösung zu wechseln und die Einstellung auch für Handys zu ermöglichen.
Andernfalls hätten wir gerne Fennec empfohlen. Das ist ein quelloffener Ableger von Firefox. Unser aktueller Stand ist aber, dass auch dort PPA eingebaut ist, allerdings wegen der inaktiven Telemetrie nicht aktiv. Wir beobachten das mal weiter und halten euch auf dem Laufenden.
Für Fortgeschrittene: So kannst du die Funktion auf dem Smartphone ausschalten
Mit dieser etwas komplizierten Methode könnt ihr das Feature unter Android deaktivieren. Update: Seit der Version 128.0.3 sollte die Funktion standardmäßig sowieso inaktiv sein. Bei euch nicht? Dann schreibt uns gerne.
- Neuen Tab im Browser öffnen > folgende Adresse eingeben: chrome://geckoview/content/config.xhtml
- Oben sollte ein Suchfeld sein > suchen nach: aboutConfig > einschalten
- Neuen Tab öffnen > eingeben: about:config > suchen nach: dom.private-attribution.submission.enabled > auf „false“ stellen
Wem das zu heikel ist, der kann auch die gesamte Datenerfassung des Browsers über das normale Menü deaktivieren. Es gibt handfeste Hinweise, dass damit auch die neue Funktion deaktiviert wird - hunderprozentig sicher wissen wir es aber nicht (Vielen Dank für den Hinweis darauf aus der Community).
So geht es:
1. Firefox öffnen, Menü öffnen (drei Punkte rechts unten oder oben)
2. Wähle den Punkt „Einstellungen“
3. Scrolle zum Punkt „Datenerhebung“. Stelle den Schieberegler bei „Nutzungs- und technische Daten“ auf „Aus“
Kennst du schon unseren Newsletter? Einmal im Monat schicken wir dir aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.Danke für deinen Besuch. Bevor du uns verlässt…
Folg uns doch auf Mastodon oder auf Instagram! Jede Woche Updates zu Smartphones und Umwelt aus der mobilsicher-Redaktion.