Kommentar

Firefox trackt jetzt für Werbung – auf Mobilgeräten ohne Opt-out

Ein Artikel von , , veröffentlicht am 24.07.2024, bearbeitet am31.07.2024
Foto: Fei Zhou

Firefox hatte lange den Ruf, die datenschutzfreundliche Wahl unter den Browsern zu sein. Mit seinem letzten Update setzt er diesen Ruf aber hart aufs Spiel.

Mit dem Update auf Version 128.0.1 hat der Anbieter des Firefox-Browsers eine neue Technologie integriert – und damit zu Recht harsche Kritik geerntet.

PPA heißt das neue Tool, das steht für „Privacy Preserving Attribution“. Damit sollen Werbekunden künftig erfahren können, wie viele Nutzer*innen eine Werbung sehen und wie gewünscht darauf reagieren – zum Beispiel, indem sie das beworbene Produkt kaufen. Und zwar ohne, wie bisher, Nutzer*innen dafür durchs gesamte Internet zu verfolgen.

Nette Idee – katastrophale Umsetzung

Der Ansatz ist eigentlich nicht schlecht. Trotzdem ist die ganze Aktion aus unserer Sicht völlig inakzeptabel.

Das liegt vor allem daran, dass Mozilla die Funktion klammheimlich eingeführt und aktiviert hat. Man kann sie zwar abschalten. Aber nur, wenn man überhaupt weiß, dass es sie gibt. Und das wäre wohl ohne Berichte wie den von netzpolitik.org nicht der Fall. Es gibt keine Abfrage beim Installieren wie man sie von den Cookie-Bannern kennt, noch nicht mal eine Information in der „Was ist neu“-Sektion zum Update.

So deaktiviert ihr die Funktion PPA auf dem Desktop

  1. Öffnet den Browser und klickt oben links auf das Sandwich-Menü.
  2. Navigiert dort zu Einstellungen und wählt auf der folgenden Seite den Punkt „Datenschutz & Sicherheit“ im Menü links.
  3. Scrollt bis zum Punkt „Werbeeinstellungen für Websites“. Entfernt den Haken bei dem Punkt „Websites erlauben, datenschutzfreundliche Werbe-Messungen durchzuführen“.

Auf Handys ist kein Opt-out vorgesehen

Bei Handys setzt Mozilla sogar noch einen drauf: Hier hat der Anbieter offenbar überhaupt keinen Opt-out vorgesehen. In den Einstellungen gibt es keinen entsprechenden Menüpunkt dafür.

Heißt das vielleicht, dass die Funktion für Mobilgeräte gar nicht aktiv ist?

Dagegen spricht ein Vergleich der Einträge in der sogenannten „about:config“. Das ist ein verstecktes Einstellungsmenü, das eigentlich für Entwicklung und Tester*innen gedacht ist und sämtliche Funktionen haarklein auflistet.

Dort ist mit der neuen Funktion auch ein entsprechender neuer Eintrag aufgetaucht, der in der Desktop-Version auf „an“ steht. In der mobilen Version findet man diesen Eintrag nach dem Update ebenfalls - er steht dort ebenfalls auf „an“.

Ganz genau kann das natürlich nur Mozilla selber sagen. Auf unsere Anfrage gab es bisher noch keine Antwort.

Update: In der Version 128.0.3 ist die Funktion standardmäßig inaktiv. Hier müsst ihr also nichts weiter tun.

Und was ist mit iOS?

Firefox auf iPhones ist ein Sonderfall. Apple lässt nämlich andere Browser nur eingeschränkt zu. Deshalb funktioniert hier einiges anders und es sind noch weniger Einstellungen verfügbar. Wir haben keine Anhaltspunkte, ob das neue Feature hier ebenfalls schon aktiv ist und was man dagegen tun kann.

Wie funktioniert PPA in Firefox?

Wenn ein Werbetreibender eine Anzeige schaltet, möchte er wissen, wie viele Nutzende das beworbene Produkt gekauft haben, nachdem sie die Anzeige gesehen haben.

Aktuell funktioniert das so: Der Werbetreibende versucht, jede Person, die seine Anzeige sieht, eindeutig zu identifizieren. Entweder, indem er ein Cookie setzt, oder eine Kennnummer, die Werbe-ID, von ihrem Gerät ausliest. Wenn die Person später in seinen Online-Shop surft und das beworbene Produkt kauft, erkennt er sie wieder.

Der Nachteil dabei: Der Werbetreibende kann die Person auch auf vielen anderen Webseiten wiedererkennen und verfolgen, was sie im Internet tut. Und diese Daten gar verkaufen.

Was die Werbe-ID genau ist, erklären wir hier. Wie leicht sie missbraucht werden kann, zeigte zuletzt der BR in einer Recherche

Das neue Modell von Mozilla will dieses Tracking verhindern. Stattdessen soll der Browser selbst erfassen, welche Werbeanzeigen der oder die Nutzer*in gesehen hat. Kommt es später zu einer sogenannten conversion, also zum Beispiel zu einem Kauf des beworbenen Produktes, merkt sich das wieder nur der Browser. Der Browser leitet diese Information an einen Server von Mozilla weiter, der sie wiederum aggregiert an den Werbetreibenden gibt. Der erfährt im Idealfall also nur: Anzeige x hat zu y Käufen geführt.

Was ist das Problem an PPA?

Erstens: Das Feature wurde auf vollkommen intransparente Art und Weise eingeführt. Hier hätten wir von Mozilla eine Opt-in-Lösung erwartet, bei der man aktiv zustimmen kann.

Zweitens: Ebenfalls intransparent ist, wie genau die Datensammlung auf Mozillas Server funktionieren soll. Datenschützer Patrick Breyer sagt dazu, auch nach Lesen der Spezifikation und der Datenschutzerklärung sei völlig unklar, „welche personenbezogenen Nutzungsdaten der sogenannte 'Aggregierungsserver' speichert; dazu gehören auch Metadaten wie die möglicherweise geloggte IP-Adresse des Nutzers. Das Internetnutzungsverhalten einer Person ist hochsensibel und geht niemanden, auch den Browserhersteller, etwas an - dies garantiert auch das Datenschutzrecht.“ Eine Abstimmung mit Datenschutzbehörden sei offensichtlich nicht erfolgt. Er fordert Mozilla deshalb auf, die Datensammlung bis auf weiteres auf Eis zu legen.

Drittens: Ob der eigene Browser überhaupt ein Werkzeug im Dienste der Werbeindustrie werden sollte, kann man ebenfalls diskutieren.

Das sind die Alternativen

Was Mozilla hier macht, ist undurchsichtig und nicht fair gegenüber den Nutzer*innen. Wir können Mozilla nur dringend auffordern, schnellsmöglich auf eine Opt-in-Lösung zu wechseln und die Einstellung auch für Handys zu ermöglichen.

Andernfalls hätten wir gerne Fennec empfohlen. Das ist ein quelloffener Ableger von Firefox. Unser aktueller Stand ist aber, dass auch dort PPA eingebaut ist, allerdings wegen der inaktiven Telemetrie nicht aktiv. Wir beobachten das mal weiter und halten euch auf dem Laufenden.

Für Fortgeschrittene: So kannst du die Funktion auf dem Smartphone ausschalten

Mit dieser etwas komplizierten Methode könnt ihr das Feature unter Android deaktivieren. Update: Seit der Version 128.0.3 sollte die Funktion standardmäßig sowieso inaktiv sein. Bei euch nicht? Dann schreibt uns gerne.

  1. Neuen Tab im Browser öffnen > folgende Adresse eingeben: chrome://geckoview/content/config.xhtml
  2. Oben sollte ein Suchfeld sein > suchen nach: aboutConfig > einschalten
  3. Neuen Tab öffnen > eingeben: about:config > suchen nach: dom.private-attribution.submission.enabled > auf „false“ stellen

Wem das zu heikel ist, der kann auch die gesamte Datenerfassung des Browsers über das normale Menü deaktivieren. Es gibt handfeste Hinweise, dass damit auch die neue Funktion deaktiviert wird - hunderprozentig sicher wissen wir es aber nicht (Vielen Dank für den Hinweis darauf aus der Community).

So geht es:

1. Firefox öffnen, Menü öffnen (drei Punkte rechts unten oder oben)

2. Wähle den Punkt „Einstellungen“

3. Scrolle zum Punkt „Datenerhebung“. Stelle den Schieberegler bei „Nutzungs- und technische Daten“ auf „Aus“

 

Danke für deinen Besuch. Bevor du uns verlässt…

Folg uns doch auf Mastodon oder auf Instagram! Jede Woche Updates zu Smartphones und Umwelt aus der mobilsicher-Redaktion.

Kennst du schon unseren Newsletter? Einmal im Monat schicken wir dir aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Diagnose fürs Handy: Was bringen die Untersuchungs-Apps?

Für Handys gibt es Instrumente, mit denen man messen kann, ob bestimmte Dinge da drinnen richtig funktionieren. Oft sind das einfach Apps wie Castro oder Phone Doctor.

Mehr
Ratgeber 

So sichern Sie Ihr Instagram-Profil ab

Instagram bietet viele Möglichkeiten, die eigenen Informationen, Bilder und Videos vor Missbrauch zu schützen. Die Standardeinstellungen sind aber nicht verbraucherfreundlich. Folgende Punkte sollten Sie daher unbedingt einmal überprüfen.

Mehr
Ratgeber 

Kindersicherung bei Samsung: Kindermodus und Samsung Kids

Samsung hat in Sachen Kindersicherung ganz eigene Lösungen entwickelt. Auf älteren Geräten gibt es die App „Kindermodus“, ab Android 9 „Samsung Kids“. Die Apps sind durchaus gut durchdacht, gerade beim Kindermodus gibt es aber auch Kritikpunkte.

Mehr
Ratgeber 

Karneval mit Handy? Unsere App-Tipps

Im Play-Store finden sich zum Suchwort „Fasching“ dutzende Apps. Viele davon können nicht mehr als einen Tusch abspielen, sind aber vollgestopft mit Werbung und Trackern. Wir haben vier Karneval-Apps herausgesucht, die Sie bedenkenlos nutzen können.

Mehr