Firefox Klar und das Datentracking–Nachlese

Heute noch eine Nachlese zum Vorwurf, dass die von Mozilla angebotene iOS-App Firefox Klar Datentracking – als Privacy-Browser beworben – betreibt und Informationen an Adjust, einen Big-Data-Datensammler im Werbemarkt, übermittelt.

Was ist der Hintergrund

Die Entwickler der Mozilla Foundation haben eine kostenlose App für iOS unter dem Namen Firefox Klar entwickelt. Firefox Klar wird von der Mozilla Foundation zum Schutz der Privatsphäre als Browser mit eingebautem Schutz vor Aktivitätenverfolgung und zum Blockieren von Inhalten propagiert. Zudem gibt es für Android ebenfalls eine Firefox (Beta) Browser-App. In beiden Apps ist ein Tracking-Framework der Firma Ajdust eingebaut.

Vor gut einer Woche hatte ich den Artikel Firefox Klar: “Datenschutz-Browser” als Datenschleuder hier im Blog. Hat einige Wellen geschlagen – und eigentlich wollte ich mal selbst bei dem Teil nachkontrollieren, was da an Daten weg geht. Wie so oft fehlte mir die Zeit und ich habe nur ein paar Sachen nachgetragen.

Mein Kritikpunkt und die Stellungnahme der Mozilla Foundation

Mein Kritikpunkt an der Geschichte war, dass Mozilla den Firefox Klar als Datenschutzbrowser bewirbt, Tracking einbaut, das aber nicht offensiv kommuniziert. Für die Fraktion “ist längst bekannt, kann man in 2 Minuten Internetsuche herausfinden”: Das ist nicht der Punkt. Kein Nutzer recherchiert da im Netz, was in den Mozilla-Dokumenten steht. Wäre die Tracking-Funktion in der App-Beschreibung erwähnt worden und hätte diese per Opt-In aktiviert werden müsse, hätte kaum jemand etwas dazu geschrieben.

(Quelle: Mozilla)

Die Stellungnahme der Mozilla Foundation war auch nicht gerade geeignet, da Licht ins Dunkel zu bringen. Bei Bleeping Computerwurde ein Beitrag veröffentlicht, der Aussagen der Mozilla Foundation enthält. So wurde auf die Adjust Webseite zur Privatsphäre verwiesen,

Ich habe mal einen Screenshot mit einem Ausschnitt der Seite angefertigt. Man wird mit einem ePrivacyseal und beruft sich auf die Anonymisierung der Daten, Transparenz und reklamiert eine Konformität mit Europäischen Datenschutzregeln. Zudem führt man an, dass globale Marken wie Uber, Rovia, zalando, Deezer & Co. der Firma vertrauen.

Das Ganz liest sich sehr nett, ist in meinen Augen aber eine Null-Nummer. Wer hat das ePrivacyseal ausgestellt und was besagt das genau? Ein verlinktes Logo, was da Auskunft gibt? Fehlanzeige. Transparenz in Bezug auf die Daten? Kann ich als Außenstehender nicht kontrollieren. Übereinstimmung mit den europäischen Datenschutzregeln? Die sind schon löchrig wie ein Schweizer Käse – ich erinnere an den Artikel EU und USA einigen sich auf neuen Safe Harbor-Deal „EU-US-Privacy Shield“, der Licht auf die Angelegenheit wirft. Zudem werde ich nachfolgend noch eine Aussage treffen. Die Hinweise auf der Adjust-Webseite sind für mich die berühmte weiße Salbe. Es kann sein, dass alles sauber ist – das mag ich nicht bestreiten. Aber ich kann es als Außenstehender nicht nachprüfen und mehr Informationen gibt es auch nicht.

Nachbetrachtung – im Deutschlandfunk und von mir

Peter Welchering und Manfred Kloiber haben gestern im Deutschlandfunk das Thema nochmals aufbereitet. Das Transkript zur Sendung findet sich im Artikel Welche Nutzerdaten die Firefox-App tatsächlich sammelt (danke an Andreas für den Link). Sowohl die Mozilla Foudation als auch Ajust haben in einer Telefonkonferenz mit Peter Welchering offen gelegt, welche Daten übertragen werden. Hier eine kurze Zusammenfassung der relevanten Punkte (die Details lest ihr im verlinkten Transkript nach).

  • Welchering hatte in der ersten Sendung darauf hingewiesen, dass  “wir nicht wissen, welche Daten über mein Surfverhalten an die Server der Adjust GmbH gehen, sondern nur, dass Daten über mein Surfverhalten dahin gehen.”
  • Sowohl Mozilla als auch die Adjust GmbH haben auf die Fragen geantwortet. Wer auf seinem Smartphone oder Tablet Firefox Klar oder Android Firefox Beta installiert hat und damit ins Internet geht, der kann davon ausgehen, dass Daten von seinem Gerät an einen Server der Berliner Adjust GmbH geschickt werden. Genauer: das sogenannte Adjust SDK fragt Daten ab.
  • Die Adjust-SDK macht HTTPS-Anfragen beim ersten Start der App, bei einem Session Resume und bei bestimmten Ereignissen, die von Mozilla definiert werden. Im Fall von Mozilla misst Adjust die Anzahl der Personen, die Content-Blockierung aktivieren und für welchen Browser (z. B. Firefox, Safari) sie es aktivieren. Dies ist eine wichtige Information für Mozilla, um zu wissen, ob ihre App nützlich ist oder nicht: Wenn sie die Blockierung von Inhalten für eine große Gruppe von Menschen fördern, die sie nicht nutzen, erreichen sie keine Menschen, die solche Dienste benötigen.
  • Adjust nutzt eine Werbe ID, um eine Klar-Installation einer früheren Werbeanzeige zuzuordnen. Mit anderen Worten: Adjust verfolgt nach, ob ein iOS-Nutzer Klar entdeckt hat, indem er eine mobile Anzeige angeklickt hat, um Klar zu installieren, und dann kann Adjust aggregierte Zahlen über die Installationen an Mozilla liefern.
  • Interessant dabei ist, wie der Bezug einer bestimmten Firefox-Installation hergestellt wird. Dazu schreibt die Adjust GmbH: „IP-Adressen werden an unsere Server gesendet und sofort umgewandelt, zusammen mit einer Reihe Informationen weiterer Geräte-Metadaten. Die Umwandlung besteht aus einer verketteten Zeichenfolge mit der IP-Adresse, Informationen aus der User-Agent-Zeichenfolge und einem anwendungsspezifischen Zusatz. Diese Daten werden dann nur für das Matching zwischen Werbe-Interaktionen (Anzeigen-Klicks oder Views) und der ersten App-Installation verwendet. Sie werden nur solange gespeichert, wie das IP-Fingerprinting-Fenster geöffnet ist, was typischerweise 5-10 Stunden und maximal 30 Tage beträgt. Wir können hier keine genauen Angaben machen, welche Einstellungen Mozilla benutzt. IP-Adressen werden nicht in einer anderen Form gespeichert.“

Peter Welchering fasst zusammen “Da gehen sehr umfangreiche Daten an die Adjust Server, wie wir herausgefunden haben. Und ich habe mir auch noch einmal bestätigen lassen, dass die dahin gehen. Also geliefert werden u.a. die IP-Adresse, der Name des Endgerätes, der Prozessortyp, die ID für Werbetreibende. Die Geräteidentifikationsnummer, der Hardwarename, das Betriebssystem samt Version und die Geräteidentifikationsnummer.”

Und hier kommen wir an den Knackpunkt des Ganzen. Man kann der Ajust GmbH und Mozilla nach aktuellem Kenntnisstand nicht unterstellen, dass da der Benutzer ausgespäht wird. Aber mal auf den Punkt gebracht: Spiegeln wir das Ganze an den Eigenbekundungen der Adjust GmbH und von Mozilla, bleibt “gut gemeint ist das Gegenteil von gut gemacht”.

  • Wenn die oben genannten Merkmalsdaten anfallen – und das tun sie, wird nicht bestritten – gibt es die Gefahr von Missbrauch. Und es gibt immer wieder die Fälle, wo Wissenschaftler nachweisen, dass die Daten doch wieder individualisiert werden können. Das Ganze ist kritisch zu sehen.
  • Der Knackpunkt liegt aber in der Aussage begründet, dass die Daten anonymisiert werden, aber eine IP-Adresse übertragen werde. Man ist also mit europäischem Datenschutzrecht in Einklang? Eine IP-Adresse wird juristisch als persönliches Datum betrachtet (siehe EU-Urteil zu IP-Adressen in diesem Beitrag, diesen deutschsprachigen Beitrag und hier (gelöscht), Beitrag bei heise.de, Deutschlandfunk, Beitrag zu Auswirkungen, Urteilstext). Als Blog-Betreiber muss ich sicherstellen, dass keine IP-Adressen von Besuchern an Dritte herausgehen – und alleine die Speicherung wird jetzt vor dem BGH neu verhandelt. Es ist zwar juristisch nicht das Gleiche wie die Weitergabe der IP-Adressen von Site-Besuchern an Dritte, aber ich würde die IP-Adresse in den vom Tracking-Framework übermittelten Metadaten als kritisch ansehen.

Ich erkenne an, dass die Mozilla Foundation und die Adjust GmbH bemüht sind, das Thema aufzuklären. Es mag auch sein, dass da alles gut gemeint war. Aber transparent und im Sinne von “wenn keine Daten anfallen, können die auch nicht missbraucht werden” ist das alles nicht. Zumindest irritieren mich einige der obigen Aussagen zur Erfassung und Anonymisierung der Daten doch etwas. Was meint ihr?

Ähnliche Artikel:
Firefox Klar: “Datenschutz-Browser” als Datenschleuder
Firefox: Tracking- und Telemetrie-Einstellungen
Firefox und Google Chrome verhunzen SSDs
Firefox-Nutzer aufgepasst: PUPs deaktivieren Safe-Browsing-Mode
Wenn der Firefox Bilder zuletzt besuchter Webseiten zeigt
EU und USA einigen sich auf neuen Safe Harbor-Deal „EU-US-Privacy Shield“
Safe Harbor: EuGH erklärt Abkommen für ungültig
Privatsphäre: Daten sind das ‘neue Öl’

Dieser Beitrag wurde unter Android, Firefox, iOS, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Firefox Klar und das Datentracking–Nachlese

  1. gs sagt:

    naja…

    im ersten Artikel vom DLF zu dem Thema stand noch: „…das heißt, man kann genau sehen, welche Aufrufe jedes einzelne Gerät macht im Internet, welchen Server es kontaktiert, man kann auch sehen, welche Daten übergeben werden, wenn man dann im Internet surft und sich anschaut, welche Daten wohin geliefert werden…“

    das jetzt relativiert das ganze schon wieder deutlich, wobei: welche IP-Adresse wird hier übertragen? nur die vom Device oder auch die der Seite, die aufgerufen wird ?-) Für die Werbetreibenden wäre ja sicherlich gerade letzteres interessant (bzw. ob da geblockt wird, damit hätte man dann dafür auch da eine „Notwendigkeit“…)

    Aber eigentlich auch egal, sowas braucht eh keiner.

    Schönen Sonntach noch!

  2. GPBurth sagt:

    Der interessante Teil ist “ und bei bestimmten Ereignissen, die von Mozilla definiert werden“. Welche das *derzeit* sind wurde abgefragt, aber an keiner Stelle des DLF-Beitrags kam heraus, ob Mozilla (und Adjust) sich verpflichtet hat, nicht zukünftig nach Belieben diese Ereignisse zu ändern – bespielsweise auf „jeder Webseitenaufruf“. Ebenso kann die Art der übermittelten Daten geändert werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert