Dienstag, 19. März 2024

Archiv

Anti-Tracking-Software
Welche Nutzerdaten die Firefox-App tatsächlich sammelt

Mozilla hat sich zu den Vorwürfen geäußert, die Smartphone-Apps Firefox Klar und Firefox Beta würden Daten über das Surfverhalten der Nutzer weitergeben. Die Presseerklärung sorgte allerdings für noch mehr Verwirrung, anstatt für Aufklärung.

Peter Welchering im Gespräch mit Manfred Kloiber | 18.02.2017
    Eine Frau hält am 10.10.2013 auf einer Pressekonferenz der Telekom-Tochter Congstar in München (Bayern) ein Smartphone, das mit einem Firefox-Betriebssystem ausgestattet ist.
    Die Firefox-Apps Klar und Beta geben bestimmte Daten an die Adjust GmbH weiter. (dpa / picture-alliance / Andreas Gebert)
    Manfred Kloiber: Vergangenen Samstag haben wir an dieser Stelle darüber berichtet, dass Firefox klar Nutzerdaten sammelt und an ein Unternehmen weiterleitet, das sich auf Datenanalysen fürs Online-Marketing spezialisiert hat. Darüber wurde in den sozialen Netzen und auf Foren verschiedener Medien sehr intensiv diskutiert. Peter Welchering, Sie haben zu diesen Diskussionen ja schon am Dienstag in einem Video Stellung genommen und am Mittwoch noch einmal einen Blog-Beitrag dazu veröffentlicht. Wie lief die Diskussion denn?
    Peter Welchering: Teilweise wurde sehr emotional argumentiert. Teilweise wurden die befürchteten Auswirkungen etwas übertrieben, teilweise wurden sie allerdings auch heruntergespielt. Insgesamt ist die Diskussion darüber, welche Daten Firefox Klar und Android Firefox Beta erheben und weiterleiten etwas unübersichtlich und verwirrend geworden.
    Dazu haben vor allen Dingen zwei Punkte beigetragen. Zum einen sicherlich der Umstand, dass wir zum Zeitpunkt der Sendung am vergangenen Samstag keine Antworten von Mozilla und von der Adjust GmbH, die die Daten vom Firefox verarbeiten, vorliegen hatten. Zum zweiten hat allerdings auch eine Presseerklärung von Mozilla die Verwirrung noch etwas vergrößert. Außerdem habe ich in der Sendung nur von Firefox Klar gesprochen und nicht Android Firefox Beta erwähnt. Diese sprachliche Ungenauigkeit haben wir aber gleich nach der Sendung klargestellt.
    Presseerklärung wirft Fragen auf
    Kloiber: Inwiefern hat denn die Presseerklärung von Mozilla die Verwirrung hier noch verstärkt?
    Welchering: Mozilla schrieb in ihrer Presseerklärung: 'Wie die meisten Web-Browser legt Klar während einer Browser-Sitzung eine lokale Kopie Ihres Webseitenverlaufs an. Klar ermöglicht ein einfaches Löschen dieses Seitenverlaufs vom genutzten Gerät mit nur einem Tippen auf den Löschen-Button. Der Webseitenverlauf wird durch das Adjust-SDK weder an Mozilla noch an Adjust gesendet.'
    Daraus haben einige Medien die Botschaft gemacht:Gibt ausgerechnet Mozillas Anti-Tracking-Browser die Surf-Historie an einen Werbevermarkter weiter? Definitiv nein, sagt das Unternehmen. Und dann wurde im Netz darüber diskutiert: Wird ein Browserverlauf an die Adjust GmbH geliefert?
    Kloiber: Und? Wird ein Browserverlauf an die Adjust GmbH geliefert?
    Welchering: Nein, es wird kein kompletter Browserverlauf an die Adjust GmbH geliefert. Das hatten wir allerdings auch nicht behauptet. Wir haben am vergangenen Samstag darüber berichtet, dass Firefox Klar Daten über mein Surfverhalten sammelt. Und wir haben berichtet, dass Daten über mein Surfverhalten an die Adjust GmbH weitergegeben werden. Das ist etwas anderes als die Lieferung einer kompletten Browserhistorie.
    Am vergangenen Samstag haben wir auch noch darauf hingewiesen, dass wir nicht wissen, welche Daten über mein Surfverhalten an die Server der Adjust GmbH gehen, sondern nur, dass Daten über mein Surfverhalten dahin gehen. Inzwischen sehen wir da klarer. Denn sowohl Mozilla als auch die Adjust GmbH haben inzwischen auf unsere Fragen geantwortet. Außerdem gab es am vergangenen Donnerstag noch eine Telefonkonferenz mit Mitarbeitern der Adjust GmbH, auf der noch offene Fragen diskutiert und beantwortet wurden.
    Kloiber: Die Antworten von Mozilla und der Adjust GmbH waren sehr ausführlich und auch ein wenig technisch. Deshalb haben wir die wesentlichen Punkte dieser Antworten zusammengefasst.
    Wichtige Fragen und Antworten
    Wer auf seinem Smartphone oder Tablet Firefox Klar oder Android Firefox Beta installiert hat und damit ins Internet geht, der kann davon ausgehen, dass Daten von seinem Gerät an einen Server der Berliner Adjust GmbH geschickt werden. Genauer: das sogenannte Adjust SDK fragt Daten ab. Die Adjust GmbH hat uns dazu schriftlich mitgeteilt:
    "Die Adjust-SDK macht HTTPS-Anfragen beim ersten Start der App, bei einem Session Resume und bei bestimmten Ereignissen, die von Mozilla definiert werden. Im Fall von Mozilla misst Adjust die Anzahl der Personen, die Content-Blockierung aktivieren und für welchen Browser (z. B. Firefox, Safari) sie es aktivieren. Dies ist eine wichtige Information für Mozilla, um zu wissen, ob ihre App nützlich ist oder nicht: Wenn sie die Blockierung von Inhalten für eine große Gruppe von Menschen fördern, die sie nicht nutzen, erreichen sie keine Menschen, die solche Dienste benötigen."
    Mozilla will also zum Beispiel wissen, ob ein Nutzer auf Firefox Klar etwa durch eine Online-Anzeige aufmerksam wurde und dann die App heruntergeladen und installiert hat. Dafür wird eine ID für Werbetreibende, abgekürzt IDFA genutzt. Mozilla teilte uns dazu schriftlich mit:
    "Adjust nutzt diese ID, um eine Klar-Installation einer früheren Werbeanzeige zuzuordnen. Mit anderen Worten: Adjust verfolgt nach, ob ein iOS-Nutzer Klar entdeckt hat, indem er eine mobile Anzeige angeklickt hat, um Klar zu installieren, und dann kann Adjust aggregierte Zahlen über die Installationen an Mozilla liefern."
    Interessant dabei ist, wie der Bezug einer bestimmten Firefox-Installation zu einer vorhergehenden Anzeigenkampagne hergestellt wird. Dazu schreibt die Adjust GmbH:
    "IP-Adressen werden an unsere Server gesendet und sofort umgewandelt, zusammen mit einer Reihe Informationen weiterer Geräte-Metadaten. Die Umwandlung besteht aus einer verketteten Zeichenfolge mit der IP-Adresse, Informationen aus der User-Agent-Zeichenfolge und einem anwendungsspezifischen Zusatz. Diese Daten werden dann nur für das Matching zwischen Werbe-Interaktionen (Anzeigen-Klicks oder Views) und der ersten App-Installation verwendet.
    Sie werden nur solange gespeichert, wie das IP-Fingerprinting-Fenster geöffnet ist, was typischerweise 5-10 Stunden und maximal 30 Tage beträgt. Wir können hier keine genauen Angaben machen, welche Einstellungen Mozilla benutzt. IP-Adressen werden nicht in einer anderen Form gespeichert."
    Kloiber: In der Mitteilung der Adjust GmbH werden Geräte-Metadaten erwähnt, die an die Server dieses Unternehmens geliefert werden. Was für Daten sind das Peter Welchering?
    Welchering: Da gehen sehr umfangreiche Daten an die Adjust Server, wie wir herausgefunden haben. Und ich habe mir auch noch einmal bestätigen lassen, dass die dahin gehen. Also geliefert werden u.a. die IP-Adresse, der Name des Endgerätes, der Prozessortyp, die ID für Werbetreibende. Die Geräteidentifikationsnummer, der Hardwarename, das Betriebssystem samt Version und die Geräteidentifikationsnummer.
    Kloiber: Was geschieht mit all diesen Daten auf dem Adjust-Server?
    Welchering: Die Daten werden da in eine verkettete Zeichenfolge umgewandelt und für das Matching zwischen Werbe-Interaktion und der ersten App-Installation verwendet. D.h. da wird erhoben, welche Anzeige hat den Nutzer dieses Gerätes denn dazu gebracht, sich beispielsweise Firefox Klar zu installieren. Und mal Rande bemerkt: Auch die Angabe, welche Anzeige ich mir angeschaut habe und schließend Firefox Klar heruntergeladen habe – auch das sind Daten über mein Surfverhalten.
    Kloiber: Nun sagen Mozilla und Adjust ja, die Daten würden pseudonymisiert bzw. anonymisiert. Also: Keine Gefahr?
    Welchering: Die ID für Werbetreibende ist ein Pseudonym. Die wird pseudonym zu den Adjust-Servern gesendet. Diese ID wird von Adjust in eine interne Anzeigen-ID umgewandelt. Und diese interne ID wird dazu verwendet, Datensätze in der Adjust-Datenbank zu erfassen. Insofern stimmt es, wenn Adjust sagt: 'Die von uns gesammelten Daten sind keine persönlich identifizierbaren Informationen'.
    Allerdings handelt es sich um Geräte-Informationen . Es geht hier um sog. Merkmalsdaten. Die können zur Recherche von persönlichen Informationen genutzt werden. Mozilla und Adjust sagen, das tun sie nicht. Das glauben wir ihnen mal. Nur, rein technisch gesehen, geht das.
    "Anwender können Datensammelei ausschalten"
    Kloiber: Was sollte denn Mozilla Ihrer Meinung nach ändern?
    Welchering: Diese Firefox-Versionen werden mit scharfgeschalteter Datensammelfunktion ausgeliefert. Die Anwender können die Datensammelei ausschalten. Dazu muss man wissen, wie es geht, aber es geht. Das Ganze nennt man Opt-out-Lösung. Ich wünsche stattdessen eine Opt-in-Lösung. Also keine standardmäßig scharf geschaltete Datensammelfunktion.
    Aber die Anfrage von mir aus an den Anwender: Lieber Anwender, wir werden gern mehr wissen, wie Du Firefox verwendet. Dürfen wir folgende Daten von Dir erheben und statistisch verarbeiten. Und dann müssten natürlich die genauen Daten angegeben werden. Und nur, wenn der Anwender ausdrücklich zustimmt, dürfen diese Daten gesammelt werden. Das wäre eine bessere Lösung. So, wie Mozilla das jetzt macht, ist das zumindest unglücklich.