Der Browser Firefox versteht sich selbst als Software, die privatsphärefreundlich ist und Nutzer:innen viele Möglichkeiten gibt, selbst zu bestimmen, was mit ihren Daten passiert. Mit der neuen Firefox-Version 128 hat Mozilla allerdings ungefragt eine neue Technologie für angeblich „datenschutzfreundliche digitale Werbung“ in den Browser eingebaut. Pikant daran: Wer diese nicht will, muss die Funktion mittels Opt-Out selbst wieder aus dem Browser entfernen.
Bei der Technologie handelt es sich um Privacy Preserving Attribution (PPA), welche Firefox im Februar 2022 angekündigt hatte. Zusätzlich kaufte Mozilla im Juni dieses Jahres das Unternehmen „Anonym“, das von ehemaligen Meta-Managern aufgebaut wurde. Mit dem Kauf des Unternehmens und der neuen Funktion steigt Firefox quasi in den Werbemarkt ein.
Ohne zu fragen
Firefox begründet die Einführung der Technik damit, dass es eine Alternative für die herkömmliche Tracking-Werbeindustrie schaffe und damit letztlich ermögliche, dass Werbung weniger tief in die Privatsphäre eingreifen könne. Die nun eingeführte Software misst vereinfacht gesagt auf Browser-Ebene, wie oft eine Werbung dazu führt, dass jemand auf die Seite des Werbetreibenden geht. Dieser in der Werbesprache „Conversion“ genannte Indikator ist für die Werbetreibenden wichtig, um zu sehen, wie erfolgreich eine Werbung ist.
Mozilla argumentiert, dass die standardmäßige, also ungefragte Aktivierung der Funktion dazu beitrage, durch mehr Daten den Nutzen der Messung zu erhöhen. Bas Schouten, technischer Leiter beim Mozilla Performance Team, begründet die ungefragte Aktivierung der Software damit, dass die Technologie für die Firefox-User zu komplex sei, um eine informierte Einwilligung per Opt-In durchzuführen.
In der Erklärung des Projektes heißt es, dass die Funktion zwar weniger Privatsphäre für die Nutzer:innen bedeute, eine größere Anzahl von Nutzer:innen aber den Datenschutz erhöhe, weil sich Personen in einer größeren Menge verstecken könnten. Außerdem behauptet Mozilla, Werbetreibende würden nur erfahren, was viele Menschen als Gruppe klicken, nicht aber, was eine einzelne Person anklickt. Insgesamt würden die Nutzer:innen aber profitieren, weil weniger Privatsphäre-invasive Werbung möglich sei.
Zusätzliche Angriffsfläche
IT-Blogger Jonah Aragon hält es hingegen grundsätzlich für falsch, dass Browser auf die Werbeindustrie zugeschnitten würden. Er schreibt in einem Blogbeitrag, dass Mozilla mit der Einführung behaupte, dass die Werbeindustrie ein legitimes Interesse hätte, Daten über Nutzungsverhalten zu sammeln.
Privacy Preserving Attribution sei aus seiner Sicht nur eine zusätzliche Angriffsfläche gegen den Schutz der Privatsphäre. Sie habe für die Endnutzer:innen keinerlei Wert, da ihr einziger Zweck darin bestehe, der Werbeindustrie Daten zu liefern. Aragon fordert statt Kompromissen mit Werbetreibenden, dass Mozilla mehr daran arbeiten solle, unerwünschte Datensammlungen aktiv zu verhindern.
Der Blogger kritisiert auch, dass das Argument von Mozilla, dass PPA technisch zu komplex sei, um von den Nutzer:innen verstanden zu werden, nur vorgeschoben sei. Diese seien „durchaus in der Lage, grundlegende Konzepte wie Tracking zu verstehen“, schreibt er. Sie könnten sehr wohl eine informierte Entscheidung darüber treffen, ob sie wollen, dass ihr Browser sie trackt. Der Browser-Anbieter wüsste in Wahrheit genau, dass die Nutzer:innen ein Werbetracking nicht wollten: „Mozilla weigert sich, dies anzuerkennen, weil es in ihrem besten (finanziellen) Interesse liegt, so viele Menschen wie möglich dazu zu bringen, diese Funktion zu nutzen.“
Auch der Blogger Don Marti zweifelt an, dass die PPA einen Mehrwert für die Privatsphäre brächte. Vielmehr sollten sich Browser darauf konzentrieren, dass nicht die Wünsche der Werbebranche bedient würden, sondern die Wünsche der Nutzer:innen.
So entfernst Du die neue Funktion
Im Firefox lässt sich die Funktion unter „Einstellungen“ bei „Datenschutz & Sicherheit“ entfernen, indem man den Haken bei „Websites erlauben, datenschutzfreundliche Werbe-Messungen durchzuführen“ herausnimmt. Auch andere Browser nutzen solche Technologien: Hier steht, wie man in Apples Safari und Googles Chrome die Privatsphäreeinstellungen verbessert.
Hinweis zur Klarstellung, 23.7.24:
Wir haben den zeitlichen Ablauf der Ankündigung der Einführung von PPA durch Mozilla und dem Kauf des Unternehmens „Anonym“ konkretisiert.
Ab sofort: Brave.
Wem Brave zuwider ist, weil der CEO homophob sei, gerne auch Tor.
Für uns Datenschützer bedeutet das nun, Firefox zu boykottieren.
Das ist halt kontraproduktiv: zum einen kann man es abschalten und hat daher keinen unmittelbaren Handlungsbedarf, zum anderen ist Mozilla durchaus beeinflussbar.
Aber der progressive Linke liebt ja die konsequente Zerstörung des Bösen[tm], und das geht leider nur in den eigentlich eigenen Reihen 8)
Firefox boykottieren? Und dann? Ist Google mit Chrome/Chromium der einzig relevante Player im Browsermarkt. Wir brauchen dringend einen Browser, der technisch nicht komplett von Google abhängt. Mozilla liefert mit dem Firefox das Fundament für den Tor Browser, LibreWolf, Mull, Mullvad Browser und so weiter. Besser man spiegelt Mozilla zurück, wie ungeschickt dieser Move war und ermuntert Mozilla, deutlich mehr als bisher auf ein Spendenmodell zu gehen, anstatt die nerdige und datenschutzliebende Kernnutzerschaft des Firefox mit solch ungeschickten Dingen zu verärgern.
Das Browserprojekt Ladybird sollte man darüber hinaus im Auge behalten: https://ladybird.org/
Hierzu eine Statistik:
https://www.stackscale.com/wp-content/uploads/2023/05/Evolution-web-browser-market-share-2007-2023.jpg
Chrome ist seit Ewigkeiten der Big Player unter den Browsern. Safari weit abgeschlagen auf Platz 2. Und Firefox ist in den letzten Jahren in die Bedeutungslosigkeit verschwunden.
Klar. WIR Nerds benutzen gerne Firefox. Aber wir benötigen schon die 15-20% und mehr, um Chrome aufzumischen. Und Chrome benutzen die Leute, „weil es alle haben“ und man eh nichts zu verbergen hätte.
Der Boykott soll den CEO von Mozilla, Mitchell Baker bestrafen. Sie soll erfahren: Oh nein! Niemand benutzt unsere Browser mehr! Es war ein großer Fehler!
Dann wird sie beispielsweise den Weg gehen müssen, den du vorgeschlagen hast.
> Das Browserprojekt Ladybird sollte man darüber hinaus im Auge behalten: https://ladybird.org/
Einen Browser von Grund auf neu zu programmieren, ist schon eine coole Idee aber die müssen auch noch einen weiten Weg gehen.
Das fängt mit Nicht-Standart-Nutzer-Interface an: Immerhin hat er eine Titelleiste, aber unter die Titelleiste gehört selbstverständlich, die Menüleiste, darunter die URL-Leiste und darunter die Tableiste. Die Statusleiste fehlt, die Scrollbalken haben keine Pfeile und die sind auch noch transparent über den Inhalt gelegt, Systemeinstellungen zu ignorieren geht auch nicht.
Die Textbox, in der ich das hier tippe scrollt nicht mit dem Text, ich kann den Text-Marker nicht mit der Maus an eine andere Stelle bewegen. Sehr übersichtlich sind die Einstellungen. Aber das ist ja nicht einmal ein Alpha-Release, mit vier Leuten sollte das auch noch dauern.
Finger weg! Brave ist Chrome und Chrome ist Google. Google hält sich nicht vollständig an die W3C sondern versucht die eigenen Vorstellungen eines Internetz durchzudrücken, was FF und Co schadet.
Zuerstmal ist Brave ChromIUM basiert. ChromIUM ist Opensource, und Opensource bedeutet Nerds haben ihre Finger drin, sodass der Browser weitaus besseren Datenschutz bietet.
Weiterhin wurde der Browser desöfteren auf Nutzerfreundlichkeit und Datenschutz getestet und belegte regelmäßig die vorderen und vordersten Rängen.
Wer als Datenschützer angesehen werden will, sollte keinen Bullshit von sich geben.
Ich gehe konform mit Richard M. Stallman, thank you.
„Bas Schouten, technischer Leiter beim Mozilla Performance Team, begründet die ungefragte Aktivierung der Software damit, dass die Technologie für die Firefox-User zu komplex sei, um eine informierte Einwilligung per Opt-In durchzuführen.“
Mit anderen Worten: Mozilla geht davon aus, keine Einwilligung der User zu bekommen, wenn diese aufgeklärt und bei klarem Verstand sind, also nutzt man wie jedes Unternehmen, das heute an Userdaten will, die K.o.-Tropfen-Methode: Still und heimlich unterjubeln und hoffen, dass niemand es bemerkt oder petzt.
„Mit anderen Worten: Mozilla geht davon aus, keine Einwilligung der User zu bekommen, wenn diese aufgeklärt und bei klarem Verstand sind,“
Nein. Lesekompetenz: Mozilla geht davon aus, dass der User es nicht versteht und daher gar nicht entscheiden kann.
Das ist mE verquer argumentiert und am Punkt vorbei, aber nicht das oben behauptete.
Ist es das? Mozillas Handlungen sprechen eine andere Sprache. Mal ganz plump: Wenn ein Kind gewisse Handlungen nicht versteht und daher nicht über die Einwilligung entscheiden kann, ist die Konsequenz, die wir daraus ziehen, auch nicht, dass der Erwachsene dann halt einfach von einer Einwilligung ausgehen und erst mal „loslegen“ darf – ganz im Gegenteil. Das ist ein in höchstem Maße übergriffiges Verhalten, und es ist an der Zeit, dass man das auch bei gewissen Unternehmenspraktiken endlich als solches bezeichnet. Warum sollten wir bei Datenschutz einen anderen Standard an den Tag legen? Warum sollten wir da nicht genauso den Grundsatz „Nur Ja heißt Ja“ durchsetzen – insbesondere, da manche Firmen (ob Mozilla sich da auch noch einreiht, bleibt abzuwarten) noch nicht einmal „Nein heißt Nein“ respektieren, sondern bei vom User deaktivierten Telemetrieoptionen mit dem nächsten Softwareupdate still und heimlich den Haken einfach wieder setzen? Die Grundannahme, dass man in Closed-Source-Software außerdem immer Schnüffelfunktionen verstecken kann, von denen die User nichts wissen, lassen wir an der Stelle mal außen vor.
Aus meiner Sicht bedeutet die Einführung von „PPA“ als opt-aut eine einseitige Vertragsänderung oder eine nicht zu erwartende Änderung der AGB. Dies insbesondere, weil Mozilla mit Datenschutz wirbt.
Doch die Nutzer als inkompetent darzustellen, das schlägt dem Fass den Boden aus. Mozilla weiß genau, dass niemand PPA freiwillig einschalten würde.
Wie denn noch mehr Tracking zu weniger Tracking führt müssten sie mir auch mal erklären. Immerhin landen die Daten auf einem Server von Mozilla, ohne dass ich das überprüfen kann.
Und was, wenn morgen noch einmal eine Änderung der AGB erfolgt? Die Daten haben sie dann ja schon.
Und auch die Behauptung, PPA den Datenschutz erhöhe ist nicht nachvollziehbar. Glaubt denn irgendwer, die Medien und Werbetreibenden würden ihre Schnüffelei nur einstellen, nur weil Mozilla ihnen (zusätzliche) Daten zur Verfügung stellt. Das Gegenteil ist der Fall. Denn PPA bedeutet Konkurrenz für die Werbeindustrie. Sie werden das keinesfalls zulassen.
Zuletzt: wirklich überraschend finde ich das Verhalten von Mozilla aber doch nicht. Wer sich einmal user,js angesehen hat und die vielen Links, die nicht nur auf Mozilla zeigen sondern insbesondere u.A auf Google, der weiß dass sie Daten erheben, was, was sie nur können. Es ist eine Schande, dass nur halbwegs kompetente Nutzer da durchsteigen können, um den Schutz ihrer Daten zu verbessern. Wieso benötige ich eigentlich µblock/µmatrix um mich zu schützen? Firefox könnte das eigentlich auch selbst.
Man tut was man kann. Doch sicher sein kann man nie.
> Es ist eine Schande, dass nur halbwegs kompetente Nutzer da durchsteigen können, um den Schutz ihrer Daten zu verbessern.
Worin besteht denn die Schande, wenn das hier ein angemessener Begriff sein sollte?
Dass mangelnde Kompetenz beklagt wird, obgleich man sich diese mit wenig Mühe längst hätte selbst aneignen könnte, wenn man es denn je gewollt hätte?
Wessen Schande ist es, von anderen zu fordern, man möge doch nicht auch noch bei ritueller Kulturarbeit wie dem Konsumieren und dem Puffbesuch ausspioniert zu werden?
Wessen Schande ist es, beim „nur weiter so“ unbehelligt bleiben zu wollen?
Die user.js sollte leer sein. Wenn nicht ist was nicht in Ordnung. Ich hatte einmal Cookies aktiviert drinn. Hatte den Effekt, wenn ich Cookies auf Standart-Einstellung setzte, dass heißt deaktiviert, waren sie nach einem Neustart wieder aktiviert.
Ich hatte die Cookie-Option „Jedes Mal Nachfragen“ aktiviert, so dass ich die Cookies nach der ersten Meldung deaktivieren konnte. Dann hat Mozilla diese Option rausgenommen, statt alle Cookies abzuweisen, hatte Firefox plötzlich alle Cookies akzeptiert ohne mir was zu sagen. Sehr dreckig, und so viel dazu, Mozilla würde sich um Privatsphäre scheren.
Mit jedem Update hat Mozilla was kaputt gemacht, da bin ich dann zu Waterfox gegangen. Leider ist das auch nur ein Clone der von Firefox code abhängt.
(Wir haben diesen Kommentar nachträglich um ein Schimpfwort bereinigt. – D. Red.)
Genügt diese Form von Dehumanisierung den Leitlinien für „Ergänzungen“ von Netzpolitik.org?
Danie für den Artikel.
Komischer move von Mozilla.
Allerdings gibt es die im Artikel genannte Einstellung nicht im Firefox Android (128.0). Ggf. ergänzt man noch ob/wie man es da deaktiviert.
„Dieses Unternehmen hat Mozilla im Juni gekauft, es wurde von ehemaligen Meta-Managern aufgebaut.“ wird von einigen so verstanden, dass Anonym Mozilla gekauf habe und nicht umgekehrt.
Beispiel hier: https://bsky.app/profile/rennsemmler.bsky.social/post/3kxesycbqns2a
Vielleicht könnt ihr den Satz umformulieren um das klarer zu machen.
Ich habe die Sätze etwas umgestellt, damit es klarer wird.
Gibt es eine Möglichkeit, die Einstellung zentral per GPO zu setzen? In der aktuellen admx finde ich dazu noch nichts.
Same here, hab die GPOs von hier https://github.com/mozilla/policy-templates und auch mit einem Texteditor finde ich in der admx – nix.
Aber man ist ja flexibel…
Alternativen:
– admx und adml händisch selber erweitern
– via user.js ausrollen
– via GPP und Registrierungseintrag ausrollen
– bis Oktober mit dem großflächigen Deployment warten, bis das ggfs. nachgereicht wird.
Ergänzung Statement Firefox CTO: https://www.reddit.com/r/firefox/comments/1e43w7v/a_word_about_private_attribution_in_firefox/
True private attriburion…
Industry won’t go away…
Irreführend und inakzeptabel.
Tracking ist FCKW.
Vielleicht ist „Librewolf“ ab sofort eine gute Alternative?
Scheint ein Foss Projekt zu sein, ein Firefox mit anderen Voreinstellungen und vorinstallierten Addons (wie UBlock)…
https://librewolf.net/
Das im Artikel beschriebene Tracking kann in der neuesten Firefox-Version wie folgt abgeschaltet werden:
Schritt 1: In Adresszeile „about:config“ eingeben und dann „das Risiko“ akzeptieren. Auf „Einstellungen“ gehen und dann
Schritt 2 ausführen: Folgende Zeile suchen und den Wert mit den Doppelpfeiltasten rechts so ändern, dass „false“ statt „true“ gesetzt ist. Die Zeile muss dann so aussehen:
dom.private-attribution.submission.enabled = false
Fertig!
Seit Google Mozilla quasi erpresserisch infiltriert hat, kann man dem eigentlich guten Browser nicht mehr trauen. Schade, denn nötig haben die das nicht.
Im mobile Firefox muss man dafür about:config erst über chrome://geckoview/content/config.xhtml freischalten, dort „aboutConfig“ suchen.
Ja, ist bei 128.0 standardmäßig an.
Tor und alles ok
Wenn im Gerät erzeugte Standortdaten via Tor übertragen werden, dann ändert exakt Null am Problem.
“ dass die Technologie für die Firefox-User zu komplex sei, um eine informierte Einwilligung per Opt-In durchzuführen.“ – und deswegen ist opt-out die richtigere Wahl? Ich lache mich schief. Wie schräg kann man eigentlich argumentieren. Die Einwilligung ist zu komplex, weil die ganze Werbeindustrie absichtlich komplex ist um den Nutzenden Dinge zu verschleieren die sie nicht wollen. Und deswegen zumindest in der bisherigen Form abgeschaltet gehört. Punkt.