Die Diskussion um die Datenerhebung und Datenweitergabe von Firefox Klar und Android Firefox Beta wird im Anschluss an meinen Beitrag vom vergangenen Samstag im Deutschlandfunk gerade in den sozialen Netzen und auf unterschiedlichen Foren verschiedener Medien sehr intensiv geführt. Teilweise wird sehr emotional argumentiert. Teilweise wird in den befürchteten Auswirkungen stark übertrieben. Und zum Teil ist die Diskussion einfach unübersichtlich und verwirrend geworden. Deshalb fasse ich den Stand der Recherche hier noch einmal zusammen, um in den unterschiedlichen Diskussionssträngen das alles nicht jedesmal mühselig wiederholen zu müssen. Die Transparenz meiner Arbeit ist mir hier sehr wichtig. Denn Journalisten nehmen eine öffentliche Wächterfunktion wahr und sollten deshalb auch so transparent wie möglich arbeiten. Deshalb habe ich ja gestern auch schon eine Videostellungnahme abgegeben.
Mozilla hat zum Sendebeitrag eine öffentliche Erklärung herausgegeben, die an verschiedene Medien und auch an mich ging. Ich darf laut Pressesprecherin in Deutschland diese Erklärung in toto zitieren und halte diese Erklärung auch für geeignet, die Diskussion voranzutreiben.
„Firefox Klar ist ein Browser für iOS, der von Mozilla entwickelt wurde. Wie Klar Informationen sammelt und mit diesen umgeht, können Sie in der Datenschutzerklärung von Klar nachlesen.
Wie die meisten Web-Browser legt Klar während einer Browser-Sitzung eine lokale Kopie Ihres Webseitenverlaufs an. Klar ermöglicht ein einfaches Löschen dieses Seitenverlaufs vom genutzten Gerät mit nur einem Tippen auf den Löschen-Button. Der Webseitenverlauf wird durch das Adjust-SDK weder an Mozilla noch an Adjust gesendet.
Klar beinhaltet ein SDK von einem Unternehmen namens Adjust, um eine Analyse des Produkts zu ermöglichen. Um unseren Nutzern gute Produkte bereitzustellen, müssen wir verstehen, wie diese verwendet werden und wie erfolgreich sie sind. Mithilfe des Adjust-SDK können wir Installationen des Browsers und Interaktionen mit ihm erfassen. In den Einstellungen gibt Klar die Möglichkeit, das Analysetool auszuschalten. Welche Informationen über das Adjust-SDK versendet werden, erfahren Sie hier im Detail.
„Klar als eigenständiger Browser ist ein neues Produkt, das früh auf seine Markttauglichkeit hin geprüft werden muss. Wir haben uns dabei für eine Opt-Out-Lösung entschieden, um von einer möglichst heterogenen Nutzergruppe Informationen über ihre ersten Interaktionen mit dem Produkt zu erhalten. Wir sind davon überzeugt, dass uns ein solcher Ansatz hilft, möglichst unverfälschte Informationen zu erhalten, um so nachvollziehen zu können, wie Klar genutzt wird und letztlich verbessert werden kann.
Wir bedauern, wenn wir es versäumt haben, bezüglich Ihrer Fragen Kontakt mit Ihnen aufzunehmen. Bei weiteren Fragen bezüglich Klar, Firefox oder anderen Mozilla-Produkten, wenden Sie sich gerne an“ (Adresse herausgenommen pw)
Diese Erklärung ist von verschiedenen Medien und auch zahlreichen Diskutanten im Netz aufgegriffen und sehr unterschiedlich interpretiert worden. Deshalb halte ich es noch einmal für wichtig, kurz und knapp die Kernpunkte, um die es mir im Beitrag und natürlich auch jetzt noch geht, darzustellen:
1. Firefox Klar sammelt Daten über mein Surfverhalten. Dazu gehört auch die lokale Kopie des Webseitenverlaufs, die nach Mozillas Aussagen nicht an die Adjust-Server gesendet wird. Diese lokale Kopie wird allerdings auch nicht ohne weiteres nach Sitzungsende gelöscht.
2. Wenn ich surfe, erhält der Adjust-Server Daten, zumindest dass ich surfe. Auch das sind Daten über mein Surfverhalten.
3. Ich kann diese Funktion abschalten. Aber eine solche Opt-out-Lösung halte ich für unzureichend. Ich halte hier eine Opt-in-Lösung für angebracht, bei der der Firefox-Anwender aktiv bestätigen muss, dass Daten an den Adjust-Server gesendet werden.
4. Ich halte das Zwischenschalten eines Drittanbieters im Sinne der Sicherung von Privatheit für schädlich.
Um etwaige Zusammenhänge zwischen Punkt 1 und Punkt 2 gegebenenfalls im Zusammenwirken mit der von Mozilla bestätigten Werbe-ID aufklären zu können, habe ich Mozilla um Beantworten dieser Fragen gebeten:
Mozilla vergibt laut eigenen Unterlagen eine Werbe-ID an Nutzer von Firefox Klar. Wie wird diese Werbe-ID weiterverarbeitet? Welches Format hat diese Werbe-ID? Wo wird diese Werbe-ID auf den Endgeräten gespeichert?
Es werden IP-Adressen erhoben. Wie werden diese IP-Adressen weiterverarbeitet? Werden diese IP-Adressen dauerhaft gespeichert?
Unsere Analysen haben gezeigt, dass get-Befehle erfolgen, sobald Firefox Klar aufgerufen wird. Welche Datenpäckchen werden mit diesen Befehlen abgefragt? Wie werden diese Datenpäckchen weiter verarbeitet? Werden diese Datenpäckchen dauerhaft gespeichert?
Warum werden diese Daten im Falle von Firefox Klar an einen Dritten geschickt jund dort weiter verarbeitet?
Was geschieht mit den Daten, die Mozilla bei anderen Firefox-Versionen anfordert und auf eigenen Servern verarbeitet?
An welchem Punkt werden die gesammelten Daten anonymisiert?
Handelt es sich bei den Anonymisierungslösungen um eine Pseudonymisierung, relative Anonymisierung oder um eine absolute Anonymisierung? Wie und mit welchen Algorithmen wird für Anonymisierung gesorgt.
Ich habe neben der deutschen Version auch eine englische Version meiner Fragenliste an Mozilla versandt. Die Antworten stehen noch aus. Über die Antworten werde ich in der Sendung Computer und Kommunikation am nächsten Samstag im Deutschlandfunk berichten.
Um etwaige Zusammenhänge zwischen Punkt 1 und Punkt 2 gegebenenfalls im Zusammenwirken mit der von Mozilla bestätigten Werbe-ID aufklären zu können, habe ich die Adjust GmbH um Beantwortung dieser Fragen gebeten:
Mozilla vergibt laut eigenen Unterlagen eine Werbe-ID an Nutzer von Firefox Klar. Wie wird diese Werbe-ID weiterverarbeitet? Welches Format hat diese Werbe-ID? Wo wird diese Werbe-ID auf den Endgeräten gespeichert?
Es werden IP-Adressen erhoben. Wie werden diese IP-Adressen weiterverarbeitet? Werden diese IP-Adressen dauerhaft gespeichert?
Unsere Analysen haben gezeigt, dass get-Befehle erfolgen, sobald Firefox Klar aufgerufen wird. Das gilt auch für Firefox Android Beta. Welche Datenpäckchen werden mit diesen Befehlen abgefragt? Wie werden diese Datenpäckchen weiter verarbeitet? Werden diese Datenpäckchen dauerhaft gespeichert?
An welchem Punkt werden die gesammelten Daten anonymisiert?
Handelt es sich bei den Anonymisierungslösungen um eine Pseudonymisierung, relative Anonymisierung oder um eine absolute Anonymisierung? Wie und mit welchen Algorithmen wird für Anonymisierung gesorgt.
Zahlt Mozilla der Adjust GmbH Geld für diese Dienstleistung, zahlt die Adjust GmbH Geld für diese Daten an Mozilla?
Weil die Adjust GmbH in Berlin sitzt, habe ich hier nur eine deutsche Version meiner Fragen versendet.
Um diese Punkte und Fragen geht es! Es geht nicht um die Sinnhaftigkeit von Open-Source-Projekten. Es geht nicht um einen großen Spionage-Thriller. Deshalb bitte ich auch darum, die Debatte im Netz auf genau diese offenen Fragen und Punkte zurückzufahren. Nur das bringt uns im gesamten Bemühen um Privatheit und Datenschutz weiter.
Ich wurde von vielen Diskussionsteilnehmern gefragt, wie ich hier meine Rolle verstehe und ob ich emotional gegen Mozilla eingestellt sei.
Die Antwort:
Ich habe den Firefox-Browser in unterschiedlichen Versionen bisher genutzt. Ich greife aber Informationen auf und recherchiere sie gegen, wenn ich sehe, dass sie berichtenswert sind. Ich habe nach meinem bisherigen Stand der Informationen zwei klare Kritikpunkte:
1. Ich halte das Opt-out-Verfahren für untauglich und plädiere für ein Opt-in-Verfahren.
2. Ich halte das Senden von Daten über mein Surfverhalten an einen Drittanbieter für unvereinbar mit Anforderungen an Privacy.
Meine journalistische Aufgabe sehe ich hier in der Aufklärung dessen, was hier geschieht. Deshalb weise ich auch auf meinen jeweiligen Informationsstand und die Folgerungen, die ich daraus ziehe, hin. Deshalb habe ich meine Fragen an Mozilla und Adjust auch aufgeschrieben und diesen zugeleitet. Darüber berichte ich. Darin besteht das journalistische Geschäft. Und noch eine Anmerkung: Ich halte nichts vom sogenannten anwaltlichen Journalismus. Ich bin hier als Journalist nicht Partei und ergreife in der Berichterstattung nicht Partei. Ich habe natürlich eine persönliche Meinung. Die äußere ich in Meinungsbeiträgen, nicht in der Berichterstattung.
Kommentar schreiben
Name (Mittwoch, 15 Februar 2017 20:44)
Danke für Ihren journalistischen Einsatz! Mozilla Firefox wurde zwischenzeitlich zu einem Boliden, der selbst mit Adblocker, Flash-Sperre, Cookieblockern und Anderem nur noch beschränkt kontrollierbar wirkt. Das Vertrauen in die Integrität der Foundation und Entwickler ist bei mir schon länger gesunken. Wer 'small is beautiful' 'keep it simple' und 'never change a running system' in der IT nicht mehr als valide Konzepte achten sollte, wird hoffentlich vom Markt verschwinden.