Mike Kuketz
16. Mai 2024 | 09:39 Uhr

Firefox: Datenschutzverstoß bei der Android-Version

Auf der Seite »Firefox Browser-Funktionen« wird Firefox von Mozilla wie folgt beworben:

Ist Firefox ein privater Browser?

Wir stellen dein Recht auf Datenschutz in den Mittelpunkt. Deine Daten, deine Webaktivitäten, dein Online-Leben sind mit Firefox geschützt.

In der Vergangenheit hat Mozilla bereits gezeigt, dass der Firefox zwar auf Datenschutz ausgerichtet ist, aber es selbst nicht konsequent umsetzt. Es ist also mal wieder Zeit, die Aussage von Mozilla zu prüfen. Analysiert habe ich Firefox für Android in der Version 125.3.0 und 126.0.

Datenschutzverstoß unmittelbar nach dem Start

Unmittelbar nach dem Start verbindet sich Firefox unter anderem zu Adjust¹, einem Unternehmen, das sich auf das Tracking und die Analyse von Nutzern innerhalb von Apps spezialisiert hat [app.adjust.com]:

¹ Hauptfirmensitz Berlin, Deutschland – 2021 übernommen durch AppLovin (US-Unternehmen)

POST /sdk_click HTTP/1.1
Client-SDK: android4.38.2
Content-Type: application/x-www-form-urlencoded
User-Agent: Dalvik/2.1.0 (Linux; U; Android 14; Pixel 6a Build/UQ1A.231205.015)
Host: app.adjust.com
Connection: close
Accept-Encoding: gzip, deflate, br
Content-Length: 1176

gps_adid_attempt=1
country=DE
api_level=34
event_buffering_enabled=0
hardware_name=UQ1A.231205.015
app_version=125.3.0
app_token=gqrwnbypw28p
installed_at=2024-05-16T07:05:10.998Z+0200
session_length=0
created_at=2024-05-16T08:07:27.396Z+0200
device_type=phone
language=de
gps_adid=b15bef6d-57b6-4938-9265-5037649e02af
referrer_api=google
source=install_referrer
connectivity_type=1
device_manufacturer=Google
display_width=1080
time_spent=0
device_name=Pixel 6a
needs_response_details=1
os_build=UQ1A.231205.015
updated_at=2024-05-16T08:05:10.998Z+0200
cpu_type=arm64-v8a
install_version=125.3.0
screen_size=normal
screen_format=long
gps_adid_src=service
subsession_count=1
os_version=14
google_play_instant=0
install_begin_time_server=2024-05-16T07:05:02.000Z+0200
android_uuid=0f78db57-9aa9-4338-9399-f954fa7b993b
referrer=utm_source=google-play&utm_medium=organic
environment=production
screen_density=high
attribution_deeplink=1
install_begin_time=2024-05-16T08:05:03.000Z+0200
session_count=1
display_height=2205
package_name=org.mozilla.firefox
os_name=android
ui_mode=1
tracking_enabled=1
sent_at=2024-05-16T07:08:27.412Z+0200

Es werden UIDs/IDs (u.a. auch die Google-Advertising-ID (b15bef6d-57b6-4938-9265-5037649e02af)) und diverse Gerätedaten (Modell, Hersteller, Auflösung, CPU) etc. vom Gerät abgefragt und ohne Einwilligung an Adjust übermittelt. Ich kann es nur gebetsmühlenartig wiederholen: Solche Zugriffe auf Endgeräte für Zwecke der Webanalyse, der Marktforschung und für jede Form der Werbung ohne informierte Einwilligung sind nach § 25 Abs. 1 TDDDG unzulässig. § 25 TDDDG regelt den Schutz der Privatsphäre bei Endgeräten und setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie um. Noch dazu handelt es sich bei der Google-Advertising-ID um ein personenbeziehbares Datum, weshalb ebenfalls die DSGVO anwendbar ist. Und egal, was irgendwelche Mozilla-Fanboys jetzt erzählen: Diese Weitergabe ist ein klarer Verstoß gegen die DSGVO und das TDDDG. Da gibt es keinen Diskussionsspielraum. Im Rahmen meiner Tätigkeit beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) gehen wir solchen Verstößen täglich nach.

Was sagen die Datenschutzhinweise von Mozilla dazu? Unter »Messen zur Unterstützung unseres Marketings« steht:

Firefox gibt standardmäßig anonymisierte Daten aus Marketingkampagnen an unsere Anbieter von Marketingkampagnen weiter, um die Leistung der Kampagnen zu messen und diese zu optimieren. Hierfür wird auch Adjust eingesetzt, der eine eigene Datenschutzerklärung hat. Google gehört hier ebenfalls dazu. Kampagnendaten umfassen eine Google-Werbungs-ID oder Android-ID, die IP-Adresse, einen Zeitstempel, das Land, die Sprache/das Gebietsschema, das Betriebssystem und die App-Version. Lesen Sie die Dokumentation.

Diese Datenübermittlung ist eines sicher nicht: anonym. Bei der Google-Advertising-ID handelt es sich um ein personenbeziehbares Datum. Und ob eine Nutzungsmessung/Marketingkampagne anonym, pseudonym oder mit personenbezogenen Daten erfolgt, spielt aus Sicht des TDDDG keine Rolle. Entscheidend ist, ob auf dem Endgerät eine Speicherung von Informationen erfolgt (bspw. Cookies) oder eine Information aus dem Endgerät ausgelesen wird. Beides ist nach § 25 Abs. 1 TDDDG einwilligungsbedürftig, sofern nicht unbedingt »technisch erforderlich«.

Einen Cookie-Consent-Banner sucht man bei Firefox übrigens vergeblich – für die Übermittlung der Daten wird also nicht einmal eine Einwilligung vom Betroffenen/Nutzer eingeholt. Es erscheint nur ein Onboarding-Dialog:

Einwilligungsbanner Firefox

Der Vollständigkeit halber sind hier alle Verbindungen von Firefox aufgeführt, die unmittelbar nach dem Start des Browsers hergestellt werden:

  • firebaseinstallations.googleapis.com
  • detectportal.firefox.com
  • app.adjust.com
  • o1069899.ingest.sentry.io
  • assets.mozilla.net
  • contile.services.mozilla.com
  • firefox.settings.services.mozilla.com
  • incoming.telemetry.mozilla.org
  • location.services.mozilla.org

Die Dokumentation von Mozilla ist diesbezüglich leider ebenfalls unvollständig:

In Anbetracht der vorliegenden Informationen halte ich solche Werbeaussagen von Mozilla für äußerst fragwürdig:

Welche Daten sammelt Firefox?

Mozilla (Macher von Firefox), nimmt den Schutz deiner Daten sehr ernst. Wirklich sehr ernst. Jedes Firefox-Produkt, das wir entwickeln, muss unser Versprechen zu personenbezogenen Daten einhalten: weniger nehmen. Sicher aufbewahren. Keine Geheimnisse.

Die Übermittlung an Adjust erfordert ganz klar eine informierte, freiwillige, aktive und vorherige Einwilligung vom Nutzer/Betroffenen.

Alternativen zu Firefox

Obwohl Firefox ein solider Browser ist und Mozilla ein respektables Unternehmen, dürfte jeder, der Datenschutz schätzt, feststellen, dass Firefox in seiner Standardkonfiguration leider nicht besonders datenschutzfreundlich ist – er verstößt sogar gegen Datenschutzgesetze.

Wer nicht jedes Mal die Einstellungen von Firefox durchforsten will, um ihn datenschutzfreundlich zu konfigurieren oder sich bei jedem Update über neue Funktionen von Mozilla ärgern will, für den gibt es Alternativen. Zum Beispiel LibreWolf für den Desktop und Fennec/Mull für Android. Alle Varianten/Forks entfernen unter anderem die Telemetrie-Funktionen und setzen damit mehr auf Datenschutz.

Bei LibreWolf/Fennec/Mull handelt es sich übrigens um einen Fork (Abspaltung) von Firefox. Forks haben allerdings im Vergleich zum Mutterprojekt den Nachteil, dass diese meist nur von wenigen Entwicklern betreut werden. Oftmals verzögert sich dadurch die Bereitstellung der aktuellen Version um einige Tage. Dies sollte man im Hinterkopf behalten, wenn eine schwerwiegende Sicherheitslücke in Firefox grassiert bzw. geschlossen wurde – es kann unter Umständen etwas dauern, bis der Patch/Aktualisierung seinen Weg in LibreWolf/Fennec/Mull findet. Wer hohe Ansprüche an die Sicherheit stellt und Gecko-basierte Browser bevorzugt, sollte den originalen Firefox verwenden.

Fennec/Mull in der Version 125.3.0

Keiner der beiden Forks trackt den Nutzer. Ich habe beide Browser analysiert, um diesbezügliche Bedenken auszuräumen.

Wenn ihr weitere Fragen zu Firefox, Datenschutz und Sicherheit habt, schaut doch mal in unser Forum.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Firefox
9. November 2021

Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20

Firefox ist im Auslieferungszustand kein datenschutzfreundlicher Browser - er lässt sich aber zu einem umwandeln.
Fennec
25. Mai 2021

Firefox: Datensendeverhalten Android-App (F-Droid-Version) – Browser-Check Teil6

In der Standardeinstellung übersendet Firefox (Fennec) aus dem F-Droid-Store jede URL bzw. Suchanfrage an Google. Ein unschöner Makel, der den Gesamteindruck trübt.
Bonify SCHUFA
19. Juli 2023

SCHUFA: Bonify übermittelt ohne Einwilligung personenbeziehbare Daten an Facebook und Co.

Die Bonify-App der SCHUFA gibt ungefragt personenbezogene Daten an Facebook und Co. weiter, ohne die dafür erforderliche Einwilligung einzuholen.
Verkehrsverbund Rhein-Ruhr
8. Mai 2023

Verkehrsverbund Rhein-Ruhr (VRR): Tracking ohne Einwilligung – Deutschlandticket Teil2

Ohne Einwilligung: Unmittelbar nach dem Start übermittelt die VRR-App personenbezogene Daten und Gerätedaten an Adjust und Google.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.