Am morgigen 25. Mai tritt die Datenschutzgrundverordnung (DSGVO) vollumfänglich in der EU in Kraft. Seit der Unternehmensgründung hat sich Mozilla für Privatsphärerichtlinien stark gemacht, die nun den Kern von Regularien wie der DSGVO ausmachen, und sie auch selbst umgesetzt – nicht nur in Europa, sondern gültig für unsere globale Nutzer-Gemeinschaft. Es fühlt sich daher an, als würde der Rest der Welt nun an einen Punkt aufschließen, an dem wir uns schon seit langer Zeit befinden.
Die DSGVO betrifft viele verschiedene Teile von Mozilla. In diesem Post wollen wir uns allerdings auf Firefox konzentrieren, anstatt eine umfassende Auflistung von DSGVO-bezogenen Informationen zu teilen, und insbesondere auf unsere Ansichten zu Privacy by Design sowie eine Einschätzung dazu, inwiefern Datenschutz unseren Browser berührt, eingehen.
Privatsphäre entwickelt von Menschen, denen Privatsphäre wirklich am Herzen liegt
Firefox, also der Browser, den Sie installiert haben, stellt Ihr Tor zum Internet dar. Ihr Browser managed eine ganze Reihe an Informationen über die Seiten, die Sie besuchen. Diese Informationen verbleiben lokal auf Ihrem Gerät. Mozilla – das Unternehmen, das Firefox entwickelt – sammelt nämlich keinerlei Daten ohne Ihre Zustimmung.
Mozilla erhebt lediglich eine kleine Auswahl an Daten, die uns zu verstehen helfen, wie Firefox verwendet wird. Ganz bewusst haben wir diesen Vorgang unter Berücksichtigung des Schutzes der Privatsphäre gestaltet. Während also Ihr Browser eine ganze Menge über Sie weiß, verfügt Mozilla über sehr wenige derartige Informationen.
Natürlich ist es aufwändig, einen Browser zu entwickeln, der zugleich leistungsstark ist und respektvoll mit seinen Nutzern umgeht. Bei Mozilla gibt es Entwicklerteams, die sich auf Privatsphäre und Sicherheit konzentrieren und für die Entwicklung eines vertrauenswürdigen Produktes Sorge tragen. Aber damit nicht genug – unsere Gemeinschaft aus Mitarbeitern und Freiwilligen nimmt Mozillas Verantwortung, Sie als Nutzer zu schützen, sowohl ernst als auch persönlich. Dieses Verantwortungsgefühl haben alle bei Mozilla Involvierten gemeinsam – ob Sicherheits-, Plattform- oder Daten-Entwickler, Data Scientists, Produktmanager oder Marketing-Mitarbeiter. Grob zusammengefasst können wir mit einem ganzen Heer an Menschen aufwarten, die Ihnen den sprichwörtlichen Rücken freihalten.
Oder anders formuliert: Anstatt uns auf Privacy by Design zu verlassen, setzen wir vielmehr auf Privatsphäre entwickelt von Menschen, denen Privatsphäre wirklich am Herzen liegt.
Gerade in Hinblick auf die Privacy by Design-Vorgabe der DSGVO ist das ein wichtiger Punkt. Aber ganz unabhängig von rechtlichen Vorgaben, wie etwa die DSGVO sie macht: Haben eine Organisation und ihre Mitarbeiter kein Pflichtgefühl gegenüber hohen Privatsphäre-Anforderungen verinnerlicht, wird letztlich jeder Privacy by Design-Prozess scheitern. Es ist dementsprechend in erster Linie unsere Verpflichtung gegenüber Mozillas Mission, die die Grundlage für unsere Design-Prozesse darstellt und einen Schutzwall für unsere Nutzer bildet.
Unser Prozess
Genug drumherum geredet, kommen wir zu den Fakten: Bei Mozilla gibt es einige Design-Prozesse, die es ermöglichen, potenzielle Privatsphäre-Risiken zu identifizieren und an ihnen zu arbeiten; es gibt Code-Reviews, Sicherheits- und Privatsphäre-Reviews, intensive Produkt- und Infrastruktur-Audits und öffentliche Foren, im Rahmen derer jeder Bedenken äußern und Lösungen beisteuern kann.
Unser Datenerhebungs-Review-Prozess ist der Eckpfeiler all unseres Einsatzes dafür, Privacy by Design sinnvoll umzusetzen und Auswirkungen auf die Privatsphäre unserer Nutzer zu evaluieren. Wir sind überzeugt, dass er im Einklang mit den Vorgaben der DSGVO steht. Diesen Prozess hat Mozilla bereits vor mehreren Jahren etabliert und 2017 zudem überarbeitet.
Hier einige Kernaspekte des Prozesses:
- Bevor wir uns mit einem potenziellen Privatsphäre-Risiko befassen, müssen wir zunächst sicherstellen, dass es eine zuverlässige Analyse-Grundlage für die Datensammlung gibt. Daher beginnt unser Review-Prozess mit ein paar einfachen Fragen: Wieso muss Mozilla diese Daten erheben? In welchem Umfang werden sie benötigt? Und welche konkreten Untersuchungen werden daran vorgenommen? Mitarbeiter von Mozilla, die ergänzende Datenerhebungsmaßnahmen vorschlagen, müssen diese Fragen vorab über unser Review-Formular beantworten.
- Als nächstes prüfen unsere sogenannten Data Stewards – ausgewählte Mitarbeiter des Firefox-Teams – diese Antworten, stellen sicher, dass eine öffentlich zugängliche Dokumentation für die Datenerhebung eingerichtet ist und sorgen dafür, dass die Nutzer die Teilnahme an dieser Maßnahme ein- und ausschalten können.
- Im dritten Schritt nehmen wir eine Kategorisierung der Datensammlung unter Berücksichtigung des Privatsphäre-Risikos vor. Weitere Informationen dazu finden Sie hier. Die Kategorie für die Erhebung muss im Rahmen des Reviews identifiziert werden. Bei einer Einstufung in eine höhere Kategorie muss die Datenerhebung übrigens standardmäßig ausgeschaltet sein.
- Komplexe Anfragen zur Datenerhebung, wie etwa diejenigen, die vergleichsweise sensible Daten betreffen oder eines neuen Sammelmechanismus bedürfen, werden von unseren Data Stewards an die Teams weitergetragen, die sich um Vertrauen und rechtliche Fragen kümmern. In der Folge werden sie aus Privatsphäre-, Policy- oder rechtlicher Perspektive näher betrachtet, um ihren Einfluss auf die Privatsphäre der User zu evaluieren und das Risiko zu reduzieren.
Die Ergebnisse dieses Review-Prozesses sowie detaillierte Erläuterungen zu unseren Datenkategorien und den Prozess können Sie einsehen. Außerdem finden Sie die vollständige Dokumentation zur Firefox-Datenerhebung hier.
Aber halt, es gibt noch mehr!
Dieser Prozess ist nur eines von vielen Werkzeugen, die wir implementiert haben, um die Nutzer unserer Produkte zu schützen und zu stärken:
Letztes Jahr haben wir unseren Datenschutzhinweis komplett überarbeitet, um ihn in einfacher und klar verständlicher Sprache verfügbar zu machen. Der Hinweis beinhaltet Links, die Sie direkt zu den Privatsphäre-Einstellungen in Firefox bringen, sodass Sie etwa die Datenerhebung einfach ausschalten können, falls Sie etwas lesen, das Ihnen nicht zusagt.
Zusätzlich haben wir die Privatsphäre-Einstellungen selbst neu designt, sodass sie nun noch einfacher in der Handhabung sind; schauen Sie sich gerne einmal about:preferences#privacy in ihrem Firefox an, um sich einen Eindruck zu verschaffen. Diese Seite dient als zentrale Anlaufstelle für jeden, der selbst die Kontrolle über seine Privatsphäre in Firefox in die Hand nehmen möchte. Und nicht zuletzt haben wir auch das Firefox-Onboarding komplett überarbeitet, sodass neuen Usern der Datenschutzhinweis jetzt direkt im zweiten Tab bei ihrer allerersten Verwendung des Browsers angezeigt wird.
Es war noch nie so einfach, die Kontrolle über den Schutz Ihrer Daten in Firefox zu übernehmen. Sie sehen: Eingeschränkte Datenerhebung, Transparenz und Wahlmöglichkeiten (zentrale Prinzipien der DSGVO) sind als Kernbestandteile in unser Denken bei Mozilla sowie die Art und Weise, wie wir Privatsphäre für Sie integrieren, eingebunden.