Hinweis: Dies ist eine deutsche Übersetzung des englischen Original-Blogbeitrags. Der ursprüngliche Beitrag dient weiterhin als die ursprüngliche und maßgebliche Erklärung des Themas.
Im Internet hat sich ein dichtes Netz zur Überwachung entwickelt, wo Werbetreibende und Werbeplattformen detaillierte Informationen über die Online-Aktivitäten der Nutzenden sammeln. Bei Mozilla glauben wir, dass diese Informationen ausschließlich den einzelnen Personen gehören und dass ihre uneingeschränkte Sammlung eine nicht hinnehmbare Verletzung des Datenschutzes ist. Wir haben in Firefox immer fortschrittliche Anti-Tracking-Technologien bereitgestellt und werden dies auch weiter tun. Allerdings glauben wir, dass sich im Ökosystem auch weiterhin neuartige Techniken zur User-Nachverfolgung entwickeln werden, solange es einen starken wirtschaftlichen Anreiz dazu gibt.
Wir sind darüber hinaus sehr besorgt über Bestrebungen in einigen Ländern, Anti-Tracking-Funktionen in Browsern einzuschränken. In einer Welt, in der die Gesetzgebung gegensätzliche Interessen unter einen Hut bringen muss, ist es gefährlich, wenn sich Werbung und Datenschutz in einem Nullsummen-Konflikt befinden.
Um diese technischen und regulatorischen Gefahren für den User-Datenschutz anzugehen und gleichzeitig Mozillas Mission voranzubringen, entwickeln wir eine neue Technologie namens Privacy Preserving Attribution (PPA, im Deutschen: datenschutzfreundliche Werbemessung). Mit dieser Technologie soll ein Weg für die Werbetreibenden aufgezeigt werden, die Werbewirksamkeit insgesamt zu messen, ohne Informationen über bestimmte Einzelpersonen zu sammeln.
Die Funktionsweise der PPA
Anstatt private Informationen zu sammeln, um zu bestimmen, wann bestimmte User mit einer Werbung interagieren, basiert PPA auf neuartigen kryptographischen Techniken, die darauf ausgelegt sind, die Daten der User zu schützen und gleichzeitig aggregierte Attribution zuzulassen. So können Werbetreibende aggregierte Statistiken bekommen, um zu prüfen, ob ihre Werbung funktioniert. Dabei wird jedoch keinerlei zielgerichtete Werbung (Ad Targeting) ermöglicht. Im Kern wird bei PPA ein System zur Mehrparteien-Berechnung (Multi Party Computation, MPC) namens Distributed Aggregation Protocol (DAP) genutzt, das in Partnerschaft mit dem Divvi-Up-Projekt der Internet Security Research Group (ISRG), der Organisation hinter Let‘s Encrypt, verwendet wird.
Und so funktioniert es:
Anstatt individuelle Surfaktivitäten offenzulegen, um zu bestimmen, wer eine bestimmte Werbung ansieht, nutzt PPA mathematische Verfahren, mit denen die Konsumentendaten privat bleiben. Interagieren User mit einem Werbe-Banner oder einem Werbetreibenden, so wird die jeweilige Interaktion auf deren Geräten in zwei unkenntlich gemachte Teile aufgeteilt – jedes dieser Segmente ist verschlüsselt und wird dann an zwei unabhängig voneinander arbeitende Dienste gesendet. Ähnliche Segmente von vielen Usern werden dann von diesen Diensten zusammengeführt um eine aggregierte Zahl zu generieren. Diese Zahl gibt an, wie viele Menschen eine Aktion (etwa das Anmelden zu einem Newsletter) durchgeführt haben, nachdem sie eine Werbung gesehen haben – all dies jedoch ohne Informationen über die Aktivitäten irgendeiner Einzelperson gegenüber dem Dienst oder dem Werbetreibenden offenzulegen. Im Einzelnen werden die folgenden Schritte durchgeführt:
- Verschlüsselung der Daten: Interagiert ein User mit einer Werbung oder einem Werbetreibenden, so wird im Browser ein Ereignis in Form eines Wertes protokolliert. Dieser Wert wird in einzelne, unkenntlich gemachte Segmente geteilt und dann verschlüsselt. Jedes Segment wird an eine jeweils andere Stelle adressiert – eins an Divvi Up und eins an Mozilla – auf diese Weise hat keine Stelle für sich jemals beide Segmente.
- Maskierung: Als zusätzlicher Schutz werden die Segmente an Divvi Up und Mozilla über ein Oblivious HTTP-Relay übermittelt, das von einem Drittanbieter (Fastly) betrieben wird. So wird sichergestellt, dass weder Divvi Up noch Mozilla auch nur die IP-Adresse des unkenntlich gemachten Segments kennen, das sie erhalten. Der Traffic ist für Fastly nicht einsehbar und mit anderen Anfragearten gemischt, sodass auch sie keine Informationen daraus ziehen können.
- Aggregation: Divvi Up und Mozilla führen jeweils bei sich alle unkenntlich gemachten Segmente zusammen, die sie erhalten, um einen (ebenfalls unkenntlich gemachten) Aggregationswert zu bilden. Das heißt, dass die Daten vieler User zusammengeführt werden, ohne dass irgendjemand der Beteiligten die Inhalte oder Quellen der jeweiligen individuellen Datenpunkte erfährt.
- Randomisierung: Darüber hinaus wird jede Hälfte vor der Weitergabe noch mit zufälligem Rauschen versehen, um Differential Privacy (differentielle Privatsphäre) zu gewährleisten, was mathematisch sicherstellt, dass aus Trends in den aggregierten Daten nicht auf individuelle Aktivitäten geschlossen werden kann.
- Zusammenführung: Divvi Up und Mozilla senden dann ihre unkenntlich gemachten Werte im Ganzen an den Werbetreibenden, sodass daraus zusammengeführte informative Kenngrößen gebildet werden können. Dies sind aggregierte Kenngrößen zu allen Usern, die keinerlei Informationen zu Einzelpersonen offenbaren.
Durch die Verwendung fortschrittlicher Verschlüsselungsmethoden stellt PPA sicher, dass die Userdaten während des gesamten Werbemessungsprozesses privat und sicher bleiben. An keinem Punkt hat eine einzelne Partei Zugang zur individuellen Surfaktivität von bestimmten Usern – eine tiefgreifende Verbesserung im Vergleich zum derzeitigen Modell.
Zu erfüllende Vorgaben
Ein entscheidender Gesichtspunkt bei der Entwicklung der PPA war die Beachtung der Rechtsvorschriften zum Datenschutz, wie etwa der Datenschutz-Grundverordnung (DSGVO). Im Folgenden sind einige Gründe aufgeführt, warum wir glauben, dass die PPA den strengen Anforderungen dieser Rechtsvorschriften entspricht.
- Anonymisierung: Die von PPA genutzte Verbindung von IP-Schutz, Aggregation und differentieller Privatsphäre bricht die Verbindung zwischen einem Messungsereignis und einer bestimmten Einzelperson. Wir sind der Ansicht, dass dies die hohen Anforderungen der DSGVO zur Anonymisierung erfüllt.
- Datensparsamkeit: Für die vom Browser übermittelten Informationen gelten strenge Praktiken zur Datensparsamkeit. Die einzige in Berichten enthaltene Information ist ein einzelnes, begrenztes Histogramm.
- Unsichtbare Deaktivierung: Wenn PPA inaktiv ist, lässt es Attributionsberichte von Websites zu und verwirft sie unbemerkt. Das bedeutet, dass diese Websites nicht erkennen können, ob jemand PPA aktiviert hat oder nicht. Mit dieser Maßnahme wird eine Ungleichbehandlung oder Identifizierung (Fingerprinting) durch Websites aufgrund der Verfügbarkeit der Funktion verhindert.
Prototyp-Implementierung und User-Tests
Die aktuelle Implementierung von PPA in Firefox ist ein Prototyp, der das Konzept validieren und die aktuellen Arbeiten an Standards beim World Wide Web Consortium (W3C) unterstützen soll. Diese begrenzte Implementierung ist erforderlich, um das System unter Realbedingungen zu testen und wertvolles Feedback zu erhalten.
Der Prototyp ist mit einem aktivierten Origin Trial versehen – so wird verhindert, dass das API in irgendeiner Weise irgendeiner Website gegenüber sichtbar ist, sofern dies nicht explizit von Mozilla erlaubt wurde. Im ersten Test sind ausschließlich von Mozilla betriebene Sites enthalten– genauer, Werbung für Mozilla VPN, die im Mozilla Developer Network (MDN) angezeigt wird. Wir haben diesen Ansatz gewählt, um genügend Teilnahme zur Bewertung der Systemleistung und des Datenschutzes zu gewährleisten und gleichzeitig sicherzustellen, dass er unter streng kontrollierten Bedingungen getestet wird.
Nächste Schritte und Pläne für die Zukunft
Besucht ein User in relevanten Märkten während der Testphase die MDN-Website mit Firefox und sieht eine Werbung für Mozilla VPN, die Teil dieses Tests ist, so werden im Hintergrund alle im vorigen Abschnitt beschriebenen technischen Schritte durchgeführt, damit wir die Technik testen können. Weder verlassen dabei Daten zu individuellen Surfaktivitäten das Gerät, noch werden diese eindeutig identifizierbar. Wie immer haben die User die Möglichkeit, diese Funktion in ihren Firefox-Einstellungen abzuschalten.
Im weiteren Verlauf wird unser unmittelbarer Fokus darauf liegen, die PPA anhand der Rückmeldungen aus diesem ersten Prototyp zu verfeinern und zu verbessern. Dies werden die Themen der nächsten Monate sein:
- Ausweitung der Tests: Abhängig von den ersten Ergebnissen fügen wir möglicherweise weitere Websites in der Testphase ein und überwachen sorgsam die Ergebnisse, um sicherzustellen, dass das System wie gewollt arbeitet. Wegen der laufenden Standard-Entwicklung nutzt der Prototyp ein nicht standardkonformes API und wird daher nie in seiner derzeitigen Form im Netz insgesamt zu sehen sein.
- Transparenz und Kommunikation: Wir stehen für Transparenz hinsichtlich der Funktionsweise der PPA und des Schutzes der Nutzerdaten. Wir werden weiterhin Updates veröffentlichen und die Community in Bezug auf etwaige Bedenken einbeziehen.
- Zusammenarbeit und Entwicklung von Standards: Mozilla wird weiterhin mit anderen Unternehmen und öffentlichen Normungsstellen daran arbeiten, Technologien zu entwickeln und zu standardisieren, die die Privatsphäre achten. Unser Ziel ist eine robuste, branchenweite Lösung, die allen Nutzern zugutekommt.
Schließlich ist es unsere Vision, privatsphärenfreundliche Technologien wie PPA mit dem Ziel zu entwickeln, zu validieren und bereitzustellen, am Ende invasive Trackingpraktiken überflüssig zu machen. Indem wir deren Machbarkeit nachweisen, wollen wir eine Online-Umgebung mit mehr Sicherheit und Privatsphäre für alle schaffen. Eine Organisation alleine kann diese Herausforderungen nicht meistern. Uns ist dabei Feedback wichtig, und wir hoffen, dass unsere Anstrengungen weitere Organisationen veranlassen, in ähnlicher Weise innovativ tätig zu werden. Vielen Danke für Ihre Unterstützung auf dieser Reise. Gemeinsam können wir ein besseres Internet schaffen, in dem die Privatsphäre gestärkt wird.