Mozilla führt eine verpflichtende Offenlegung der Datenverarbeitung für Firefox-Erweiterungen ein. Ab dem 3. November 2025 müssen neue Add-ons ihre Praktiken zur Erhebung und Weitergabe personenbezogener Informationen deklarieren; in der ersten Jahreshälfte 2026 wird dies für alle im Ökosystem veröffentlichten Erweiterungen verbindlich. Ziel ist mehr Transparenz, nachvollziehbare Einwilligungen und eine geringere Angriffsfläche im Add-on-Ökosystem.
Was sich ändert: Datenoffenlegung im manifest.json und Einwilligungsdialoge
Entwickler müssen im manifest.json einen neuen Eintrag browser_specific_settings.gecko.data_collection_permissions hinterlegen. Darin sind die Kategorien der verarbeiteten Daten auszuweisen, darunter etwa Name, E-Mail-Adresse, Suchanfragen sowie Informationen zu besuchten Websites und der Browseraktivität. Wenn ein Add-on keine Daten sammelt, ist dies ausdrücklich zu kennzeichnen.
Firefox liest diese Metadaten automatisch aus und zeigt sie dem Nutzer beim Installationsvorgang zusammen mit den angeforderten Berechtigungen an. Die gleichen Angaben erscheinen auf der Add-on-Seite bei addons.mozilla.org (AMO) sowie im Bereich “Permissions and Data” von about:addons. Nutzer können die Datenerhebung aktiv erlauben oder ablehnen, ähnlich den bestehenden Berechtigungs-Prompts für Zugriffe auf Browserfunktionen.
Zeitplan, Übergang und Moderation: Auswirkungen für Entwickler
Die Pflicht gilt zunächst für neu eingereichte Erweiterungen. Für bestehende Add-ons greift sie, sobald Entwickler auf den aktualisierten Rahmen umstellen und neue Versionen bereitstellen. Einreichungen ohne korrekte oder vollständige Datenoffenlegung scheitern an der Moderation und werden mit Fehlerhinweisen zurückgesendet. Das senkt das Risiko „stiller“ Datenerhebungen und stärkt die Prüfbarkeit in der Qualitätssicherung.
Sicherheitskontext: Transparenz gegen Tracking, Datenabfluss und Berechtigungsmissbrauch
Browser-Erweiterungen operieren mit hoher Reichweite: Sie interagieren mit Webinhalten, erhalten Zugriff auf Verlauf und Schnittstellen – ein attraktiver Angriffsvektor für Tracking, Profiling und Datenexfiltration. Vorfälle wie DataSpii (2019) zeigen das Schadpotenzial: Millionen Nutzer waren von verdeckter Datensammlung in populären Extensions betroffen. Eine klare Datenklassifizierung mit expliziter Nutzereinwilligung setzt hier an – sie erhöht die Rechenschaftspflicht, erleichtert Audits und unterstützt das Prinzip Data Minimization.
Marktvergleich und Compliance-Bezug
Mit der Offenlegungspflicht schließt Mozilla zu etablierten Praktiken auf: Der Chrome Web Store verlangt Offenlegungen zur Datennutzung und Beschränkungen bei sensiblen Daten; in mobilen Ökosystemen haben Privacy Nutrition Labels Transparenzstandards gesetzt. Für Firefox-Add-ons bedeutet dies eine Harmonisierung mit branchenweiten Erwartungen an Transparenz vor Datenverarbeitung, wie sie etwa die DSGVO fordert. Zwar ersetzt eine Manifest-Angabe keine Rechtsprüfung, sie schafft aber die Grundlage für informierte Entscheidungen und technische Kontrollen.
Praktische Empfehlungen für Nutzer, Security-Teams und IT
Nutzer sollten die Add-on-Karte und den Installationsdialog genau prüfen: Fordert ein Passwort-Manager beispielsweise Zugriff auf Suchanfragen oder Surfverlauf, ist Skepsis angebracht. Stimmen die deklarierten Datenkategorien nicht mit der Kernfunktion überein, ist eine Nichtinstallation der sicherere Weg.
Sicherheits- und IT-Teams sollten interne Richtlinien aktualisieren: Die Prüfung des Felds data_collection_permissions gehört in das Add-on-Review, zulässige Datenkategorien sind rollenspezifisch zu definieren, und das Inventar installierter Erweiterungen ist über Unternehmensrichtlinien für Browser zentral zu erfassen. Zusätzlich empfiehlt sich eine regelmäßige Sichtung der Einträge in about:addons → Permissions and Data sowie die Entfernung von Add-ons mit überzogenen Berechtigungen oder sensiblen Datenerhebungen ohne klare Zweckbindung.
Die Initiative stärkt das Vertrauen in das Firefox-Ökosystem, verringert Informationsasymmetrien und erleichtert risikobasierte Entscheidungen. Entwickler gewinnen einen klaren Rahmen für Privacy by Design und feinere Berechtigungsarchitektur, während Nutzer mehr Kontrolle über ihre Daten erhalten. In den kommenden Monaten lohnt es sich, die Entwicklerdokumentation und Moderationsregeln im Blick zu behalten, bestehende Erweiterungen kritisch zu prüfen und organisatorisch festzulegen, welche Datenkategorien in welchem Kontext akzeptabel sind.
