Hallo,
(parallel auf talk-de)
auf dem OSM-Samstag hier bei der FOSSGIS haben wir (~ 15 Interessierte) spontan eine Sitzung zum Thema Datenschutz gemacht.
Ich schildere hier kurz, worum es geht und was diskutiert wurde. Wir haben jetzt nicht irgendwelche Beschlüsse gefasst oder so, aber ich finde, es gab ein paar ganz interessante Beiträge, und wir werden das sicherlich in der Community weiter besprechen wollen und müssen.
Der Ausgangspunkt war, dass ich gesagt habe: Es gibt Leute, die bei uns nicht mitmachen, weil sie das Gefühl haben, dass man dadurch zu viel von sich preisgibt - sozusagen eine “Einladung zum Stalking”. Selbst wenn wir “rechtlich” auf der sicheren Seite wären (und es ist unklar, inwiefern wir das sind), so frage ich, ob das ausreicht - haben wir vielleicht eine Art Fürsorgepflicht gegenüber unseren Mappern und sollten die nach Kräften vor möglichem Datenmissbrauch schützen, selbst wenn sie eigentlich das Häkchen “jeder kann mit meinen Daten machen, was er will” gesetzt haben?
Wir haben die Diskussion eröffnet, indem wir Pascals HDYC-Seite für einen der anwesenden Nutzer angezeigt haben - damit jeder sieht, wie viel man über jemanden herausfinden kann, wenn man die OSM-Edits auswertet (und es geht noch viel mehr, als Pascal direkt anzeigt).
Als interessanter neuer Aspekt kam in der Diskussion auch folgendes auf: Jeder, der unser Planetfile runterlädt und verarbeitet, wird unwillkürlich zum Verarbeiter persönlicher Daten und könnte sich Probleme einhandeln (und sei es auch nur, weil er in einer Behörde ode großen Firma arbeitet, die strenge Richtlinien für den Umgang mit solchen Daten hat).
Klar ist, dass man einem Auswerter wie Pascal nicht den schwarzen Peter zuschieben kann: Er erweist uns ja sogar einen Dienst, indem er uns vor Augen führt, welche Auswertungen möglich sind. Würde Pascal das nicht öffentlich tun, so wäre uns vermutlich gar nicht bewusst, was andere vielleicht im Verborgenen auswerten. Nichtsdestotrotz gab es schon Leute, die Pascal aufgrund seiner Veröffentlichungen rechtliche Schritte angedroht haben - das zeigt, wie unerwartet für viele Leute ist, wie viel Spuren sie bei uns hinterlassen.
In der Diskussion wurden unter anderem die folgenden Argumente/Ideen vorgebracht:
-
Wer sich drum kümmert, kann heute schon seine Daten in OSM schützen, und die, denen das wichtig ist, die wissen meist auch, was sie machen müssen.
-
Im Grunde ist ein OSM-Account immer abstreitbar, selbst wenn der Account den eigenen Realnamen trägt, kann niemand beweisen, dass man das selber war.
-
Mehrfach-Accounts sind nicht für jeden leicht zu verwalten, und ein kleiner Fehler Jahre später kann die Anonymität kaputtmachen.
-
Mehrfach-Accounts sind im Grunde schlecht für ein System wie unseres, das auf Reputation basiert - man will ja sehen, dass verschiedene Edits vom gleichen User sind.
-
Man könnte die Benutzung von Mehrfach-Accounts vereinfachen, indem man Nutzern erlaubt, “Unteraccounts” anzulegen, die dann statistisch vielleicht mitgezählt werden (“User woodpeck und seine 30 ungenannten Unteraccounts haben zusammen so und so viele Edits”)
-
Man könnte Benutzernamen komplett verschleiern (z.B. ersetzen durch zufällige Zahlen) - aber wie dann Reputation ermöglichen und Vandalismus unterbinden?
-
Es wäre möglich, bei Verstecken von Usernamen trotzdem ein Reputationssystem zu haben, indem man das Reputations-Scoring der Webseite anvertraut: “Du siehst nicht, welcher User hier in Deiner Strasse editiert hat, aber er hat einen Reputations-Score von 4.8”
-
Bei der Wikipedia gibt es Statistiktools ähnlich wie Pascals Tools, die vom Benutzer ein opt-in erfordern, sonst erscheint er nicht auf der Liste. Aber jeder kann sich die Daten runterladen und auch ohne opt-in eine Statistik selber rechnen
-
Man könnte eine Statistikseite wie die von Pascal hinter einen Login stellen als kleine Hürde
-
Man könnte die Genauigkeit/Schärfe von Metadaten im Lauf der Zeit verringern, d.h. zu Sachen, die 1 Jahr alt sind, geben wir vielleicht nur noch einen Timestamp mit Tag raus und keine Uhrzeit mehr oder so
-
Egal, was wir tun oder nicht tun, wir sollten eventuell dafür sorgen, dass neue Benutzer ganz genau wissen, was sie tun und was über sie später ermittelbar ist. Derzeit steht das in unserer Privacy Policy, aber wer liest die schon…
Wir haben dann über eine konkrete Idee etwas detailierter gesprochen, und zwar: Was wäre, wenn wir Benutzerdaten (also wer hat etwas editiert) grundsätzlich nur angemeldeten OSM-Benutzern zur Verfügung stellen würden? Ginge das überhaupt, was würde es nutzen, was für Nachteile hätte es, wie sähe das technisch aus?
-
Das Planet-File (inkl. Diff-Updates) gäbe es in zwei Ausführungen - mit und ohne User; das mit User wäre nur für eingeloggte OSMer downloadbar.
-
OSMer müssten zustimmen, Userdaten grundsätzlich nur für interne OSM-Zwecke (Qualitätssicherung, Schutz gegen Vandalismus usw) zu nutzen. Eventuell würde man auch aggregierte Statistiken erlauben, aus denen keine Personendaten mehr hervorgehen.
-
Jemand, der eine Seite wie die von Pascal betreibt, würde also auch einen OSM-Login davorschalten - alles, was nur nach OSM-Login nutzbar ist, ist offensichtlich “interne OSM-Zwecke”
-
API-Requests, Overpass usw. würden Usernamen auch nur mitgeben, wenn man bei OSM eingeloggt ist, sonst bekommt man alles ohne Usernamen
-
Das Planet-File-mit-Usernamen stünde nicht mehr vollständig unter der ODbL, sondern nur der Teil ohne Usernamen. Die Vereinbarkeit mit den Contributor Terms müsste geprüft werden, aber vermutlich ist das in Ordnung; die OSMF hat sich nicht verpflichtet, Usernamen unter ODbL rauszugeben. Darüber hinaus ist, zumindest im deutschen Recht, der Datenschutz stärker als das Urherber- oder Datenbankschutzrecht oder irgendwelche Lizenztexte.
-
All diese Maßnahmen wären geeignet, einen Datenschützer davon zu überzeugen, dass wir Usernamen nicht mir-nichts, dir-nichts in der Gegend verteilen, sondern dass sie nur zu Zwecken der notwendigen Qualitätskontrolle und Zusammenarbeit im Projekt verwendet werden. Trotzdem wäre Missbrauch leicht - man muss sich ja nur einen Account anmelden.
Bye
Frederik