[Talk-de] Datenschutz bei OSM

[Frederik Ramm]

Hallo,

(parallel im Forum)

   auf dem OSM-Samstag hier bei der FOSSGIS haben wir (~ 15
Interessierte) spontan eine Sitzung zum Thema Datenschutz gemacht.

Ich schildere hier kurz, worum es geht und was diskutiert wurde. Wir
haben jetzt nicht irgendwelche Beschlüsse gefasst oder so, aber ich
finde, es gab ein paar ganz interessante Beiträge, und wir werden das
sicherlich in der Community weiter besprechen wollen und müssen.

Der Ausgangspunkt war, dass ich gesagt habe: Es gibt Leute, die bei uns
nicht mitmachen, weil sie das Gefühl haben, dass man dadurch zu viel von
sich preisgibt - sozusagen eine "Einladung zum Stalking". Selbst wenn
wir "rechtlich" auf der sicheren Seite wären (und es ist unklar,
inwiefern wir das sind), so frage ich, ob das ausreicht - haben wir
vielleicht eine Art Fürsorgepflicht gegenüber unseren Mappern und
sollten die nach Kräften vor möglichem Datenmissbrauch schützen, selbst
wenn sie eigentlich das Häkchen "jeder kann mit meinen Daten machen, was
er will" gesetzt haben?

Wir haben die Diskussion eröffnet, indem wir Pascals HDYC-Seite für
einen der anwesenden Nutzer angezeigt haben - damit jeder sieht, wie
viel man über jemanden herausfinden kann, wenn man die OSM-Edits
auswertet (und es geht noch viel mehr, als Pascal direkt anzeigt).

Als interessanter neuer Aspekt kam in der Diskussion auch folgendes auf:
Jeder, der unser Planetfile runterlädt und verarbeitet, wird
unwillkürlich zum Verarbeiter persönlicher Daten und könnte sich
Probleme einhandeln (und sei es auch nur, weil er in einer Behörde ode
großen Firma arbeitet, die strenge Richtlinien für den Umgang mit
solchen Daten hat).

Klar ist, dass man einem Auswerter wie Pascal nicht den schwarzen Peter
zuschieben kann: Er erweist uns ja sogar einen Dienst, indem er uns vor
Augen führt, welche Auswertungen möglich sind. Würde Pascal das nicht
öffentlich tun, so wäre uns vermutlich gar nicht bewusst, was andere
vielleicht im Verborgenen auswerten. Nichtsdestotrotz gab es schon
Leute, die Pascal aufgrund seiner Veröffentlichungen rechtliche Schritte
angedroht haben - das zeigt, wie unerwartet für viele Leute ist, wie
viel Spuren sie bei uns hinterlassen.

In der Diskussion wurden unter anderem die folgenden Argumente/Ideen
vorgebracht:

* Wer sich drum kümmert, kann heute schon seine Daten in OSM schützen,
und die, denen das wichtig ist, die wissen meist auch, was sie machen
müssen.

* Im Grunde ist ein OSM-Account immer abstreitbar, selbst wenn der
Account den eigenen Realnamen trägt, kann niemand beweisen, dass man das
selber war.

* Mehrfach-Accounts sind nicht für jeden leicht zu verwalten, und ein
kleiner Fehler Jahre später kann die Anonymität kaputtmachen.

* Mehrfach-Accounts sind im Grunde schlecht für ein System wie unseres,
das auf Reputation basiert - man will ja sehen, dass verschiedene Edits
vom gleichen User sind.

* Man könnte die Benutzung von Mehrfach-Accounts vereinfachen, indem man
Nutzern erlaubt, "Unteraccounts" anzulegen, die dann statistisch
vielleicht mitgezählt werden ("User woodpeck und seine 30 ungenannten
Unteraccounts haben zusammen so und so viele Edits")

* Man könnte Benutzernamen komplett verschleiern (z.B. ersetzen durch
zufällige Zahlen) - aber wie dann Reputation ermöglichen und Vandalismus
unterbinden?

* Es wäre möglich, bei Verstecken von Usernamen trotzdem ein
Reputationssystem zu haben, indem man das Reputations-Scoring der
Webseite anvertraut: "Du siehst nicht, welcher User hier in Deiner
Strasse editiert hat, aber er hat einen Reputations-Score von 4.8"

* Bei der Wikipedia gibt es Statistiktools ähnlich wie Pascals Tools,
die vom Benutzer ein opt-in erfordern, sonst erscheint er nicht auf der
Liste. Aber jeder kann sich die Daten runterladen und auch ohne opt-in
eine Statistik selber rechnen

* Man könnte eine Statistikseite wie die von Pascal hinter einen Login
stellen als kleine Hürde

* Man könnte die Genauigkeit/Schärfe von Metadaten im Lauf der Zeit
verringern, d.h. zu Sachen, die 1 Jahr alt sind, geben wir vielleicht
nur noch einen Timestamp mit Tag raus und keine Uhrzeit mehr oder so

* Egal, was wir tun oder nicht tun, wir sollten eventuell dafür sorgen,
dass neue Benutzer ganz genau wissen, was sie tun und was über sie
später ermittelbar ist. Derzeit steht das in unserer Privacy Policy,
aber wer liest die schon...

Wir haben dann über eine konkrete Idee etwas detailierter gesprochen,
und zwar: Was wäre, wenn wir Benutzerdaten (also *wer* hat etwas
editiert) grundsätzlich nur angemeldeten OSM-Benutzern zur Verfügung
stellen würden? Ginge das überhaupt, was würde es nutzen, was für
Nachteile hätte es, wie sähe das technisch aus?

* Das Planet-File (inkl. Diff-Updates) gäbe es in zwei Ausführungen -
mit und ohne User; das mit User wäre nur für eingeloggte OSMer downloadbar.

* OSMer müssten zustimmen, Userdaten grundsätzlich nur für interne
OSM-Zwecke (Qualitätssicherung, Schutz gegen Vandalismus usw) zu nutzen.
Eventuell würde man auch aggregierte Statistiken erlauben, aus denen
keine Personendaten mehr hervorgehen.

* Jemand, der eine Seite wie die von Pascal betreibt, würde also auch
einen OSM-Login davorschalten - alles, was nur nach OSM-Login nutzbar
ist, ist offensichtlich "interne OSM-Zwecke"

* API-Requests, Overpass usw. würden Usernamen auch nur mitgeben, wenn
man bei OSM eingeloggt ist, sonst bekommt man alles ohne Usernamen

* Das Planet-File-mit-Usernamen stünde nicht mehr vollständig unter der
ODbL, sondern nur der Teil ohne Usernamen. Die Vereinbarkeit mit den
Contributor Terms müsste geprüft werden, aber vermutlich ist das in
Ordnung; die OSMF hat sich nicht verpflichtet, Usernamen unter ODbL
rauszugeben. Darüber hinaus ist, zumindest im deutschen Recht, der
Datenschutz stärker als das Urherber- oder Datenbankschutzrecht oder
irgendwelche Lizenztexte.

* All diese Maßnahmen wären geeignet, einen Datenschützer davon zu
überzeugen, dass wir Usernamen nicht mir-nichts, dir-nichts in der
Gegend verteilen, sondern dass sie nur zu Zwecken der notwendigen
Qualitätskontrolle und Zusammenarbeit im Projekt verwendet werden.
Trotzdem wäre Missbrauch leicht - man muss sich ja nur einen Account
anmelden.

-- 
Frederik Ramm  ##  eMail frederik at remote.org  ##  N49°00'09" E008°23'33"