Wikipedia-Tools ziehen um auf neuen Server in den USA – ist der Datenschutz in Gefahr?

Ein Sturm braut sich zusammen in der Wikipedia-Community. Bis Mitte 2014 müssen alle Wikipedia-Tools vom Toolserver auf eine neue Infrastruktur umziehen. Ist dadurch der Datenschutz in Wikipedia in Gefahr?

Der Toolserver von Wikimedia Deutschland ist eine Plattform der Community, auf der Software für Wikipedia und ihre Schwesterprojekte entwickelt werden kann. Die kleinen Hilfswerkzeuge („Tools“) sind in vielen Wikimedia-Projekten im Einsatz. Sie erleichtern die Arbeit in Wikipedia etwa durch Analysen, Suchfunktionen, automatische Bearbeitungen.

Ende Juni 2014 wird der Toolserver aus verschiedenen Gründen abgeschaltet. In Zukunft werden alle Tools zentral von der Wikimedia Foundation (WMF) verwaltet. Dazu hat die WMF Tool Labs als neue Plattform für die Entwicklung von Software bereitgestellt.

Damit die durch die Community entwickelten Tools weiter laufen können, müssen sie bis Mitte 2014 vom Toolserver in Amsterdam auf eine neue Infrastruktur in den USA umziehen. Was nicht umzieht, wird gelöscht.

Tool Labs macht vieles anders. Nicht nur die Infrastruktur ist neu. Labs hat einen völlig anderen Ansatz als der Toolserver: Das Projekt wird von Anfang an von bezahltem Personal konzipiert und aufgebaut. Freiwillige Admins können mitmachen, die Verantwortung liegt aber ganz bei der Foundation. Obendrein ist nur noch Open-Source-Software zugelassen.

Tool Labs – eine Gefahr für den Datenschutz?

Auch beim Datenschutz bringt der Umzug auf die neuen Server Änderungen mit sich. Faktisch verliert Wikimedia Deutschland die Kontrolle über die Nutzerdaten. Zukünftig entscheiden neue Regeln der Foundation darüber, was mit den Daten der Nutzer der deutschen Wikipedia geschieht.

In der Community befürchten deshalb viele, dass es mit dem Datenschutz den Bach runtergeht. Sind die Sorgen berechtigt? Welche Regeln gelten bisher? Was ändert sich für die Nutzer von Tool Labs? Ist Tool Labs eine Gefahr für den Datenschutz?

In Wikipedia gibt es grob gesagt zwei Arten von Daten: Daten, die öffentlich sind (z.B. die Benutzerbeiträge, die dazugehörigen Benutzernamen und ein Zeitstempel) und Daten, die nur von Benutzern mit besonderen Rechten einsehbar sind.

Auf öffentliche Daten kann jeder zugreifen. Für sich allein sind sie erst einmal kein Problem. Aber in aggregierter Form lassen sich aus ihnen Benutzerprofile erstellen, die – so die Befürchtung – das Recht auf Anonymität aufweichen, im schlechtesten Fall ganz aushebeln.

Deep User Inspector – der gläserne Nutzer?

Das klingt erst einmal ziemlich theoretisch. Was das praktisch bedeutet, zeigt der heftig kritisierte Deep User Inspector (DUI), der ohne Einwilligung gespeicherte Daten zusammenfasst und auswertet.

Der DUI funktioniert ganz einfach: Sprachversion auswählen, Benutzernamen eingeben – schon nach kurzer Zeit kann man sehen, was jeder x-beliebige Nutzer in Wikipedia an Spuren hinterlassen hat.

Gelistet wird die Anzahl der Beiträge, Statistiken zu den Uhrzeiten, an denen ein Benutzer aktiv war, das Abstimmverhalten und vieles mehr. Kritiker solcher Analyse-Tools fürchten den gläsernen Nutzer in Wikipedia.

Was kann man machen gegen Analyse-Tools wie DUI, X!’s Edit Counter oder WikiChecker, die auf frei einsehbare Daten zurückgreifen? In seinem Aufruf „Der Umgang mit unseren Nutzerdaten“ fordert Wikipdia-Autor NordNordWest – einer der härtesten Gegner des DUIs – die Foundation dazu auf, die Datenaggregierung nur noch mit Zustimmung der Benutzer zuzulassen:

„Die Foundation sollte sich verpflichten, den Schutz ihrer angemeldeten Benutzer höher zu bewerten und entsprechende Schritte einzuleiten. In einem ersten Schritt gehört dazu die Selbstverpflichtung, bei allen Werkzeugen auf ihren eigenen Servern, die der detaillierten Benutzerdatenaggregierung dienen, analog den Regeln für den Toolserver wieder verpflichtend ein Opt-in zu verlangen.“

Zudem sollen künftig weit weniger Nutzerdaten als bisher gespeichert werden, um das Ausspähen der User zu erschweren. Über 120 Nutzer der Wikipedia unterstützen den Vorschlag, die Erhebung von Nutzerdaten zu drosseln.

Das Problem ist nur: Wer bestimmte Daten über Nutzer gar nicht erst speichert, gefährdet Transparenz und Nachvollziehbarkeit in Wikipedia. Wie das Internetportal Futurezone zeigt, sind Daten wie die sekundengenaue Uhrzeit von Textänderungen, die IP-Adresse des Autors oder dessen Nutzername notwendig, um nachzuweisen, wann Änderungen vorgenommen worden sind, was beispielsweise bei urheberrechtlichen Fragen eine wichtige Rolle spielen kann. Auch Manipulationen lassen sich auf diese Weise gezielt aufspüren.

Bei der Wikimedia Foundation hält man die Bedenken der deutschen Community offenbar für paranoid. Sie hat jedenfalls unmissverständlich mitgeteilt, dass es mit ihr keine Datendrosselung geben wird.

„Obfuscating user contributions data or limiting our existing export will not happen. The Wikipedia projects are wikis, edits to it are by nature public activities that have always been, and always must be, available for scrutiny. MPelletier (WMF) (talk) 21:10, 20 December 2013 (UTC)“

Datenschutzrichtlinien im Vergleich

Zurück zu Tool Labs. Kritiker des neuen Systems behaupten, die bisherigen Toolserver-Regeln lassen Tools wie DUI nur mit Einverständniserklärung des jeweiligen Benutzers im Opt-in-Verfahren zu.

„Solange die Werkzeuge dazu auf dem Toolserver liefen, waren Benutzerprofile aus aggregierten Daten nur nach Einverständniserklärung des jeweiligen Benutzers möglich (Opt-in-Verfahren).“

In der Datenschutzerklärung für den Toolserver heißt es:

„Tools that allow profiling of individual user’s activity (beyond what can easily be achieved directly on the public wiki sites) must only be applied with the respective user’s consent (opt-in).“

Das bedeutet: Tools, die Benutzerprofile aus öffentlichen Daten erstellen, auf die jeder Zugriff hat, benötigen keine Zustimmung. Sensible Daten dürfen hingegen nur mit Zustimmung des Nutzers im Opt-in-Verfahren verwertet werden.

Sonderregeln („Special Cases„) gelten aber für sog. „Edit counter“: Soweit diese Tools erfassen, wer wann welchen Edit gemacht hat, benötigen sie ebenfalls eine ausdrückliche Zustimmung des Nutzers.

Counting edits per person per time of day requires consent, because it may lead to conclusions about the user’s location or lifestyle.

Welcher Maßstab gilt für Tool Labs? Tool Labs-Entwickler haben zunächst einmal sehr weit reichenden Zugriff auf die Nutzerdaten, sogar auf E-Mail-Adressen und Passwort-Hashes. Nicht einmal Checkuser haben so weitreichende Rechte.

Andererseits dürfen personenbezogene oder private Daten (z.B. Benutzername, Passwort, IP-Adresse) nur mit ausdrücklicher Zustimmung der Nutzer gesammelt werden, egal ob es sich um öffentlich verfügbare Daten handelt oder nicht.

„You should not collect or store private data or personally identifiable information, such as user names, passwords, or IP addresses (‚Private Information‘) from the individuals using your Labs Project (‚End Users‘). (…) If you do collect any Private Information, you must: (…) Get express authorization from the End Users for the collection.“

In den Terms of Use wird sogar explizit davon abgeraten, „Private Information“ der Nutzer zu sammeln (siehe „What uses of Labs do we not like?“).

„Do not collect or misuse private information of users, as defined in “Private Information”, below.“

Das liest sich auf den ersten Blick vernünftig. Dennoch ist die Datenschutzerklärung für Tool Labs misslungen. Die Regelung lässt völlig offen, wie genau die Einwilligung eingeholt werden muss. Muss ein Nutzer aktiv einwilligen („Opt-in“) oder reicht es aus, wenn er – z.B. über ein Anpassen der Einstellungen – die Möglichkeit hat, der Verwendung zu widersprechen („Opt-out“). Darüber hinaus ist unklar, unter welchen Voraussetzungen „Edit counter“ die Einwilligung der Nutzer benötigen.

Aus Perspektive der deutschen Community ist Tool Labs ein Rückschritt. Vor allem deshalb, weil die Regelungen zum Schutz personenbezogener Daten so schwammig formuliert sind. Es ist jedoch übertrieben, vom „Ende des deutschen Datenschutzrechts“ zu sprechen, wie es Benutzer:NordNordWest und seine Unterstützer tun. Wahr ist aber, dass die Privacy Policy vom Toolserver bei „Edit countern“ wie dem viel kritisierten Deep User Inspector eine ausdrückliche Zustimmung des Nutzers verlangt. Tool Labs kennt diese ausdrückliche Einschränkung nicht.

Schutz durch Pseudonymität und Datensicherheit

Tools, die das Verhalten von Nutzern in Wikipedia systematisch erfassen und analysieren, können viel über deren Interessen und Persönlichkeit verraten.

  • Jeder neue Nutzer sollte sich bei der Anmeldung daher zuerst Gedanken über die Wahl seines Benutzernamens machen. Jeder, der in Wikipedia unterwegs ist, sollte ein Pseudonym verwenden.
  • Neben Pseudonymität ist Datensicherheit besonders wichtig. Alle Informationen, aus denen sich eine „digitale Identität“ zusammensetzen lässt, müssen gegen den Missbrauch durch Dritte geschützt werden.
  • Nutzerdaten auf Tool Labs müssen sicher sein. Sicherheitslücken, die im Oktober 2013 dazu führten, dass etwa 228 Labs-Benutzer Zugriff auf E-Mail-Adressen und Passwort-Hashes hatten, müssen künftig vermieden werden.

Nutzer-Tracking: Die Sammelwut von Wikimedia

Analyse-Tools, dies das Nutzerverhalten ermitteln, sind nicht das einzige Problem. Die Wikimedia-Stiftung selbst will ran an die Daten der Nutzer: Das geht hervor aus dem Entwurf der neuen Datenschutzrichtlinie für die Wikimedia-Projekte.

„Wir sind uns bewusst, dass manche dieser Technologien nicht unbedingt einen guten Ruf genießen und für zwielichtige Zwecke eingesetzt werden können. Daher möchten wir uns so deutlich wie möglich dazu äußern, warum wir diese Methoden einsetzen und welche Art von Informationen wir so erfassen.“ (aus dem Entwurf der Datenschutz-Erklärung von Wikipedia)

Danach sollen zukünftig Daten über jeden einzelnen Account gesammelt werden können, beispielsweise wer wann welche Wikipedia-Seite wie lange besucht hat. Die Foundation spricht im Kapitel „Von uns erfasste Daten“ von Methoden, die „nicht den besten Ruf genießen und zu unerwünschten Zwecken verwendet werden können„.

Doch der Zweck heiligt offenbar die Mittel. In der neuen Datenschutz-Erklärung von Wikipedia heißt es nun:

„JavaScript und Zählpixel helfen uns,…

  • Deine Nutzung persönlicher zu gestalten, zum Beispiel durch den Einsatz von Cookies, die deine Spracheinstellung kennen, deine Benutzereinstellungen speichern, damit wir dir die Benutzeroberfläche mit den von dir gewünschten Anpassungen anzeigen können, und die es ermöglichen, dich über interessante Wikimedia-Themen und Veranstaltungen in deiner Region zu informieren.
  • Zu verstehen, wie du die Wikimedia-Seiten nutzt, damit wir wissen, was funktioniert und was sinnvoll ist. Zum Beispiel könnten wir Cookies einsetzen, um in Erfahrung zu bringen, welche Artikel du auf deiner Beobachtungsliste verfolgst, damit wir dir ähnliche Artikel empfehlen können, die dich auch interessieren könnten.“

Wir finden: Derartige Praktiken gefährden die Anonymität im Internet und schaden dem Vertrauen in die Wikimedia Foundation.

Anmerkung zur Speicherung von Daten durch die Wikimedia Foundation:

Noch bis zum 14. Februar 2014 kann der Entwurf eines Leitfadens zur Datenspeicherung kommentiert werden. Darin ist vorgesehen, dass künftig die IP-Adressen von nicht angemeldeten Nutzern nach 90 Tagen gelöscht, aggregiert oder anonymisiert werden. Wie Hyperland berichtet, sollen Daten zu Nutzeraktivitäten hingegen unbegrenzt gespeichert werden.

Dieser Beitrag wurde unter Allgemein abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Wikipedia-Tools ziehen um auf neuen Server in den USA – ist der Datenschutz in Gefahr?

  1. T. Bayer sagt:

    Hi,

    einige Anmerkungen seitens der Wikimedia Foundation:

    1. Obwohl das von den >100 deutschsprachigen Wikipedianern unterzeichnete Statement im Zentrum dieses Blogpostings steht, wird mit keiner Silbe erwähnt, dass die Foundation bereits vorletzte Woche unter blog.wikimedia.org eine ausführliche Entgegnung veröffentlicht hat („Handling our user data – an appeal and a response“).

    Der Beitrag enthält zudem mehrere eklatante sachliche Fehler, zum Beispiel:

    2. “Tool Labs-Entwickler haben zunächst einmal vollen Zugriff auf alle Nutzerdaten, sogar auf die Passwörter der Nutzer.“ – Dies ist nicht richtig. Im Gegenteil ist auf der verlinkten Seite nachzulesen, dass Tool-Labs-Entwickler sogar diejenigen persönlichen Daten, die ihnen Nutzer im Rahmen der Tool-Labs-Nutzung freiwillig überlassen, nur unter bestimmten Umständen speichern dürfen. Die Foundation hat eine Reihe verschiedener Maßnahmen ergriffen, um zu verhindern, dass Labs-Entwickler Zugriff auf private Informationen erlangen – nicht nur für Passwörter, sondern auch für IP-Adressen, Information über User Agents, und von Administratoren gelöschte Informationen.

    3. “Sicherheitslücken, die im Oktober 2013 dazu führten, dass Email-Adressen offen sichtbar waren” – Es ist richtig, dass durch einen Konfigurationsfehler leider Email-Addressen und einige andere Daten wie Passwort-Hashes potentiell für Tool-Labs-Entwickler zugänglich waren – jedoch waren sie nie “offen sichtbar” für Internetbenutzer, lediglich für die wenigen User, die einen Tool-Labs-Account hatten, und es gibt keine Hinweise darauf, dass jemand von ihnen tatsächlich auf diese Daten zugegriffen hat. Die Foundation hat umgehend und transparent reagiert und diese Sicherheitslücke innerhalb von 15 Minuten nach Bekanntwerden behoben: https://meta.wikimedia.org/wiki/October_2013_private_data_security_issue

    4. “Faktisch verliert Wikimedia Deutschland die Kontrolle über die Nutzerdaten. Zukünftig entscheiden Regeln der WMF darüber, was mit den Daten der Nutzer der deutschen Wikipedia geschieht.” – Die Wikipedia-Nutzerdaten unterlagen auch zuvor nicht der Kontrolle von Wikimedia Deutschland, sondern den Privacy-Regeln der Foundation, die Betreiberin auch der deutschsprachigen Wikipedia ist. (Bitte einmal auf einer beliebigen Wikipedia-Seite unten auf den Link “Datenschutz” klicken.)

    5. “Tool Labs hat einen völlig anderen Ansatz als der ausgediente Toolserver: Die Software wird von bezahltem Personal der WMF konzipiert und aufgebaut. Freiwillige können mitmachen, die Verantwortung liegt aber ganz bei der Foundation.“

    – Diese Darstellung ist mir unverständlich. Tool Labs ist primär eine Plattform für von freiwilligen Communitymitgliedern konzipierte und aufgebaute Software, siehe etwa den Abschnitt “What is Tool Labs” auf der Dokumentationsseite:
    “Tool Labs is a reliable, scalable hosting environment for community developers working on tools and bots that help users maintain and use wikis. “

    Und andererseits wird auch der Toolserver teils von bezahltem Personal administriert (siehe etwa http://lists.wikimedia.org/pipermail/toolserver-l/2011-October/004484.html ), und die Verantwortung liegt bei Wikimedia Deutschland.

    Tilman Bayer
    Wikimedia Foundation

  2. Falke sagt:

    Hallo Herr Bayer,

    vielen Dank für Ihre hilfreichen Anmerkungen!

    Wir haben sie uns zu Herzen genommen und versucht, die Fehler im Text zu beseitigen.

    Beste Grüße
    das Wiki-Watch-Team

Kommentare sind geschlossen.