Open Source: Audacity-Macher irritieren mit neuer Datenschutzrichtlinie

Die neuen Eigner des freien Audio-Editors Audacity haben die Datenschutz-Richtlinie zur Nutzung der Desktop-Anwendung ohne große Ankündigung geändert. Die Muse Group, die die Open-Source-Anwendung erst vor wenigen Monaten gekauft hatte, sorgt damit bereits für den dritten großen Streitpunkt mit der Audacity-Community seit der Übernahme. So lehnen zahlreiche Community-Mitglieder die neue Richtlinie als viel zu weitgehend ab, wie aus einem Bug-Report im Github-Repository des Projekts hervorgeht.

Konkret behält sich das Entwicklungsteam von Audacity mit der neuen Datenschutzrichtlinie vor, folgende Daten zu sammeln: Das genutzte Betriebssystem samt Versionsnummer, das Land der Nutzer auf Grundlage der IP-Adresse, das CPU-Modell, Fehlercodes und Nachrichten sowie Absturzberichte. Die geänderte Datenschutzrichtlinie ist dabei wohl eine direkte Reaktion auf die Diskussion um die zuvor geplante Nutzung von Telemetrie-Daten in Audacity.

Neue Datenschutzrichtlinie zum Sammeln von Daten

Die Idee, proprietäre Cloud-Dienste von Google und Yandex zum Sammeln von Telemetrie-Daten zu nutzen, stieß dabei auf massive Kritik aus der Audacity-Community. Die neuen Eigner nahmen letztlich davon Abstand und wollten auf eine Lösung setzen, bei der, wie bei einigen anderen Open-Source-Anwendungen auch, lediglich Dialoge für Fehlermeldungen umgesetzt werden. Insbesondere hieß es dazu, dass das Unternehmen kein "Interesse daran habe, personenbezogene Daten zu sammeln oder zu verkaufen".

In den neuen Datenschutzrichtlinien nimmt das Unternehmen nun davon Abstand. So ist explizit vorgesehen, dass personenbezogene Daten wie die IP-Adresse gesammelt und diese auch an Dritte verkauft werden können. Darüber hinaus behalten sich die Audacity-Eigner explizit vor, persönliche Daten zu sammeln, "die für Strafverfolgung, Rechtsstreitigkeiten und Behördenanfragen erforderlich sind (falls vorhanden)". Die gesammelten Daten sollen von einem Unternehmen in Kaliningrad, Russland, verwaltet werden.

Fraglich ist dabei derzeit, inwiefern die genannten Daten überhaupt erhoben werden können. Immerhin bezieht sich die neue Richtlinie nicht etwa auf einen Cloud- oder Webdienst, sondern explizit auf die Desktop-Anwendung. Diese hat als Open-Source-Software bisher aber überhaupt keine Daten über die Nutzer gesammelt. Darüber hinaus hieß es in der Debatte um die Telemetrie-Daten auch noch, dass die Daten nur als Opt-in im Rahmen einer Fehlermeldung bereitgestellt werden sollen. Nun hat es zumindest den Anschein, dass die Daten prinzipiell gesammelt werden sollen.

Weiter harsche Kritik aus der Community

Wie zu erwarten, zeigt sich die Audacity-Community wenig zufrieden über die Änderungen der Datenschutzrichtlinie. In dem bereits erwähnten Bugreport dazu wird dies als "verstörend" bezeichnet. Darüber hinaus wird kritisiert, dass nicht klar sei, welche Daten zum Zwecke einer Strafverfolgung gesammelt werden könnten: "Das ist völlig vage und sagt nichts darüber aus, was tatsächlich gesammelt wird."

Weiter heißt es: "Was mich angeht, ist jede Datensammlung inakzeptabel, es sei denn, was gesammelt wird, ist genau angegeben und ein Opt-out ist vorgesehen. Bei einem Open-Source-Projekt ist dies beides so. Ich fordere alle Benutzer auf, Audacity von ihrem System zu entfernen, bis dies behoben ist, außerdem würde ich mich als Linux-Benutzer an die Paketbetreuer meiner Distribution wenden, da eine solche Lizenz möglicherweise nicht zulässig ist." Der Beitrag hat inzwischen rund 900 positive Reaktion und die Diskussion zu dem Bug-Eintrag mehr als 300 Kommentare.