Datenschutz bei OSM

(Hervorhebung von mir)

Die kratzen teilweise nur am Problem, ja, aber vlt. gibt’s ja ne Kombination diverser Dinge, die das halbwegs zufriedenstellend lösen. Wenn der Datenreichtum für Dich ok ist, ok. Für andere ist er das entweder nicht, oder wie in meinem Falle: ich sehe, dass es ein Problem gibt, was extrem schwer zu lösen ist, wo man aber drüber reden muss.
Wie bereits gesagt, ist das nicht jedem bewusst.

So, und da dies nicht jedem bewusst ist, hier noch ein konkreter Vorschlag von mir zur Lösung dieses Problems:

Bereits bei der Registrierung eines OSM Accounts neben den Lizenzbedingungen auch noch ein bisschen Text über die Verarbeitungsmöglichkeiten dieser (gesammelten) Daten. Am Ende dann aber nicht so eine einfache “Ja, habe ich gelesen”-Checkbox, sondern mehrere Fragen mit mehreren Antwortmöglichkeiten, damit es auch jedem wirklich bewusst wird und man dann auch davon ausgehen kann, dass der Text wirklich vollständig gelesen UND verstanden wurde.

Natürlich müsste man dies auch für alle bereits angemeldeten Mapper tun, wie damals bei der Lizenzumstellung (wo doch auch nur jeder auf “Ja, gelesen” geklickt hat und wir immer wieder das Problem von Lizenzverletzungen haben, weil es kaum einem bewusst ist, wie weitreichend die Lizenz ist). Und weil dann jedem bewusst ist, was man mit den Daten machen kann, ist es auch kein Datenschutzproblem mehr.

Klar tut sich dann ein neues Problem auf: die Hürde zum Einstieg wird größer, was machen wir mit Mapper, die nicht einverstanden sind und ihre Daten gelöscht haben wollen (was ja eigentlich auf grund der aktuellen Lizenz gar nicht so ohne weiteres möglich ist, weil man sich ja damit einverstanden erklärt hat, das die übertragenen Daten in eine höhere allgemeine Schicht abwandern)?

Es geht in erster Linie nicht um ein rechtliches Datenschutzproblem, sondern darum wie OSM Mapper geschützt werden könnten unanbhängig welche rechtliche Verpflichtung besteht. Zwar waren die Meinungen dazu auch unterschiedlich, aber wahrscheinlich gibt es nach der bestehenden Policy keine rechtlichen probleme bisher. Nur den Wunsch, OSM Mappers besse zu schützen vor Missbrauch der gesammelten Daten.

Wenn das für dich kein Problem darstellt ist das ja gut. Für andere Leute tut es das allerdings. Ich hantiere teilweise auch aus diesem Grund mit verschiedenen Accounts was sehr suboptimal ist bisher. Die Idee mit den Subaccounts fände ich bisher sehr gut, natürlich besteht dann intern immer noch die Verknüpfung, aber an der Stelle muss dann halt vertraut werden dass die nicht öffentlich werden.

Aber warum braucht es den Schutz von OSM Mapper? Doch nur, weil sie sich dessen nicht bewusst sind, wie mir scheint, zumindest konnte ich aus dieser Diskussion noch nichts anderes rauslesen.

Zum Beispiel: Wenn sie sich des Problems einmal bewusst sind, haben Sie vielleicht Hemmungen gewisse Daten an gewissen Orten aufzunehmen. Ist wie gesagt bei mir selbst so, weil ich kein Interesse daran hab dass alle Welt einfach nachschauen kann in welchen Gegenden ich mich so rumtreibe.

Anscheinend dann zu Recht, es bestehen also Zweifel, gesunder Menschenverstand, aber unter dem Deckmantel der Anonymität kann man es ja dann machen, geile Logik.

Mehrere Accounts zu haben und verschiedene Orte sauber zu trennen, finde ich überhaupt nicht abwegig, obwohl ich mich nicht wirklich als paranoid einschätzen würde.

Das gibt es sogar im echten Leben: wer etwas herumgereist ist, wird vielleicht schon mal davon gehört haben, dass man auch einen zweiten Reisepass beantragen kann. Ob das jetzt die Einreise in gewisse Länder vereinfacht, sei mal dahingestellt…

https://www.service-bw.de/leistung/-/sbw/Reisepass++Ausstellung+eines+Zweitpasses+beantragen-1825-leistung-0
https://www.welt.de/reise/article137540047/Ein-zweiter-Reisepass-hilft-Aerger-zu-vermeiden.html

Und ich habe auch kein Problem damit, wenn Nordkorea, China und Bonn dann halt weiße Flecken auf der OSM Landkarte sind.

Ich sehe das gelassen:
Ich würde keinen Liebesbrief auf Postkarte versenden, einen Urlaubsgruß aber schon, und ich sehe OSM-Einträge eher analog zu letzterem. Ich muss mir nur bewusst sein, dass die OSM-“Postkarte” von jedem weltweit gelesen werden kann.

Einen Trampelpfad durch ein streng geschütztes Gebiet würde ich aber nicht aufnehmen (schon deshalb, weil ich da auch nicht lang gehe).

Wenn du in 10 Jahren mit Deinem Nachbarn in Streit gerätst, hat der aber keinen Zugriff auf Deine Postkarten der letzten 10 Jahre :wink:

Von den OSM-Daten hat er aber genau so wenig, wenn ich nicht seinen privaten Swimmingpool mappe. Gegen seine Hausnummer kann er sich nicht wehren :).

Moin!

Ich finde diese Überlegungen sehr wichtig. Ich habe seit mehreren Jahren vor allem aus diesem Grund keine Tracks mehr hochgeladen und einige Dinge nicht in die Datenbank eingetragen.
Wer in einer weniger freien Gesellschaft als unserer lebt, wird deutlich größere Probleme mit dem Schutz persönlicher Daten haben.

So ein formaler Einwand nützt vielleicht vor einem deutschen Gericht, aber nicht, wenn man im nächsten Urlaub bei der Einreise zurückgewiesen wird wegen Spionage (Eintrag von militärischen Objekten), Propaganda für Terrororganisationen (name-Tag in der falschen Sprache) oder Gefährdung der nationalen Sicherheit (Editieren einer “inkorrekten” Grenze).

Damit kann man evtl. verhindern, dass ein neugieriger Ladenbesitzer einfach herausfindet, wer sein Geschäft bei OSM eingetragen hat.
Gegen kommerzielle Datensammler oder staatliche Stellen hilft es nichts.

Eine Alternative zu Mehrfach-Accounts wäre die Möglichkeit, Changesets anonym einzureichen.
Um Vandalismus zu verhindern müssten diese Changesets von einem anderen Mapper geprüft und erst dann in die OSM-Datenbank eingetragen werden. In der Datenbank würden sie unter dem Namen des Prüfers mit einem eindeutigen Kommentar stehen.
Damit hätte man ein hohes Maß an Datenschutz ohne größere Gefahr von Vandalismus.

Vielleicht könnte man damit sogar die Einstiegshürde bei OSM abgesenken.
Sicherlich befürchten manche, dass ihre erste Mitarbeit Schäden an der Karte verursacht oder negative Kommentare hervorruft.
Für diese wäre eine anonyme Teilnahme mit Kontrolle durch einen erfahrenen Mapper evtl. ein Einstieg.

Weil ich gerade auf der oester. Mailingliste darauf hingewiesen wurde, bei automatischen Edits wird im Wiki der Realname gefordert, in der Diskussionseite des Themas haben da zwei was dagegen:
https://wiki.openstreetmap.org/wiki/Automated_Edits_code_of_conduct

Sicher, automatisch editieren ist ein sehr heikles Thema, aber wie sieht es damit aus? Wurde daran bei der aktuellen Diskussion gedacht?

Es ist leider so, daß Anonymität bei diesem Projekt nicht tatsächlich gewährleistet werden kann. Selbst wenn ich mir einen weiteren Account zulegte, könnten findige Leute aus Merkmalen meiner neuen Beiträge und ihren Ähnlichkeiten mit früheren Beiträgen mich identifizieren - davon bin ich überzeugt. Es gibt genügend Merkmale: Orte der Aktivität, verwendete tags, Änderung oder Neuanlegung oder Löschung, Wochentag und Tageszeit der Tätigkeit, Größe des Changeset, verwendeter Editor, Abstände zwischen Nodes, … Bei so wenigen aktiven Mappern genügt das sicherlich.

Damit könnte ich auch den gegenteiligen Vorschlag machen: gleich klipp und klar sagen, daß hier nichts anonym sein kann.

Gegenüber Leuten, die durch ihre Mappingtätigkeit wirklich gefährdet werden könnten, wäre das ehrlich. Damit hätten wir zwar jemanden vom Mapping abgehalten, aber das ist besser, als jemanden ins Gefängnis gebracht.

Es steht bei der ganzen Diskussion ein bisschen die Frage im Raum: Wenn wir jetzt sozusagen “symbolisch” sagen, die Nutzerdaten sind nur für uns intern, und einige (durch Anmeldung eines Accounts leicht zu umgehende) Schutzmassnahmen ergreifen - hat das dann einen Nutzen, weil wir wenigstens klar machen, was wir wollen, anstatt zu sagen “ist uns egal, mit Nutzerdaten darf jeder machen, was er will”? Oder schadet es eher, weil es eine Sicherheit vorgaukelt, die keine ist?

Tatsache ist: Im Moment kann ich, ohne mich zu verstecken, ganz frech eine Webseite machen, auf der immer steht, was der Bernhard H. in der letzten Woche so am Rechner gemacht hat (in OSM zumindest). Das könnten wir schon unterbinden. Die Info kann ich dann immer noch rausfinden, aber ich kann sie nicht mehr frech ins Web blasen.

Ja, das ist m.E. das Mindeste, was wir tun müssen - ohne Panikmache, aber schon so, dass auch der unbedarfte Nutzer versteht, woran er ist. Und wir müssen überlegen, was wir tun, wenn jemand bei uns tatsächlich sein “Recht auf Vergessen” einfordert - denn wie Du oben geschildert hast, kann es in solchen Fällen eventuell gar nicht ausreichend sein, einfach den Usernamen auf 012345 zu setzen, wie wir das im Moment tun, wenn jemand sienen Account löscht.

Bye
Frederik

das ist imho nicht der Punkt. Der Punkt ist: wir müssen zusehen, wie wir einerseits die Edits anonymer machen (können) und andererseits, wie man das (nicht nur) Noobs vermittelt, dass sie (noch) nicht anonym sind. Die Policy zählt da für mich nicht als Argument. Gibt Hunderte Policies, die weder bindend noch nachvollziehbar sind (Ja, ich hab die Osm-Policie auch nicht gelesen)

Rechtlich kann man (in einer Policy) das unterbinden, ja. Aber wie Du und andere selbst indirekt sagst, hat das keinen Wert. Jeder Interessent weltweit ist in der Lage CSe von User_XY zu analysieren.

Ein kleiner Punkt … imho … kann sein, dass Dumps nicht mehr full-dumps sein dürfen. Sondern reine Daten-dumps. Das macht Tools wie von Pascal oder overpass etc. kaputt, aber da kann man auch Wege finden. Man könnte bspw. via Opt-In die User-History an solche Dienste abgeben.

Hätte nicht nur Vorteile für den Datenschutz, sondern auch für die DL-Grösse und die Weiterverarbeitbarkeit.

Genau so sehe ich das.
Hier jetzt zu versuchen, mit irgendwelchen Nutzungsbedingungen die Auswertung einzuschränken oder die Informationen gar nicht mehr zu veröffentlichen und somit der OSMF mehr Macht (Monopol) über einen Teil der Daten zu geben, halte ich für falsch.

Einen klaren Hinweise auf die Möglichkeit bestimmte (richtige, aber auch falsche) Rückschlüsse aus den beigetragenen Daten ziehen zu könne, halte ich für ausreichend.
D.h. klar zu machen, dass alle Bearbeitungen (wie z.B. Mappen, Änderungssatzkommentare, Diskussionen über Änderungssätze, Notes, GPX-Tracks, Profil-Bild) inkl. deren Zeitpunkt und den verwendete Editor öffentlich sind und mit dem Benutzernamen (ebenfalls öffentlich) verknüpft sind und diese Informationen natürlich richtige oder falsche Rückschlüsse z.B. auf die Identität, Wohnort, Arbeitsort, Urlaubsort, besuchte Orte, Ortskenntnisse, bestimmte Gewohnheiten ermöglichen können.

Noch etwas Witziges am Rande:
Letzten Sommer kam mir einer im Wald entgegen und fragte mich “Auch für OSM unterwegs?”. :slight_smile:
Als Insider erkennt man sich gelegentlich gegenseitig.
Also anonym ist man nicht wirklich…

Mein undurchdachter Senf dazu.
Wie auch whb schrieb: Man muss deutlich machen was man an Informationen aus den Bearbeiterdaten herausziehen kann.

Also z.B. ‘Pascal Neis’ Dienste natürlich lassen wie sie sind. Es gibt dem IT-Laien einen Eindruck davon was man aus den Daten eruieren kann. Man könnte auch eine Liste weiterer Dienste und Analysen erstellen, wo der interessierte oder Neuling vor dem Mappen ersehen kann wie transparent er ist.

Und eine Konkrete Beschreibung was geht:
Hier die Aktivität von User123, der hat das ganze Dorf ABC gemappt, er scheint da der einzige OSMler zu sein und es sind seine ersten Edits. Da er aber im Dorf bekannt ist als der der da so komisch durch’s Dorf spaziert weiss man das User123 eigentlich Hein Mück ist. Dazu das keine Information sicher ist: Wenn irgendwo auf Facebook ein Kumpel die Zuordnung postet kriegt man sie nicht mehr aus der Welt.

In kurz: wir sollten kein ‘Securuy by obscurity’ einführen.
Wer wirklich an die Nutzeraktivitäten will kommt daran. Das die 3-Buchstaben-Organisationen eh’ dran kommen ist anzunehmen.

Falls wir das besser machen können wäre das natürlich zu diskutieren. Aber bitte keine halbgaren Verschleierungsaktionen. Das hält allenfalls einen IT-doofen Sachbearbeiter ab (Finanzamt, Jobcenter, …) aber deren IT-ler finden sicherlich heraus wie man jemanden identifizieren kann (Hier könnte Datenschutzrecht greifen, aber wenn man da bekannt ist gibt es auch Druckmittel unter der Hand).

Nicht immer: “Na, auch Pokemon?”

The times they are a-changin’

Gruss
walter

…ohne alles zu lesen… :wink:

Die Genauigkeit/Schärfe im Laufe der Zeit zu verringern finde ich gut… Wie ein Gedächtnis, mit der Zeit… erinnert man sich nicht mehr an alles… die Genaue Reihenfolge den genauen Namen. Wer kann sich schon noch an die Edits vor ein paar Jahren so genau Erinnern? Mit der Zeit verschwindet alles :wink:

Warum muss man die Usernamen von einem Note der vor 5 Jahren geändert wurde noch vorhalten… der Mapper kann sich vielleicht gar nicht mehr daran Erinnern dass er das einmal bearbeitet hat…

Warum alle Versionen eines Objektes aufheben? Warum alle Änderungssätze sich noch Anzeigen können die schon Uralt sind… usw. Vielleicht sollte eine Datenbank auch einmal ein bisschen wie ein Mensch sein: Vergesslich… , sich ändern… neu erfinden :wink:

PS: Username nur gegen Sicherheitsabfrage einzeln oder so… mit CAPTCHA abtippen :sunglasses: