Datenschutz bei OSM

Von den OSM-Daten hat er aber genau so wenig, wenn ich nicht seinen privaten Swimmingpool mappe. Gegen seine Hausnummer kann er sich nicht wehren :).

Moin!

Ich finde diese Überlegungen sehr wichtig. Ich habe seit mehreren Jahren vor allem aus diesem Grund keine Tracks mehr hochgeladen und einige Dinge nicht in die Datenbank eingetragen.
Wer in einer weniger freien Gesellschaft als unserer lebt, wird deutlich größere Probleme mit dem Schutz persönlicher Daten haben.

So ein formaler Einwand nützt vielleicht vor einem deutschen Gericht, aber nicht, wenn man im nächsten Urlaub bei der Einreise zurückgewiesen wird wegen Spionage (Eintrag von militärischen Objekten), Propaganda für Terrororganisationen (name-Tag in der falschen Sprache) oder Gefährdung der nationalen Sicherheit (Editieren einer “inkorrekten” Grenze).

Damit kann man evtl. verhindern, dass ein neugieriger Ladenbesitzer einfach herausfindet, wer sein Geschäft bei OSM eingetragen hat.
Gegen kommerzielle Datensammler oder staatliche Stellen hilft es nichts.

Eine Alternative zu Mehrfach-Accounts wäre die Möglichkeit, Changesets anonym einzureichen.
Um Vandalismus zu verhindern müssten diese Changesets von einem anderen Mapper geprüft und erst dann in die OSM-Datenbank eingetragen werden. In der Datenbank würden sie unter dem Namen des Prüfers mit einem eindeutigen Kommentar stehen.
Damit hätte man ein hohes Maß an Datenschutz ohne größere Gefahr von Vandalismus.

Vielleicht könnte man damit sogar die Einstiegshürde bei OSM abgesenken.
Sicherlich befürchten manche, dass ihre erste Mitarbeit Schäden an der Karte verursacht oder negative Kommentare hervorruft.
Für diese wäre eine anonyme Teilnahme mit Kontrolle durch einen erfahrenen Mapper evtl. ein Einstieg.

Weil ich gerade auf der oester. Mailingliste darauf hingewiesen wurde, bei automatischen Edits wird im Wiki der Realname gefordert, in der Diskussionseite des Themas haben da zwei was dagegen:
https://wiki.openstreetmap.org/wiki/Automated_Edits_code_of_conduct

Sicher, automatisch editieren ist ein sehr heikles Thema, aber wie sieht es damit aus? Wurde daran bei der aktuellen Diskussion gedacht?

Es ist leider so, daß Anonymität bei diesem Projekt nicht tatsächlich gewährleistet werden kann. Selbst wenn ich mir einen weiteren Account zulegte, könnten findige Leute aus Merkmalen meiner neuen Beiträge und ihren Ähnlichkeiten mit früheren Beiträgen mich identifizieren - davon bin ich überzeugt. Es gibt genügend Merkmale: Orte der Aktivität, verwendete tags, Änderung oder Neuanlegung oder Löschung, Wochentag und Tageszeit der Tätigkeit, Größe des Changeset, verwendeter Editor, Abstände zwischen Nodes, … Bei so wenigen aktiven Mappern genügt das sicherlich.

Damit könnte ich auch den gegenteiligen Vorschlag machen: gleich klipp und klar sagen, daß hier nichts anonym sein kann.

Gegenüber Leuten, die durch ihre Mappingtätigkeit wirklich gefährdet werden könnten, wäre das ehrlich. Damit hätten wir zwar jemanden vom Mapping abgehalten, aber das ist besser, als jemanden ins Gefängnis gebracht.

Es steht bei der ganzen Diskussion ein bisschen die Frage im Raum: Wenn wir jetzt sozusagen “symbolisch” sagen, die Nutzerdaten sind nur für uns intern, und einige (durch Anmeldung eines Accounts leicht zu umgehende) Schutzmassnahmen ergreifen - hat das dann einen Nutzen, weil wir wenigstens klar machen, was wir wollen, anstatt zu sagen “ist uns egal, mit Nutzerdaten darf jeder machen, was er will”? Oder schadet es eher, weil es eine Sicherheit vorgaukelt, die keine ist?

Tatsache ist: Im Moment kann ich, ohne mich zu verstecken, ganz frech eine Webseite machen, auf der immer steht, was der Bernhard H. in der letzten Woche so am Rechner gemacht hat (in OSM zumindest). Das könnten wir schon unterbinden. Die Info kann ich dann immer noch rausfinden, aber ich kann sie nicht mehr frech ins Web blasen.

Ja, das ist m.E. das Mindeste, was wir tun müssen - ohne Panikmache, aber schon so, dass auch der unbedarfte Nutzer versteht, woran er ist. Und wir müssen überlegen, was wir tun, wenn jemand bei uns tatsächlich sein “Recht auf Vergessen” einfordert - denn wie Du oben geschildert hast, kann es in solchen Fällen eventuell gar nicht ausreichend sein, einfach den Usernamen auf 012345 zu setzen, wie wir das im Moment tun, wenn jemand sienen Account löscht.

Bye
Frederik

das ist imho nicht der Punkt. Der Punkt ist: wir müssen zusehen, wie wir einerseits die Edits anonymer machen (können) und andererseits, wie man das (nicht nur) Noobs vermittelt, dass sie (noch) nicht anonym sind. Die Policy zählt da für mich nicht als Argument. Gibt Hunderte Policies, die weder bindend noch nachvollziehbar sind (Ja, ich hab die Osm-Policie auch nicht gelesen)

Rechtlich kann man (in einer Policy) das unterbinden, ja. Aber wie Du und andere selbst indirekt sagst, hat das keinen Wert. Jeder Interessent weltweit ist in der Lage CSe von User_XY zu analysieren.

Ein kleiner Punkt … imho … kann sein, dass Dumps nicht mehr full-dumps sein dürfen. Sondern reine Daten-dumps. Das macht Tools wie von Pascal oder overpass etc. kaputt, aber da kann man auch Wege finden. Man könnte bspw. via Opt-In die User-History an solche Dienste abgeben.

Hätte nicht nur Vorteile für den Datenschutz, sondern auch für die DL-Grösse und die Weiterverarbeitbarkeit.

Genau so sehe ich das.
Hier jetzt zu versuchen, mit irgendwelchen Nutzungsbedingungen die Auswertung einzuschränken oder die Informationen gar nicht mehr zu veröffentlichen und somit der OSMF mehr Macht (Monopol) über einen Teil der Daten zu geben, halte ich für falsch.

Einen klaren Hinweise auf die Möglichkeit bestimmte (richtige, aber auch falsche) Rückschlüsse aus den beigetragenen Daten ziehen zu könne, halte ich für ausreichend.
D.h. klar zu machen, dass alle Bearbeitungen (wie z.B. Mappen, Änderungssatzkommentare, Diskussionen über Änderungssätze, Notes, GPX-Tracks, Profil-Bild) inkl. deren Zeitpunkt und den verwendete Editor öffentlich sind und mit dem Benutzernamen (ebenfalls öffentlich) verknüpft sind und diese Informationen natürlich richtige oder falsche Rückschlüsse z.B. auf die Identität, Wohnort, Arbeitsort, Urlaubsort, besuchte Orte, Ortskenntnisse, bestimmte Gewohnheiten ermöglichen können.

Noch etwas Witziges am Rande:
Letzten Sommer kam mir einer im Wald entgegen und fragte mich “Auch für OSM unterwegs?”. :slight_smile:
Als Insider erkennt man sich gelegentlich gegenseitig.
Also anonym ist man nicht wirklich…

Mein undurchdachter Senf dazu.
Wie auch whb schrieb: Man muss deutlich machen was man an Informationen aus den Bearbeiterdaten herausziehen kann.

Also z.B. ‘Pascal Neis’ Dienste natürlich lassen wie sie sind. Es gibt dem IT-Laien einen Eindruck davon was man aus den Daten eruieren kann. Man könnte auch eine Liste weiterer Dienste und Analysen erstellen, wo der interessierte oder Neuling vor dem Mappen ersehen kann wie transparent er ist.

Und eine Konkrete Beschreibung was geht:
Hier die Aktivität von User123, der hat das ganze Dorf ABC gemappt, er scheint da der einzige OSMler zu sein und es sind seine ersten Edits. Da er aber im Dorf bekannt ist als der der da so komisch durch’s Dorf spaziert weiss man das User123 eigentlich Hein Mück ist. Dazu das keine Information sicher ist: Wenn irgendwo auf Facebook ein Kumpel die Zuordnung postet kriegt man sie nicht mehr aus der Welt.

In kurz: wir sollten kein ‘Securuy by obscurity’ einführen.
Wer wirklich an die Nutzeraktivitäten will kommt daran. Das die 3-Buchstaben-Organisationen eh’ dran kommen ist anzunehmen.

Falls wir das besser machen können wäre das natürlich zu diskutieren. Aber bitte keine halbgaren Verschleierungsaktionen. Das hält allenfalls einen IT-doofen Sachbearbeiter ab (Finanzamt, Jobcenter, …) aber deren IT-ler finden sicherlich heraus wie man jemanden identifizieren kann (Hier könnte Datenschutzrecht greifen, aber wenn man da bekannt ist gibt es auch Druckmittel unter der Hand).

Nicht immer: “Na, auch Pokemon?”

The times they are a-changin’

Gruss
walter

…ohne alles zu lesen… :wink:

Die Genauigkeit/Schärfe im Laufe der Zeit zu verringern finde ich gut… Wie ein Gedächtnis, mit der Zeit… erinnert man sich nicht mehr an alles… die Genaue Reihenfolge den genauen Namen. Wer kann sich schon noch an die Edits vor ein paar Jahren so genau Erinnern? Mit der Zeit verschwindet alles :wink:

Warum muss man die Usernamen von einem Note der vor 5 Jahren geändert wurde noch vorhalten… der Mapper kann sich vielleicht gar nicht mehr daran Erinnern dass er das einmal bearbeitet hat…

Warum alle Versionen eines Objektes aufheben? Warum alle Änderungssätze sich noch Anzeigen können die schon Uralt sind… usw. Vielleicht sollte eine Datenbank auch einmal ein bisschen wie ein Mensch sein: Vergesslich… , sich ändern… neu erfinden :wink:

PS: Username nur gegen Sicherheitsabfrage einzeln oder so… mit CAPTCHA abtippen :sunglasses:

In der Arbeit würden wir dazu… Aufbewahrungsfristen sagen… Wie lange muss was aufgehoben werden… 1,3,5,10 Jahre oder dauerhaft… :confused: interessante Sache… :slight_smile:

Wenn man eine Bearbeitung als vielleicht… als Dienstleistung oder keine Ahnung Handwerklich Leistung sieht… Dann hätte man 2 Jahr Gewährleistung… Mängelhaftung… Dann ist es vorbei… Dann könnte man die Unterlagen wegschmeißen… Außer man braucht diese noch für was anderes…

Es geht ja nicht um Haftung, es geht darum, Dinge klären zu können. Wenn ich über ein Detail irnkwo in der Welt stolpere, das vor 5 Jahren gemappt wurde und gar nicht zum Bing-Luftbild passen will, dann ist es unschätzbar wertvoll, den Kollegen direkt kontaktieren zu können, um zu fragen, ob die Straße tatsächlich umgebaut wurde oder was auch immer (das Bing-Bild kann ja ohne weiteres noch älter sein). Dann kann mir der Mapper entweder sagen: „Hab ich nicht genau gezogen, kannst du gern verfeinern, wurde seit 20 Jahren nicht umgebaut“ oder: „Ja, die Straße wurde verlegt, hab ich mit GPS vermessen, lass es bitte so, Bing ist veraltet“. Diese Möglichkeit sollte OSM-intern bestehen bleiben, sonst fehlt da was ganz Wichtiges.

–ks

PS: Gab’s Pünktchen im Sonderangebot?

Ja gab es im Sonderangebot beim Aldi,… Magst a a paar? … :wink:

Es gibt auch gewisse Konfliktregionen in der Welt, z.B. Bergkarabach, Südossetien, Abchasien, etc, wo man unter Umständen sogar ernsthafte Probleme bekommen könnte, wenn man dort Grenzen einträgt, die eine der jeweiligen Konfliktparteien für illegal hält und man dann in das jeweilige Land reist. Habe zwar noch nichts derartiges gehört, aber Aserbaidschan verhaftet ja schon Leute die Bergkarabach bloß kurz betreten haben. Ich kann mir durchaus vorstellen, dass jemand der z.b. Grenzen der armenischen Separatisten dort eingetragen hat, ein echtes Problem hätte, wenn er zufällig mal in Baku ist und seine Tätigkeit auf OSM dort bekannt würde.

Im Allgemeinen muss man aber damit leben, dass man die eigenen OSM-Aktivitäten nachverfolgen kann. Wer auf Wikipedia schreibt, nimmt auch in Kauf dass sein Name in Versionsgeschichten auftaucht. Da gibt man letztlich auch extrem viel über die eigenen Ansichten preis. Im Zweifelsfall kann man ja ein neues Benutzerkonto anlegen.

Hallo,

vielleicht könnte man als einen ersten Schritt in diese Richtung alle userbezogenen Daten auf openstreetmap.org nur noch für eingeloggte Besucher sichtbar machen? Es muss ja nicht unbedingt jeder dahergelaufene Bot meine komplette Edit-History sehen.

Gruß

+1
Hinzu kommt bei der Variante, dass die ganzen Daten für Ottonormal eh komplett uninteressant bis verwirrend sind. Wer hat welches CS erstellt, kommentiert usw.
Weg damit.

Passt nicht ganz zum Thema aber kratzt etwas: im gleichen Atemzug könnte man für Ottonormal die Tags “übersetzen” bzw schönen und lesbar machen. Willkürliches Beispiel:
http://www.openstreetmap.org/node/86001798 hier muss man sich aus “verwirrenden” Tags eine handelsübliche Adresse und andere Infos raussuchen.

zu spät und des wird nimmer helfen. das netz vergisst nix. ist schon doof wenn einem erst jetzt auffällt was man aus seinen daten und beiträgen alles rausfinden kann. tjaa erst denken und dann handeln. ist übrigens auch der grund warum ich keine gps-tracks hochlade und lieber unter unterschiedlichen accounts was mache. das ist natürlich nix für die “guggt mal alle wieviel ich schon gemacht habe, wie fleissig und wie toll ich bin” poweruser fraktion. phishing for compliments mit personal key performance indicator meets data security. entscheiden muss das jeder selber

Das ist als Sichtweise eines einzelnen zulässig (wenn auch reichlich arrogant). Aber sollten wir uns als Projekt nicht fragen, ob wir all die vielen einzelnen, die in der Zukunft zu uns stossen, besser schützen können (anstatt ihnen dann ein paar Jahre später ein hämisches “hättet ihr Euch früher überlegen müssen” entgegen zu rufen)?

Bye
Frederik

Was mich an diesem Thread überrascht, oder vielleicht auch nicht, ist der häufige Gebrauch von “man”, in der Bedeutung “ich bin zu faul die Arbeit um die Ideen zu implementieren selber zu machen, aber vielleicht findet sich ein Doofer, der es macht wenn ich lange genug motze”. Das geht so weit, dass sich bis jetzt nur 4 Leute aus DACH sich auf https://github.com/openstreetmap/openstreetmap-website/pull/1431 gemeldet haben, wo es -konkret- um den Datenschutz geht und wo der Druck es so wie im PR implementiert in die Produktion zu übernehmen klar steigt.

Simon