Ubuntu und der Datenschutz

Ubuntu und der Datenschutz
Photo by Dayne Topkin on Unsplash

Windows 10 ist, was den Datenschutz und den Schutz der Privatsphäre im Allgemeinen angeht, eine Katastrophe. Microsoft sah sich Monate nach der Veröffentlichung gezwungen, zurückzurudern. Aber der Ruf in dieser Hinsicht ist ruiniert und nur, wer wirklich nichts zu verbergen hat, nutzt guten Gewissens diese Auskunftei.

Aber im Ernst: Auf der anderen Seite der Medaille stehen Linux-Distributionen wie Debian und viele andere, die in ihren Richtlinien die oben genannten Werte als unbedingt schützenswertes Gut ansehen. Irgendwo dazwischen steht Ubuntu, das ja formal auch eine Linux-Distribution ist.

Ubuntu ist fast wie Linux

Formal deshalb, weil es auf Debian aufbaut, sich aber ansonsten meist wenig um Gepflogenheiten der Linux-Community schert. Muss man ja auch nicht, muss aber dann mit der Reaktion der Anwender klarkommen. So erzürnt Mark Shuttleworth immer mal wieder die Gemüter der Gemeinde mit Entscheidungen, die so überhaupt nicht zu Linux und Open Source passen, sondern eher in die Windows-Welt.

Zu nennen sind hier beispielsweise das Amazon-Affiliate-Programm, die inzwischen wieder abgeschafften Smart Scopes, zu deutsch Shopping-Linsen und aktuell mit dem gerade veröffentlichten Ubuntu 18.04 LTS das Abgreifen von Telemetriedaten. Verwerflich daran ist nicht der Wunsch nach Daten über Soft- und Hardware der Anwender, sondern die Tatsache dass der Anwender mit der grassierenden Seuche des Opt-out widersprechen muss, um dem zu entgehen.

Datenschutz ade

Bereits von 2012 bis 2016 hat Canonical grob gegen den Schutz der Privatsphäre verstoßen und damit, trotzt späterer Nachbesserung, das Vertrauen vieler Anwender verspielt. Suchbegriffe, die ab Ubuntu 12.10 in die Suchmaske der Unity-Dash eingegeben wurden, weil Anwender Informationen auf ihrem lokalen Gerät finden wollten, wurden ins Internet ausgeweitet und gerieten zur Produktsuche. Neben Amazon hatte Canonical rund 50 Partner, an die Suchbegriffe weitergegeben wurden, um die Systeme der Anwender zuspammen zu können. Suchte ein Anwender beispielsweise einen bestimmten Song auf seiner Festplatte, so erhielt er zusätzlich Links zu Amazon, die den Song oder andere Werke des Künstlers zum Kauf anboten.

Zu Spyware verkommen

Das ist so weit von Linux entfernt, wie es eben geht. Richard Stallman bezeichnete Ubuntu daraufhin als Spyware. Auch die Electronic Frontier Foundation (EFF) äußerte starke Bedenken gegen die Verwendung der Scopes, wobei wiederum nur der Opt-out die Privatsphäre zurückbrachte. Technisch wurde bei jeder Suchanfrage eine HTTPS-Verbindung zu productsearch.ubuntu.com aufgebaut und die Suchanfrage samt der IP übertragen. Die Antwort von Amazon oder anderen Partnern kam  ungesichert über HTTP zurück. Der Aufschrei der Community war nicht zu überhören. Das focht Shuttleworth aber zunächst nicht an, im Gegenteil. Seine Rechtfertigung war mehr als fadenscheinig:

»…Du Vertraust du uns nicht? Ähm, wir haben Root. Du vertraust uns bereits Deine Daten an. Du vertraust darauf, dass wir Deine Maschine nicht bei jedem Update versauen. Du vertraust Debian und Du vertraust einem großen Teil der Open-Source-Community…«

Perfider Vergleich

Besonders der Vergleich mit Debian ist perfid. Debian hat einen Sozialvertrag und kümmert sich aktiv um den Schutz der Privatsphäre. Die einzigen Daten, die Debian gerne von den Anwendern hätte, finden sich in Debian Popularity Contest (Popcon). Damit will Debian feststellen, wie oft ein Paket bei den Anwendern instaliert ist. Debian fragt bei der Installation nach, ob das Paket aktiviert werden soll. Mit Ubuntu 18.04 wird neben dem Abgreifen der Telemetriedaten auch Popcon ungefragt installiert und liefert somit Daten an Canonical. Damit wird obige Einlassung von Shuttleworth aus dem Jahr 2013 endgültig zur Farce. Hier ergibt sich also klar eine Unterscheidung zwischen Ubuntu und Debian und den meisten anderen Distributionen, die nicht auf Ubuntu basieren.

Unity 8 anyone?

2014 wurde angekündigt, die Scopes würden als Opt-in gestaltet. Dazu hieß es, mit der kommenden Version 8 von Unity finde eine Desktop-Suche standardmäßig nur noch Daten auf dem heimischen PC. Erst nach der selektiv möglichen Aktivierung der Scopes könne auch bei diversen Anbietern gesucht werden.  Wie wir heute wissen, kam Unity 8 nie und die Umstellung auf Opt-in kam erst mit Ubuntu 16.04 LTS. Lediglich die Amazon-Linse wurde bereits mit 14.04 umgestellt. Wenn man also einrechnet, dass Ubuntu 14.04 LTS noch bis April 2019 unterstützt wird, so fungierte Ubuntu sieben Jahre lang als Spamschleuder für rund 50 Canonical-Partner, sofern sich der Anwender nicht aktiv dagegen entschied.

Richtlinien nur auf Englisch

Dieses Verhalten ist in den Richtlinien von Canonical festgelegt und somit rechtlich legitimiert. Die aktuell gültige Fassung dieser nur auf Englisch vorliegenden Privacy Policy stammt von 8. Februar 2016, also wenige Monate vor dem Erscheinen von Ubuntu 16.04. In der Einleitung heißt es:

Deine Privatsphäre ist uns wichtig. Diese Richtlinien beschreiben die Informationen, die wir von Dir sammeln – und was wir damit machen.

Für mich klingen die Richtlinen dann aber eher so, als seien unsere Daten wichtig für Canonical und nicht unsere Privatsphäre. Die Richtlinien, die ausdrücken sollen, wie ernst unsere Privatsphäre genommen wird, beginnen meist mit »Wir werden nicht…« und enden in »…außer es ist wirklich notwendig.« Da wissen wir doch gleich, woran wir sind.

Etwas weiter unten wirds dann deutlicher:

Canonical kann nicht personenbezogene Informationen sammeln, wie sie typischerweise von Webbrowsern und Servern zur Verfügung gestellt werden, wie z.B. Browsertyp, verweisende Seite, Datum und Uhrzeit der Anfrage eines jeden Besuchers. Unser Ziel bei der Erfassung nicht personenbezogener Daten ist es, besser zu verstehen, wie Besucher unsere Websites und Dienstleistungen nutzen.

Das nennt man heutzutage Tracking. Jeder tut es – keiner will es. Das Werbemodell des Internets basiert immer stärker darauf und es ist zum Scheitern verurteilt. Entweder es werden neue Modelle umgesetzt oder das Internet, wie wir es wollen, stirbt, Canonical hält es aber für angemessen, an diesen Praktiken mitzuwirken. Fehlerreports werden versendet und erlauben die Identifikation des sendenden Rechners. Je mehr Daten generell gesammelt werden, desto eher lasssen sich Profile zusammensetzen. Das Senden der Fehlerreports lässt sich einfach in /etc/default/apport abstellen.

Für die OnlineKonten innerhalb Ubuntus existiert eine eigene Richtlinie, die das Ablegen von authentifizierenden Cookies sanktioniert.

Der Abschnitt über die Suche in der Dash birgt auch brisante Festlegungen. Zu Beginn wird auf die ab 16.04 abgeschaltete Ausweitung der Suche über den lokalen Rechner hinaus eingegangen. Sollte der Anwender sich aber mit der ausgeweiteten Suche einverstanden erklären, gilt folgendes:

Mit der Suche in der Dash stimmst Du der Erfassung und Verwendung Deiner Suchbegriffe und Deiner IP-Adresse durch Canonical und ausgewählte Dritte zu.

In Bezug auf diese Dritten heißt es dann:

Informationen darüber, wie unsere ausgewählten Drittparteien Ihre Informationen verwenden können, finden Sie in deren Datenschutzrichtlinien.

Wie bei Facebook

Darauf folgt die Liste der über 50 Partner. Aha, ich soll also die Richtlinien von über 50 Unternehmen studieren. Danke, aber verdammt nochmal, nein danke. Das erinnert doch alles fatal an Facebook und Cambridge Analytics. Wir verkaufen mal eben eure Daten, was Dritte dann damit tun, interessiert uns doch nicht. Im Abschnitt »Access« geht es dann darum, wer Zugriff auf vom Anwender zur Verfügung gestellter Daten oder solcher, die Canonical über ihn gesammelt hat, erhält:

Die Informationen, die Du uns zur Verfügung stellst, werden auf Computern gespeichert und können von unseren Mitarbeitern innerhalb und außerhalb Großbritanniens und an Dritte, einschließlich Auftragnehmer und Unternehmen innerhalb der Canonical-Gruppe, für die in dieser Datenschutzrichtlinie dargelegten Zwecke, d.h. um Dir Produkte oder Dienstleistungen bereitzustellen, oder wie anderweitig mit Dir vereinbart, abgerufen oder weitergegeben werden. Du erkennst an, dass es notwendig sein kann, dass Deine Daten von diesen Parteien verarbeitet werden und dass sie an jemanden weitergegeben werden können, der uns in einem anderen Land, auch außerhalb des Europäischen Wirtschaftsraums, eine Dienstleistung erbringt, und Du stimmst einer solchen Verarbeitung und Übermittlung zu. Wenn es notwendig ist, Deine persönlichen Daten außerhalb des Europäischen Wirtschaftsraums zu übermitteln, werden wir alles daran setzen, dass die Person, an die wir die persönlichen Daten weitergeben, diese mit dem gleichen Schutzniveau behandelt wie wir.

Deine Daten werden übereignet

Zu guter Letzt dann noch das i-Tüpfelchen: Sollte Canonical verkauft werden oder mit einem anderen Unternehmen zusammengehen, so gehen die Daten an den neuen Besitzer oder Partner über. Erinnert sich noch jemand an das immer mal wieder geschürte Gerücht, Microsoft wolle Canonical übernehmen? Und bestimmt könnte es noch schlimmer kommen.

Gegen Telemetriedaten ist grundsätzlich nichts zu sagen, sie können Entwicklern helfen, Produkte im Sinne der Anwender zu verbessern. Aber es sollte -und das nicht nur unter Linux – klar sein, dass das immer per Opt-in zu geschehen hat und nicht umgekehrt. Klar erhält Canonical so weniger Daten. Aber der Schutz der Privatsphäre hat dabei immer das höchste Gut zu sein, nicht der Wunsch nach Daten.

Ubuntu Community-Edition?

Auch andere große Unternehmen, die mit Linux arbeiten haben ähnliche  Richtlinien, die sie gesetzlich absichern. Dazu gehören beispielsweise Red Hat und SUSE. Doch hier gibt es einen entscheidenden Unterschied: Besagte Unternehmen trennen ihre kommerziellen Angebote und die dem privaten User zugewandten kostenfreien Angebote wie etwa Fedora oder openSUSE ab und übergeben sie der Community zur Entwicklung. Dann kann man auf solch rigide Richtlinien verzichten. Vielleicht ist das auch der Weg, den Canonical gehen sollte, um aus der Schusslinie zu kommen. Realistisch betrachtet ist Ubuntu doch sowieso völlig aus dem Fokus geraten, seit Canonical nennenswerte Umsätze in den Bereichen Server und Cloud macht. Oder wie seht ihr das?

Teilt den Beitrag, falls ihr mögt

Abonnieren
Benachrichtige mich bei
14 Kommentare
Most Voted
Newest Oldest
Inline Feedbacks
View all comments