Der Ärger unter vielen Freunden des Open-Source-Audioeditors Audacity ist groß. Neue Datenschutzbestimmungen schürten Sorge vor der Sammlung und Speicherung von Nutzerdaten, die womöglich dazu führen könnte, dass Behörden Rückschlüsse auf einzelne User ziehen könnten.

In den letzten Tagen musste sich die Muse-Group, die das Audacity-Projekt im Mai übernommen hat, dafür viel Kritik gefallen lassen. Mitunter wurde ihr vorgeworfen, das Programm in "Spyware" zu verwandeln. Nun versucht man zu beschwichtigen. Einen guten Teil der Aufregung schiebt man auf "unklare Formulierungen" der neuen Privacy Policy. Diese will man nun überarbeiten und den neuen Text in Bälde verfügbar machen, schreibt man in einem Posting auf Github.

Herausgabe erst nach Gerichtsbeschluss

Man habe jedenfalls weder jetzt, noch in Zukunft, vor, Daten an Dritte zu verkaufen oder mit ihnen zu teilen. Die Daten, die man selbst erhebt, seien außerdem im Umfang sehr begrenzt. Konkret erfasst man die IP-Adresse, welche CPU genutzt wird und welches Betriebssystem in Verwendung ist. Weitere Daten können über Fehlerberichte übermittelt werden, allerdings vom Nutzer selbst auf freiwilliger Basis.

Auch an Regierungen und Behörden gibt man von sich aus keine Daten weiter und sammelt für diese auch keine. Es gibt lediglich eine Ausnahme, nämlich wenn man mittels Beschluss eines Gerichtes, in dessen Zuständigkeitsgebiet man tätig ist, zur Herausgabe von Daten verpflichtet wird.

Änderungen erst ab Version 3.0.3

Die neuen Datenschutzbedingungen betreffen erst die kommende Version 3.0.3 von Audacity, nicht aber die aktuelle Ausgabe 3.0.2 oder ältere Releases. Zudem sind sie auch nicht auf Offline-Funktionen anwendbar. Die Einführung der neuen Privacy Policy sei jedoch aufgrund zwei neuer Features der nächsten Version notwendig. Audacity 3.0.3 wird automatisch auf die Verfügbarkeit neuer Updates prüfen. Hinzu kommt die Möglichkeit, direkt aus dem Programm heraus Fehlerberichte zu verschicken, wenn der Nutzer dies möchte (Opt-in).

IP-Adressen werden aufgrund rechtlicher Vorgaben auf den Audacity-Servern gespeichert, seien aber nach einem Tag nicht mehr identifizierbar, da man dann die zu den Hashwerten gehörigen "Salts" löscht. Der Begriff "persönliche Daten" beziehe sich zudem aufgrund der europäischen Datenschutzgrundverordnung (DSGVO) auf IP-Adressen, da diese dort potenziell so eingestuft werden können.

Man könne die scharfe Kritik der letzten Tage nachvollziehen, hofft aber, den Nutzern und Mitentwicklern mit der Klarstellung ihre Sorgen nehmen zu können.

Skeptische Reaktionen

Die bisherigen Reaktionen fallen überwiegend skeptisch bis negativ aus. Der Muse Group schlägt auch Misstrauen entgegen, da sie erst vor zwei Monaten die Implementierung von Google Analytics und Yandex Metrica zwecks Erhebung von Telemetriedaten vorgeschlagen hatte.

In der Community wurden zuletzt die Rufe nach einer Abspaltung (Fork) laut, um auf Basis des "offiziellen" Audacity-Quellcodes eine eigene, um Datenerhebungsfunktionen bereinigte Version zu entwickeln. Ein entsprechendes Projekt verzeichnet bereits signifikanten Zulauf. (gpi, 6.7.2021)