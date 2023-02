Auch Open-Source-Projekte profitieren davon, nach Hause zu telefonieren. Diese These vertritt mit Russ Cox, ein Google-Software-Ingenieur, der die Entwicklung der auf offenen Quellcode setzenden Programmiersprache Go leitet. Er schlägt daher vor, bei der Nutzung von Go-Kerninstrumenten anfallende Telemetriedaten zu sammeln und auszuwerten. Der Mechanismus soll standardmäßig angeschaltet, ein Opt-out aber "einfach, effektiv und dauerhaft" möglich sein. In der Go-Entwickler-Community stößt der Ansatz auf große Bedenken.

"Transparente Telemetrie"

Wie können Entwickler herausfinden, welche Teile ihrer Software genutzt werden und ob sie wie erwartet funktionieren, fragt Cox in seinem Vorschlag auf der Code-Hosting-Plattform GitHub. Die moderne Antwort ist für ihn "die Telemetrie." Dabei sende eine Anwendung Daten an einen zentralen Server, die Programmierer unterstützen könne. Der Google-Mitarbeiter hält es daher für nötig, dass Open-Source-Initiativen "neue Telemetriedesigns erforschen". Damit könnten Entwickler "effizient und effektiv" arbeiten, "ohne invasive Spuren detaillierter Benutzeraktivitäten zu sammeln".

In mehreren Blogeinträgen hat Cox einen Entwurf für "transparente Telemetrie" ausgearbeitet. Er habe diesen Namen gewählt, weil das Verfahren mit ein paar "Kilobytes pro Jahr von jeder Installation" so wenig Informationen wie möglich sammle. Zudem würden die erhobenen Daten "zur öffentlichen Einsicht und Analyse" herausgegeben. Hochgeladene Berichte enthielten keine Kennungen von Benutzern, Geräten oder vergleichbare IDs. IP-Adressen blieben ebenfalls außen vor. Es gehe nur um die "Go-Toolchain" mit ihren angestammten, auf der Befehlszeile aufsetzenden Werkzeugen. Den Ansatz auf alle Go-Programme weltweit auszudehnen, wäre "eindeutig unangebracht".

Begeisterung und Proteste

Innerhalb weniger Tage löste der Plan allein auf GitHub 506 Kommentare aus. Cox schloss die dortige Diskussionsfunktion mittlerweile, da sich die Debatte im Kreis zu drehen begonnen habe. Einige Kommentatoren gaben sich begeistert. Aber es hagelte auch Proteste.

Schwer enttäuscht zeigte sich etwa der IT-Berater Jacob Weisz. Er schrieb in einer Antwort auf dem Portal, dass er sich erst jüngst nach dem Zureden von Freunden für Go erwärmt habe. Die Programmiersprache werde genauso mit Google verknüpft wie Java mit Oracle oder Swift mit Apple. Dass die Crew des US-Konzerns nun Telemetrie einführen wolle, vergraule jeden, "der trotz der Warnzeichen überhaupt in Erwägung gezogen hat, Ihrem Projekt eine Chance zu geben".

Vertrauen in Google "auf einem historischen Tiefstand"

"Bitte tun Sie das nicht, und bitte entschuldigen Sie sich öffentlich dafür, dass Sie es überhaupt vorgeschlagen haben", wendet sich Weisz an die Go-Crew. "Bitte lassen Sie einen so weiten Radius um diese Idee herum, dass niemand auch nur auf die Idee kommt, so etwas noch einmal zu versuchen." Das Vertrauen in Google sei bereits "auf einem historischen Tiefstand". Aktionen wie diese könnten dazu führen, auch den verbliebenen Rest in den Abgrund zu stürzen.

"Viele Community-Mitglieder sind der Meinung, dass die Telemetrie entweder auf freiwilliger Basis oder überhaupt nicht eingeführt werden sollte", erläuterte Weisz seine Einwände gegenüber dem Online-Magazin "The Register". Das Go-Team habe keine Angaben zum weiteren Vorgehen gemacht. Möglicherweise sei die Entscheidung so bereits gefallen. Das Vorhaben sei vergleichbar mit Microsofts Ansatz, Telemetrie zu den .NET-Entwickler-Tools hinzuzufügen. Diese übermitteln standardmäßig Nutzungsdaten, wenn der Entwickler sich nicht dagegen entscheidet.

Geldstrafen bei DSGVO-Verstößen

Der französische Programmierer François Nonnenmacher erinnerte an die Datenschutz-Grundverordnung (DSGVO). Sobald nur ein einziger identifizierbarer Datensatz erfasst werde, reiche eine Opt-out-Möglichkeit nicht aus. Zudem habe der Europäische Gerichtshof das transatlantische Datenübertragungsabkommen Privacy Shield gekippt. Es drohten hohe Geldstrafen bei DSGVO-Verstößen.

In Deutschland und in der EU kochte die Telemetriekontroverse vor allem im Zusammenhang mit Windows 10 hoch. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) erkannte Ende 2020 schließlich an, dass zumindest beim Einsatz der Enterprise-Edition des Betriebssystems das Nach-Hause-Telefonieren unterbunden werden kann. Verantwortliche könnten aber "nicht abschließend von ihrer Prüf- und Nachweispflicht für den datenschutzkonformen Einsatz von Windows 10 entlastet werden". Sie müssten mit Zusatzmaßnahmen sicherstellen, dass nachweislich kein Transfer von Telemetriedaten an Microsoft stattfinde.

Fürsprecher kritisiert Fehlen ernsthafter Argumente

Der frühere Google-Kryptograph Filippo Valsorda unterstützt derweil in einem Mastodon-Beitrag das Vorpreschen Cox'. "Dies ist ein großer unkonventioneller Entwurf, es gibt eine Menge Kompromisse, die es wert sind, diskutiert zu werden, und Details, die es zu erforschen gilt", schrieb er. Cox habe auch bereits mehrere Verbesserungsvorschläge umgesetzt. Nur dagegenzuhalten, "Google ist böse", sei etwas dünn. Keiner habe bislang ernsthafte Argumente geliefert, wieso die Nutzung und Veröffentlichung des vorgesehenen eingeschränkten Datensets problematisch sein könnte. Go setzt seit Kurzem bereits auf Profil-Informationen für die Code-Optimierung.

(bme)