Diskussion:Antrag an den Bundesvorstand: Liquidfeedback-Datenschutz betreffend

Die Anträge sind viel zu schwammig formuliert. Bitte genau schreiben, was passieren soll. --NineBerry 12:09, 27. Jul. 2010 (CEST)

in "Komplettes Opt-Out" zu "jeder Zeit" ist aus Datenschutzsicht bedenklich. Wenn z.B. bei einem Austritt sofort das Benutzerkonto gelöscht wird, dann ist es einfach nachzuvollziehen, wem das Konto gehörte. Deswegen werden nach aktueller Planung alle Änderungen erst einmal gesammelt und zeitverzögert "im Bulk" an Clearingstelle und LF weitergereicht. --NineBerry 12:09, 27. Jul. 2010 (CEST)

Üblicherweise werden die Daten "gesperrt" - d.h. die Abstimmung ist nur noch als anonyme Abtimmung zu sehen.

Das sehe ich auch so. Das Interesse der Partei, ein funktionierendes Meinungsbild-Tool zu haben geht hier klar vor den privaten Ängsten einiger weniger. Nico.Ecke 13:45, 27. Jul. 2010 (CEST)

Nein, informationelle Selbstbestimmung ist im Grundgesetz verankert und geht daher immer vor. --Fenriz 15:27, 27. Jul. 2010 (CEST)

Ja, es ist aber auch Ausdruck informationeller Selbstbestimmung, Dinge öffentlich zu machen. Informationelle Selbstbestimmung heisst nicht, dass man alles anonym machen kann. Daher passt der Begriff "informationelle Selbstbestimmung" hier in diesem Zusammenhang überhaupt nicht. Es gibt ja keine Zwangsmitgliedschaft. Wenn die Partei beschliessen würde, dass jedes Parteimitglied seinen Steuerbescheid und ein polizeiliches Führungszeugnis ins Wiki stellen muss, wäre das rechtlich absolut zulässig, denn es steht jedem frei, auszutreten oder unter solchen Bedingungen gar nicht erst Mitglied zu werden. Was LF betrifft: Niemand wird zur Teilnahme gezwungen, und niemand wird gezwungen, dort seine wahre Meinung zu offenbaren. Es wird auch niemand gezwungen, in einer Partei mitzuarbeiten, wo er befürchten muss, dass seine politische Meinung öffentlich wird. Es gibt genug andere Parteien, wo man völlig im Geheimen die Revolution planen kann - da läuft man höchstens Gefahr, dass der Verfassungsschutz mithört. --Pavel 17:48, 27. Jul. 2010 (CEST)

1. Du willst also, dass die Leute austreten, denen das nicht passt? Habe ich das richtig aus Deinem Beitrag heraus gelesen? 2. Eine Partei muss immer demokratisch strukturiert sein. Wenn die Mitwirkung an der politischen Willensbildung nicht ermöglicht wird, ohne die informationelle Selbstbestimmung aufzugeben (man also gezwungen ist, seine politische Gesinnung publik zu machen, wenn man mitarbeiten möchte, und LF wird da in Zukunft ein großer Teil von sein, so wie es geplant ist), dann ist die Partei nicht mehr demokratisch und damit keine Partei mehr. --Fenriz 21:22, 27. Jul. 2010 (CEST)

Also ich finde Antrag 2 im Grunde gut. Nur ist mir das zu populistisch. Meine Version wäre (ist auch ein wenig anders):

Der Bundesvorstand möge beschließen, dass bei der Bundesinstanz ohne Anmeldung keine Namen bzw. keine anderen personenbezogenen Daten sichtbar werden. Dies soll auch für die SQL-Daten gelten.

Kurz und schmerzlos. ;) -- SyneX 12:27, 27. Jul. 2010 (CEST) Hier könnt ihr eure Meinung kundtun :)

Der Antrag ist grundsätzlich gut, nur die Begründung ist schwach. Außer der "üblichen Verdächtigen" ist es der Masse völlig egal, wie anonym man im Internet ist. Akzeptanz in der Breite findet man ausschließlich über leicht zu bedienende und ebenso verständliche Seiten. Facebook sollte Beweis genug sein, wie egal der Masse ihr Datenschutz ist. Daetnschutz sehe ich gern, doch darf das nicht zu lasten der Usability gehn. Nico.Ecke 13:49, 27. Jul. 2010 (CEST)

Facebook soll uns jetzt als Standard und Diskussionsgrundlage dienen? Ist das Dein Ernst? ;)

--Fenriz 15:26, 27. Jul. 2010 (CEST)

Damit die Usability nicht leidet, soll ja explizit die API offen bleiben (damit die Benachrichtigungen laufen können) und man soll auch ohne Anmeldung die Initiativen sehen. Nur wenn man dann mehr sehen will, muss man sich halt anmelden. Der Download der SQL-Daten dürfte auch ein für die Masse absolut irrelevanter Punkt sein, stört also auch nicht in der Usability. Ike 16:06, 27. Jul. 2010 (CEST)

Es wird leider in weiten Teilen nicht klar, was hier konkret beschlossen werden soll, und die Anträge gehen von einigen Fehlannahmen aus. Ausserdem gibt es eine Vielzahl von Gründen, warum LF so geplant ist, wie es geplant ist, und warum die Anträge keine gute Idee sind. Das alles wurde aber auch schon dutzendfach diskutiert, im Folgenden sind einige der Gründe aufgezählt:

Automatisches "Opt-Out" bei Austritt

• Die grundsätzliche Anonymisierung bei Parteiaustritt ist rechtlich *und* politisch sehr problematisch. Zum einen hat jeder Nutzer das Recht, dass sein Name im Zusammenhang mit den Beiträgen, die er eingestellt hat, genannt wird. Das verlangt die gewählte CC-Lizenz für die Beiträge.

• Ein Löschen des Namens gegen den Willen des Nutzers kommt ausserdem einer Geschichtslöschung gleich und erinnert an das Wegretuschieren von in Ungnade gefallen Politikern aus historischen Bildern, wie sie im Stalinismus praktiziert wurde.

• Wir löschen ausserdem auch nicht die Namen von Personen aus Protokollen, und auch nicht Namen und Historien im Wiki und im Forum. Selbst Bodo Thiesens krude Thesen von letztem Jahr, die er von seiner Benutzerseite gelöscht hat, stehen noch in der Wiki-Historie seiner Seite.

• Ein komplettes Opt-Out jederzeit verlangen zu können, kann man machen, es führt aber zu vielen Problemen, und man braucht dann Regelungen, um einem Missbrauch vorzubeugen, beispielsweise, dass jemand der ein Opt-Out macht, keinen Anspruch auf die zeitnahe Ausstellung eines neuen Invite-Codes hat. Ausserdem müsste man das z.B. auf einen Opt-Out/Jahr begrenzen, sonst kann eine kleine Gruppe die Admins und Mitgliederwaltung komplett überlasten. Vor allem aber ist eine Überprüfbarkeit des Systems nicht mehr gegeben, wenn laufend Opt-Outs durchgeführt werden.

• Faktisch ist die Opt-Out Möglichkeit ja bereits vorgesehen, sie ist aber so gestaltet, dass klar ist, das es sich um eine Ausnahme und kein "Feature" handelt, dass man mal eben so zieht, weil einem danach ist. Die vorgesehene Regelung ist ausgewogen und vernünftig, der Antrag bürdet der Mitgliederverwaltung zusätzliche Lasten auf und beeinträchtigt die Integrität und Überprüfbarkeit des Systems, ohne dem Nutzer faktisch neue Rechte einzuräumen.

• Tatsächlich wird mit dem Antrag versucht, dem Nutzer das Recht zu nehmen, dass seine Beiträge auch nach Austritt automatisch Teil der Parteigeschichte bleiben. Das ist aufs schärfste abzulehnen.

Hoher Datenschutz bei LiquidFeedback

• Der Start als "privates System", so wie in Berlin durchgeführt, kann prinzipiell sinnvoll sein, um Ängste und Befangenheit zu minimieren - die Probleme damit überwiegen aber bei weitem den Nutzen.

• Die Erfahrungen in Berlin haben gezeigt, dass sowohl die Nutzer das auf Dauer eher nicht wollen, und sich die Piraten damit massiver Kritik aus der Öffentlichkeit und der Partei ausgesetzt sehen, weil hier plötzlich eine Abkehr vom üblichen Transparenzprinzip erfolgt, das in Foren, im Wiki, auf Parteitagen und auf Vorstandssitzungen die Regel ist.

• Es hat sich in Berlin gezeigt, dass trotz vorheriger Ankündigung, dass einmal alles im System veröffentlicht werden kann, sich viele Nutzer darüber nicht im klaren waren, dass es einmal dazu kommen wird. Das hat zu einer Menge zusätzlicher Arbeit und Problemen geführt, die bei der Bundesinstanz vermeidbar wären, wenn allen von vorherein klar ist, dass alles öffentlich ist.

• Insbesondere haben einige Leute berichtet, dass sie in einem öffentlichen System lieber unter Pseudonym agieren würden, während sie in einem eher geschlossen System den Klarnamen verwenden.

• Wenn das herunterladen der Datenbank nicht möglich ist, setzen sich die Betreiber Manipulationsverdacht aus.

• Ein geschlossenes System erschwert die Forschung und das Entwickeln unabhängiger Dienste, die die API benutzen wollen. Damit vergeben wir uns eine Menge an Möglichkeiten.

• Für die Diskussion werden externe Systeme wie Wiki, Forum und Mailingliste genutzt. Hat man ein geschlossenes System, darf dort auch nicht frei diskutiert werden, z.B. macht sich strafbar, wer im Wiki oder auf der Mailingliste die Frage stellt, warum diese oder jene Person diese oder jene Initiative unterstützt.

Resume

Beide Anträge sind sicher gut gemeint, aber überhaupt nicht bis zu Ende gedacht. Es wäre schön, wenn den mit der Einführung betrauten Personen etwas mehr Vertrauen entgegen gebracht würde. Sie haben Tausende von Stunden damit verbracht, die Themen zu diskutieren und von vielen Seiten zu beleuchten. Würden die Datenschutzverfechter dieselben Ansprüche, die sie an LF stellen, an die anderen IT-Systeme und Medien der Partei stellen, müssten wir unverzüglich alles abschalten. Das Forum etwa hat keine Datenschutzerklärung/Richtlinie, und die Nutzungsbedingungen sind ein Witz und praktisch nicht zu finden. Dasselbe gilt für unsere gesamte Mailinglisteninfrastruktur, und auch das Wiki ist datenschutzrechtlich ein No-Go, genauso wie das Piratenpad.

Jeder sollte sich einmal selbst fragen, warum bei LiquidFeedback, das in der geplanten Form datenschutzrechtlich die höchsten Maßstäbe erfüllt, immer wieder neue Forderungen erhoben werden, während fast alle anderen Systeme der Partei datenschutzrechtlich weitgehend verwahrlost sind. Mit Rationalität ist das schwer zu erklären.

--Pavel 13:29, 27. Jul. 2010 (CEST)

Zum Thema "Außenwirkung": Meine Erfahrung der letzten Tage war, dass wir in der Außenwirkung sehr stark mit dem Begriff "Datenschutz" identifiziert werden. Ich zitiere hier mal exemplarisch aus einer Mail

> Es gibt gerade ein Problem zwischen zwei Lagern:
> Die einen sind die Verfechter des Datenschutzes und die anderen stehen
> für die Transparenz - und da gibt es immer ein Spannungsfeld, da
> Datenschutz immer ein wenig Intransparenz darstellt.

Na - das wär ja schon ein ziemlich heftiges Ding. Schließlich stehen die Piraten doch für den Datenschutz.
Das ist ja so, als würde DAS Charakteristikum evtl. über den Haufen geworfen. 

Und ich hatte übrigens nicht mehr als das obige geschrieben. Ike 16:17, 27. Jul. 2010 (CEST)

Im CCC gibt es seit Jahrzehnten wohl den von Wau Holland geprägten Satz: "Private Daten schützen, öffentliche Daten nützen." Insofern ist das Spannungsfeld bei der Frage zu suchen, welche Daten privat und welche Daten öffentlich sind oder zu sein haben. Gibt es ein berechtigtes öffentliches Interesse daran, wie die Meinung der Piraten zu einer Frage ist? Mit Sicherheit. Gibt es ein berechtigtes öffentliches Interesse daran, wie diese Meinung innerparteilich zustande gekommen ist? Hier kann man geteilter Meinung sein, doch es sind in meiner Wahrnehmung in der Partei oft die gleichen Personen, die laut "Transparenz" rufen, wenn es um Andere geht, aber Datenschutz reklamieren, wenn es ihre eigene Transparenz geht. Beides zugleich zu fordern ist aber unredlich. Entweder wir bekennen uns dazu, dass auch wir lieber im Hinterzimmer Politik machen wollen, weil der Einzelne sonst befangen sein oder Nachteile erleiden kann, oder wir überwinden unsere Angst und zeigen, dass es auch transparent gehen kann. Bei allen Risiken und Problemen, die Transparenz mit sich bringt, bin ich für letzteres, weil ich gleube, dass in einer komplexen Welt Transparenz wichtig ist, um am Ende das Richtige zu tun. In LF aber gibt es hier mit den Pseudonymen aber einen sinnvollen Kompromiss. Völlig anonymes politisches Handeln im Zusammenhang mit Sachfragen aber befördert rücksichtslose Entscheidungen. "Tue nichts, worüber du nicht morgen in der Zeitung lesen möchtest." halte ich für eine gute Maxime für politisches Handeln.--Pavel 17:25, 27. Jul. 2010 (CEST)

Dieser Antrag bittet letztendlich nur um ein wenig Verständnis für die Bedenken der Leute aus der "Datenschutzecke". Und: Die gewünschte Konfiguration des Systems ist ja sogar offener als die Konfiguration, mit der die meisten Länderinstanzen laufen - und ist bis auf den Punkt mit den SQL-Daten identisch mit der Berliner Konfiguration. Der Antrag ist mit Bedacht so erstellt, dass er nichts wünscht, was nicht schon praktiziert wurde, bzw. was sich nicht konfigurieren ließe (und was in der Vergangenheit auch so schon konfiguriert wurde). Ike 17:59, 27. Jul. 2010 (CEST)

Gegenrede zum Resume

Im Wiki/Forum/Pads kann man vollständig anonym, pseudonym oder auch mehrfach auftreten; selbst die etwaige Anmelde-Email-Adresse braucht keinen Personenbezug zu ergeben. In LF dagegen soll es heißen: einmal drin, immer drin, alles nachvollziehbar, und der Bezug zur realen Person soll aufdeckbar sein? Das ist mit Datenschutz absolut unvereinbar. Außerdem hat noch niemand plausibel machen können, wieso ein unverbindliches Meinungsbildungstool manipulationssicher sein soll. Die Antragsfakriken sind es auch nicht; das hat aber niemanden gestört, und zwar zu Recht! --Guru 13:59, 27. Jul. 2010 (CEST)

Es gibt in Wiki/Forum/Pads nur theoretisch diese Möglichkeit. Praktisch sind mit Ausnahme weniger, selten verwendeter Sockenpuppen auch dort alle Identitäten leicht aufdeckbar, und der Gebrauch von Sockenpuppen ist ethisch höchst fragwürdig und selten konstruktiv. Im Übrigen hat das sehr wohl einige Leute gestört, dass die Antragsfabriken manipulierbar sind, mich zum Beispiel. Es gibt derzeit 11798 Benutzer im Wiki. Davon sind wohl etwa die Hälfte keine stimmberechtigten Piraten. Dass im Wiki dennoch eher selten manipuliert wird, hat damit zu tun, dass die aktiven Leute dort auf überwiegend sehr umfangreichen Seiten viele persönliche Daten preisgeben, um sich zu legitimieren. Ich kenne derzeit kein aktives Pseudonym im Wiki, wo nicht sehr einfach die Real-Life-Identität feststellbar ist, auch wenn es das vereinzelt sicher gibt. Sieht man sich die Stimmen in der Antragsfabrik an, stehen hinter fast allen Pseudonymen Benutzerseiten mit Klarnamen. Hätten in der Antragsfabrik auch nur 20% unbekannte Pseudonyme abgestimmt, wäre das Ergebnis komplett wertlos gewesen. Tatsächlich ist LF so wie es geplant ist unter Datenschutzgesichtspunkten dem Wiki und Forum weit voraus, denn man muss in LF nicht unbedingt die Hosen herunterlassen, um erst genommen zu werden, und wenn man sich für pseudonyme Teilnahme entscheidet, ist das Pseudonym viel einfacher schützbar. Beim Wiki dagegen ist unklar, ob und wo beim Zugriff auf das Wiki IP-Adressen geloggt werden. Des weiteren speichert und veröffentlicht das Wiki tonnenweise Nutzungsdaten, ein Arbeitgeber kann z.B. leicht herausfinden, wenn und was jemand während der Arbeitszeit im Piratenwiki gearbeitet hat. Im Wiki gibt es aber nicht einmal eine Datenschutzerklärung, in der man aufgeklärt wird, was wo wie und warum gespeichert wird. Das scheint aber niemanden zu stören, weil offenbar alle glauben, dass sie anonym sein könnten, wenn sie nur wollten. Das ist aber ein gefährlicher Trugschluss. --Pavel 16:51, 27. Jul. 2010 (CEST)

Wenn ich im Wiki anonym sein möchte, lege ich mir einen neuen Account an, trage eine Wegwerf-Mailadresse ein und gehe über Tor ins System. Schon kann man mich nicht mehr erkennen. Diese Möglichkeit besteht bei LF nicht. Ich kann auf die selbe Weise auch im Forum posten. Schon alleine deswegen ist das Forum und das Wiki in dieser Hinsicht sicherer. Das Einzige was LF aus Datenschutzsicht voraus hat, sind die ausformulierten Datenschutz- und Nutzungsbedingungen. Und: Forum und Wiki sind schon alleine deswegen sicherer, weil man dort nur Username und Mailadresse benötigt. Bei LF benötigt man zusätzlich zu diesen Punkten auch noch den Invitecode. Ike 18:06, 27. Jul. 2010 (CEST)

Außerdem kann ich Wiki auch als "NiemandX" auftreten. Weiterhin ist keine Identität beweisbar. Selbst wenn Du sagst, dass ist Person X, Du kannst es nie beweisen und es könnte genau so gut jemand sein, der sich dafür ausgibt. Im LF ist es beweisbar. Das ist der fundamentale Unterschied. --Fenriz 21:27, 27. Jul. 2010 (CEST)