"Spyware eingebaut": Audacity soll persönliche Daten sammeln

Audacity hat ohne Ankündigung ihre Datenschutzrichtlinien geändert. In Zukunft soll das kostenfreie Programm persönliche Daten wie IP-Adresse oder das genutzte Betriebssystem sammeln. Nach Kritik seitens der Community hat sich jetzt Audacity zu Wort gemeldet und ihr Vorgehen verteidigt. 

Nach vielen Jahren ohne große Veränderungen überschlagen sich 2021 die Neuigkeiten um Audacity. Erst im März wurde mit Audacity 3.0.0 ein großes Update veröffentlicht, welches neue Funktionen und Performance-Verbesserungen mit sich brachte. Im Mai kam dann die überraschende Meldung, dass die Muse Group die Audiosoftware übernommen hat. Die Muse Group ist ein international tätiges Unternehmen und unter anderem für die Community-Gitarren-Seite Ultimate Guitar und das Notenprogramm MuseScore verantwortlich. Die erste Ankündigung war dabei sehr vielversprechend: Das Programm wird kostenlos und Open-Source bleiben, die Muse Group wird außerdem durch neues Know-How an Verbesserungen arbeiten.

Die gute Stimmung hat sich dann aber schnell gedreht. Kurz nach der Übernahme wollte Muse zur Erhebung von Telemetriedaten Google Analytics und das russische Pendant Yandex Metrica einbauen. Diese Änderung wurde von der Community allerdings nicht gutgeheißen, weshalb Muse die Idee schnell zurückzog und weiter auf Fehlerberichte der Nutzer setzte.

Änderungen in Datenschutzrichtlinien

Audacity hat am 2. Juli ohne öffentliche Meldung auf Social-Media-Kanälen ihre Bestimmungen zum Datenschutz geändert. Auf der aktualisierten Seite der Datenschutzrichtlinien sind eine Reihe von Datensammel-Mechanismen aufgelistet. Demnach werden IP-Adresse der Nutzer:innen zur Bestimmung des Standorts, Daten zum Betriebssystem und der Hardware gespeichert. Dabei steht auch, dass Daten für die Rechtsdurchsetzung gespeichert wird, falls diese Daten für die Strafverfolgung oder für Anfragen von Behörden notwendig sind.

Daten zur persönlichen Identifizierung werden gespeichert und an "Dritte" weitergegeben

Es geht aber noch weiter. In den Datenschutzrichtlinien findet sich auch der Hinweis, dass "alle persönlichen Daten auf Servern im europäischen Wirtschaftsraum gespeichert werden." Aber die Daten werden auch mit Russland und den USA geteilt: "Allerdings sind wir gelegentlich dazu verpflichtet, persönliche Daten mit unserem Hauptquartier in Russland und externen Beratern in den USA zu teilen." Das sei für "gesetzliche Vorgaben" notwendig.

Die Speicherung von echten IP-Adressen ist allerdings durchaus problematisch. Die Adressen bleiben für einen Tag auf Audacity's Servern und können daher zur Identifizierung von Nutzer:innen genutzt werden, wenn bestimmte Behörden oder Personen eine Datenanfrage schicken. Danach werden die IP-Adressen durch Hashrates ersetzt, die nach einem Jahr gelöscht werden. Die Daten werden in Zukunft aber nicht nur potenziell mit Behörden geteilt, sondern auch an "Dritte" weitergeben. Darunter zählt Audacity unter anderem "Berater", "potenzielle Käufer" und "jede andere Person, wenn sie zuvor ihre Zustimmung für die Weitergabe gegeben haben".

Außerdem weist Audacity darauf hin, dass die Nutzung nicht mehr für Menschen unter 13 Jahren gedacht sei. Hinter dieser Entscheidung stehen wohl datenschutzrechtliche Bedenken bezüglich Kinder. Allerdings ist der Ausschluss von Personen unterhalb dieser Altersschwelle ein potenzieller Verstoß gegen die freie General-Public-Lizenz (GPL), unter der das Programm veröffentlicht wurde.

Warum das Ganze überhaupt

Vermutlich haben sich die Leser:innen schon längst gefragt: Wieso speichert ein Offline Audio-Editor überhaupt Daten? Und wieso werden die auch noch geteilt? Die Antwort ist relativ klar: Audacity möchte Statistiken ihrer User sammeln. Dadurch kann Audacity sehen welche Version die Nutzer:innen verwenden, auf welchem System der Audio-Editor läuft und aus welchen Ländern zugegriffen wird. Was mit den Daten bzw. Statistiken passiert ist dabei nicht ganz klar. Sie könnten verwendet werden um einen besseren Support zu leisten, für Marketingszwecke oder für interne Berichte die an Investoren/Dritte gerichtet sind.

Ein User auf dem subreddit Linux hat auf vergangene Aktionen der Muse Group aufmerksam gemacht. Demnach hat die Gitarren Seite Ultimate Guitar ein Großteil ihrer Gitarrentabulatursammlung von On-line Guitar Archive (OLGA) gestohlen. Der Nutzer gab an, dass 60 seiner eigenen Tabs von OLGA auf Ultima Guitar aufgetaucht sind. Die Webseite von OLGA wurde 2019 schließlich geschlossen.

Alternativen für Audacity

In mehreren Community-Beiträge wird zu einem Boykott von Audacity aufgerufen. Da der Quellcode von Audacity offen ist, gibt es jetzt bereits mehrere Forks des Programms. Bei einem Fork wird die Codebasis kopiert und eine alternative Version des Programms erstellt. Ein derzeit aktiv betreuter Fork auf Github arbeitet schon an der Umsetzung. Dort wird auch über eine Namensänderung diskutiert. Ein alternatives kostenfreies Audio-Editing-Programm ist Ocean-Audio. Zwar hat es nicht den vollen Funktionsumfang von Audacity und ist nicht Open-Source, hat aber durchwegs gute Bewertungen.

Das Update in den Datenschutzrichtlinien bezieht sich allerdings nur auf Version 3.0.3 und zukünftige Versionen, die aktuelle Version 3.0.2 und vorherige sind daher nicht betroffen.

Update vom 6.7.2021 - Statement von Audacity

Wenige Stunden nachdem die Vorwürfe um Audacity auf Social Media ihre Runden gedreht haben, meldete sich Daniel Ray, Head of Strategy von Muse, zu Wort. In einem Statement auf Github werden dabei die Bedenken zu den neuen Datenschutzrichtlinien besprochen. Hier eine Zusammenfassung der wichtigsten Punkte:

• Audacity verkauft und teilt keinerlei Daten an Dritte.
• Keiner der Daten wird an Behörden oder staatliche Stellen weitergegeben. Nur wenn ein Gericht einen entsprechenden Antrag stellt und Audacity dazu zwingt werden Daten weitergegeben.
• 24 Stunden nach der Speicherung der IP-Adresse ist diese unwiederbringlich verloren.
• Die Datenschutzrichtlinie gilt nicht für die Offline-Nutzung der Anwendung. Die Offline-Nutzung ist daher die einzige erlaubte Möglichkeit für die Nutzung von Kindern unter 13 Jahren.
• Daten werden für automatische Updates und Fehlermeldungen gesammelt.

Unter dem Statement gibt es dazu eine rege Diskussion. Dort wird vor allem die Kommunikationspolitik von der Muse Group kritisiert, da solche Änderungen ohne Abstimmung mit der Community und ohne offizielles Statement durchgeführt wurden.

Das Sammeln von Daten des Betriebssystems und der IP-Adresse ist sicherlich kein großer Skandal und heutzutage ein gängiger Prozess. Für ein Musikprogramm welches offline verwendet werden kann ist die Implementierung allerdings nicht zwingend notwendig. Ein Mitarbeiter von Muse hat in der Diskussion auf Github bestätigt, dass man die Daten auch für interne Statistiken sammelt. In Zukunft darf man auf jedem Fall auf eine transparentere Kommunikation seitens der Betreiber hoffen.