Die bekannte Open-Source-Software Audacity wurde aufgekauft, der neue Besitzer änderte kürzlich die Datenschutzbestimmungen. Kritiker:innen sagen, dass die Anwendung nun zum Ausspähen genutzt werden kann. Sie wollen das Programm nun unabhängig weiterentwickeln:

So kann man seine Kunden auch vergraulen

Bisher habe ich auch gern Audacity zum Digitalisieren von analogen Musikquellen benutzt - insbesondere von Tonbändern und LPs.

Die Version von Audacity, welche bei mir unter Windows installiert ist, ist noch Open-Source-Software. Also werde ich auf gar keinen Fall diese Version updaten!

Danke für die Info!

Gibt schon nen Fork ohne Telemetrie.

Klingt gut - haste mal einen Link?

Bei Heise gibts inzwischen auch noch Infos: Audacity: Sind wir schon Spyware?
Eine neue Richtlinie zur Privatsphäre bringt erneut die Anwender gegen Audacity auf. Mittlerweile mehreren sich die Rufe nach einem Fork des Audioeditors.

@beanchen

thx

MacGadget berichtete ebenfalls.
https://www.macgadget.de/News/2021/07/06/Freier-Audioeditor-Audacity-Abspaltung-nach-Uebernahme-durch-Muse-Group

Solange da keine Binaries angeboten werden, ist es für apple-typische "Nur-Anwender" kaum eine Alternative.
Hoffen wir, daß da bald was nachkommt.

"macOS-Nutzer müssen die Applikation noch selbst kompilieren"

Sowas überlässt man den Linux Usern. Die haben Spass an sowas (Manchmal geht es da gar nicht anders. Gruselig)

Mac User wollen: Klick, Fertig.

Dann sollen Mac-User für diesen Service halt auch bereit sein, ein paar Euronen auszugeben. Es gibt zahlreiche kommerzielle Alternativen zu Audacity, die sowieso alle viel besser sind. Aber aus Geiz die Open-Source-Variante benutzen wollen und dann rumlamentieren, dass die eigenen Ansprüche nicht erfüllt werden, geht gar nicht.

Das Thema wird aber auch unnötig aufgebauscht und hartnäckig missverstanden. Wenn man sich mal bei Github in die Diskussionen einliest, z.B. hier: , wollen manche das Thema wohl falsch verstehen.

Was an Daten gesammelt wird (mit der Möglichkeit von Opt-Out)

• Die eigene IP-Adresse, mit der nach Updates gesucht wird.
• Ein paar Basics über die eingesetzte Hardware (Betriebssystem, Version...)
• Die Region, aus der man nach Updates checkt
• Optional: Crash-Reports.

Das ist jetzt nichts, was mir Kopfzerbrechen bereitet. Jede https-Abfrage im Browser macht das selbe. Und schätzungsweise 95 Prozent aller Software macht das auch (und da spreche ich noch nicht über Datensauger wie Microsoft oder Adobe). Aber oje, Verschwörung: Die IP-Adresse wird nach der Anfrage 24h aufbewahrt. Schreck! Vielleicht braucht's einfach die Zeit, dass die Jungs eigene Logs auswerten (fehlgeschlagene Update-Anfragen, DoS...), oder vielleicht sind sie sogar gesetzlich verpflichtet, diese Daten vorzuhalten?

Natürlich muss man den Leuten glauben und vertrauen, dass sie tatsächlich nicht weitere Infos abgreifen -- aber dafür ist das ja OpenSource. Jeder, der kann, schaut sich die betreffenden Stellen im Source nach und prüft nach, was für Infos übers Netz fliessen. Wenn überhaupt etwas fliesst: Man kann Audacity auch vollkommen offline einsetzen.

Ich verstehe das Geschrei wirklich nicht. Wenn man sich dann noch lautstark über Facebook und Twitter über diese angeblichen Datenschutzbedenken austobt (gerade dort!), kann ich das wirklich nicht ernst nehmen.

Naja, die Journalisten, die das Thema dankbar aufgreifen, sorgen natürlich für ordentliche Klicks in ihren Publikationen.

Wozu braucht der Anbieter einer Software wie Audacity diese Daten?

Der Frage kann ich mich nur anschließen @Huba. Man könnte die Auswertung der Regionen noch mit einem Interesse an der Verteilung begründen, also wo ist der Markt. Bei einem Crash-Report sollten natürlich auch Angaben zu Hardware nicht fehlen, sehe ich aber als optionale Unterstützung der Entwickler. Aber warum muss eine IP nachverfolgbar gespeichert werden und die Daten weitergegeben? Hier wird nur eine Software heruntergeladen. Sollte das Interesse der Behörden allerdings auf die vom Benutzer erstellten Inhalte zielen, ist die Sorge berechtigt.

Zumindest bei der Hardware würde ich einen Anwendungsfall sehen: Wie sieht überhaupt das tatsächliche Nutzungsverhalten aus? Rein aus den Installationszahlen lässt sich das ja nicht ableiten.
Auf der Basis dieser Daten kann man dann besser abschätzen, welchen Aufwand man z.B. in die Unterstützung einer spezifischen Architektur bzw. eines architekturspezifischen Features steckt.

Panic Hype. Die Daten helfen den Entwicklern. Und alles ist opt-out bzw. läuft wie oben schon geschrieben auch ohne Netzanbindung. Audacity war und ist ein großartiges Open-source-Projekt mit einer engagierten Community.

Bissl off topic: In diesem Video von Tantacrul (Musiker und Designer für Audacity) kommen ein paar der involvierten Menschen zu Wort. Nicht zum Thema Datenschutz - das Video ist schon ein paar Monate alt - aber es zeigt ziemlich unterhaltsam die Geschichte der Audacity-Entwicklung.

Inwiefern hilft die IP-Adresse so sehr beim Entwickeln, dass man sie speichern muss?

Anhand der IP hat man den ungefähren Ort und kann sein und kann zum Beispiel sein Produkt für diesen Ort hin optimieren oder (Werbe-) Angebote unterbreiten.
Oder man verkauft die Daten einfach.

Da die wenigstens IPs fest einem Kunden zugeordnet sind, ist das ein ziemlich albernes Geschäftsmodell.

Ich weiß es auch nicht – aber:
- IP-Adressen kann man kurzfristig speichern, um z.B. zu verhindern, dass ein System, dass ein Update versucht, Amok läuft und ständig nach kurzer Zeit die Verbindung abbricht. Habe ich die IP-Adresse, kann ich z.B. nach 10 Versuchen innerhalb einer Minute weiteres Downloads verhindern - ohne IP-Adresse muss ich quasi jeden Request bedienen
- Daten über eingesetzte Hardware und Betriebssysteme nutzt man normalerweise, um einzuschätzen, welche alte Hardware und welches OS-Release man noch unterstützen will. Fällt irgendein Wert unter eine Schwelle (z.B. nur noch 1 Prozent benutzen High Sierra), kann man irgendwann anfangen, High Sierra nicht mehr zu unterstützen. Denn der Support ganz neuer und sehr alter OS-Releases ist aus Entwickler-Sicht immer ein Spagat, den es zu vermeiden gilt.
- für "Region" habe ich jetzt kein mega-plausibles Beispiel. Aber es könnte z.B. nutzen, kommende Lokalisierungen zu planen.

Die IP-Adresse wird im ganz normalen Anfrage-Protokoll überliefert. Macht jeder Webbrowser auch so. Und die Infos über eingesetzte Hardware bzw. Betriebssystem: Herrje -- ich sitz an einem Mac, habe Version 3.01 und möchte natürlich Version 3.02 haben. Für den Mac -- und nicht etwas für Windows. Software und Update-Server sprechen also miteinander und liefern passen aus, ist das so schlimm?
Aber kann man ausschalten, man muss ja nicht updaten.

Ich hoffe, Du meinst diese Frage nicht ernst.

Im allereinfachsten Fall läuft die Suche nach einem eventuellen Update wie folgt:

Programm fragt Update-Server (dessen IP-Adresse es kennt): Ich bin Version 3.7.2. Gibt es eine neuere?
Server antwortet: Nein.
Fertig.

So, jetzt die Gretchenfrage: Wie zum Teufel soll der Server wissen, wohin in die Weiten des Internets er die Antwort Nein schicken soll, wenn er die IP-Adresse des Fragenden nicht kennt? Im Internet funktioniert alles über IP-Adressen; eine Kommunikation im Internet ist unmöglich, wenn nicht beide Seiten die IP-Adresse des jeweiligen Gegenübers kennen.

Gleichzeitig kann kein Server stabil funktionieren, wenn er die Kommunikationsvorgänge (zu denen eben zwingend die IP-Adressen gehören) nicht temporär speichert, weil es sonst unmöglich wäre, Fehlfunktionen (die im Internet laufend vorkommen und daher von Internet-Servern abgefangen werden müssen) zu erkennen.

Es gibt im Internet keinen einzigen Vorgang, der ohne temporäre Speicherung der IP-Adressen der Beteiligten funktionieren würde. Jeder Server im Internet tut das. Das ist technisch absolut zwingend und daher auch vollkommen normal.

Weil es technisch zwingend und damit eigentlich überhaupt nicht erwähnenswert (da ja immer der Fall) ist, war bei der Abfassung der DSGVO auch hoch umstritten, ob eine IP-Adresse überhaupt als zu schützendes Datum gewertet werden soll (und daher dann in jeder Datenschutzerklärung erwähnt werden muss). Durchgesetzt haben sich (aus meiner Sicht: leider) diejenigen, die das befürworteten.

Jedenfalls übermittelt technisch zwingend ausnahmslos jedes Programm, das nach neueren Programmversionen Ausschau hält (Apps aus Apples App Store eingeschlossen), seine IP-Adresse an einen Server, und technisch zwingend ausnahmslos jeder dieser Server speichert diese IP-Adresse temporär. That’s just how the Internet Protocol works.

Ich finde ja, 2021 sollte das zum Grundwissen jedes technisch interessierten Menschen gehören, und ich unterstelle mal, dass alle in diesem Forum das sind.

Aber falls nicht: na gut, man kann nicht alles wissen. Was ich aber eine geistige Pest unserer Zeit finde, ist die Grundeinstellung, bei allem, was man nicht versteht, sofort Böswilligkeit zu wittern und dann gerne auch gleich lautstark zu artikulieren, statt sich erstmal sachkundig zu machen.

Ja, es ist eine in der Psychologie bekannte Reaktion, bei geistiger Überforderung auf Abwehr zu schalten, von der Argwohn eine prominente Ausprägung ist. Aber in dem gegenwärtigen Ausmaß nervt es dennoch ungemein. Mündige Gesellschaft geht anders.

Alternativ liefert der Update-Server die neueste Version und der Client entscheidet, ob die Version neuer ist. Da muss der Updateserver dann garnicht wissen welche Version auf dem Client läuft.

Und weshalb muss die dann für mindestens 24 Stunden gespeichert werden?

Ja, kann man auch machen, das ist relativ egal. Hat aber nichts mit der Tatsache zu tun, dass die IP-Adresse bekannt sein muss.

Aber zurückgefragt, wo ist denn nun wieder das Problem, wenn der Server für die Zeitspanne der Kommunikation die Programmversion des Clients kennt?
Wie bereits geschrieben, um evtl. Fehlfunktionen auf die Spur kommen zu können. Das ist weltweit ein technischer Standard, der sich mit dem Internet Protocol zusammen für alle Internet-Server entwickelt hat, jeden einzelnen Abruf einer Webseite, alles.

Wieder die Gegenfrage: Wo ist auch nur das geringste Problem dabei?

Ich denke es geht bei Audacity schon lange nicht mehr nur um die Grundlagen. Wenn jemand etwas kauft dann möchte er doch auch Geld verdienen. Nachdem im ersten Step über Google Analytics lt. eigener Info die folgenden Daten abgefragt werden sollten:

Session start and end
Errors, including errors from the sqlite3 engine, as we need to debug corruption issues reported on the Audacity forum
Usage of effects, sound generators, analysis tools, so we can prioritize future improvements.
Usage of file formats for import and export
OS and Audacity versions

ging die Diskussion schon eifrig los. Bug Reporting und Updates haben auch ohne Telemetrie in der Vergangeheit funktioniert. Daher kommt es unweigerlich zu solchen Diskussionen, wenn ein Anbieter nach dem Kauf Telemetrie einführen möchte und die Software unter GPL steht. Dann wurde es aber noch weiter verschlimmbessert, statt sich in Ruhe mit der Community darüber auszutauschen, was bestimmt sinnvoller gewesen wäre. Sie haben erst Dinge eingebaut und dann erklärt weshalb sie das gemacht haben. Und warum ist eine freie Musiksoftware jetzt nicht mehr für Kinder unter 13 Jahren geeignet ? Hat jemand vergessen ihnen zu sagen das dies die Kunden von morgen sind ?

Steht das echt irgendwo? Das ist ja absurd. Naja, man kann mit Musiksoftware halt auch die Tonspur von Pornos bearbeiten.
Von morgen Ist gut. Billie Eilish war bei ihrem Durchbruch 14 Jahre und ich vermute, sie hat vorher etwas geübt …

Programm: Danke
Server: Bitte (löscht IP)
dann:Entschuldige bitte aber was haben Deine Ausführungen mit der Frage von Wurzenberger zu tun? Natürlich erfolgt die Kommunikation über IP aber das ist eine temporäre Geschichte für den einzelnen Vorgang. Warum sollte das länger als die paar Sekunden gespeichert bleiben und warum sollte man das weitergeben müssen? Ich kann bei einem Update nichts illegales tun außer die Software selbst ist illegal aber dann würden sie wohl kaum mit den Behörden zusammenarbeiten.

Das fand Wurzenberger aber nicht – er fragte, wozu die IP-Adresse überhaupt benötigt wird:Zum x-ten Mal: zum Abfangen von Fehlern und auch Angriffen. Jeder, wirklich jeder Internet-Server macht das. Ich verstehe die Aufregung nicht. Wo ist denn da irgendein Problem?
Das musst Du die Behörde fragen, der sowas einfällt. Der Betreiber sichert sich da nur ab; schließlich wird ihm das Rechtssystem seines Landes kaum erlauben, das zu verweigern, wenn er es unsinnig findet – er muss dann.
Zusammenarbeiten ist hübsch.

Ich habe auch mal mit der Polizei zusammengearbeitet, nachdem ich zu schnell gefahren war.

Point, set and game!