Antispam Bee braucht eure juristische Hilfe

Entschuldigt bitte den Clickbait-Titel 😉 – es ist nicht sooo ernst. Aber wir kommen gerade als Team nicht weiter. Es geht um den nicht erkannten Spam in Antispam Bee. Lernende „Software as a service“-Systeme, wie Akismet oder Cleantalk, lernen ständig dazu, weil die Nutzerbasis dem System ständig Informationen liefert. Das hat seine ganz eigenen Probleme, wie Data Poisoning, aber eben auch einen klar definierten Vorteil: eben ein ständiges Feedback, ob der Filter gut oder schlecht funktioniert. Antispam Bee hat das nicht. Das ist zum einen unser Datenschutz-Vorteil, aber auch ein immenser Nachteil. Denn wenn ein Spam-Kommentar nicht als Spam erkannt wurde, dann sollten wir nachbessern (oder es zumindest versuchen) und da stehen wir vor einem ziemlichen Datenschutz-Problem …

Wir haben schon seit jeher ein Google-Formular in den FAQ verlinkt. Um das Ausfüllen dieses Formulars etwas zu vereinfachen (es ist durchaus etwas technisch und Host oder User Agent sagen nicht unbedingt jedem User etwas), hatten wir die Idee das Formular direkt mit den Werten vorauszufüllen, wenn ein „Report as spam“-Link an dem Kommentar geklickt wird. Die Idee entstand in einem Github-Issue und wurde von mir auch schon umgesetzt, hier der Pull Request.

Nun sind an dem PR berechtigte Diskussionen entstanden, wie es hier um den Datenschutz steht und ehrlich gesagt bin ich überfragt, denn die Situation ist nicht so einfach wie man denken könnte.

Überlegen wir mal, was hier alles passiert:

  • Das Pluginkollektiv hat keine besondere Rechtsform, wir sind kein Verein, keine GmbH, also wenn ich mich recht entsinne eine „Adhoc“-GbR (nach BGB). Deren Zusammensetzung aber auch ständig fluktuiert. Team-Mitglieder:innen kommen und gehen. Die Domain verwaltet Simon Kraft, der Github/Slack-Owner bin ich.
  • In der Sache: Klickt jemand den „Report“-Link, dann übermittelt er Daten an „uns“ (wobei dieses uns, siehe Punkt oben, ziemlich unklar definiert ist). Einsehbar sind die übermittelten Daten aktuell Slack-intern, für alle, die den Link haben. Und in den Slack kommt nur, wer explizit eingeladen wird.
  • Es werden Daten von Dritten an uns übermittelt, die nicht zwangsläufig Spam sein müssen und naturgemäß personenbezogene Daten enthalten (E-Mail, Namen, IP-Adressen, etc.).
  • Und es wird an ein Google-Formular übermittelt, also auch noch an ein US-Unternehmen (Privacy Shield gibt es nicht mehr, und nun?).

Es gibt also diverse Datenschutz-Probleme, deren Lösung uns aktuell nicht leicht fällt. Wenn wir auf diese Umstände hinweisen müssen, ist die Frage wo wir das tun können/sollen/müssen. Auf unserer Domain wäre kein Problem. Nach dem Klick, vielleicht in einem aufploppenden Modal-Fenster wäre etwas komplizierter, aber sicher möglich.

Wer würde haften, wenn es Probleme gibt? Wobei das ein grundsätzliches Problem mit dem Kollektiv in seiner jetzigen Form ist.

Wäre es besser, wenn wir das Formular selber hosten würden? Ich denke, dass es das wäre. Die Frage wäre aber, ob es an dem grundsätzlichen Problem, der Datenübermittlung etwas ändern würde oder nur einen kleinen Baustein entfernen würde.

So würde das Feature in etwa aussehen:

Nach dem Klick auf „Report to Antispam Bee“ würde sich das Formular öffnen mit den Werten aus dem entsprechenden Kommentar schon vorausgefüllt. Entweder bei Google oder auf pluginkollektiv.org und dann hätten alle Team-Mitglieder mit Zugang zum Formular bzw. Spreadsheet der Ergebnisse Zugang zu den Daten.

Jetzt die spannende Frage an die Datenschützer und Juristen. Dürfen wir das? Wenn ja, müssen wir an irgendeiner Stelle darüber informieren? Wenn ja, wie? Insbesondere in Form auf die Zusammensetzung des Pluginkollektivs selbst? Und ist die Nutzung von Google relevant oder für die Gesamtbetrachtung irrelevant?

Ich würde mich sehr freuen, wenn sich dieser Artikel unter Juristen verbreitet, die Antispam Bee einsetzen. Wer keine gesicherte juristische Erkenntnis hat, bitte ich sich zu enthalten und lieber beim Verbreiten des Artikel zu helfen! Vielen Dank!

Eine Antwort auf Antispam Bee braucht eure juristische Hilfe

  1. Vielleicht passt es nicht ganz dazu aber meine spontane Idee war, aus dem Pluginkollektiv einen Verein (e.V.) zu machen. Wenn es gut gemacht wird, dann auch noch gemeinnützig, damit Spenden gesammelt werden können.

    Vielleicht lassen sich dann damit bestimme Sachverhalte besser klären.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.