Community verhindert Spyware in Eclipse
Die Eclipse Foundation wollte mit einer UUID-Software das Nutzerverhalten der Eclipse-Anwender analysieren. Nach Protesten aus der Community wurde die Implementierung wieder entfernt.
- Alexander Neumann
Nicht nur Microsoft, sondern auch die Eclipse Foundation hat einen Versuch unternommen, das Verhalten der Nutzer der von ihr verwalteten Entwicklungsumgebung zu tracken. Die dafür in das derzeit aktuelle Release ("Eclipse Neon") integrierte "Universally Unique Identifier"-Software (UUID) musste Eclipse nach Protesten wieder entfernen.
Die Ergänzung erfolgte auf Wunsch der Open-Source-Organisation mit der Begründung, durch die Log-Dateien der Anwender eine bessere Vorstellung darüber zu bekommen, wie Entwickler "ihr Eclipse" nutzen. Es geht hier offenbar um Fragen wie, welche Java-Version am zum Einsatz kommt, welche Eclipse-Version verwendet wird oder welches Betriebssystem die Anwender nutzen. Bisher traf die Foundation in solchen Fällen Entscheidungen auf Basis von Spekulationen. Die Daten sollten mit dem UUID anonymisiert und ohne persönlichen Bezug erhoben werden.
Seltsamer Zeitpunkt für die Integration
Unglücklich ist der Zeitpunkt allemal, wurde die Software doch ungewöhnlich spät in den vierten Release Candidate von Eclipse 4.6 eingebaut. Das kommende Release wird aller Voraussicht nach schon Ende Juni erscheinen. Als ebenso unglücklich ist es zu bewerten, dass die Integration erst im Nachgang des Release Candidate den eigenen Committern kommuniziert wurde. Dementsprechend fällt deren Feedback nicht erfreulich aus.
Auch hat Package Maintainer Markus Knauer sein Veto eingelegt, in dem er zum Schluss kommt: "Ich bin fester Überzeugung, dass dieser UUID das Schlimmste ist, was einer Open-Source-Community wie Eclipse passieren kann. Die Eclipse Foundation verliert durch so etwas viel Vertrauen und Reputation."
So liegt der Verdacht nahe, dass die stillschweigende Erhebung nicht konform mit europäischem Datenschutz ist. Denn was mit den Daten tatsächlich geschieht, ist unklar. Da sie unter den jetzigen Bedingungen bei der Foundation mit Sitz in Delaware gehalten werden, ist viel mehr möglich, als nach europäischem Recht erlaubt ist. Dass strategische Mitglieder (etwa die Cloud-Anbieter IBM, Oracle oder SAP) Interesse an solchen Daten haben, ist nachvollziehbar. Denn es ist bestimmt interessant für sie zu wissen, welche Entwickler welche Preferences und Profile nutzen.
Auf die Community ist Verlass
Knauer hat so ziemlich schnell das Rollback des UUID-Features beantragt. Als Gründe werden beispielsweise fehlende Einbeziehung der Community, uneindeutige Ziele der Implementierung und die offene rechtliche Situation genannt. Daraufhin blieb der Open-Source-Organisation nichts anderes übrig, als das Release zurückzuspielen. Auch wurde die Foundation explizit dazu aufgefordert, alle zwischenzeitlich gesammelten Daten zu löschen.
Ganz neu ist das Thema in der Eclipse Foundation nicht. So gab es schon letztes Jahr einmal ähnliche Bedenken hinsichtlich des Eclipse-Projekts Oomph. Es bietet unter anderem eine Option, um Nutzereinstellungen aufzunehmen und sie zwischen Workspaces zu teilen. Oomph ist auch dafür verantwortlich, dass es seit Eclipse 4.5 einen Eclipse Installer gibt. Zuvor wurden die Programmpakete lediglich in Form von ZIP-Dateien angeboten. Damals wollte der für das Eclipse-Marketing zuständige Ian Skerrett die rechtliche Diskussion kleinhalten. (ane)
