Mit meinem Hinweis auf die Nutzungsbedingungen wollte ich nicht den Eindruck erwecken, Ihr wolltet den Nutzern irgendetwas “unterjubeln”. Wie ich in dem Artikel geschrieben habe, findet sich bei vielen Anbietern – egal welchen Service sie anbieten – ein ähnlicher Passus wie bei Euch. Es ist völlig klar, dass ein solcher Passus im Wesentlichen dazu dient, einen möglichst reibungslosen Betrieb sicher zu stellen bzw. ihn überhaupt erst aufrecht zu erhalten. Müssten die Nutzer bei jeder kleinen Änderung ihr Einverständnis geben, wäre das sicherlich nicht mehr oder nur eingeschränkt möglich.

Vielleicht verstricken wir uns hier in Deutschland gerade auch ein klein wenig mit dem Thema Datenschutz. Da hat jemand eine Kampagne gegen OpenID gestartet, bekommt sie aber nicht richtig zum Laufen, trotzdem steigen wir hier als Befürworter von OpenID darauf ein und sind der Meinung uns für irgendetwas rechtfertigen zu müssen (mich eingeschlossen); lustig ist dabei an und für sich schon, dass selbst ein David Recordon zu dem Thema einen Thread auf der OpenID Mailingliste startet.

Andererseits zeigt es auch, dass die OpenID Gemeinschaft – Entwickler und Anwender – Sicherheitsaspekten gegenüber sensibilisiert sind; selbst in den OpenID Specs wird auf Sicherheitsbedenken hingewiesen. Die Gefahren werden erkannt und nicht einfach unter den Tisch gekehrt.

Datenschutz und Datensicherheit sind wichtig und werden ernst genommen; und es ist gut, dass es IdPs wie Xlogon gibt, die das auch in ihren Nutzungsbedingungen zum Ausdruck bringen.

In den nächsten Wochen schreibe ich sicherlich weder hier noch auf meinem Blog noch etwas über OpenID und Datensicherheit. Falls doch, halte ich es mit dem Spruch: was interessiert mich mein Geschwätz von gestern.

P.S.: Das Geschäftsmodell klingt auch vernünftig. Viel Erfolg damit.

Mit meinem Hinweis auf die Nutzungsbedingungen wollte ich nicht den Eindruck erwecken, Ihr wolltet den Nutzern irgendetwas “unterjubeln”. Wie ich in dem Artikel geschrieben habe, findet sich bei vielen Anbietern – egal welchen Service sie anbieten – ein ähnlicher Passus wie bei Euch. Es ist völlig klar, dass ein solcher Passus im Wesentlichen dazu dient, einen möglichst reibungslosen Betrieb sicher zu stellen bzw. ihn überhaupt erst aufrecht zu erhalten. Müssten die Nutzer bei jeder kleinen Änderung ihr Einverständnis geben, wäre das sicherlich nicht mehr oder nur eingeschränkt möglich.

Vielleicht verstricken wir uns hier in Deutschland gerade auch ein klein wenig mit dem Thema Datenschutz. Da hat jemand eine Kampagne gegen OpenID gestartet, bekommt sie aber nicht richtig zum Laufen, trotzdem steigen wir hier als Befürworter von OpenID darauf ein und sind der Meinung uns für irgendetwas rechtfertigen zu müssen (mich eingeschlossen); lustig ist dabei an und für sich schon, dass selbst ein David Recordon zu dem Thema einen Thread auf der OpenID Mailingliste startet.

Andererseits zeigt es auch, dass die OpenID Gemeinschaft – Entwickler und Anwender – Sicherheitsaspekten gegenüber sensibilisiert sind; selbst in den OpenID Specs wird auf Sicherheitsbedenken hingewiesen. Die Gefahren werden erkannt und nicht einfach unter den Tisch gekehrt.

Datenschutz und Datensicherheit sind wichtig und werden ernst genommen; und es ist gut, dass es IdPs wie Xlogon gibt, die das auch in ihren Nutzungsbedingungen zum Ausdruck bringen.

In den nächsten Wochen schreibe ich sicherlich weder hier noch auf meinem Blog noch etwas über OpenID und Datensicherheit. Falls doch, halte ich es mit dem Spruch: was interessiert mich mein Geschwätz von gestern.

Boris und ich betreiben zusammen xlogon. Ich wollte an dieser Stelle gerne noch ein paar weitere Informationen zu unserem Verständnis von Datenschutz und unserem Anspruch bzgl. Vertrauen geben. Wie Boris bereits geschrieben hat, haben wir unterschiedliche Nutzungsbedingungen erstellt für den IdP sowie für das Blog. Es ist uns absoulut wichtig, dass wir jetzt und zukünftig unseren User eine sichere Privatspäre bieten wollen und in diesem Sinne auch eine Anonymität gegenüber dem Provider (uns) und allen, die durch uns an die Daten unserer User wollen, gewähren wollen. Wir sind absolut überzeugt von der Idee einer digitalen Identität und sind aber auch genauso davon überzeugt, dass diese nicht zwingend und schon gar nicht ohne den ausdrücklichen eigenen Wunsch des Users mit der realen Identität verbunden werden muss oder sollte. Das ist auch der Grund, warum wir keine Daten als erforderlich definiert haben, um bei uns eine xlogon Identität zu bestellen. Wir würden uns wünschen, das notwendige Vertrauen in der Anwenderschaft erreichen zu können. Wir waren Anfang der Woche nochmal zur Überarbeitung bei unserem Anwalt, um insbesondere auch die Schärfung in der Darstellung unserer Nutzungsbedingungen und den Datenschutzerklärungen erreichen zu können. Wir legen uns dabei fest, niemals die IdP Daten, weder Mail Adressen, Persona Daten oder was auch immer für eigene Zwecke zu gebrauchen (eigene Zwecke meint dabei, alles was unsere Anwendern nicht ausdrücklich wünschen). Das heisst im Klartext, wir geben das Versprechen ab und wollen das auch in den Nutzungsbedingungen dokumentieren, die Daten des IdP niemals anzutasten. Ich hoffe, dass wir “unsere” Anwender erreichen können und wollen so vor allem auch unseren Beitrag zu einem “guten Internet” leisten.

In diesem Zusammenhang würde ich auch gerne die Darstellung korrigieren, dass wir einfach neue Nutzungsbedingungen unterschieben wollen. Wir haben uns viel technische Mühe hierzu gegeben, so dass jede Änderung automatisch nach dem darauf folgenden Login des Anwenders auf unserer Seite erscheinen würde, mit Beschreibung der Änderungen und dem Hinweis diese neu zu bestätigen oder ggf. sein Einverständnis zurückzuziehen. Wir speichern dabei während der Mitgliedschaft die jeweils vom Anwender akzeptierten Nutzungsbedingungen, quasi als Revisionsinformation. Es geht uns tatsächlich darum, unserem Anwender in keinem Fall etwas “unterzujubeln” sondern alles in diesem Zusammenhang sorgfältig zu behandeln.

Natürlich müssen wir zukünftig von irgendwas leben, so wird es sicherlich auch bei uns irgendwann eine bezahlte Leistung geben. In unserer Vorstellung gibt es aber immer einen freien kostenlosen Teil, der Anwendern eine OpenID zur Verfügung stellt. Kostenpflichtig werden von uns erweiterte Funktionen bereitgestellt, etwa die Möglichkeit von hierarchischen Profilen, Stellvertretungen, Aktualisierungsfunktionen etc.

Wir werden aber niemals mit den Daten unserer Anwender unseren Unterhalt verdienen.

Ich hoffe, das klingt nicht zu theatralisch, aber ich dachte, hiermit etwas von unserer persönlichen Einstellung zu vermitteln. Möglicherweise finden sich so ein paar Seelenverwandte.

Liebe Grüße und danke für Deine kompetenten Beiträge.

Tom

Zu der Frage der Löschung von Nutzernamen/OpenID steht schon etwas in den Nutzungsbedingungen:

unter https://my.xlogon.net/tos/#6_Beendigung_des_Nutzungsverh%C3%A4lt kann man erfahren, dass eine Löschung der OpenIDs nicht stattfindet, weil die IDs nicht wiederverwendet werden.

Das finde ich ziemlich wichtig, weil ansonsten “Identity-Diebstahl” irgendwann zwangsläufig entsteht.

Das ist natürlich zweischneidig, aber andrs kann man Ex-User nicht davor schützen, dass ihre Identitäten irgendwann von jemand anderem benutzt werden.

Die Usernamen der Konten werden allerdings gelöscht.

Zweitens: In deinem Bericht mischst du die Nutzungsbedingungen vom Blog und die vom IdP?

Klarstellung: xlogon hat kein Interesse an den Nutzungsrechten für Persona-Daten und davon steht auch nichts in den Nutzungsbedingungen vom IdP-Service.

Hingegen haben wir ein Interesse daran, dass wir bei Löschung des Blog-Kontos nicht Beiträge und insbesondere Kommentare löschen müssen. Daher steht dies eben in den Nutzungsbedingen vom Blog.

Viele Grüße,

Boris

Gibt der Nutzer eine eMail-Adresse in seinen personenbezogenen Daten an, so sind die Betreiber dieser Seiten berechtigt auf diesen Dienst bezogene eMails an diese eMail-Adresse zu versenden. Dies gilt auch für mit diesem Dienst verbundene Seiten der gleichen Betreiber, sofern von einem berechtigten Interesse des Nutzers ausgegangen werden kann.

Es stellt sich natürlich die Frage, wann man von einem berechtigten Interesse des Nutzers ausgehen kann.Bis jetzt habe ich noch keine E-Mail erhalten. Und ja, hinsichtlich OpenID ist es nicht entscheidend.

Du machst es aber spannend diesmal.

“Wer seine E-Mail Adresse angibt, willigt allerdings ein, dass er E-Mails sowohl von Meinguter.name erhält als auch von anderen Diensten des gleichen Betreibers, also Solution Media.”

Ich glaube in Dtl. muss man Opt-out für solcherlei Newsletter anbieten.Hast Du bestimmt bloß übersehen? Ist aber auch nicht so entscheidend in Hinsicht auf OpenID.