neunetz.com

Nachdem wir uns letzte Woche die beiden deutschen OpenID Provider Xlogon und Meinguter.name in Bezug auf Datenschutz etwas näher angesehen haben, sind heute die beiden US Provider myOpenID und claimID an der Reihe.

Achtung! Wer den Artikel von letzter Woche nur in seinem Feed Reader gelesen hat, sollte noch einmal einen Blick darauf werfen. Mir ist da ein peinlicher Fehler unterlaufen und ich habe den Artikel deshalb noch einmal ergänzt bzw. zusammen gestrichen. Ich hoffe mal, dass ich diesen Artikel heute ohne Fehler schaffen werde.

myOpenID

Die Nutzungsbedingungen von myOpenID entsprechen in vielen Punkten denen von Xlogon. Das betrifft sowohl die Änderung der Nutzungsbedingungen (inkl. Benachrichtigung der Nutzer bei erheblichen Änderungen) als auch der Sorgfaltspflicht der Nutzer (unter Nutzernamen und OpenID verbreitete Inhalte gehen zu Lasten der Nutzer). myOpenID weist zwar darauf hin, welche Inhalte man nicht haben möchte, stellt aber klar, dass diese selbst nicht kontrolliert werden und man evtl. auch auf anstößige Inhalte stoßen kann.

Die Weitergabe von Namen und Kontaktinformationen an Dritte wird ausgeschlossen. Es erfolgt ebenso keine Überwachung und Weitergabe von Inhalten (Ausnahme wie eigentlich überall: Strafverfolgungsbehörden).

Bei Xlogon bin ich ja bereits auf die Beendigung des Nutzungsverhältnisses eingegangen. Bei myOpenID werden ebenfalls die Inhalte gelöscht; der Nutzername bleibt jedoch bestehen. Die Begründung ist auch sehr einleuchtend: Man will vermeiden, dass jemand anderes den gleichen Nutzernamen verwenden kann, den ich bei meinem alten myOpenID Account benutzt habe. Für andere Personen ist nämlich nicht erkennbar, dass ich selbst nicht mehr hinter dieser OpenID stehe, was unter Umständen zu bösen Überraschungen führen könnte.

claimID

claimID verfährt bei Änderung der Nutzungsbedingungen genauso wie Xlogon und myOpenID. Im Gegensatz zu allen anderen bislang genannten Providern darf claimID nur privat genutzt werden. Nutzer dürfen keine Services an Dritte aufgrund von mit claimID erstellter Daten verkaufen; Spam wird ausdrücklich verboten.

claimID verkauft oder verleiht keine persönlichen Daten der Nutzer an Dritte. Ausnahmen werden bei einer Übernahme der Firma und bei Strafverfolgungsbehörden gemacht. Desweiteren behält man sich vor, im Rahmen von Studien bei claimID selbst (die Betreiber haben Informationswissenschaften studiert) anonymisierte Daten von Nutzern zu verwenden. Alle von Nutzern eingestellte Daten unterliegen einer Creative Commons Attribution Share-Alike Lizenz.

Bei Beendigung des Nutzungsverhältnisses werden die Accounts gelöscht.

Fazit

Anhand der Nutzungsbedingungen lassen sich keine wirklich gravierenden Unterschiede zwischen deutschen und amerikanischen Providern festmachen. Meinguter.name fällt da sogar etwas aus dem Rahmen. Eins sollte auch klar sein: Strafverfolgungsbehörden haben in beiden Ländern Zugriff auf die Daten.

Ein wesentlicher Unterschied zwischen den USA und Deutschland besteht darin, dass es in den USA kein bundesweites Datenschutzgesetz gibt. Es gibt in den einzelnen Bundesstaaten aber wohl verschiedene Ansätze in dieser Richtung. Interessant scheint mir auch, dass es ausgerechnet aus der Wirtschaft Bestrebungen gibt, einen einheitlichen Datenschutz zu schaffen. Microsoft ist hier sogar Vorreiter. Auch haben sich viele US Firmen verpflichtet, die strengeren Datenschutzbestimmungen der EU zu beachten; solche Firmen sind in der Safe Harbor List des US Handelsministeriums aufgeführt.

Ruft man sich jetzt Stichworte wie Vorratsdatenspeicherung und Bundestrojaner ins Gedächtnis zurück, bin ich mir nicht sicher, ob es noch wesentliche Unterschiede zwischen beiden Ländern gibt. Also immer schön die Nutzungsbedingungen lesen.

OpenID und Datenschutz, ein Thema, das scheinbar irgendwie zusammen gehört. Ansonsten lässt sich kaum erklären, warum wir in den vergangenen Beiträgen doch auch immer mal wieder auf das Thema zu sprechen gekommen sind; und sei es auch nur in den Kommentaren. Marcel fand meine Aussage, dass man hinsichtlich des Datenschutzes mit einem europäischen bzw. deutschen Provider in der Regel besser fahren würde als mit einem US Provider, zu allgemein. Tja, irgendwie liegt er damit auch nicht wirklich falsch.

Ich habe mir deshalb mal die Nutzungsbedingungen und, sofern vorhanden, die Datenschutzerklärungen von vier OpenID Providern angesehen: Xlogon (DE), Meinguter.name (DE), myOpenID (US) und claimID (US). Auf Provider wie AOL, WordPress.com, etc. werde ich nicht eingehen, weil 1) es sonst einfach zu viele würden, 2) ich sowieso kein Jurist bin und 3) diese nicht reine OpenID Provider sind. Heute werden wir uns erst einmal die beiden deutschen Provider ansehen und wahrscheinlich nächste Woche die beiden amerikanischen.

Xlogon

Update 25.04.2007: Da ich diesen Artikel und den am Sonntag folgenden über mehrere Tage hinweg geschrieben habe, habe ich wohl die Nutzungsbedingungen für den IdP und die für das Blog von Xlogon teilweise gemixt. So etwas darf nicht vorkommen. Ich möchte mich ausdrücklich für den Hinweis von Boris Erdmann (Xlogon) bedanken und gleichzeitig um Entschuldigung bitten.

Die Nutzungsbedingungen von Xlogon sind sehr umfangreich und detailiert. Sie können jedoch, von erheblichen Änderungen abgesehen, geändert oder ergänzt werden, ohne dass die Nutzer darüber informiert werden müssen. Das ist eine Klausel, die man bei den unterschiedlichsten Firmen und Dienstleistungen finden kann und auch nicht wirklich zu beanstanden ist. Ich stelle mir nur immer die Frage, wann eine Änderung erheblich ist. Ich denke mal, dass man das im Zweifelsfall von einem Gericht klären lassen kann.

Angaben des Nutzers erfolgen auf rein freiwilliger Basis und die Nutzerdaten dienen nur zur Bereitstellung des Angebots. Prinzipiell muss ich nicht eine einzige private Angabe machen, um Xlogon nutzen zu können. Eigentlich ganz praktisch. Sollte die Firma jedoch auf die Idee kommen, die Daten in anderer Form nutzen zu wollen, erfordert das die vorherige Zustimmung der Nutzer. Xlogon wird bei Beendigung des Nutzerverhältnisses alle personenbezogenen Daten löschen, was eigentlich sehr zu begrüßen ist. Es stellt sich mir jedoch die Frage, ob auch der Nutzername der OpenID gelöscht wird. Warum das interessant sein könnte, erfahrt Ihr, wenn wir uns myOpenID anschauen. Update: s. Kommentar von Boris Erdmann

Cookies werden nur während einer kontinuierlichen Anmeldung bei Xlogon pseudonymisiert gespeichert; loggt man sich aus, werden diese gelöscht. Finde ich sehr gut. Ansonsten gibt es die üblichen Klauseln, dass Nutzernamen, Nutzerbild und Inhalte (= Fotos, Videos, Texte,…) nicht gegen geltendes Recht, Rechte Dritter, gute Sitten, usw verstoßen dürfen. In diesem Zusammenhang ist vielleicht ganz interessant zu wissen, dass auch Codes - also Abkürzungen und Begriffe -, an denen sich Mitglieder extremistischer Szenen erkennen, ebenfalls verboten sind. Das habe ich in der Form noch nirgendwo sonst gelesen.
Standard ist die Klausel, dass alle unter dem Nutzernamen und der OpenID verbreiteten Inhalte zu Lasten des Nutzers gehen.

Inhalte selbst werden Xlogon zeitlich und räumlich unbeschränkt, jedoch nicht exklusiv, zur Verfügung gestellt und können auch öffentlich zugänglich und auf Abruf bereit gestellt werden. Das gilt auch für Strafverfolgungsbehörden.
Update: Daten werden ausdrücklich nicht an Dritte weiter gegeben; eine Ausnhame besteht nur bei Strafverfolgungsbehörden (s. § 14 Telemediengesetz) und um Schaden vom Betreiber selbst abzuwenden.

Meinguter.name

Die Nutzungsbedingungen bei Meinguter.name fallen dagegen recht übersichtlich aus. Zudem sind sie im Wesentlichen von E-Recht 24 übernommen worden.

Es wird die Haftung von Inhalten und Links geklärt und auf das Urheberrecht eingegangen; interessant ist lediglich der Absatz zum Datenschutz. Personenbezogene Daten werden (soweit möglich) nur auf freiwilliger Basis erhoben und der Dienst selbst soll auch möglichst ohne diese Daten erfolgen können. Diese Daten werden von Meinguter.name nicht an Dritte weiter gegeben. Wer seine E-Mail Adresse angibt, willigt allerdings ein, dass er E-Mails sowohl von Meinguter.name erhält als auch von anderen Diensten des gleichen Betreibers, also Solution Media.

Insgesamt würde ich mir hier durchaus weitere und vor allem genauere Angaben wünschen. Meinguter.name hängt meiner Meinung nach doch zu sehr an der Mustervorlage von E-Recht 24.

Beim nächsten Mal sind dann die Amis an der Reihe.

Nachdem wir in den vergangenen zwei Wochen geklärt haben, was OpenID Provider sind, wie Delegation funktioniert und dass es evtl. datenschutzrechtliche Probleme geben könnte, beschäftigen wir uns heute mal etwas näher mit zwei deutschen Providern. Beide sind erst in den letzten paar Wochen an den Start gegangen und bieten den Usern doch sehr differenzierte Konzepte an. Es gibt noch einen dritten deutschen OpenID Provider - Regged von Sebastian Egbers -, der jedoch eher privater Natur ist.

Meinguter.name

Meinguter.name ist ein OpenID Provider, der von der Firma Solution Media aus Kaiserslautern bereit gestellt wird. Solution Media beschäftigt sich mit verschiedenen Projekten aus den Bereichen Web 2.0 und Semantic Web. Die Firma steht auch hinter dem OpenID Directory und dem OpenID Blog Deutschland. OpenID kennen sie also. Die OpenID’s sind wie folgt aufgebaut:username.meinguter.name.

Zusätzlich bietet Meinguter.name auch einen interessanten Ansatz in Richtung Onlineidentität. Es wird regelmäßig das Netz nach dem eigenen Namen durchsucht und man braucht dann nur noch zu entscheiden, ob ein Beitrag einen selbst betrifft oder eben einen Namensvetter. Keine Vorstellung wie das aussehen soll? Mein Profil findet sich hier.
Datenschützer werden vermutlich Amok laufen, aber für den ein oder anderen kann es durchaus sinnvoll sein, das eigene Profil öffentlich zugänglich zu machen: zukünftige Arbeitgeber können sich schnell einen Überblick verschaffen, Bekannte finden einen wieder, Selbstdarstellung, Profilneurose. Alles ist möglich; entscheiden muss wieder mal jeder für sich selbst.

Xlogon

Xlogon wurde von der Firma 4commerce Technologies aus Hamburg gegründet, die sich auf Softwarelösungen im Bereich CRM und Informationsprozesse konzentriert.

Das Konzept ist hier ein anderes als bei Meinguter.name. Xlogon bietet seinen Nutzern die Möglichkeit, verschiedene Profile, sogenannte Personas, anzulegen. Dahinter steckt die Idee, dass ich nicht allen Webseiten, bei denen ich mich mit meiner OpenID anmelde, die gleichen Nutzerdaten übermitteln möchte. Beispielsweise kann es sinnvoll sein, für nicht regelmäßig genutzte Seiten und Dienste eine Persona anzulegen, die nur das nötigste enthält: einen Nutzernamen. Für Business Netzwerke hingegen können es dann schon mehr und detailiertere Angaben sein. So kann ich bei Xlogon also von Fall zu Fall entscheiden, welche Daten eine Seite zu sehen bekommt. Die OpenID ist in der Form xlogon.net/username aufgebaut.

Zu Xlogon siehe auch den Kommentar von Boris Erdmann zu dem Artikel von letzter Woche und den Artikel zu Personas im Xlogon Blog.

Schluss

Wie Ihr seht, verfolgen beide Provider doch sehr unterschiedliche Konzepte. Welches Konzept einem selbst am ehesten zusagt ist Geschmackssache. Zudem glaube ich nicht, dass die beiden die einzigen professionellen Provider in Deutschland bleiben werden, so dass die Auswahlmöglichkeiten in absehbarer Zeit weiter zunehmen dürften. Einfach mal die Augen offen halten und dann entscheiden.

Marcel hat ja bereits angekündigt, dass ich auf neunetz.com regelmäßig über OpenID schreiben werde. Wie das im Einzelnen aussehen wird, wird sich wohl von Woche zu Woche eher spontan ergeben. Ich finde das Thema OpenID und Single Sign-On sehr spannend, bin aber selbst nur Nutzer. Erwartet also bitte keine ausführlichen technischen Hintergründe; die können andere wesentlich besser erklären.

OpenID dürfte zumindestens für regelmäßige Leser von - hauptsächlich englischsprachigen - Blogs zu einem Begriff geworden sein, wenn auch eine Mehrheit es (noch) nicht nutzt. Ein paar interessierte Menschen werden aber sicherlich trotzdem darunter sein, die das Thema ebenfalls spannend finden und einfach einmal ausprobieren möchten wie das funktioniert.

OpenID Provider

Um OpenID nutzen zu können, benötigt man erst einmal einen Account bei einem OpenID Provider, der die User gegenüber einer OpenID unterstützenden Website authentifiziert. Was liegt also näher, als sich gleich mal bei myopenid.com, claimID oder einem anderen Provider eine OpenID zu besorgen? Nun vielleicht einfach mal schauen, ob man nicht bereits eine funktionierende OpenID hat. Das ist nicht immer für jeden so offensichtlich wie man vielleicht denken könnte, da eine immer größer werdende Anzahl von Diensten User Accounts in OpenID’s umwandelt. Nachfolgend mal eine kleine Auswahl:

• AOL/AIM: openid.aol.com/username
• WordPress.com: username.wordpress.com
• Typekey: profile.typekey.com/username/
• Ziki: my.ziki.com/username
• Technorati: technorati.com/profile/username

Wie man sieht, sollte eigentlich fast jeder Blogger mittlerweile eine OpenID haben. Aber wohin jetzt mit der schönen ID? Wo kann man die nutzen und die blöden Username und Passwort Kombinationen hinter sich lassen?

OpenID Consumer

Websites, die ein Login mit OpenID akzeptieren nennt man OpenID Consumer. Jetzt könnte man ziemlich schnell auf die Idee kommen, einfach auf WordPress.com ein Blog mit Hilfe der AOL OpenID zu starten. Tja, die Geschichte mit Theorie und Praxis drängt sich wieder auf: leider ist nicht jeder OpenID Provider auch gleichzeitig OpenID Consumer. WordPress.com ist zumindestens momentan nur ein Provider. Das ist ganz klar ein Nachteil von OpenID.

Es bleibt abzuwarten, wie sich große Firmen verhalten werden, sollten sie eines Tages OpenID unterstützen. Eine OpenID ist ja rein äußerlich betrachtet nichts anderes als eine URI, die den Namen des Providers enthält und somit durchaus einen Werbeeffekt für diesen darstellt. Nehmen wir mal an Yahoo und Google unterstützten OpenID sowohl als Provider als auch als Consumer, wäre es auf den ersten Blick durchaus komisch, wenn z.B. neue User mit einer Yahoo URI bei Google einen Account erstellten. Es bleibt abzuwarten, ob und wie OpenID dort eingesetzt wird. Könnte jedenfalls spannend werden.

Es gibt aber auch positive Beispiele. So unterstützt Netscape, nun wirklich kein kleiner unbekannter Dienst, seit Montag dieser Woche OpenID als Consumer. Überhaupt scheint man bei AOL - Netscape gehört bekanntlich zu AOL - das Thema ernst zu nehmen. So hat man vor kurzen Ficlets gelauncht, ein Service mit dem man winzige Geschichten schreiben kann, die andere User weiter entwickeln können. Ficlets akzeptiert ebenfalls OpenID und das AOL Branding ist auch noch kaum sichtbar. Aber das nur am Rande.

Wer sich nun fragt, welche Dienste, Blogs,… eine OpenID akzeptieren, findet in Form des OpenID Directory einen guten Überblick. Die Dienste sind in verschiedene Kategorien eingeteilt, was einem die Orientierung sehr erleichtert. Einfach mal schauen.