Manifesto zur Digitalen Ethik

Dieses Manifesto ist ein Aufruf, digitale Ethik neu zu denken. Technologie ist nie neutral. Sie spiegelt die Werte ihrer Schöpfer:innen wider – und die Konsequenzen tragen wir alle. Dieses Manifest richtet sich an Entwickler:innen, Nutzer:innen, Unternehmen und politische Entscheidungsträger:innen, die eine digitale Welt gestalten wollen, die Freiheit, Privatsphäre, Gerechtigkeit und ökologische Verantwortung in den Mittelpunkt stellt. Wir glauben, dass Technologie nicht nur Fortschritt, sondern auch Verantwortung bedeutet. In einer Zeit, die von KI, Algorithmen und Datenanalyse geprägt ist, müssen wir sicherstellen, dass diese Technologien dem Gemeinwohl der Menschheit und der Umwelt dienen. Unser Handeln soll nicht nur innovativ, sondern auch ethisch, transparent und inklusiv sein.

Technologie ist nie neutral. Sie spiegelt immer die Werte ihrer Schöpfer wider.

Wir glauben, dass Technologie nicht nur Fortschritt, sondern auch Verantwortung bedeutet. In einer Zeit, die von Technologien wie KI, Algorithmen und Datenanalyse geprägt ist, müssen wir sicherstellen, dass diese Technologien dem Gemeinwohl der Menschheit und der Umwelt dienen. Unser Handeln soll nicht nur innovativ, sondern auch ethisch, transparent und inklusiv sein.

Die Prinzipien

Respekt vor der Würde und den Rechten aller Menschen

Technologie darf niemals die Würde oder Grundrechte von Menschen verletzen. Sie muss inklusiv, barrierefrei und diskriminierungsfrei gestaltet sein.

Förderung des menschlichen Wohlergehens

Technologische Lösungen sollen das Leben verbessern – nicht nur wirtschaftlich, sondern auch sozial, psychologisch und ökologisch.

Investition in die Menschheit

Wir setzen uns für Bildung, Chancengleichheit und nachhaltige Entwicklung ein, damit Technologie allen zugutekommt – nicht nur einer privilegierten Minderheit.

Nachhaltigkeit

Nachhaltigkeit ist keine Option, sondern eine Pflicht. Wir entwickeln Technologien, die Ressourcen schonen – von der Energieeffizienz bis zur Kreislaufwirtschaft.

Transparenz und Erklärbarkeit

Algorithmen und Entscheidungsprozesse müssen nachvollziehbar sein. Nutzer:innen haben ein Recht zu wissen, wie Technologien funktionieren und welche Daten genutzt werden – ohne (Hidden) Tracking.

Verantwortung und Rechenschaftspflicht

Wir übernehmen Verantwortung für die Folgen unserer Technologien – von der Entwicklung bis zur Entsorgung. Fehler werden korrigiert, Risiken minimiert –

Unsere Verpflichtungen

1. Führung mit Weitsicht

Ethik geht Alle an: Die Geschäftsführung trägt die Verantwortung für eine ethische Unternehenskultur – nicht nur für Profite. Klare Richtlinien: Wir definieren verbindliche Ethik-Leitlinien für alle Projekte.

2. Kulturwandel im Unternehmen

Ethik als Mindset: Jede:r Mitarbeiter:in wird darin bestärkt, ethische Fragen zu stellen. Dazu zählen selbstverständlich auch Fragen zum Datenschutz.

3. Verantwortungsvoller Technologie-Lebenszyklus

Ethik by Design: Von der Idee bis zur Entsorgung berücksichtigen wir ethische, soziale und ökologische Auswirkungen.

Unser Appell an die Gesellschaft

Technologie ist kein Selbstzweck – sie muss dem Menschen und dem Planeten dienen. Wir rufen dazu auf:

• Regulierung mit Weitsicht: Gesetze müssen Innovation ermöglichen, ohne Ethik zu opfern – wie die EU-Datenschutzverordnung.
• Zusammenarbeit über Grenzen: Unternehmen, Wissenschaft und Zivilgesellschaft müssen gemeinsam Standards setzen.
• Kritische Reflexion: Jede:r soll hinterfragen: „Sollen wir das tun – nur weil wir es können?“

Unser Versprechen

Wir verpflichten uns, diese Prinzipien im täglichen Handeln umzusetzen.

Was bedeutet das?

Web Archive: Ein System ohne Verantwortung

Das Internet Archive und ähnliche Dienste sind keine neutralen Bibliotheken, sondern unkontrollierte Datenmonster, die:

• Grundrechte missachten (DSGVO, Urheberrecht, Menschenwürde),
• die Umwelt belasten (Petabytes an unnötigen Daten),
• mit personenbezogenen Daten ohne Zustimmung KI trainieren.

Sie ermöglichen es, dass jede:r Websites speichern kann – auch ohne die Rechte daran zu haben. Dabei können diese Websites:

• Rechte von Dritten verletzen (z. B. durch Boulevard-Artikel, die falsche Tatverdächtige nennen),
• von Betreibern stammen, die nie zugestimmt haben (Wie kann man Löschung durchsetzen, wenn man nicht weiß, dass etwas gespeichert wurde?),
• traumatisierende Inhalte dauerhaft zugänglich machen (z. B. Pornografie, Doxing, Stalking-Material).

Qualität vor Quantität: Ein verantwortungsvolles Archiv müsste

• Einverständnis einholen (Opt-in statt Opt-out),
• Qualitätsprüfungen VORHERdurchführen (Keine Hetze, Pornografie, falsche Anschuldigungen),
• Automatische Löschroutinen für veraltete/illegale Inhalte,
• Transparente Finanzierung (Keine Werbung mit personenbezogenen Daten wie bei manchen Archiven außerhalb der EU).

Umweltverschmutzung durch Datenmüll

• Archive speichern Petabytes an unstrukturierten Daten darunter Millionen von Duplikaten, veralteten Websites und nutzlosen Crawler-Ergebnissen.
• Problem:
Jedes Byte verbraucht Energie. Studien (z. B. vom Borderstep Institut) zeigen: Datenmüll verursacht CO₂-Emissionen wie physischer Abfall – nur unsichtbar.
Mechanismus:
1. Crawler sammeln persönliche Daten (auch ohne Zustimmung),
2. Besucher:innen sehen Tracking-Werbung,
3. Dritte haben Zugriff auf die Daten – ohne Wissen der Betroffenen.

Resultat: Ein System, das Datenschutz ignoriert und Umwelt belastet

Ein Archiv, das mehr schadet als bewahrt, verdient den Namen nicht.

KI Systeme nicht füttern

KI-Systeme wie Large Language Models (LLMs) oder Bildgeneratoren crawlen das Internet unkontrolliert – oft ohne Einwilligung der Betroffenen und ohne Rücksicht auf Datenschutz oder Urheberrecht. Für Unternehmen bedeutet das:

Risiken für Mitarbeiter:innen und Daten

• Personenbezogene Daten (Fotos, Namen, Kontaktdaten) von Mitarbeiter:innen werden ohne Zustimmung in KI-Trainingsdaten aufgenommen – inklusive privater Inhalte von Betriebsfeiern oder internen Dokumenten.
• DSGVO-Verstöße: Sobald Daten in KI-Modelle eingespeist wurden, sind sie praktisch unlöschbar – selbst bei berechtigten Löschanträgen (Art. 17 DSGVO). Problem: Unternehmen haften für Datenschutzverletzungen, auch wenn sie selbst nicht crawlen.
• Missbrauch durch Dritte: KI-Systeme können gescrapte Daten für Deepfakes, Identitätsdiebstahl oder gezielte Angriffe nutzen. Beispiel: Ein Mitarbeiterfoto wird für eine betrügerische LinkedIn-Profil-Kopie verwendet.
• Reputationsschäden: Interne Dokumente oder unveröffentlichte Projekte können durch KI-Leaks öffentlich werden – mit Folgen für Vertrauen und Wettbewerbsfähigkeit.

Warum herkömmliche Schutzmechanismen versagen

Viele Unternehmen glauben, durch robots.txt oder noindex-Tags geschützt zu sein. Doch KI-Crawler wie die von Common Crawl, Google AI oder OpenAI ignorieren diese oft – oder nutzen indirekte Quellen (z. B. Wayback Machine, PDFs, Social Media).

Was Unternehmen JETZT tun müssen

1. Inventur aller öffentlichen Inhalte:
   • Prüfen, welche Daten tatsächlich öffentlich sind (Websites, Social Media, Dokumente).
   • Mitarbeiterfotos, Namen und private Inhalte (z. B. von Feiern) sofort entfernen.
   • Job Postings nur mit genereller Job E-Mail Adresse
   • Interne Richtlinien einführen: Keine personenbezogenen Daten ohne explizite Einwilligung veröffentlichen.
2. Technische Schutzmaßnahmen:
   • robots.txt mit expliziten Blockaden für KI-Crawler:

     User-agent: GPTBot
     Disallow: /
     User-agent: Google-Extended
     Disallow: /

   • Authentifizierungspflicht für sensible Bereiche (z. B. Intranet).
3. Rechtliche Absicherung:
   • Datenschutzerklärungen um KI-spezifische Passagen ergänzen (z. B. Hinweis auf Crawling-Risiken).
   • Mitarbeiter:innen aktiv über Risiken aufklären (z. B. in Schulungen zu Social Media-Nutzung).
   • Bei Verstößen: Formelle Löschanfragen an KI-Anbieter stellen
4. Kultureller Wandel:
   • „Less is more“: Nur Inhalte veröffentlichen, die tatsächlich nötig sind.
   • Qualität vor Quantität: Jeder öffentliche Inhalt muss eine klare Daseinsberechtigung haben.
   • Transparenz: Offene Kommunikation über Risiken – auch gegenüber Kund:innen.

Langfristige Strategie: Technologie anpassen, nicht ignorieren

KI wird nicht verschwinden – aber Unternehmen können proaktiv gestalten:

• Eigene KI-Richtlinien entwickeln (z. B. „Keine Nutzung externer KI-Tools für interne Daten“).
• Alternativen fördern: Unterstützung für ethische KI-Projekte mit Opt-in-Datensätzen).
• Politische Forderungen stellen: Für globale Regulierung (z. B. „Recht auf Vergessenwerden“ auch für KI-Trainingsdaten).

Technologie darf nicht über Menschenrechte gestellt werden.

Selbstverständlich bedeutet das auch LLMs nicht direkt zu füttern, z.B. ChatGPT und Co.

Umsetzung von ethischen Standards für Websites

1. Grundprinzipien: "Less is more"

• Kein Tracking: Keine Analytics-Tools, keine Social-Media-Plugins, keine externen Zählpixel.
• Keine Drittressourcen: Keine externen Fonts, keine Bibliotheken von CDNs, keine externen Skripte. Warum? Jede externe Ressource ist ein Datenschutzrisiko (Datenweitergabe an Dritte) und ein Sicherheitsrisiko (Man-in-the-Middle-Angriffe, Abhängigkeit von Dritten).
• Kein JavaScript: JavaScript ist nur nötig, wenn unbedingt erforderlich (z. B. für barrierefreie Funktionen). Ansonsten: Statisches HTML/CSS bevorzugen. Vorteil: Schneller, sicherer, barriereärmer.
• Keine CDNs: Content Delivery Networks (z. B. Cloudflare, jsDelivr) sind unsicher, weil:
  • Sie protokollieren Zugriffe (IP-Adressen, User-Agent etc.),
  • Sie können manipulierte Inhalte ausliefern (z. B. durch gehackte Accounts oder staatliche Eingriffe),
  • Sie sind Single Points of Failure (Ausfall = die Website funktioniert nicht mehr).
  Alternative: Alle Ressourcen lokal hosten oder auf eigenen Servern mit HTTP/2 ausliefern.

  <link rel="stylesheet" href="/styles.css">
  <!-- Statt: -->
  <link href="https://cdn.example.com/library.css">

• Kein unnötiger Datenmüll: Keine überflüssigen Metadaten, keine redundanten Stylesheets, keine unkomprimierten Bilder.

2. Schutz personenbezogener Daten

Absolut tabu:

• Mitarbeiterfotos (DSGVO: personenbezogene Daten!),
• Vollständige Namen von Mitarbeiter:innen,
• Private Kontaktdaten (E-Mail, Telefonnummern),
• Interne Organigramme oder Teamseiten mit persönlichen Infos.

Ausnahme: Wenn explizite Einwilligung vorliegt (schriftlich, widerrufbar) und die Daten für den Zweck unbedingt nötig sind. Diese Angaben sollten immer freiwillig sein.

Lösungen für länderspezifisch-notwendige Angaben (z. B. Impressum):

• Generische Kontakte: info@firma.de statt max.mustermann@firma.de.
• Sensible Bereiche schützen: Seiten mit personenbezogenen Daten aus Suchmaschinen ausschließen und vor Archivierung sichern:

  <meta name="robots" content="noindex, noarchive">
  <meta name="googlebot" content="noindex, noarchive">

• Zugangsbeschränkung: Interne Bereiche mit .htaccess/.htpasswd oder IP-Whitelisting schützen.

  # Beispiel für .htaccess:
  AuthType Basic
  AuthName "Interner Bereich"
  AuthUserFile /pfad/zu/.htpasswd
  Require valid-user

• Recht auf Vergessenwerden umsetzen: In der Datenschutzerklärung klarstellen, dass Löschanfragen an datenschutz@firma.de gerichtet werden können – und diese innerhalb von 30 Tagen bearbeiten (DSGVO-Pflicht!).

3. Technische Absicherung gegen Crawler & Archive

a) robots.txt für KI und Archive

Explizites Blockieren von Crawlern (z. B. Internet Archive, Common Crawl, KI-Bots):

User-agent: archive.org_bot
Disallow: /

User-agent: GPTBot
Disallow: /

User-agent: Google-Extended
Disallow: /

User-agent: *
Disallow: /interne-bereiche/
Disallow: /team/

b) Server-Konfiguration (Apache/Nginx)

Header setzen, um Archivierung zu verhindern:

# Apache (.htaccess)
Header set X-Robots-Tag "noarchive, nosnippet"

# Nginx
add_header X-Robots-Tag "noarchive, nosnippet";

c) HTML-Meta-Tags

<meta name="robots" content="noarchive">
<meta name="googlebot" content="noarchive">

Warum das wichtig ist: Selbst wenn Inhalte gelöscht werden, bleiben sie oft in Archiven wie der Wayback Machine erhalten. Meta-Tags und Header reduzieren dieses Risiko – auch wenn sie nicht 100%ig wirken (siehe rechtliche Maßnahmen).

4. Rechtliche Maßnahmen

• Impressumspflicht erfüllen – aber minimalistisch: und nur was gesetzlich vorgeschrieben ist (z. B. nach § 5 TMG).
• Datenschutzerklärung: Klare Informationen zu:
  • Welche Daten nicht erhoben werden,
  • Wie Löschanfragen gestellt werden können,
  • Dass keine Daten an Dritte weitergegeben werden.
  Vorlage: DG Datenschutz
• Widerspruch gegen Archivierung: Bei bekanntwerden von ungewollten Archiven (z. B. Internet Archive) formelle Löschanfragen stellen. Muster:

  Sehr geehrtes Team des Internet Archive,
  wir widersprechen der Speicherung unserer Inhalte unter [URL] und fordern Sie auf, diese gemäß Art. 17 DSGVO unverzüglich zu löschen. Für Rückfragen stehen wir unter datenschutz@firma.de zur Verfügung.
  Mit freundlichen Grüßen, [Firma]

5. Hosting & Infrastruktur

Möglichst in Rechenzentren in Regionen hosten, die starke Datenschutzgesetze haben wie in der Europäischen Union.

6. Barrierefreiheit & Nachhaltigkeit

• Barrierefreiheit: Mindestens WCAG 2.1 Level AA erfüllen. Tools: WAVE, AChecker.
• Nachhaltiges Design:
  • Dunkle Themen anbieten (spart Energie auf OLED-Displays),
  • Bilder lazy-loaden,
  • Schriftgrößen relativ definieren (z. B. rem).

7. Checkliste für die Umsetzung

1. ✓ Kein JavaScript (außer für essentielle Funktionen) → Prüfen mit Mozilla Observatory
2. ✓ Keine externen Ressourcen (Fonts, Bibliotheken, CDNs) → Prüfen mit RequestMap
3. ✓ Keine personenbezogenen Daten ohne Einwilligung → Prüfen mit CookieMetrix
4. ✓ robots.txt und noarchive-Header konfiguriert
5. ✓ Datenschutzerklärung und Impressum vorhanden
6. ✓ TLS 1.3 mit sicherer Konfiguration → Prüfen mit SSL Labs
7. ✓ Regelmäßige Backups (lokal verschlüsselt) → Prüfen mit restic check
8. ✓ Sensible Bereiche passwortgeschützt oder mit IP-Whitelisting → Prüfen mit curl -I https://ihre-seite.de/interne-seite

8. Warum das alles?

Eine Website nach diesen Prinzipien ist:

• Rechtssicher (DSGVO, Urheberrecht, TMG),
• Sicher (keine Angriffsfläche durch Drittcode),
• Nachhaltig (geringer Energieverbrauch, lange Lebensdauer),
• Vertrauenswürdig (kein Tracking, keine Datenweitergabe).
• Schützt auch Dritte(z.B. Mitarbeiter, Freunde etc.)

Technologie sollte den Menschen dienen – nicht umgekehrt. Eine Website, die diese Werte lebt, ist nicht nur konform, sondern ein Statement für digitale Selbstbestimmung.

Weiterführende Links

• Better Web – Datenschutzfreundliche Alternativen
• Privacy by Design Foundation
• DSGVO-konformer Datenschutz-Generator. Nicht blind Generatoren nutzen. Aktiv selbst überlegen, was man nutzt. Ob man etwas nutzt und das überprüfen. Notfalls durch eine Fachperson.c

Open Source mit Verantwortung nutzen

Open-Source-Software ist nicht nur eine technische Wahl, sondern eine ethische Entscheidung. Wer sie nutzt, trägt Verantwortung – für die Community, für die Sicherheit und für die Nachhaltigkeit der Projekte. Dieser Leitfaden zeigt, wie du Open Source aktiv, sicher und fair einsetzt – ohne blind zu vertrauen.

Einsatz von Open Source Software

1. Warum Open Source?

Vorteile gegenüber proprietärer Software:

• Transparenz: Der Quellcode ist einsehbar – keine "Black Box" wie bei Closed-Source-Lösungen.
• Kontrolle: Keine Abhängigkeit von einem einzigen Anbieter (z. B. Microsoft, Google).
• Sicherheit durch Community: Sicherheitslücken werden oft schneller gefunden und behoben – wenn die Community aktiv ist (siehe Punkt 3).
• Datenschutz: Keine versteckte Datenweitergabe an Dritte (im Gegensatz zu vielen SaaS-Lösungen).
• Nachhaltigkeit: Open-Source-Projekte können unabhängig vom Anbieter weiterentwickelt werden.

Aber Achtung: Open Source ≠ automatisch sicher!

Viele glauben, Open Source sei per se vertrauenswürdig – doch das ist ein gefährlicher Trugschluss. Beispiele für Risiken:

• Veraltete Projekte: Software ohne regelmäßige Updates (z. B. abandonware auf GitHub). Risiko: Ungepatchte Sicherheitslücken.
• Malware in Paketen: Beispiele wie ua-parser-js (2021) oder colors.js (2022), bei denen Schadcode in beliebte Open-Source-Bibliotheken eingeschleust wurde.
• Fehlende Privacy-Compliance: Manche Projekte speichern Daten unsicher oder verstoßen gegen die DSGVO – auch wenn sie Open Source sind.
• "Open Core"-Fallen: Scheinbar freie Software, die aber proprietäre Komponenten erfordert (z. B. einige "Enterprise"-Versionen von Open-Source-Tools).

Open Source ist kein Freibrief für blindes Vertrauen – sie ist eine Einladung zur Prüfung.

2. Verantwortungsvoller Einsatz: Geben und Nehmen

a) Aktiv zur Community beitragen

Open Source lebt vom Geben und Nehmen. Wenn du Software nutzt, solltest du auch etwas zurückgeben – sei es durch Code, Dokumentation, Spenden oder Feedback.

• Code-Beiträge: Bugfixes, neue Features oder Dokumentation auf Plattformen wie GitHub, Codeberg oder GitLab.
  Einstieg:

  1. Issues auf GitHub durchsuchen (Label: good first issue).
  2. Lokale Entwicklungsumgebung einrichten.
  3. Pull Request erstellen – auch kleine Fixes helfen!
• Finanzielle Unterstützung: Viele Projekte leben von Spenden. Plattformen wie Liberapay, Open Collective oder GitHub Sponsors machen es einfach.
• Dokumentation verbessern: Viele Projekte leiden unter schlechter Doku. Selbst einfache Korrekturen in README.md-Dateien sind wertvoll.
• Feedback geben: Issues melden, wenn etwas nicht funktioniert – aber konstruktiv! Beispiel: "Ich habe Problem X mit Version Y. Hier sind meine Logs: [Pastebin-Link]."
• Community unterstützen: In Foren helfen (z. B. Ask Ubuntu), Vorträge halten oder Workshops organisieren.

b) Open Source bevorzugen – aber kritisch prüfen

Priorisiere Open Source gegenüber proprietärer Software, aber prüfe jedes Projekt vor dem Einsatz:

1. Lizenz checken: Ist die Lizenz (MIT, GPL, Apache etc.) kompatibel mit deinem Use Case? Tool: Choose a License.
2. Aktivität der Community: Wann war der letzte Commit? Wie viele Contributor:innen gibt es? Tool: GitHub Insights oder Repology.
3. Sicherheitsaudits: Gibt es bekannte Sicherheitslücken? Wird auf Issues reagiert? Tools: Snyk, Dependabot.
4. Privacy-Compliance: Werden Daten gesammelt? Wenn ja, wie und wo? Beispiel: Selbstgehostete Lösungen wie Nextcloud sind datenschutzfreundlicher als Cloud-Dienste.

3. Sicherheitsprüfung: Open Source ≠ sicher

Sicherheitsrisiken erkennen und minimieren

Open-Source-Software kann genauso unsicher sein wie Closed-Source – wenn nicht aktiv geprüft wird. Hier sind die wichtigsten Schritte:

a) Code-Review (wenn möglich)

• Prüfe den Quellcode auf:
  • Backdoors (z. B. verdächtige Netzwerkaufrufe),
  • Hardcoded Credentials (Passwörter, API-Keys),
  • Veraltete Abhängigkeiten (z. B. jquery 1.x).
  Tool-Tipp: Semgrep für statische Code-Analyse.

b) Abhängigkeiten prüfen

Viele Sicherheitslücken kommen von Dependencies (z. B. npm-Pakete, Python-pip).

• Nutze npm audit (Node.js) oder safety check (Python), um bekannte Schwachstellen zu finden.
• Minimiere Abhängigkeiten – jedes Paket ist ein potenzielles Risiko. Beispiel: Statt 50 npm-Paketen: Eigenen Code schreiben oder auf bewährte Bibliotheken setzen (z. B. Lodash).

c) Updates und Patches

• Regelmäßig updaten – aber nicht blind! Erst Changes prüfen (z. B. auf GitHub Advisories).
• Automatisierte Updates vermeiden (z. B. bei Docker-Containern). Warum? Ein fehlerhaftes Update kann die gesamte Infrastruktur lahmlegen.

d) Privacy-Prüfung

Selbst Open-Source-Software kann Datenschutzprobleme haben. Prüfe:

• Datenflüsse: Werden Daten an externe Server gesendet? Tool: mitmproxy für Traffic-Analyse.
• Speicherorte: Werden Daten lokal oder in der Cloud gespeichert?
• DSGVO-Compliance: Werden EU-Datenschutzstandards eingehalten? Checkliste: GDPR Checklist.

4. Proprietäre Software vermeiden – aber wie?

Alternativen zu proprietären Tools

Für fast jede Closed-Source-Software gibt es eine Open-Source-Alternative. Hier eine Auswahl:

5. Fazit: Open Source als ethische Entscheidung

Open-Source-Software zu nutzen, ist mehr als eine technische Wahl – es ist eine Haltung:

• Verantwortung: Du profitierst von der Arbeit anderer – gib etwas zurück.
• Sicherheit: Prüfe, was du nutzt – Open Source ist kein Freibrief für Nachlässigkeit.
• Datenschutz: Vermeide proprietäre Tools, die deine Daten ausbeuten.
• Nachhaltigkeit: Unterstütze Projekte, die langfristig gemeinwohlorientiert arbeiten.

Dein Beitrag zählt – auch ohne Programmierkenntnisse!

Selbst kleine Aktionen helfen:

• Dokumentation verbessern (z. B. Typos in READMEs korrigieren),
• Bugs melden (auch wenn du sie nicht selbst beheben kannst),
• Spenden (5 €/Monat können Projekte retten),
• Weiterempfehlen (z. B. in deinem Netzwerk oder auf Konferenzen).

Open Source ist kein Geschenk – es ist ein Gesellschaftsvertrag. Nutze sie weise, prüfe sie kritisch und gib etwas zurück.

Unkontrollierte Federation

Ergänzung zum Manifest:
Warum wir nicht federieren

Dieses Dokument ergänzt unser Manifest für Ethik im Zeitalter disruptiver Technologien um eine klare Position zur Föderation im Fediverse. Während wir Dezentralisierung und offene Protokolle grundsätzlich befürworten, lehnen wir die unkontrollierte Federation mit unbekannten Instanzen ab – aus Gründen des Datenschutzes, der Rechtssicherheit und der technischen Verantwortung.

1. Das Problem der Federation

Das Fediverse (Mastodon, PeerTube, Pixelfed etc.) basiert auf dem Prinzip, dass Instanzen autonom Daten austauschen (ActivityPub). Doch diese Autonomie hat einen Preis:

• Keine Kontrolle über Dritte: Sobald Daten federiert werden, unterliegen sie den (oft unbekannten) Datenschutzpraktiken fremder Instanzen.
• Recht auf Löschung (Art. 17 DSGVO) ist nicht durchsetzbar: Gelöschte Inhalte können auf anderen Instanzen weiter existieren – ohne unsere Möglichkeit, dies zu verhindern.
• Technische Risiken: Schlecht administrierte Instanzen können Daten leaken, manipulieren oder für Angriffe missbrauchen (z. B. über offene Relays).
• Moderations-Dilemma: Hassrede, Desinformation oder illegale Inhalte können über federierte Instanzen eingeschleust werden – ohne wirksame Gegenwehr.

Warnung: Federation ist kein Allheilmittel für Dezentralisierung. Sie schafft neue Abhängigkeiten – nämlich von der Sorgfalt fremder Administrator:innen, die wir nicht prüfen können.

2. Unsere Lösung: Kontrollierte Ökosysteme

Statt blind zu federieren, setzen wir auf:

• Explizite Allowlists: Nur mit Instanzen, deren Betreiber:innen wir persönlich vertrauen und deren Datenschutzstandards wir geprüft haben.
• Lokale First: Priorisierung von Inhalten und Nutzer:innen auf eigener Infrastruktur (z. B. selbstgehostete Mastodon/Pleroma-Instanzen).
• Transparente Regeln: Klare Kommunikation, welche Daten wo gespeichert werden – und wie Nutzer:innen sie löschen können.
• Keine öffentlichen Relays: Vermeidung von "Daten-Sintfluten" durch unkontrollierte Weiterleitung an unbekannte Knoten.

"Federation ohne Verantwortung ist wie ein offenes WLAN ohne Firewall: Bequem, bis es wehtut."

3. Technische Umsetzung

• Standardmäßig keine Federation für nutzergenerierte Inhalte.
• Falls Federation nötig ist: Opt-in mit Warnhinweis und dokumentierten Risiken.
• Regelmäßige Audits der federierten Instanzen
• Nutzung von ActivityPub-Erweiterungen, die Löschanfragen propagieren (z. B. Delete-Aktivitäten).

4. Alternativen zur Federation

Dezentralisierung geht auch ohne Federation:

• APIs mit OAuth: Kontrollierter Datenaustausch über standardisierte Schnittstellen.
• RSS/Atom-Feeds: Einfache, pull-basierte Abonnements ohne automatische Weiterverbreitung.

5. Ein Appell an die Community

Wir fordern:

• Mehr Bewusstsein für die Risiken der Federation – besonders in regulierten Bereichen (Bildung, Gesundheit).
• Entwicklung von Tools zur Auditierung federierter Instanzen (z. B. automatisierte DSGVO-Compliance-Checks).