Nachdem die Muse Group den Audioeditor Audacity unter ihre Fittiche genommen hatte, brachte sie gleich mehrfach die Nutzergemeinde gegen sich auf. Bei einem schnell gegründeten Fork eskalierte zudem die Namenswahl.
Am 30. April 2021 begann ein kalifornisches Unternehmen eine Reise, in dessen Verlauf es in zahlreiche Fettnäpfchen trat: An diesem Tag übernahm die Muse Group offiziell federführend die Weiterentwicklung von Audacity (Abbildung 1). Mit dem Open-Source-Programm lassen sich Audiodateien unkompliziert schneiden, arrangieren und bearbeiten. Vor allem im Bildungsbereich und bei Podcastern hat das Werkzeug zahlreiche Liebhaber gefunden. Viele Entwickler unterstützten zudem das Projekt in ihrer Freizeit.
Musikalische Linux-Anwender kannten die Muse Group bis dato vor allem durch Musescore [1]. Die Software zum Erstellen von Notenblättern steht wie Audacity unter einer quelloffenen Lizenz (Abbildung 2). In einer Stellungnahme versicherte das Unternehmen aus San Francisco denn auch nachdrücklich, dass Audacity für immer frei und quelloffen bleiben werde [2]. Darüber hinaus wollte man eng mit der Community zusammenarbeiten. Doch genau dieser Nutzergemeinde rollten sich schon kurze Zeit später die Zehennägel hoch.
Abbildung 1: Audacity versteckt einen recht ansehnlichen Funktionsumfang hinter einer übersichtlichen Benutzeroberfläche, was den Einstieg erleichtert und zum Erfolg des Projekts beitrug.
Abbildung 2: Auch das kostenlose Notensatzprogramm Musescore möchte standardmäßig Telemetriedaten an seine Entwickler senden.
Plaudertasche
Die Audacity-Entwicklung verläuft maßgeblich auf der Plattform Github [3]. Dort kann jeder Interessierte den Programmcode einsehen, sämtliche Änderungen an der Software nachvollziehen, Fehler melden und Funktionen diskutieren. Bereits wenige Tage nach der Übernahme durch die Muse Group erschien dort ein Änderungsvorschlag, nach dem Audacity zukünftig Nutzungsdaten sammeln und diese dann an die Entwickler zurückschicken sollte.
Neben Fehlermeldungen interessierten sich die Einreicher des Vorschlags unter anderem für die Audacity-Version, das verwendete Betriebssystem, den Startzeitpunkt der Software und die im Projekt eingesetzten Audioeffekte. Mit diesen Informationen wollten die Entwickler vor allem Abstürze besser untersuchen und schneller beheben. Darüber hinaus wollten sie so herausfinden, welche Betriebssystemversionen sie noch aktiv unterstützen müssen.
Das Sammeln von Telemetriedaten ist an sich unter Open-Source-Programmen nicht ungewöhnlich. Beispielsweise sprechen auch Ubuntu, das Content-Management-System Joomla und der Browser Firefox mit ihren Entwicklern. Wie dort sollte sich auch in Audacity der Datenversand jedoch komplett abschalten lassen (Abbildung 3). Die Nutzerdaten und die Auswertung sollten jedoch über Google Analytics und Yandex Metrica erfolgen. Diese alles andere als datenschutzfreundlichen Online-Dienste hätten dabei auch die IP-Adressen der Audacity-Nutzer erhalten, was wiederum das Erstellen von Nutzerprofilen und ein Tracken der Anwender erlaubt hätte. Spätestens hier sahen viele Audacity-Anwender eine rote Linie überschritten.
Abbildung 3: Ursprünglich sollten Nutzer beim ersten Start von Audacity über dieses Fenster den Versand von Telemetriedaten erlauben oder unterbinden können.
Umgehend folgte eine äußerst kontrovers geführte Diskussion auf Github [4]. Die Community kritisierte vor allem, dass die Nutzerdaten nicht mehr anonym seien und zumindest der Einsatz von Google Analytics und Yandex Metrica gegen die europäische Datenschutzverordnung verstoßen würde. Darüber hinaus sei die Datenerhebung gar nicht notwendig: Fehler könne man beispielsweise wie bislang manuell über Github melden.
Viele Programmierer kritisierten zudem, dass Audacity für den Datenversand weitere externe Bibliotheken einbindet. Damit würde der zu wartende Programmcode komplexer und somit anfälliger für Sicherheitslücken. Die heftige Kritik vor allem an den Online-Diensten veranlassten die Audacity-Entwickler schließlich zu einem kompletten Kurswechsel. In einer Stellungnahme gaben sie bekannt, dass Audacity zukünftig lediglich nach eigenen Updates sucht. Eine Fehlermeldung schickt die Software nur noch nach expliziter Zustimmung an die Entwickler [5].
Enteignung
Nur wenige Tage später trat die Muse Group ins nächste Fettnäpfchen: Zunächst sollte Audacity von der GNU GPLv2 zur GPLv3 wechseln. Mit dieser Lizenz könnte man unter anderem endlich die in der Musikwelt verbreiteten VST3-Plugins unterstützen und zudem Programmteile aus Musescore in Audacity weiterverwenden (Abbildung 4).
Abbildung 4: Für das Notensatzprogramm Musescore betreibt die Muse Group ein kostenpflichtiges Portal, das Notenblätter zum Download anbietet. Ähnliche Cloud-Dienste wären auch für Audacity denkbar.
Während der Lizenzwechsel an sich noch auf Zustimmung stieß, stolperte die Community über eine eher nebenbei eingeführte Änderung: Wer zukünftig an Audacity mitarbeiten will, muss ein sogenanntes Contributor License Agreement (CLA) unterzeichnen. Dieser Vertrag erlaubt der Muse Group, den eingereichten Quellcode beliebig anderweitig zu nutzen, auch in kommerziellen Produkten. Diese Maßnahme führte erneut zu heftigen Diskussionen. Unter anderem warf die Nutzergemeinde der Muse Group vor, eine kommerzielle Fassung von Audacity zu planen.
Die Debatte veranlasste die Audacity-Entwickler erneut zu einer Stellungnahme [6]. Demnach erfüllt das CLA vor allem zwei wichtige Funktionen: Zum einen will die Muse Group den Programmcode in anderen kommerziellen Produkten einsetzen, die dann wiederum die Weiterentwicklung von Audacity finanzieren. Primär sollen “verschiedene Cloud-Dienste” entstehen – welche genau, das konnte oder wollte das Unternehmen jedoch noch nicht sagen. Die Audiosoftware selbst solle jedoch dauerhaft kostenlos bleiben, auch einzelne Funktionen sollen Nutzer nicht durch Käufe freischalten müssen. Kritiker konterten, dass schon die GPL den Austausch von Programmcode und die Integration von Cloud-Diensten gestatten würde, auch ohne CLA.
Die CLA erleichtere aber auch die Portierung von Audacity auf weitere Plattformen, setzte die Muse Group nach. So erschweren etwa die Bedingungen von Apples App Store die Veröffentlichung von GPLv3-Anwendungen. Mit diesem Problem hatten bereits die Entwickler des Mediaplayers VLC zu kämpfen. Dank des CLA könnte die Muse Group Audacity unter anderen Lizenzen problemlos auf Mobilgeräte bringen. Der komplette Wortlaut des CLA findet sich mittlerweile auf der Audacity-Website [7].
CLAs sind im Reich der Open-Source-Software durchaus keine Seltenheit, es gibt sie beispielsweise auch bei Canonicals Desktop-Umgebung Unity sowie Oracles Virtualisierungslösung Virtualbox. Bei Oracle können Entwickler ihren Code jedoch alternativ unter der liberalen MIT-Lizenz einreichen. Canonicals CLA schreckte hingegen viele Entwickler ab. Damit blieb die Hauptarbeit beim Distributor hängen, wodurch sich das mittlerweile eingestellte Projekt nur sehr langsam weiterentwickelte.
Ein solches Schicksal könnte nun auch Audacity drohen. Anders als von den Telemetriedaten hat sich die Muse Group bislang von den CLAs noch nicht verabschiedet. Die Diskussion darum trat jedoch angesichts des nächsten Kommunikationsdesasters in den Hintergrund.
Nicht jugendfrei
Eigentlich waren die Telemetriedaten schon fast vergessen, da tauchte Ende Juni auf der Audacity-Website eine aktualisierte Fassung der Desktop Privacy Notes auf [8]. Diesen Datenschutzrichtlinien zufolge sollte Audacity ab der Version 3.0.3 plötzlich doch wieder das Betriebssystem, die IP-Adresse, Fehlermeldungen und weitere persönliche Informationen an die Entwickler schicken. Damit würde Audacity erneut die europäischen Datenschutzbedingungen verletzen.
Des Weiteren nahm sich die Muse Group das Recht heraus, Daten an Dritte und dabei insbesondere auch an Behörden weiterzugeben. Den Höhepunkt bildete eine Klausel, nach der sich Audacity ausschließlich an Anwender ab 13 Jahren richtet. Alle jüngeren Benutzer bat man, die Software nicht mehr zu verwenden. Das Alter war dabei nicht willkürlich gewählt: Erst ab 13 Jahren kann man gemäß der DSGVO der Verarbeitung von personenbezogenen Daten zustimmen. Eine solche Klausel würde jedoch den Lizenzbedingungen der GNU GPL widersprechen.
Die daraufhin aufbrandenden Diskussionen [9] nötigten die Audacity-Entwickler wieder zu einer Stellungnahme [10]. Demnach soll der Audioeditor bei einer reinen Offline-Nutzung keine Daten übertragen. Der Zugriff auf das Internet geschieht ausschließlich beim Versand von Fehlermeldungen und beim Abruf von Updates. Dabei erfahren die Entwickler lediglich eine pseudonymisierte IP-Adresse, die Betriebssystemversion und den Prozessortyp (Abbildung 5).
Abbildung 5: Gemäß der aktuellen Desktop Privacy Notes erfahren die Entwickler auch das Land, in dem der Anwender gerade mit Audacity arbeitet (Stand 03.08.2021).
Die Muse Group sicherte darüber hinaus zu, weder Daten an Dritte zu verkaufen, noch Informationen an staatliche Stellen weiterzugeben, wenn keine entsprechende behördliche Anordnung vorläge. Mittlerweile haben die Entwickler die Desktop Privacy Notes entsprechend überarbeitet, auch die stark kritisierte Klausel für Dreizehnjährige ist Geschichte.
Gefährliche Gabeln
In der Zwischenzeit hatten sich einige enttäuschte Entwickler den vorhandenen Quellcode geschnappt und damit kurzerhand eigene Projekte eröffnet. Einen solchen Fork erstellte auch ein Entwickler mit dem Pseudonym Cookie Engineer. Sein ambitioniertes Projekt erhielt schnell größere Unterstützung und somit auch eine erhöhte Aufmerksamkeit [11].
Da man den Namen Audacity für den Fork nicht verwenden konnte, suchte Cookie Engineer in einer Umfrage nach einer neuen Bezeichnung. Es gewann schließlich der Begriff Sneedacity, der auf einen Witz in der Zeichentrickserie “Die Simpsons” anspielt. Dort taucht in einer Folge ein Unternehmen mit dem Namen “Sneed’s Feed & Seed – Formerly Chuck’s” auf.
Cookie Engineer ignorierte jedoch den Sieger und wählte stattdessen den zweitplatzierten Namen Tenacity (Abbildung 6). Das wiederum missfiel einigen Mitgliedern des anonymen Diskussionsforums 4chan. Dort ist der Simpsons-Witz nicht nur ein Running Gag, die Mitglieder hatten sich auch konsequent für den Namen Sneedacity eingesetzt. Sie führten daher unter diesem Namen selbst einen Fork ein [12].
Abbildung 6: Tenacity erhält unter den Audacity-Ablegern die größte Aufmerksamkeit, startete aber ebenfalls direkt mit einem kleinen Skandal.
Am 7. Juli 2021 trat Cookie Engineer von allen seinen Ämtern zurück. Zuvor sollen ihn unbekannte 4chan-Mitglieder an seinem Wohnort aufgesucht und schließlich sogar mit einem Messer bedroht haben [13]. Mitglieder des 4chan-Forums bestreiten das jedoch. Objektiv nachvollziehen lässt sich das Geschehen kaum noch, da viele Beiträge mittlerweile gelöscht wurden.
Nummer drei
Ende Juli veröffentlichten die Audacity-Entwickler die Version 3.0.3, die erstmals nach Hause funkt. Wie angekündigt sucht sie jedoch lediglich nach Updates und schickt Fehlermeldungen an die Entwickler. Dem Versand von Fehlern muss man jeweils explizit zustimmen, die Suche nach Aktualisierungen lässt sich in den Einstellungen komplett abschalten (Abbildung 7). Hier haben die Entwickler Wort gehalten.
Abbildung 7: Schon beim ersten Start weist Audacity auf die gesprächige Update-Funktion hin und liefert auch gleich einen Hinweis auf die Einstellung, in der man sie deaktivieren kann.
Offen bleibt jedoch noch die Frage, wie die Muse Group künftig die Entwicklung finanzieren möchte. Sehr wahrscheinlich wird es ergänzende Cloud-Angebote geben, wie sie das Unternehmen bereits für Musescore anbietet [14].
Fazit
Die Audacity-Übernahme ist ein Lehrbeispiel für missglückte Unternehmenskommunikation. Hätten die Entwickler alle Vorhaben offengelegt und nicht etwa in Änderungsvorschlägen auf Github oder auf ihrer Website versteckt, wäre die Akzeptanz sicherlich höher ausgefallen. So bleiben Misstrauen und ein PR-Desaster zurück.
Fraglich bleibt, ob die Forks die Popularität von Audacity erreichen können. Die besten Chancen hätte derzeit Tenacity. Abzuwarten bleibt auch, wie die Linux-Distributionen mit den neuen Funktionen und den zurückliegenden Diskussionen umgehen. Viel dürfte sich jedoch nicht ändern, da Audacity immer noch vollständig der GPL untersteht. (cla)
Infos
-
Musescore: https://musescore.org/de
-
“Muse Group Acquires Audacity”: https://mu.se/newsroom/tpost/6dhedma301-muse-group-acquires-audacity-expanding-c
-
Audacity: https://github.com/audacity/audacity
-
“Basic telemetry for the Audacity”: https://github.com/audacity/audacity/pull/835
-
“Actions we propose to take on PR #835”: https://github.com/audacity/audacity/discussions/889
-
“Information About Our New Contributor License Agreement”: https://github.com/audacity/audacity/discussions/932
-
Contributor License Agreement: https://www.audacityteam.org/cla/
-
Desktop Privacy Notice: https://www.audacityteam.org/about/desktop-privacy-notice/
-
“New privacy policy is completely unacceptable!”: https://github.com/audacity/audacity/issues/1213
-
“Clarification of Privacy Policy”: https://github.com/audacity/audacity/discussions/1225
-
Tenacity: https://github.com/tenacityteam/tenacity
-
Sneedacity: https://github.com/Sneeds-Feed-and-Seed/sneedacity
-
“Stepdown as Maintainer of this Fork”: https://github.com/tenacityteam/tenacity/issues/99
-
Musescore.com (Cloud-Dienst): https://musescore.com
