Für Datenschutz qualifizierte Programmierer?
Mnementh verdeutlicht in seinem Blog den Zusammenhang zwischen den aktuellen Datenpannen und Programmierern, die “mangelnden technischen Sachverstand und mangelnde Voraussicht im Umgang mit persönlichen Daten” haben, weil sie das oft nicht haben müssen.
Nicht jeder darf einen Bus mit Fahrgästen fahren, Sprengungen durchführen oder an ansteckenden Virenstämmen forschen. Aber jeder darf ein Shopsystem für Tausende von Nutzern schreiben und betreiben.
Sollte es nicht einen staatlich geprüften Datenschutzprogrammierer geben, der die Entwicklung einer entsprechenden Software überwacht oder zumindest bei der Endabnahme der Software beteiligt ist und mit seinem Namen für den Betrieb bürgt?
Irgendwie in diese Richtung marschiert die neue Bundesregierung; hier im Blog zu Aussagen im Koalitionsvertrag:
Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: „Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.“ Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.
Der leider weit verbreitete Miss-Stand auf der Anbieterseite trifft im Datenschutzalltag tragischerweise regelmäßig auf Kunden, die wie selbstverständlich davon ausgehen, dass die gekaufte (Unternehmens-)Software den gesetzlichen Bestimmungen entsprechen muss (von der Datensicherheit ganz zu schweigen):
“Wenn meine Personalverwaltungssoftware oder mein Krankenhausinformationssystem diese Datenabfrage vorsieht oder dieses Berechtigungskonzept standardmäßig einstellt, dann kann das doch nicht unrechtmäßig sein?”
Kann es doch – und ist es häufig.
Datenschutz-Gütesiegel für Produkte (beispielsweise Shopsysteme) sind noch nicht weit verbreitet, aber mindestens so wichtig wie Gütesiegel für Webseiten.
Viel Arbeit für die “Stiftung Datenschutz”!
Hier möchte ich noch eine Anmerkung machen. Datenschutz Gütesiegel bringen rein gar nichts, und gaukeln dem Kunden scheinbare Sicherheit vor.
Letztes Beispiel war Libri mit dem TÜV Siegel.
Stimmt – fast. Zwei Aussagen dazu bei heise (http://www.heise.de/newsticker/meldung/Die-Illusion-von-Safer-Shopping-848125.html): “Ein Test ist immer nur ein Schnappschuss des Zustands zu einem bestimmten Zeitpunkt.” sowie “Keiner bezahlt auf Dauer dafür, dass er durchfällt.”
Ich denke, dass bessere Siegel möglich sind. Solche Gütesiegel können eine Orientierung sein, aber nie und nimmer eine Garantie. Das aber versprechen gelegentlich die Zertifizierer und die Anbieter – und viele Nutzer wollen das Märchen von der “100%-Sicherheit” auch glauben.
Ein Zertifizierer guckt sich meist gar nicht selbst das System an, sondern guckt höchstens mal in die Dokumentation. In der Doku findet der Zertifizierer dann den Satz, das das System abgesichert sei, und hakt diesen Punkt ab. Ich weiss das, da ich bei einer ISO Zertifizierung dabei war.
Beispiel Webseiten: Sooo verkommen ist der TÜV nicht, die tun schon was. Die Probleme habe ich oben angesprochen, dazu kommen die langen Zeiträume zwischen den Hauptuntersuchungen (Vergleich hinkt zwar, aber auch ein Auto mit “TÜV” kann danach kaputtgehen oder einen Unfall bauen) und die selbstgestrickten Regularien. Es gibt für D einen Überblick bei http://www.internet-guetesiegel.de/ (incl. TÜV); die Hürden sollten aber höher hängen.
Allgemeiner: Weil es keine einfachen (und bezahlbaren) Lösungen gibt, ist auch 2008/2009 der Entwurf zum Datenschutzauditgesetz nicht konsensfähig gewesen. Keine Klarheit: Wer zertifiziert was? Wer zertifiziert die Zertifizierer? usw.
Jetzt will man alles (?) mit der Stiftung Datenschutz in die Reihe bekommen. Wird schwer!