Nicht jeder darf einen Bus mit Fahr­gäs­ten fah­ren, Spren­gun­gen durch­füh­ren oder an an­ste­cken­den Vi­ren­stäm­men for­schen. Aber jeder darf ein Sho­psys­tem für Tau­sen­de von Nut­zern schrei­ben und be­trei­ben.

Soll­te es nicht einen staat­lich ge­prüf­ten Da­ten­schutz­pro­gram­mie­rer geben, der die Ent­wick­lung einer ent­spre­chen­den Soft­ware über­wacht oder zu­min­dest bei der End­ab­nah­me der Soft­ware be­tei­ligt ist und mit sei­nem Namen für den Be­trieb bürgt?

Irgendwie in diese Richtung marschiert die neue Bundesregierung; hier im Blog zu Aussagen im Koalitionsvertrag:

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: „Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.“ Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Der leider weit verbreitete Miss-Stand auf der Anbieterseite trifft im Datenschutzalltag tragischerweise regelmäßig auf Kunden, die wie selbstverständlich davon ausgehen, dass die gekaufte (Unternehmens-)Software den gesetzlichen Bestimmungen entsprechen muss (von der Datensicherheit ganz zu schweigen):
“Wenn meine Personalverwaltungssoftware oder mein Krankenhausinformationssystem diese Datenabfrage vorsieht oder dieses Berechtigungskonzept standardmäßig einstellt, dann kann das doch nicht unrechtmäßig sein?”
Kann es doch – und ist es häufig.

Datenschutz-Gütesiegel für Produkte (beispielsweise Shopsysteme) sind noch nicht weit verbreitet, aber mindestens so wichtig wie Gütesiegel für Webseiten.

Viel Arbeit für die “Stiftung Datenschutz”!