Für Datenschutz qualifizierte Programmierer?

Zuletzt gab es ja mal wieder Nachrichten über Datenlecks. Gleich zwei davon bei Libri, aber auch die Arbeitsagentur ging schlecht mit den ihnen anvertrauten Daten um. Ich will diese Vorfälle nicht im Detail beleuchten, näheres ist bei Netzpolitik nachzulesen: Fall Libri 1, Fall Libri 2 und Fall Arbeitsagentur.

Auffällig an allen Fällen ist, dass sie im wesentlichen durch mangelnden technischen Sachverstand und mangelnde Voraussicht im Umgang mit persönlichen Daten ausgelöst wurden. Dies sollte gar nicht mal so sehr empören. Jeder sollte nur mal daran denken, wie viel Schaden er beim Fahren mit einem Gabelstapler anrichten würde, wenn er keine Ausbildung dafür erhält. Und genau da liegt das Problem: Wieso gibt es keine Ausbildung/Prüfung oder ähnliches für Programmierer im Datenschutzbereich?

Für nahezu alle gefährlichen Arbeiten ist es Vorschrift, dass der Ausführende eine entsprechende Sicherheitsausbildung oder mindestens eine Belehrung erhält. Nicht jeder darf einen Bus mit Fahrgästen fahren, Sprengungen durchführen oder an ansteckenden Virenstämmen forschen. Aber jeder darf ein Shopsystem für Tausende von Nutzern schreiben und betreiben.

Sollte es nicht einen staatlich geprüften Datenschutzprogrammierer geben, der die Entwicklung einer entsprechenden Software überwacht oder zumindest bei der Endabnahme der Software beteiligt ist und mit seinem Namen für den Betrieb bürgt?

Was meint ihr?

Update: Netzpolitik scheint derzeit beliebter Ansprechpartner für Informanten mit neuen Sicherheitslücken zu sein, denn sie berichten über einen weiteren Fall. Diesmal ein Sparkassen-Shop, bei dem man ebenfalls durch einfache Manipulation der ID fremde Rechnungen einsehen kann. Auch dies hätte sich durch Programmierer mit mehr Erfahrung in dieser Problematik vermeiden lassen.

Update 2: Und Netzpolitik hat noch einen auf Lager: Datenlücke im Fanshop des 1. FC Köln.


7 Antworten auf „Für Datenschutz qualifizierte Programmierer?“


  1. 1 Alexander 30. Oktober 2009 um 21:17 Uhr

    Darf ich dazu einen Artikel aus meinem (leider aus gutem Grund passwortgeschuetzten) Blog hier hineinpasten?

    Computerführerschein
    (geschrieben am 11.5.2008 gegen 18 Uhr)

    Warum braucht man für das Betreiben von Computern keinen Führerschein?

    Für das Führen von kraftbetriebenen Fahrzeugen über 6 km/h (oder so ähnlich) braucht man einen Führerschein (der teuer ist, schwer zu bekommen ist, und stark reglementiert ist). Sonst würde man mit diesem GEFÄHRLICHEN Werkzeug nämlich ständig Leute umsemmeln, in anderer Leute Wohnzimmer reinfahren, und sich natürlich auch potenziell selbst umbringen bzw. ruinieren, da man dann auch keinen Versicherungsschutz hätte.

    Einen COMPUTER, auf der anderen Seite, kann JEDER betreiben. Man braucht noch NICHTMAL die SPUR eines Gehirns dafür.

    JEDER kann mit seinem Computer ONLINE GEHEN, sein BANKKONTO VERWALTEN, auf PORNOSEITEN surfen und sich pro Minute 3 Trojaner, Viren und Rootkits einsammeln, die seinen Computer dann dazu benutzen, um KREDITKARTENNUMMERN ZU STEHLEN, SPAM zu verschicken, DDOS-Attacken im Rahmen eines BOTNETS auszuführen und in dessen Zuge EBAY OFFLINE SETZEN.

    Er wird dann auch seine Bankkontodaten in gefälschte Webseiten eingeben, auf die er über Verarschungslinks in E-Mails gelangt ist, Verbrecher aus Russland werden dann sein Bankkonto plündern und der Geheimdienst steht dann vor SEINER Tür.

    TROTZDEM braucht man für Computer KEINEN Führerschein.

    Warum nicht?

    Weil es dann WENIGER WIRTSCHAFTSWACHSTUM gäbe!

  2. 2 mnementh 30. Oktober 2009 um 21:49 Uhr

    Ich denke nicht, dass man einen allgemeinen Computerführerschein benötigt. Durch allgemeine Nutzung von Computern richtet man selten unwissentlich Schaden an. Wer es dennoch tut, weiß was er macht, ein Führerschein hält ihn also kaum davon ab.

    Etwas anderes sind diese Vorfälle. Vermeidbar, wenn man in Datenschutzrichtung bereits bei der Entwicklung der entsprechenden Software etwas vorausdenkt. Wenn also mindestens einer der Programmierer im Projekt eine staatliche Qualifizierung vorweisen muss (bei sagen wir aller Software, die Daten von mindestens 100 Nutzern verwaltet), dann verhindert man solche Vorfälle sicher nicht, macht sie aber etwas unwahrscheinlicher.

  3. 3 Steffen Schröder 31. Oktober 2009 um 14:45 Uhr

    Interessanter Zusammenhang! Mein Senf dazu hier bei „Datenschutzalltag“.

  4. 4 Manuel 05. November 2009 um 17:20 Uhr

    Die 004 GmbH http://www.004gmbh.de schreibt zumindest nicht auf Ihrer Seite, dass Ihre Lösungen sicher sind. Somit kann man Ihnen direkt auch kein Vorwurf machen. Zumindest hätten Sie aber dem Kunden mitteilen müssen, das Sie für Sicherheitsfragen nicht zur Verfügung stehen.

    Die 004 GmbH ist der Entwickler des Shops des Fussballvereins.

  5. 5 Mirko 06. November 2009 um 15:56 Uhr

    Libri hat nichts mit Datenschutzausbildung zu tun, das ist ganz normale IT-Security, die beim Design, bei der Implementation und bei einem Audit hätte erkannt werden müssen.

    Arbeitsargentur ist ein Datenschutzproblem – allerdings absolut nicht technischer Natur. Das ich mich als Firma ohne größere überprüfung Anmelden und dann alle Daten von Bewerbern bekomme, ist so gewollt.

    Softwareentwickler brauchen generell bessere IT-Securit Ausbildung, Projekte brauchen mehr Budget, um Security gleich von Anfang an reinzudesignen und es braucht bei allen Projekten die persönliche Daten speichern einen vernüftigen Security Audit. All das wird aus Kostengründen nicht gemacht.

  1. 1 Für Datenschutz qualifizierte Programmierer? « Datenschutzalltag Pingback am 31. Oktober 2009 um 14:25 Uhr
  2. 2 Werden die Quelle-Kundendaten verkauft? « Mnementh Pingback am 04. November 2009 um 15:36 Uhr
Die Kommentarfunktion wurde für diesen Beitrag deaktiviert.