EU Datenschutz Grundverordnung 2018

KW 8: IT-Nutzer haften für „Scheiß-Ware“?! Europa vor dem Innovationsschub: Datenverarbeitung weniger schnell – dafür aber (rechts-)sicher!

Autor:

Joachim Jakobs

Die Sicherheit ihrer Software ist selbst professionellen Anwendern häufig egal. Künftig sollen sie jedoch auch für unsichere Software haften. Ein Gütesiegel soll die IT-Kunden vor teuren Fehlinvestitionen schützen – die neue Bundesregierung will die IT-Anbieter darüberhinaus zur Verantwortung ziehen.

Microsoft-Gründer Bill Gates wird dieses Bonmot zugeschrieben : "Wenn General Motors (GM) mit der Technologie so mitgehalten hätte wie die Computer-Industrie, dann würden wir heute alle 25-Dollar-Autos fahren, die 1.000 Meilen pro Gallone Sprit fahren würden."

Die Antwort des damaligen GM-Chefs Jack Welch: „Wenn General Motors eine Technologie wie Microsoft entwickelt hätte, dann würden wir heute alle Autos mit folgenden Eigenschaften fahren:

  1. Ihr Auto würde ohne erkennbaren Grund zweimal am Tag einen Unfall haben.
  2. Jedes Mal, wenn die Linien auf der Straße neu gezeichnet werden würden, müsste man ein neues Auto kaufen.
  3. Gelegentlich würde ein Auto ohne erkennbaren Grund auf der Autobahn einfach ausgehen und man würde das einfach akzeptieren, neu starten und weiterfahren.
  4. Wenn man bestimmte Manöver durchführt, wie zum Beispiel eine Linkskurve, würde das Auto einfach ausgehen und sich weigern, neu zu starten. Man müsste dann den Motor erneut installieren.
  5. Man kann nur allein in dem Auto sitzen, es sei denn, man kauft "Car95" oder "CarNT". Aber dann müsste man jeden Sitz einzeln bezahlen.
  6. Macintosh würde Autos herstellen, die mit Sonnenenergie fahren, zuverlässig laufen, fünfmal so schnell und zweimal so leicht zu fahren sind, aber sie laufen nur auf 5 Prozent der Straßen.
  7. Die Öl-Kontroll-Leuchte, die Warnlampen für Temperatur und Batterie würden durch eine "Genereller Auto-Fehler"-Warnlampe ersetzt.
  8. Neue Sitze würden erfordern, dass alle dieselbe Gesäßgröße haben.
  9. Das Airbag-System würde fragen "Sind sie sicher?" bevor es auslöst.
  10. Gelegentlich würde das Auto sie ohne jeden erkennbaren Grund aussperren. Sie können nur wieder mit einem Trick aufschließen, und zwar müsste man gleichzeitig den Türgriff ziehen, den Schlüssel drehen und mit einer Hand an die Radioantenne fassen.
  11. General Motors würde sie zwingen, mit jedem Auto einen Deluxe-Kartensatz der Firma Rand McNally (Anm.: seit neuestem eine GM-Tochter) mit zu kaufen, auch wenn sie diesen Kartensatz nicht brauchen oder möchten. Wenn sie diese Option nicht wahrnehmen, würde das Auto sofort 50 Prozent langsamer werden (oder schlimmer). Darüber hinaus würde GM deswegen ein Ziel von Untersuchungen der Justiz.
  12. Immer dann, wenn ein neues Auto von GM vorgestellt werden würde, müssten alle Autofahrer das Autofahren neu erlernen, weil keiner der Bedienhebel genau so funktionieren würde, wie in den alten Autos.
  13. Man müsste den "Start"-Knopf drücken, um den Motor auszuschalten.“ Diese Auseinandersetzung zwischen Gates und Welch ist 20 Jahre her, hat aber im Kern bis heute nichts von seiner Aktualität verloren:
    1. Worin besteht der Vertrag zwischen den Herstellern von Informationstechnik und ihren Kunden?
    2. Welche Rechte und Pflichten sind für die Vertragsparteien damit verbunden?
    3. Welche Gewährleistungs- und Haftungsansprüche hat der Kunde?
    4. Darf der Kunde die Software verändern?
    5. Darf der Hersteller im Nachhinein die Software in ihrer Leistung einschränken?
    6. Darf der Hersteller verhindern, dass der Kunde die Informationstechnik verschiedener Urheber beliebig miteinander kombiniert?
    7. Darf der Hersteller Technik verkaufen, die dazu dient, Löcher in bereits verkaufter Technik zu stopfen?


Die Liste der Fragen ließe sich fortsetzen.


C-IAM GmbH:

Beratung für DSGVO 0228 534-592-35


Löcher – Löcher ohne Ende!

Am 3. Januar 2018 hieß es: „Massive Lücke in Intel-CPUs erfordert umfassende Patches“. Von der Lücke sollen Server, Desktop-Computer, Laptops, Smartphones, Tablets und Streaming-Boxen unter Android, FreeBSD, GNU/Linux, iOS/macOS und Windows betroffen sein. Genau genommen sind es eigentlich drei massive Lücken. Daraufhin wurden Flicken zum – notdürftigen! – Stopfen veröffentlicht: Um die Lücke tatsächlich zu beseitigen, müssten die Chips ausgetauscht werden.

Mit dem Stopfen von Löchern in Chips per Software ist das also so ähnlich wie der Versuch, einem Diesel mit einer solchen Maßnahme das Stinken abzugewöhnen: Anschließend bringt die Kiste nicht mehr die bezahlte Leistung! Daniel Gruß – einer der Entdecker des GAU im Chip meint , wir seien „performancemäßig wieder am Ende der 90er".

Microsoft verschlimmbessert Windows

Noch nicht einmal einen Monat später präsentierte Heise dann den nächsten Knaller : „Windows-Update deaktiviert Schutz gegen Spectre V2“. So könnte es sein, dass die Windows Nutzer jetzt performancemäßig wieder am Ende der 90er sind und in Punkto Sicherheit auf dem Stand vor dem 3. Januar.
Alle diese Fehler werden vom National Institute of Standards and Technology (NIST) gesammelt – einer Behörde des US-Handelsministeriums. Die daraus entstandene Datenbank reicht bis ins Jahr 1997 zurück und ist unter https://nvd.nist.gov öffentlich zugänglich.
Die Lücken werden aber nicht einfach nur gesammelt, sondern zusätzlich bewertet – die Kriterien:
  1. Die ‚Severity Score Range‘ beschäftigt sich mit der „Kritikalität“ einer Lücke – besteht beim Ausnutzen der Lücke Lebensgefahr oder ist „nur“ die Privatsphäre der Betroffenen bedroht?
  2. Beim ‚Attack Vector (AV)‘ geht’s um die Frage, wie die Lücke ausgenutzt werden kann – etwa übers Netz oder nur „vor Ort“?
  3. Die ‚Attack Complexity (AC)‘ beschreibt das notwendige Wissen, um die Lücke ausnutzen zu können: Muss der Angreifer nur irgendwelche Knöpfe in irgendeinem Baukasten drücken, den er zuvor irgendwo im Dunklen Netz gefunden hat? Oder muss er zunächst eigene, aufwendige Untersuchungen anstellen?
  4. Über welche ‚Rechte‘ muss der Angreifer im System verfügen, um ‚erfolgreich‘ zu sein?
  5. Ist für den Angriff eine Interaktion notwendig? Oder kann der Angriff ausschließlich automatisiert durchgeführt werden?

Da das Ausnutzen der 3 Lücken in den Chips nach einem „unheimlich komplexen Angriffsszenario“ verlangt, das eine „erhebliche Expertise“ und physikalische Anwesenheit vor Ort voraussetzen soll, wurden sie mit 5,6 bewertet . Das interpretiert die Behörde als „Medium“.

Rockwell bedroht die Industrie 4.0

Es geht auch anders – als „kritisch“ bewertet und mit einer glatten „10“ versehen wurde eine angeblich leicht ausnutzbare Verwundbarkeit einer speicherprogrammierbaren Steuerung der Rockwell Automation Allen-Bradley bedacht . Nach Firmenangaben werden diese Steuerungen im Maschinen- und Anlagenbau, der Pharma- und Druckindustrie eingesetzt. Die US-Behörden fürchten – daher die glatte 10 – dass sich in diese Steuerungen ‚aus der Ferne‘ Schadsoftware ein- und anschließend ausführen lassen könnte. Die praktische Bedeutung „leicht“ ausnutzbarer Schwächen hat im vergangenen Sommer ein Schüler demonstriert : Aus 150.000 Druckern von allerlei Herstellern wie Canon, HP, Xerox und Epson soll er sich mit „Hacker god ist zu seinem Thron zurückgekehrt und Dein Drucker gehört jetzt ihm“ gemeldet haben. Die Zerstörung der Maschinen war offenbar nicht sein Ziel – er wollte wohl nur spielen.

Darüber hinaus haben im Januar 2018 ein „kritisch“ kassiert:

  1. 1. Der Adobe Flash Player ,
  2. 2 Anwendungen der Antivirensoftware ClamAV
  3. 4 Sicherheitsanwendungen vom Computerkonzern DELL
  4. Eine SQL-Injektion im Easy Car Script 2014.
  5. knapp ein Dutzend Anwendungen von Google ,
  6. der ‚Security Identity Manager‘ von IBM neben zwei weiteren Anwendungen aus Armonk,
  7. 7 Systeme von Oracle und seiner Töchter,
  8. Cisco‘s WebEx Network Recording Player for Advanced Recording Format ,
  9. Der Symantec Reporter
  10. 2 Programme des Virenjägers TrendMicro

Insgesamt 133 „kritische“ Löcher – allein im Januar 2018.

Noch schlimmer wird’s im historischen Vergleich: Im ganzen Jahr 2015 gabs 22 solcher Lücken, 2016 waren es bereits 1057 und 2017 dann schließlich 2163 .

Wenn man von den 133 kritischen Fehlern im Januar aufs ganze Jahr 2018 hochrechnet, kommt man auf 1596 – das wäre besser als 2017; ein Grund zur Entwarnung ist das aber nicht.

Wer ist schuld?

Die Entwickler sind schuld! „150 Milliarden Euro Schaden wegen schlechter Software-Qualität in Europa ... pro Jahr!“ , „Beschissener Code macht Banken unsicher“ , „Schwache Softwareentwicklung größtes Cyberrisiko“ und „Crapware: Viele Updater von PC-Herstellern haben eklatante Sicherheitslücken“ lauten die Vorwürfe. Gordon Mühl, früher Chief Technical Officer (CTO) für Security bei SAP erläuterte 2015 dazu: „In der Regel müssen Entwickler termingerecht liefern. Diese Situation bringt einen Entwickler in die Bredouille: „Implementiere ich noch das Security¬Feature oder bin ich fertig?“ Schon vor acht Jahren sollen 60 Prozent der Apps bei Softwaretests durchgefallen sein. Schlechten Code zu veröffentlichen ist jedoch für die Entwickler tatsächlich ein Graus und Anlass öffentlich zu maulen: „Apple‘s Software Qualität geht permanent zurück – insbesondere in den letzten zwei Jahren“, schrieb ein Nutzer namens osmenda im Apple Developer Forum letzte Woche. Bereits einen Tag zuvor hieß es, dass Apple die Veröffentlichung neuer Funktionen verzögere, um den Entwicklern mehr Zeit zu geben.

Die Qualität von Software gehört nicht zu den Kaufkriterien der Nutzer – bisher

Die Sicherheit ist für das „Consortium for IT Software Quality (CISQ)“ ein Qualitätsmerkmal von Software – neben der „Zuverlässigkeit“, der „Effizienz“ und der „Wartbarkeit“.

Die „Bedienbarkeit“ scheint nicht zu den Kriterien zu gehören. Sie gehört aber zu den wichtigsten Kriterien der Käufer von Unternehmenssoftware (ERP); vor fünf Jahren waren das einer Studie zufolge die Kaufkriterien von ERP-Erstkäufern:

  1. Preis der Software
  2. Implementierungsfreundlichkeit
  3. Anwenderfreundlichkeit
  4. Funktionalität
  5. Anpassungsfähigkeit ans Unternehmen
  6. Kompatibilität mit vorhandener Hardware
  7. Wachstumspotential
  8. Unterstützung durch den Anbieter
  9. Qualität der Dokumentation
  10. Erfolgsbilanz der Leistung des Entwicklers


Das CISQ und die Unternehmenskunden haben offenbar völlig unterschiedliche Vorstellungen von „Qualität“. Bis 2017 hat sich daran nichts geändert – da hat sich die Narses Beratungsgesellschaft in Bad Vilbel mit den Prioritäten der Kunden im Verlagsgewerbe beschäftigt. Das für die Kunden vernichtende Ergebnis der Studie fassen die cafm-news in ihrer Überschrift zusammen: „Hauptsache einfach: Usability verkauft auch schlechte Software“ – demnach halten 74 Prozent der Teilnehmer die Bedienbarkeit für „sehr wichtig“, 26 Prozent haben mit „wichtig“ geantwortet. Erst auf Platz 4 ist die Geschwindigkeit des Löcher-Stopfens gelandet.

Die DSGVO stellt alles auf den Kopf

Jetzt haben wir 2018 und ab Mai gilt die Datenschutzgrundverordnung. Die Nutzer müssen ihre Prioritäten regelrecht auf den Kopf stellen: Verantwortlich im Sinne der DSGVO ist nämlich nicht der Entwickler der Software, sondern der, der personenbezogene Daten mit dieser Software verarbeitet.

Die Bundesbeauftragte für den Datenschutz (BfDI) formuliert das so:

„Den Nachweis (d. Einhaltens der DSGVO, Anm. d. Autors) führen muss allerdings derjenige, der für die Datenverarbeitung verantwortlich ist. In der Regel ist das nicht der Hersteller einer proprietären Software, sondern (gewerbliche) Nutzer dieser In jedem Fall muss der Verantwortliche die genannte Dokumentation und damit den datenschutzrechtlichen Nachweis auch für alle Datenverarbeitungsvorgänge mittels der proprietären Software vorhalten Der für die Datenverarbeitung Verantwortliche muss beim Einsatz proprietärer Software also dafür sorgen, dass er vom Software-Hersteller diese Informationen erhält.“

Aus Sicht der BfDI ist proprietäre Software – wie sie von Microsoft und SAP verkauft wird – mit der Rechenschaftspflicht der Datenschutz-Grundverordnung (Art. 5 Abs. 2 DSGVO ) "nicht generell unvereinbar". Die Rechtmäßigkeit hänge allerdings davon ab, "ob der Verantwortliche im Einzelfall die Konformität mit dem Datenschutzrecht nachweisen kann". Dieser Nachweis sei bei proprietärer Software unter Umständen schwieriger zu führen, "da er häufig der Unterstützung der Software-Hersteller bedürfen wird."

Konsequenterweise ist die einzige Empfehlung der Aufsichtsbehörden: Die Kunden sollten die Lieferanten „im Rahmen ihrer zivilrechtlichen Vertragsgestaltung“ in die Pflicht nehmen, „um Ihrer gesetzlichen Nachweispflicht genügen zu können“. Das bedeutet: Ein Paradigmenwechsel von billig/einfach hin zu sicher/stabil steht an – für Weltkonzerne, Mittelständler und die Kammerberufe !

Reaktionen der Verantwortlichen

Mit dem VOICE-Bundesverband der IT-Anwender e. V. hätte ich mich gern darüber unterhalten, ob den Mitgliedern bewusst ist, dass sie für die ‚Scheißware‘ auch noch haften sollen, vom Branchenverband Bitkom, dem Bundesverband für Bausoftware sowie Apple, Microsoft, Oracle und SAP wollte ich erfahren, wie sie Anwenderunternehmen und Firmenkunden so unterstützen, dass sie ihrer Rechenschaftspflicht gerecht werden können. Und gut 40 Verbände habe ich gefragt, ob den Mitgliedern bewusst sei, dass sie für eingekaufte Drittsoftware haften. David Thorn von der Wirtschaftsprüferkammer scheint mir für nahezu alle Befragungsteilnehmer zu stehen: „Das von Ihnen zitierte Statement der BfDI ist uns nicht bekannt.“ Klar ist ihm das nicht bekannt – das war ja auch bislang nur in einer Mail an Chefsache: Datensicherheit! enthalten. Aber die Schlussfolgerung ergibt sich zwingend allein schon aus Artikel 5 DSGVO: Die Grundsätze für die Verarbeitung personenbezogener Daten beschäftigen sich nicht mit Software oder der Informationstechnik, sondern einzig und allein mit dem Umgang von personenbezogenen Daten; und der Rechenschaftspflicht aus Absatz 2 dieses Artikels unterliegt somit nicht der Softwareanbieter oder das Systemhaus, sondern der Unternehmer, der bei diesem Systemhaus Software einkauft, um damit personenbezogene Daten zu verarbeiten. Wenn der Wirtschaftsprüferkammer dieser Gedankengang bislang unbekannt war, könnte es sein, dass das so manchem Mitglied ähnlich geht. Und: Sind die Wirtschaftsprüfer tatsächlich blöder als andere?

Die Erkenntnis erklärt die Nervosität, die aus einigen Antworten spricht – etwa von Maike Rademaker, Pressesprecherin vom Deutschen Gewerkschaftsbund: „Selbstverständlich ist die Datenschutzgrundverordnung bei uns in allen Facetten Thema, und wir bereiten uns darauf bestmöglich vor.“ Dann ruft Rademaker an: Sie habe „nicht die Absicht, durch das Haus zu laufen und alle Verantwortlichen zu fragen, ob sie sich ihrer Verantwortung bewusst sind“. Ups! Da liegen die Nerven aber blank – und ich bin auch noch draufgetreten!

Angeknackste Stimmung auch beim Deutscher Sparkassen- und Giroverband e.V. Deren Pressesprecher Alexander von Schmettow schreibt: „Ich bitte jedoch um Verständnis, dass die DSGVO bei uns in der Pressestelle nur eines von Dutzenden Themen ist, mit denen wir uns von Berufs wegen ‚beschäftigen‘ müssen. Wenn Sie konkrete Fragen haben, so bemühen wir uns gerne, diese in einem angemessenen Zeitraum zu beantworten. Für Kommentierungen oder Fachsimpeleien fehlt uns jedoch die Zeit.“

Wenn die Zeit so knapp ist, kann man sich‘s einfach machen: So wie der Bundesverband der Deutschen Industrie e. V. (BDI), die Deutschsprachige SAP Anwendergruppe e.V. und der Zentralverband Elektrotechnik- und Elektronikindustrie e.V.; die haben geantwortet, sie wüssten nicht, ob die Mitglieder diesbezüglich schlau seien. Lediglich „die niedergelassenen Ärzte und Psychotherapeuten sind sich“ nach Ansicht der Kassenärztlichen Bundesvereinigung (KBV) der Haftung für die Software Dritter „bewusst“. Worauf diese Überzeugung jedoch gründet, wurde nicht mitgeteilt. Andere vertrauen auf das Prinzip Hoffnung – die Privaten Krankenversicherungen (PKV) teilen mit: „Unsere Mitgliedsunternehmen arbeiten mit Hochdruck an der Umsetzung der DSGVO. Insofern sind wir überzeugt, dass den Kolleginnen und Kollegen das Thema bekannt ist. Weiter Informationen liegen uns dazu jedoch nicht vor.“ Auch der Deutsche Städte- und Gemeindebund (DstGB) ist optimistisch: "Wir haben keine Umfrage oder ähnliches zu diesem Thema durchgeführt. Die Städte und Gemeinden sind sich seit jeher ihrer besonderen Verantwortung beim Umgang mit Daten bewusst und nehmen diese auch wahr. Die Daten der Bürgerinnen und Bürger sind bei den Kommunen sicher und werden allen gesetzlichen Anforderungen entsprechend behandelt.“ Der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR), die IG Metall, der Verband der Gründer und Selbstständigen Deutschland (VGSD) e.V. und die Wirtschaftsprüferkammer schreiben irgendwas zur DSGVO, ohne die Frage auch nur zu streifen – die Fragenkataloge der Aufsichtsbehörden sollten genauer angesehen werden. Die Sekretärin in der Pressestelle des Deutschen Industrie- und Handelskammertags teilt telefonisch mit, Internetblogs seien zu unbedeutend, als dass deren Fragen beantwortet würden.

Irrtümer:

„Die Umsetzung der DSGVO sowie ggf. erforderliche Überprüfungen von Datenverarbeitern werden von der zentralen IT der Bundesagentur für Arbeit hinreichend beachtet“, heißt es in einer Mail der BA-Pressestelle. Das ist interessant: Die BA beschäftigt 97.000 Beschäftigte in über 10 Regionaldirektionen , 156 Arbeitsagenturen, 600 Niederlassungen, 303 Jobcentern sowie „Familienkassen mit rund 100 Standorten“ – und glaubt, ihre Verantwortlichen seien ausschließlich in der „zentralen IT“ zu finden? Plausibler ist für mich, dass die Definition des „Verantwortlichen“ aus Artikel 4 Nr. 7 DSGVO in Nürnberg noch nicht ausreichend gewürdigt wurde: „Verantwortlicher“ sei „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet “ Der Bundesverband für Freie Berufe (BFB) – ein Spitzenverband von Heilberufen, Rechts-/Steuer-/Wirtschaftsberatenden Berufen, Architekten/Ingenieuren/Sachverständigen und Kulturschaffenden – sorgt sich um den Schutz der Geheimnisträger : Wenn die Aufsichtsbehörden in Patienten- und Mandantenakten gucken könnten, sei das Berufsgeheimnis in Gefahr: „Im Fokus der BFB-Positionierungen stehen die Freiberufler-Spezifika Datenschutz im Lichte des Berufsgeheimnisschutzes, dessen Schutz unbedingten Vorrang vor der Erfüllung etwaiger Informationspflichten haben muss.“

Unabhängig davon, dass die Antwort nix mit meiner Frage zu tun hat, fürchte ich, dass der BFB hier einem Irrtum unterliegt: Zwar hat die Bundesrepublik mit §29 BDSG (neu) von ihrer Regelungsmöglichkeit nach Artikel 90 DSGVO Gebrauch gemacht und den Patienten- und Mandantendaten zugebilligt, dass sie „geheim gehalten werden müssen“. Die Befugnisse der Aufsichtsbehörden bestehen somit nicht, wenn dadurch die Geheimhaltungspflichten der Berufsgeheimnisträger verletzt würden. Scheint mir ja auch plausibel: Warum sollte sich eine Aufsichtsbehörde dafür interessieren, wann Frau Mayer zuletzt Schnupfen hatte? Im Umkehrschluss bedeutet das aber auch: Solang die Geheimhaltungspflichten nicht verletzt werden, unterliegen die Berufsgeheimnisträger genauso der Rechenschaftspflicht wie alle anderen auch. Mehr noch: Gerade die Freiberufler, die unter §203 StGB fallen, können mit ihrer Datenverarbeitung „Risiken für die Rechte und Freiheiten natürlicher Personen“ nach Erwägungsgrund 75 DSGVO verursachen. Sollte es sich dabei gar um hohe Risiken nach Erwägungsgrund 76 handeln , so ist nach Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung vorzunehmen.

Der BFB scheint tatsächlich der Ansicht zu sein, er sei bei „wünsch‘ Dir was!“ – insofern verwundert es mich nicht, wenn die Pressestelle wissen lässt, „aufgrund der Kürze der Zeit keine anderen Informationen mitteilen“ zu können.

Speziell zur Kerntätigkeit der Freien Gesundheitsberufe gehört die Verarbeitung besonderer Kategorien personenbezogener Daten – deshalb sind alle Freien Gesundheitsberufe (unabhängig von der Zahl ihrer Mitarbeiter!) nach Artikel 37 (1) c) zur Benennung eines Datenschutzbeauftragten verpflichtet. Und den Freien Berufen, die nicht verpflichtet sind, aber zu den Geheimnisträgern gehören, möchte ich die Benennung doch zumindest dringend ans Herz legen. Gerade dann, wenn der Spitzenverband mit solchen Wohlfühl-Wattebäuschchen um sich wirft. Die Aussageverweigerer

Die Aussageverweigerer

Darüberhinaus habe ich angeschrieben:

  1. Die ABDA – Bundesvereinigung Deutscher Apothekerverbände,
  2. die AfD,
  3. den Bundesarbeitgeberverband der Personaldienstleister e.V.,
  4. Bündnis90/Die Grünen,
  5. die Bundesrechtsanwaltskammer,
  6. die Bundessteuerberaterkammer,
  7. den Bundesverband deutscher Banken e.V.,
  8. den Bundesverband Deutscher Unternehmensberater BDU e.V.,
  9. die Bundesvereinigung der Deutschen Arbeitgeberverbände,
  10. die CDU,
  11. die CSU,
  12. die Deutsche Krankenhausgesellschaft e.V.
  13. den Deutschen Anwaltverein,
  14. den Deutschen Landkreistag,
  15. den Deutscher Städtetag,
  16. den Deutschen Steuerberaterverband,
  17. das Deutsche KFZ-Gewerbe,
  18. die FDP,
  19. die IG BCE,
  20. die IG Metall,
  21. den Arbeitgeberverband Gesamtmetall
  22. den Gesamtverband der Deutschen Versicherungswirtschaft e.V.
  23. den GKV Spitzenverband,
  24. das Institut der Wirtschaftsprüfer,
  25. die Hochschulrektorenkonferenz,
  26. die SPD,
  27. den Verband der Automobilindustrie e. V. (VDA),
  28. den VDMA Verband Deutscher Maschinen- und Anlagenbau e.V.


aber keine (rechtzeitige) Antwort erhalten. Das „Blinde-Kuh“-Spiel der Parteien empfinde ich dabei als besonders betrüblich: Nicht nur, dass diese Parteien ebenfalls „besondere Kategorien“ personenbezogener Daten „umfangreich“ verarbeiten und deshalb zu einer Datenschutz-Folgenabschätzung verpflichtet sind – ihre Vertreter sitzen in den Parlamenten in Brüssel und Berlin, haben den Unternehmen die DSGVO und BDSG (neu) (aus guten Gründen!) eingebrockt; sie sollten konsequenterweise mit gutem Beispiel vorangehen und mit DSGVO-dichten Datenverarbeitung in Bund, Ländern und Gemeinden als Vorbild für Andere dienen!

Zu meiner Schande muss ich gestehen, dass mir meine eigene Branche durch die Lappen gegangen ist – etwa der Bundesverband Deutscher Zeitungsverleger, der Deutsche Journalistenverband, der Verband der Zeitschriftenverleger und der Verband Privater Rundfunk und Telemedien e.V. (VPRT). Mea Culpa! Ich vermute allerdings, dass mir die Betroffenen meinen Faux-Pas nachsehen werden.

Die Anwender sollen also die Lieferanten in die Pflicht nehmen – ich fürchte, auch Weltkonzerne haben – jeder für sich allein – bei Microsoft und SAP schlechte Karten. Ganz zu schweigen vom Mittelstand oder den Kleinstunternehmen. Vielmehr sollten die oben erwähnten Verbände Druck machen; nur: Worauf soll sich der genau richten? Natürlich wäre es möglich, den Softwareentwicklern einen Passus in deren AGB abzuverlangen, der das Einhalten der DSGVO vorsieht. Ob der Softwareentwickler aber überhaupt in der Lage wäre, hunderttausende/Millionen gewerbliche Kunden angemessen nach Artikel 82 zu entschädigen, ist an sich schon fraglich. Und wenn er zahlen könnte, muss der Kunde auch noch bis zum Geldeingang überleben.

Qualitätsversicherung für Software

Der Deutsche Städte- und Gemeindebund behauptet: „Bei der Beschaffung und dem Einsatz von Software sind Städte und Gemeinden bestrebt, nur zertifizierte Produkte mit höchsten Standards einzusetzen. Dies trifft insbesondere auf Software, die zur Verarbeitung von Daten eingesetzt wird zu.“

Solche Qualitätsversicherungen (andere sagen „Software Quality Assurance“) erleichtern die Auswahl beim Einkauf: In einem mehrwöchigen Kurs an der École de technologie supérieure (ÉTS) in Kanada können Sie erlernen, was es damit auf sich hat: 13 dreistündige Vorlesungen über „Qualitätsvoraussetzungen“, „Software Überprüfungen“ und das „Risikomanagement“ werden durch praktische Übungen zur Qualitätsversicherung im Labor ergänzt. Wichtig sind für die Hochschule Normen – etwa die ISO/IEC/IEEE 15289 , einem Standard zur Beschreibung von Software oder die ISO/IEC 25000 . Entwickler können ihre Qualitätsprüfung jedoch auch extern vergeben – beispielsweise an das Bundesamt für Sicherheit in der Informationstechnik .

Gütesiegel für Software

Was aber macht ein Unternehmer, dessen Software übers Internet oder über Ladengeschäfte verkauft wird, um seine Interessenten von der Qualität seiner Software zu überzeugen? Für den arbeitet Sabine Radomski, Professorin für Verteilte Systeme und Software-Engineering an der Hochschule für Telekommunikation Leipzig (HfTL) zusammen mit Aleksandra Sowa von der Gesellschaft für Informatik (GI) an einem „Gütesiegel“ – da steckt Zweierlei drin: „Güte“ und „Siegel“: Die Qualität der Anwendung soll zunächst darauf geprüft werden, ob sie ausreichend „gut“ ist, also den Kriterien des Gütesiegels entspricht.

Qualitätskritieren für Software in der Übersicht. Grafik: Radomski

Die Kriterien nach denen geprüft wird, saugt sich Radomski dabei nicht aus den Fingern, sondern stützt sich auf die ISO 25000. Zu diesen Kriterien gehören:

  1. die Functional Suitability – sie bescheinigt, dass die Software tatsächlich das – korrekt und angemessen – tut, was die Entwickler in der Dokumentation behaupten.
  2. die Performance Efficiency – sie bestätigt, dass die tatsächliche Leistung und Geschwindigkeit sowie die Systembelastung der Anwendung mit den Behauptungen der Dokumentation übereinstimmt.
  3. die Compatibility prüft den Grad an Interaktionsfähigkeit der Anwendung mit anderen Produkten, Systemen oder Komponenten der Hardware auf der die Anwendung installiert ist.
  4. die Usability beschäftigt sich mit der Frage ob bestimmte Anwender in der Lage sind, bestimmte Ziele effektiv, effizient und zufriedenstellend in einem spezifizierten Anwendungszusammenhang zu erreichen.
  5. die Reliability spiegelt den Grad, mit dem spezifizierte Funktionen unter bestimmten Bedingungen in einem bestimmten Zeitraum zuverlässig ausgeführt werden. Neben der Zuverlässigkeit spielen hier auch die Systemverfügbarkeit, die Fehlertoleranz und die Wiederherstellbarkeit (nach einem etwaigen Systemabsturz) eine Rolle.
  6. die Security – sie garantiert den rollenspezifischen Zugang der Berechtigten zu Informationen und Daten – und schließt den Zugang Unberechtigter aus. Weitere Forderungen nach Vertraulichkeit, Integrität, Nachweisbarkeit, Rechenschaftspflicht und Authentizität präzisieren dieses Kriterium.
  7. die Maintainability – sie stellt sicher, dass die Anwendung effektiv und effizient „gewartet“ werden kann: Fehler müssen behoben, Funktionen verändert und neue Funktionen hinzugefügt werden können ohne Fehler zu verursachen. Dazu ist ein modularer Aufbau wiederverwendbarer Komponenten notwendig. Die Konsequenzen der Veränderungen für das Gesamtverhalten sollen einschätzbar sein. Testkriterien sollen zur Verfügung gestellt werden, um damit zu prüfen, ob diese Kriterien erfüllt werden.
  8. die Portability – sie zeigt, wie effektiv und effizient Systeme, Produkte oder Komponenten von einer Umgebung in eine andere transferiert werden können. Dabei spielen die Anpassungsfähigkeit, die Installierbarkeit und die Ersetzbarkeit eine Rolle.


Nach der Prüfung der „Güte“ kommt das Siegel obendrauf: Dafür wird für die zu prüfende Software eine „Prüfsumme“ – ein sogenannter „Hashwert“ errechnet und in die geprüfte Software integriert – Radomski erläutert: „Eine Veränderung der Software nach der Versiegelung ist nur mit hohem Aufwand möglich.“ Im Handel soll das Siegel „auch auf der Verpackung sichtbar sein und es kann / soll auch eine Liste der zertifizierten Software im Netz geben, um den Kunden die Auswahl zu vereinfachen“, schreibt die Professorin. Eine Verletzung des Siegels werde beim Installieren sichtbar – dort werde der Hashwert geprüft und eine Fehlermeldung ausgespuckt, wenn er nicht stimmt.

Kurzfristig ist das jedoch keine Lösung: Die Abstimmung mit Partnern wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bitkom und der Telekom, die Entwicklung entsprechend widerstandsfähiger Algorithmen und die Einführung im Markt soll noch Jahre dauern.

Da die mutmaßlichen Großkoalitionäre nicht nur vereinbart haben „die kreativen Potenziale in Deutschland mobilisieren und die Chancen der Digitalisierung nutzen“ sondern auch „ein europaweit gültiges IT-Sicherheits-Gütesiegel etablieren“ wollen, besteht die Hoffnung, dass Radomski den erforderlichen Rückenwind für ihre Arbeit erhält.

Damit sind die guten Absichten der Parteien aber noch nicht erschöpft; die Großkoalitionäre in spe wollen „das Produkthaftungsrecht anpassen, Mindeststandards vorschreiben und die Einführung einer gewährleistungsähnlichen Herstellerhaftung prüfen“. Die nach DSGVO Verantwortlichen werden ihnen dankbar dafür sein. Und für die Sicherheit Europas wäre es ein gewaltiger Sprung nach vorn – selbst wenn wir damit leistungsmäßig noch eine ganze Weile auf dem Niveau der 90er blieben. Endlich mal eine Innovation, die der Bezeichnung würdig ist!

Was aber können Sie als professionell Verantwortlicher jetzt tun, wenn sie von den Entwicklern proprietärer Software nicht die Unterstützung erhalten, die sie benötigen, um ihrer Rechenschaftspflicht zu genügen? Sie können jegliche Verarbeitung personenbezogener Daten in die Cloud verschieben; dann haftet der Auftragsverarbeiter wenigstens mit. Eine andere Möglichkeit ist mit dem Begriff der erwähnten „proprietären Software“ verknüpft, die oben genannt wurde. Der Gegensatz dazu heißt „Freie Software“ – also Software, die Ihnen per Lizenz die Freiheit lässt, die Software nach Gutdünken zu nutzen. Anhand des Quellcodes ließe sich dann zumindest prinzipiell zumindest eine DSGVO-feste Dokumentation erstellen.

Ein Plädoyer zur Verwendung Freier Software lesen Sie in der kommenden Ausgabe von Chefsache: Datensicherheit!

Sollten Sie die Lektüre von Chefsache: Datensicherheit! für sinnvoll halten, können Sie unser Logo auf Ihre Internetseite legen und mit dieser Adresse verlinken: https://www.c-iam.com/Ein-Blog-fuer-EU-Datenschutz-Grundverordnung