Hallo,
Was haltet ihr von dem Koa-Vertrag? Ihr könnt auch gern in unserem Discourse forum [3] mitdiskutieren.
Die FSFE-Pressemitteilung beleuchtet einen wichtigen Aspekt:
Dennoch lässt der Vertrag Raum für Verbesserungen, da er einige typische Schlupflöcher enthält, wie die etwa die vage Beschränkung auf Software, deren Code keine persönlichen oder vertraulichen Daten enthält.
Über diesen Aspekt bin ich beim Lesen auch gleich als erstes gestolpert.
Zwar muss man das Problem ernst nehmen, und es ist weiter verbreitet als man denkt. Aber der im Koa-Vertrag beschriebene Ansatz ist vollkommen daneben. Software, deren Code persönliche oder vertrauliche Daten enthält, sollte von eben diesen Daten befreit und dann veröffentlicht werden.
Diese Säuberung kostet zusätzliche Arbeit, klar, aber andererseits handelt es sich nur um die Konsequenz, dass die Entwickler hier seit Jahrzehnten bekannte Best-Practices eklatant missachtet haben. Wäre ich der Produktmanager eines solchen Projektes, würde ich das gegenüber dem Hersteller ganz klar als Programmierfehler kommunizieren und auf eine Behebung im Rahmen des Supportes drängen. Bei internen Entwicklungen kann man natürlich nicht so streng agieren, dennoch sollte man auch hier das ganz klar als Fehlerbehebung (Bugfix) und nicht als Programmverbesserung (Feature) behandeln.
Doch der Koa-Vertrag sieht das anders. Er möchte diese Entwickler für ihre Schlampigkeit nun "belohnen", indem sie ihren Quelltext nicht freigeben müssen. Das setzt vollkommen falsche Anreize.
Es wäre deutlich sinnvoller, gerade für solche Software die derzeitigen Entwickler (bzw. Verantwortlichen) zu verpflichten, ihre Software aufzuräumen. Meist genügt es doch, eine Konfigurationsdatei einzuführen und alle sensiblen Daten aus dieser zur Laufzeit auszulesen - wie es von vornherein hätten geschehen sollen!
Ich könnte mir sogar vorstellen, dass es hier ein Verstoß gegen die DSGVO handeln könnte, zumindest wenn Neuentwicklungen solche Praktiken einsetzen würden. Denn hier wird ganz klar das Prinzip "Privacy by design" verletzt, und zwar auf die schärfste Weise, die überhaupt vorstellbar ist: Bereits durch das Einrichten der Software, ohne sie überhaupt nur zu starten, werden sensible Daten weitergegeben.
Viele Grüße Volker