München bekennt sich zu "Public Money? Public Code!"

Volker Diels-Grabsch v at njh.eu
Mi Mai 6 11:09:22 UTC 2020 

Hallo,

> Was haltet ihr von dem Koa-Vertrag? Ihr könnt auch gern in unserem
> Discourse forum [3] mitdiskutieren.

Die FSFE-Pressemitteilung beleuchtet einen wichtigen Aspekt:

> Dennoch lässt der Vertrag Raum für Verbesserungen, da er einige
> typische Schlupflöcher enthält, wie die etwa die vage Beschränkung
> auf Software, deren Code keine persönlichen oder vertraulichen Daten
> enthält.

Über diesen Aspekt bin ich beim Lesen auch gleich als erstes
gestolpert.

Zwar muss man das Problem ernst nehmen, und es ist weiter verbreitet
als man denkt.  Aber der im Koa-Vertrag beschriebene Ansatz ist
vollkommen daneben.  Software, deren Code persönliche oder
vertrauliche Daten enthält, sollte von eben diesen Daten befreit und
dann veröffentlicht werden.

Diese Säuberung kostet zusätzliche Arbeit, klar, aber andererseits
handelt es sich nur um die Konsequenz, dass die Entwickler hier seit
Jahrzehnten bekannte Best-Practices eklatant missachtet haben.  Wäre
ich der Produktmanager eines solchen Projektes, würde ich das
gegenüber dem Hersteller ganz klar als Programmierfehler kommunizieren
und auf eine Behebung im Rahmen des Supportes drängen.  Bei internen
Entwicklungen kann man natürlich nicht so streng agieren, dennoch
sollte man auch hier das ganz klar als Fehlerbehebung (Bugfix) und
nicht als Programmverbesserung (Feature) behandeln.

Doch der Koa-Vertrag sieht das anders.  Er möchte diese Entwickler für
ihre Schlampigkeit nun "belohnen", indem sie ihren Quelltext nicht
freigeben müssen.  Das setzt vollkommen falsche Anreize.

Es wäre deutlich sinnvoller, gerade für solche Software die
derzeitigen Entwickler (bzw. Verantwortlichen) zu verpflichten, ihre
Software aufzuräumen.  Meist genügt es doch, eine Konfigurationsdatei
einzuführen und alle sensiblen Daten aus dieser zur Laufzeit
auszulesen - wie es von vornherein hätten geschehen sollen!

Ich könnte mir sogar vorstellen, dass es hier ein Verstoß gegen die
DSGVO handeln könnte, zumindest wenn Neuentwicklungen solche Praktiken
einsetzen würden.  Denn hier wird ganz klar das Prinzip "Privacy by
design" verletzt, und zwar auf die schärfste Weise, die überhaupt
vorstellbar ist: Bereits durch das Einrichten der Software, ohne sie
überhaupt nur zu starten, werden sensible Daten weitergegeben.


Viele Grüße
Volker

-- 
Volker Diels-Grabsch
----<<<((()))>>>----

Mehr Informationen über die Mailingliste FSFE-de