Schlagwort: Vibe Coding

Vibe Coding

KI ersetzt nicht die erforderliche Fachkompetenz

Vibe Coding ist der Begriff dafür, wenn Software überwiegend durch KI-Systeme entwickelt wird. Sie haben wahrscheinlich auch schon gehört, wie Menschen ohne IT-Kenntnisse damit prahlen, dass sie am Wochenende mal eben eine App entwickelt haben. Was für den privaten Einsatz ganz lustig klingt, kann sich allerdings im professionellen Kontext zu einem großen Risiko entwickeln, wenn man den Datenschutz, die IT-Sicherheit und letztendlich auch das Haftungsthema genauer betrachtet.

Das ist das Problem beim Vibe Coding

Vibe Coding bedeutet im Kern, dass ein Mensch die Informationen darüber eingibt, was die Anwendung können soll. Die KI liefert daraufhin einen lauffähigen Code zurück. So weit, so gut. Auf den ersten Blick mag das Programm auch funktionieren, das bedeutet allerdings nicht, dass es vollständig und sicher ist. Um das zu gewährleisten, muss ein Mensch das Ergebnis prüfen. Dienstleister, die eigentlich keine Ahnung vom Programmieren haben, prüfen den Code in der Regel nicht – das können sie ja auch gar nicht. So wird das Produkt zwar schnell zu einem günstigen Preis fertig, doch an die Folgekosten denkt in der Situation niemand.

Es gibt mittlerweile zahlreiche Studien zur Sicherheit von KI-generiertem Code. Der Veracode Report 2025 kommt zum Beispiel zu dem Ergebnis, dass dieser in 45 Prozent der Fälle Sicherheitslücken aufweist. Java war die risikoreichste Sprache mit einer Fehlerquote von 72 Prozent. Mit 43 und 38 Prozent waren die Fehlerquoten von JavaScript und Python zwar geringer, das Ergebnis ist aber immer noch schlecht. Dass solcher Code nun massenhaft ungeprüft verwendet wird, dürfte Hacker sehr freuen. Ich finde diese Entwicklung sehr erschreckend.

Der Auftraggeber hängt mit drin

Jetzt könnten Unternehmen zwar sagen: „Das ist doch nicht mein Problem. Der Dienstleister haftet doch für Mängel.“ Das stimmt zwar theoretisch, doch praktisch ergeben sich daraus zwei Probleme für den Auftraggeber:

Wenn die Anwendung personenbezogene Daten verarbeitet, etwa Kundendaten, Bewerbungen oder Mitarbeiterdaten, gelten Art. 5 und Art. 6 DSGVO unabhängig davon, wer den Code geschrieben hat. Verantwortlich bleiben Sie als Auftraggeber, nicht Ihr Dienstleister. Somit würde auch ein Bußgeld nach Art. 83 DSGVO Sie treffen.

Wenn es sich bei dem Dienstleister um eines der vielen Unternehmen handelt, die Vibe Coding ohne fachliche Expertise praktizieren, die derzeit wie Pilze aus dem Boden schießen, besteht das Risiko, dass Sie Ihre Forderungen gar nicht mehr durchsetzen können. Vorher ist das Start-up nämlich insolvent.

Checkliste für die Auswahl Ihres Dienstleisters

Vibe Coding kann ein nützliches Werkzeug sein, wenn es von fachkundigen Personen genutzt wird. Bevor Sie einen Dienstleister beauftragen, empfehle ich Ihnen, Folgendes zu klären:

  • Fragen Sie konkret nach Sicherheitsprüfungen wie Code-Reviews, Pentests und Dependency-Checks.
  • Lassen Sie sich vor Vertragsschluss einen AV-Vertrag nach Art. 28 III DSGVO vorlegen, wenn personenbezogene Daten verarbeitet werden.
  • Schreiben Sie Sicherheitsstandards als Teil der Leistungsbeschreibung fest.
  • Bestehen Sie auf Verschlüsselung, Zugriffskontrollen und Protokollierung als Mindeststandard.
  • Klären Sie Haftungsfragen vertraglich, bevor das Projekt startet.
  • Erkundigen Sie sich nach einer Berufshaftpflichtversicherung des Anbieters, die auch bei einer Insolvenz greift.

Und zu guter Letzt: Lassen Sie den Vertrag von einem fachkundigen und unabhängigen Berater prüfen. Ich habe schon viele Verträge gesehen, die für Unternehmen nachteilige Formulierungen enthielten oder aus rechtlicher Sicht schlicht und einfach falsch waren. Sprechen Sie mich also gerne an, bevor Sie den Vertrag unterschreiben.

Fazit

Die rasante Entwicklung beim Vibe Coding lässt sich nicht mehr aufhalten. Das Werkzeug an sich ist aber auch nicht das Problem. Wie so oft geht es auch hier um die Menschen, die damit arbeiten. Fachkenntnis gehört beim Programmieren dazu. Um sich selbst zu schützen, empfehle ich Unternehmen daher, bei der Auswahl des Dienstleisters genau hinzuschauen und sich nicht einfach nur für das günstigste Angebot oder die schnellste Lösung zu entscheiden.

Ich entwickle selbst seit über 30 Jahren Software und kenne die Anforderungen, die ein IT-Projekt mit sich bringt. Auf dieser Basis berate ich meine Kunden zu den Themen Datenschutz und IT-Sicherheit in ihren Projekten. Wenn Sie ebenfalls Unterstützung benötigen, vereinbaren Sie ein unverbindliches Erstgespräch.

Oder ist vielleicht eines meiner Seminare zum Thema Datenschutz, KI-Nutzung oder BSI-Grundschutz interessant für Sie? Hier geht es zu meinen Seminaren.