SORMAS@DEMIS. Datenschutz

SORMAS@DEMIS. Das Projekt

Die letzten zweieinhalb Jahre meiner Beratungstätigkeit waren von meiner Arbeit im SORMAS@DEMIS Projekt geprägt. Ich habe das Datenschutzteam geleitet, das im Rahmen des Projektes bei meinem langjährigen Kooperationspartner, der Firma Netzlink, angesiedelt war. Zusammen mit dem Team habe ich die Dokumentation zu Datenschutz und Informationssicherheit für die SORMAS-X Software entwickelt. Das Datenschutzteam SORMAS@DEMIS bestand aus insgesamt acht erfahrenen Sachverständigen mit juristischem und technischem Wissen.

Das Projekt endete mit dem Jahr 2022 und ich habe mich entschlossen, hier in einer Reihe von mehreren Artikeln von dieser Arbeit zu berichten. Das Projekt ist beendet, aber die Arbeiten zur Verbesserung des Datenschutzes und der Sicherheit an der SORMAS-X Software gehen weiter. Netzlink betreibt auch in Zukunft die Software als Dienstleister für zahlreiche Gesundheitsämter bundesweit und europaweit, und das Datenschutzteam führt seine Arbeit unter veränderten Vorzeichen fort.

Zu Beginn der COVID-19 Pandemie Anfang des Jahres 2020 wurde sehr schnell klar, dass Deutschland über keine digitale Ausstattung verfügte, die die Gesundheitsämter bei der Kontrolle der Infektionen hätte unterstützen können. Eine Zuordnung von infizierten Personen zu Kontaktpersonen war nicht möglich und damit auch nicht die Auswertung von Infektionsketten. Auch konnten mit den bestehenden Instrumenten die Infektionszahlen nur mit tagelanger Verzögerung an das Robert-Koch-Institut gemeldet werden, um nur zwei Beispiele zu nennen.

SORMAS@DEMIS: Der Beginn

Vor diesem Hintergrund setzte das Bundesgesundheitsministerium ein Forschungsprojekt mit dem Ziel auf, die SORMAS-Software für alle Gesundheitsämter in Deutschland anwendbar zu machen. SORMAS ist die Abkürzung für

„Surveillance Outbreak Response Management and Analysis System“

und der Name beschreibt die Funktion. Das „X“ steht für Exchange und bezeichnet die Möglichkeit des automatisierten Datenaustausches zwischen den Stellen, die die Software einsetzen. Die Software ist ursprünglich ein Open Source Projekt des Helmholtz Instituts in Braunschweig. Sie war bereits seit vielen Jahren in Westafrika als Teil der Bekämpfung von Epidemien erfolgreich im Einsatz und sollte nunmehr für Deutschland weiterentwickelt und an die hiesigen Prozesse des öffentlichen Gesundheitsdienstes angepasst werden. Dabei stand zunächst die Verbesserung des Managements von Kontaktpersonen im Vordergrund, sowie die Möglichkeit des automatisierten Datenaustausches zwischen den einzelnen Gesundheitsämtern. Im weiteren Verlauf des Projektes ging die Entwicklung jedoch immer weiter in Richtung einer IfSG-Fachanwendung, die aber auf die für die Covid-Pandemie erforderlichen Abläufe beschränkt blieb.

SORMAS-X Datenschutz: Die Herausforderung

Als ich im Herbst 2020 die Leitung des Datenschutzteams übernahm, befand sich die Software einerseits in der Weiterentwicklung und Anpassung an deutsche Erfordernisse, gleichzeitig aber war sie in zahlreichen Gesundheitsämtern bundesweit schon im laufenden Betrieb eingesetzt. Wir hatten daher keine Zeit, erst Konzepte zu erstellen, die im zweiten Schritt umgesetzt würden.

Die Definition der Anforderungen, die Ausarbeitung der Konzepte, die Umsetzung im laufenden Betrieb, die Änderungen aufgrund von Datenschutz- oder Sicherheitsanforderungen … alles das erfolgte in weiten Teilen parallel.

Es bestand eine Datenschutz-Dokumentation, die aber aus Sicht des Dienstleisters Netzlink im Rahmen der Auftragsverarbeitung für die Gesundheitsämter geschrieben war. Es galt, diese in eine Dokumentation zu erweitern, die die Software als Ganzes und alle beteiligten Stellen in den Blick nahm. Konkrete Vorgaben von Seiten der Urheber des Projekts gab es nicht, außer, dass das ganze Vorhaben „datenschutzkonform“ sein sollte.

Wir trafen auf massiven zeitlichen Druck, der sich Anfang 2021 noch verstärkte, als die Konferenz der Kanzlerin und der Ministerpräsidentinnen und -präsidenten der Länder beschloss, dass SORMAS-X bis Ende Februar 2021 in allen Gesundheitsämtern bundesweit laufen sollte. Die Informationsflüsse zwischen uns Datenschutzverantwortlichen und den übrigen Projektbeteiligten mussten innerhalb des Projekts erst organisiert werden. Hinzu kam die weitverbreitete „ja, aber“ Haltung gegenüber den Anforderungen an Datenschutz und Informationssicherheit.

Ja, Datenschutz ist wichtig. Aber müsst ihr uns wirklich damit Arbeit machen?

Das gegenseitige Verständnis und die Informationsflüsse wurden im weiteren Verlauf des Projekts immer besser, der zeitliche Druck blieb. Parallel dazu wurden wir immer mehr zu einer Art allgemeinem Datenschutzkummerkasten. Wenn bei einer der projektbeteiligten Stellen etwas schief lief oder schief zu laufen drohte, wurde nicht der/die Datenschutzbeauftragte der jeweiligen Stelle gefragt, sondern wir. Ebenso landeten alle Anfragen aus Gesundheitsämtern zu Datenschutzthemen bei uns.

Alles in allem kam die Arbeit in diesem Projekt meiner Liebe für die Ordnung komplexer Probleme entgegen, und auch wenn ich manchmal der Verzweiflung nahe war, konnten wir viel gestalten. Wie bereits erwähnt, nutzen wir heute die Erfahrungen aus dem Projekt weiter. Zusammen mit Netzlink in Braunschweig und Vossel Solutions in Soest unterstützen wir nicht nur die Weiterentwicklung von SORMAS, sondern bieten auch speziell auf den öffentlichen Gesundheitsdienst und den privaten Gesundheitssektor zugeschnittene Beratungsangebote an.

Fortsetzung folg: Im nächsten Artikel beschreibe ich die Einzelheiten der Datenschutz-Dokumentation für SORMAS-X.