Informationssicherheit in Krankenhäusern

Unter vielen Geschäftsführungen ist es beliebt, den IT-Verantwortlichen zu sagen: „Macht unsere IT sicher, aber es darf nichts kosten“. Oder auch: „Sorgt dafür, dass unsere IT compliant ist und möglichst ohne Kosten“. Für Krankenhäuser empfehle ich in solchen Fällen einen Blick in das Sozialgesetzbuch Fünf (SGB V). Das bietet in § 391 einen interessanten Ansatz für die Frage, welchen Anforderungen eine Krankenhaus IT-Infrastruktur denn eigentlich genügen muss.

In Absatz eins heißt es wörtlich:

Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und den Schutzbedarf der verarbeiteten Patienteninformationen maßgeblich sind.

Eine bemerkenswerte Ergänzung findet sich in Absatz drei:

Organisatorische und technische Vorkehrungen nach Absatz 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht.

Sichere Verarbeitung von Patientendaten

Das heißt letztlich nichts anderes als: Wer sich die Sicherheit der IT-Systeme nicht leisten kann – oder will - , darf keine Patientendaten verarbeiten.

Das Argument, wir haben kein Geld, kann also nicht als Ausrede für mangelnde Informationssicherheit in einem Krankenhaus durchgehen.

Und das schon seit dem 1.1.2022, seit dieser Paragraf auf der Grundlage des Patientendatenschutzgesetzes vom Oktober 2020 Gültigkeit erlangte.

Unterschiede zur DSGVO

Man beachte auch den Unterschied zu Art. 32 DSGVO. Dort sind die Implementierungskosten von Technologie ein Faktor, der bei der Bestimmung der „geeigneten technischen und organisatorischen Maßnahmen“ von der DSGVO ausdrücklich berücksichtigt wird. Die wiederum sind gefordert, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Im Mittelpunkt stehen hier die Risiken für die Personen, deren Daten verarbeitet werden – nicht die Funktionsfähigkeit des Unternehmens. Allerdings bedingt in den allermeisten Fällen ein Schaden für die Personen auch ein Schaden für das Unternehmen.

Mich wundert, dass die Anforderung des § 391 SGB V in der öffentlichen Diskussion um die Krankenhausreform überhaupt nicht vorkam, obwohl der Schwerpunkt auf der Frage der (zukünftigen) Finanzierbarkeit der Krankenhäuser lag. Für alle erdenklichen Themen wird politisch um mehr Geld gestritten: Bundeswehr, Schulen, Automobilindustrie, um nur ein paar zu nennen. Nur die Krankenhäuser haben diesbezüglich keine Lobby, jedenfalls was die Kosten für die Ausstattung für eine sichere IT-Infrastruktur betrifft.

Wir unterstützen Sie gerne bei der Ausarbeitung und Überprüfung von Sicherheitsmaßnahmen. Vereinbaren Sie einen unverbindlichen ersten Termin.

Datenschutzbeauftragter

Ich bin in letzter Zeit wieder öfter gefragt worden, was eine Datenschutzbeauftragte eigentlich können muss. Im Jahr 2017 habe ich auf Bitten eines englischen Kollegen einmal einen kurzen Vortrag gehalten. Das Thema des kurzen Vortrags war “Privacy challenges in the new decade”.

Ich zitiere hier einen kurzen Auszug, der die Frage zumindest in Teilen beantwortet:

Herausforderungen für die Datenschutzbeauftragte

Privacy challenges in the new decade? Talking about privacy and challenges, I think there are actually two major challenges.

Number one: to work for the better transparency of IT-systems. Number two: to invest in the knowledge about privacy and IT security on any level in the companies.

On a personal level the challenge for us will be that we have many roles: we are the hunters that push the CEOs to action, the staff to get the information that we need in order to do our work. We are the patient mothers, explaining necessary procedures again and again until they work without us. And sometimes, too, we are knights in the shining armor who get things straight again when they went terribly wrong. To combine these very different roles will be our very own challenge, but if we succeed, we will be able to work towards a better working privacy and IT-security on any level.

IT-Sicherheitsbeauftragter

Jetzt, rund acht Jahre später kann ich hinzufügen: diese Beschreibung gilt immer noch und diese "soft skills" braucht auch eine/einen IT-Sicherheitsbeauftragte/r. Letztere waren 2017 noch nicht so weit verbreitet wie heute.

Haben Sie Fragen zur Bestellung eines externen Datenschutzbeauftragten oder eines externen Sicherheitsbeauftragten? Sprechen Sie uns gerne an.

Wie Datenschutz funktioniert

Einmal die Woche kaufe ich auf dem Markt vor unserer Haustür Fleisch für meine Tochter. Ich habe dort eine Kundenkarte, mit der ich ein wenig Rabatt erhalte. Kürzlich hielt mir der Verkäufer den Kassenzettel über den Tresen und fragte, ob das eigentlich so in Ordnung ginge, also so wegen Datenschutz?

Auf dem Kassenzettel stand oben meine Adresse. Wer also den Zettel finden würde, hätte meinen Namen, meine Adresse und die Information wie viel Gramm Fleisch ich gekauft habe. Es habe sich ein Kunde beschwert, so der Verkäufer weiter. Dem habe er versehentlich den Kassenzettel eines anderen Kunden gegeben.

Die Händler sind verpflichtet, die Kassenzettel der Kundinnen, die eine Kundennummer haben, mit diesen Angaben zu versehen. Warum auch immer. Alle anderen kaufen anonym.

Gehen wir davon aus, dass es eine Vorgabe aus der Steuer- und Finanzbürokratie ist, die Kassenzettel in diesem Fall personenbezogen zu gestalten. Dann hätten wir als gesetzliche Erlaubnis Art. 6 Abs. 1 lit c) DSGVO: „die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“. Daher: erstmal alles fein, es gibt eine gesetzliche Erlaubnis, diese Daten zu „haben“, weil die Bürokratie diesen Nachweis so vorschreibt.

Weiterhin wären die Daten technisch und organisatorisch so abzusichern, dass den Personen, zu denen sie gehören, kein Schaden entsteht. Auf der technischen Ebene hätten wir die Kassensysteme. Auf der organisatorischen die Anweisung an das Verkaufspersonal, mit den Kassenzetteln sorgsam zu sein und den Zettel für A auch an A zu übergeben.

Geht das schief, fällt es in die Abteilung Es Gibt Keine 100% Sicherheit. Fehler passieren. Davon abgesehen hält sich der Schaden für die Personen hier in engen Grenzen. Erstens sind die Adressen in der Regel ohnehin öffentlich und zweitens ist die Information analog. Die Information, dass ich am 21. November 2024 264 Gramm Hühnerfleisch gekauft habe, kann nicht durch Knopfdruck in Sekundenschnelle im Netz verbreitet und mit anderen Informationen über mich verbunden und genutzt werden.

Mehr Sorgen als über einen vertauschten Kassenzettel am Marktstand sollte man sich über Programme wie Payback machen. Die werten gnadenlos alle Informationen aus und verkaufen sie weiter.

Der Verkäufer hörte sich meinen Kurzvortrag an, dankte und sagte nun wisse er also, wie Datenschutz funktioniere. Ja, sagte ich. So funktioniert das. Im Großen wie im Kleinen.

Welche Datenschutzfragen können wir für Sie beantworten? Melden Sie sich gerne. Auch wenn ich gerne Fragen zu Kassenzetteln beantworte: die komplizierten Fragen sind mir die liebsten.

Datenschutz Adventskalender (2)

Der online Trickdiebstahl, dem meine Schwester kürzlich zum Opfer fiel, zeigte mir einmal mehr, wie viel Wissenslücken es in Sachen digitale Bildung immer noch gibt. Die Schreiben, mit denen Erben eines angeblichen Verstorbenen gesucht werden, der angeblich Millionen hinterlassen hat, sind sehr, sehr alt. Meistens gingen sie aber per E-Mail ein. Zufällig heißt der Verstorbene dann immer wie die Person, die angeschrieben wird. Eigentlich, so dachte ich, weiß jeder, dass das ein Betrugsversuch ist.

Meine Annahme „das weiß doch jeder“ wurde auch von meinen Erfahrungen in meinen Datenschutz Schulungen für Mitarbeitende in Unternehmen bestärkt. Da zeichnet sich seit ein paar Jahren die deutliche Tendenz ab, dass die Leute gut informiert sind. Merkmale einer gefälschten Mail können die meisten sofort beschreiben.

Datensicherheit üben

Anscheinend ist dieser Befund aber nicht ganz repräsentativ. Hinzu kommt, dass wir schwerwiegende Fehler nur durch immer wieder Üben vermeiden können, selbst wenn wir eigentlich gut Bescheid wissen. Wir müssen immer wieder hören, was eine Phishing Mail ist. Wir müssen die neusten Entwicklungen der Betrugsmethoden kennen.

Schließlich: wir müssen auch Praxistests machen. Insofern sind in Unternehmen Tests sinnvoll, die kontrolliert Phishing Mails verschicken. Wenn jemand draufklickt, landet diese Information bei dem IT-Dienstleister, der den Test aufgesetzt hat. Die Ergebnisse können zum Anlass genommen werden, in der Belegschaft nochmals das Bewusstsein für Sicherheitsthemen zu schärfen. Dabei geht es nicht darum, einzelne Beschäftigte bloßzustellen, die den Fehler gemacht haben, auf die Mail zu klicken, sondern um genau das: Sicherheitsmaßnahmen ins Gedächtnis zu rufen.

Privacy Training

„Müssen wir wirklich unsere Mitarbeitenden jährlich im Datenschutz schulen?“, fragen mich Auftraggeber oft. Meine Antwort ist ja, aus genau diesen Gründen. Im Englischen spricht man vom "Privacy Training", was ich sehr treffend finde. Wir müssen im Training bleiben.

Melden Sie sich gerne bei uns, wenn Sie für sich oder Ihre Beschäftigten ein Privacy Training brauchen.

Datenschutz Adventskalender (1)

Meine Schwester fiel kürzlich auf einen fiesen Trick der Cybermafia herein und verlor eine erhebliche Summe Geld. Sie klickte auf einen Link in einer iMessage: „Hier ist ihre Sparkasse. Klicken Sie auf diesen Link und ändern Sie die Zugangsdaten für Ihr online Banking“.

Das Millionenerbe

Ungefähr drei Tage später bekam ich einen Anruf von ihrem Mann, meinem Schwager. Seine Mutter habe ein Schreiben von einem englischen Anwalt bekommen, der suche einen Erben für ein Millionenvermögen. Ob ich mir das mal ansehen könne. Ich ahnte, was kommen würde.

Der Brief war an den Vater meines Schwagers adressiert, der aber schon gut 20 Jahre tot ist. Allein das hätte misstrauisch machen müssen. Mein Schwager aber meinte, das wirke schon alles seriös, die Briefeschreiber hätten „auch eine Webseite“. Lieber Schwager, sagte ich. Eine Webseite fälschen kann sogar ich.

Wieder drei Tage später bekam ich eine Nachricht aufs Telefon. „Hallo Papa, dies ist meine neue Nummer, bitte schreib' mir auf Whatsapp“. Mein angebliches Kind brauchte dringend 1.800 EUR, noch dieses Wochenende.

Diese Vorfälle zeigen, warum es keine unwichtigen Daten gibt. Anders als immer noch viele Menschen annehmen. Jeder Diebstahl auch nur einer E-Mail-Adresse oder einer Telefonnummer wird dazu genutzt, die Information mit anderen zu verknüpfen (die in der Regel auch gestohlen wurden). Damit können dann wieder neue Opfer attackiert werden. Deshalb: es ist nie „nur eine E-Mail“, wenn irgendwo Daten gestohlen werden. Die E-Mail ist nur der Anfang.

Hier hatte man offenbar aus den Daten meiner Schwester weitere Verbindungen hergestellt. Frei nach dem Motto, vielleicht gibt es ja noch mehr Dumme in der Familie.

Ach und übrigens, Stichwort Dummheit. Schuld an solchen Taten haben immer die Täter, nie die Opfer. Wir mögen es als dumm ansehen, auf solche Tricks hereinzufallen. Passieren kann es jedem von uns.

Sie möchten mehr über das Thema erfahren? Sprechen Sie uns gerne an.

Adventskalender

Ich habe für 2025 drei Vorsätze gefasst, mehr schreiben, mehr Vorträge halten und meine Webseiten schöner machen (lassen). Letzteres ist noch nicht gelungen, daher fange ich mit dem ersten an. Mehr schreiben. Offen gesagt, kann ich der Weihnachtszeit nicht viel abgewinnen. Zu dunkel, zu hektisch. Aber ich mag Adventskalender. Ab dem 1. Dezember gibt es deshalb hier im Blog einen Adventskalender Datenschutz mit täglich einem Beitrag zu einem Thema aus dem Datenschutz und der Informationssicherheit. Von schlicht bis speziell. Und mit KI generierten Bilder.

Wenn Sie in 2025 Rat und Tat in Sachen Datenschutz und Informationssicherheit brauchen, melden Sie sich gerne schon jetzt bei uns.

(Dank für die Generierung der Bilder geht an Oliver Welling von KInews24.)

Das Buch zum Datenschutz

Bald ist es ein Jahr her, dass mein Buch zum Datenschutz erschien: "Nützliches Wissen über Datenschutz. Ein beratender Erfahrungsbericht".

Erhältlich hier und überall, wo es Bücher gibt - als Taschenbuch oder eBook.

Stimmen von Leserinnen und Lesern:

"Eine gelungene Mischung aus Essay und Sachbuch!"

"Ich finde, Sie haben ein schönes, informatives, politisch wichtiges und lesenswertes Buch geschrieben, dem ich möglichst viele Leser wünsche. Die persönlichen Aspekte machen es besonders und das abstrakte Thema greifbar."

"Dieses Buch sollten bei mir im Unternehmen alle lesen."

"Großes Kompliment, es liest sich sehr unterhaltsam – und das trotz des ja sehr komplexen Themas."

"So bildhaft und mit amüsanten Beispielen unterlegt, sind Sachbücher sehr, sehr selten. Zumal du auch das Können von Top-Textern beherrscht, knappe, klare Sätze. Brilliant."

SORMAS-X Datenschutz: Einzelne Themen (4)

Im vierten Teil der Reihe zu SORMAS-X Datenschutzthemen geht es heute um die Schnittstellen. Anhand der Thematik der Anbindung externer Applikationen an SORMAS über eine offene Schnittstelle erörtere ich grundsätzliche Fragen der Organisation eines Digitalisierungsprojekts.

Erlösung durch Technik?

Im Verlauf der Pandemie kamen immer mehr technische Lösungen auf den Markt, die versprachen, uns mit technischen Mitteln aus der Pandemie zu erlösen. In der Regel waren es eher Lösungsversuche als tatsächlich funktionierende und überzeugend ausgearbeitete Lösungen. Die Luca App ist nur das bekannteste Beispiel dafür.

Im SORMAS@DEMIS Projekt standen wir vor dem Problem, dass viele Gesundheitsämter diese Lösungen einsetzen und in SORMAS integrieren wollten. Die Anfragen landeten auf den Schreibtischen des Datenschutzteams mit der Aufforderung, mal schnell zu den Datenschutzthemen Stellung zu nehmen. Mangels einer anderen Möglichkeit sollten alle externen Applikationen über die offene Schnittstelle, die sog. Rest API mit SORMAS verbunden werden.

Das Spiel verderben

Ich habe in diesem Zusammenhang viele gruselige Tatsachen über die Verbindung von Systemen über offene Schnittstellen gelernt. Im Ergebnis waren wir in Bezug auf die Anbindung von externen Applikationen an SORMAS immer, was ich ungerne bin. Spielverderberin aus Sicherheitsgründen. Die bessere Alternative, eine sichere Lösung zu entwickeln, blieb unter den Anforderungen des Projekts auf der Strecke.

Produktentwicklung

Dieses Problem legte den Finger in eine Reihe von grundsätzlichen Schwierigkeiten im Projekt. Vieles davon wäre besser zu lösen gewesen, wenn das SORMAS@DEMIS Projekt nicht länger als ein Forschungs- und Entwicklungsprojekt betrachtet worden wäre, sondern als eine Produktentwicklung. Die Entwicklung des Produktes Software SORMAS mit all seinen Facetten und Möglichkeiten sowie eingebauten Sicherheiten für Datenschutz und Informationssicherheit.

Zunächst ging es ja tatsächlich nur um die Vernetzung der Gesundheitsämter, um deren Ausstattung mit SORMAS-X, und die Schaffung einer Möglichkeit des automatisierten Datenaustausches zwischen den Gesundheitsämtern. Wäre es dabei geblieben, wäre die Frage der datenschutzfreundlichen Softwaregestaltung relativ überschaubar gewesen. Dann hätte man sich ein paar Gedanken machen müssen über die Verbindung der unterschiedlichen SORMAS-Instanzen zum Zwecke des Datenaustausches zwischen Gesundheitsämtern und das wäre dann auch schon fast alles gewesen. Durch die Dynamik der Entwicklung kamen dann aber hinzu: die Anbindung der anderen IfSG Fachanwendungen, die in den Ländern eingesetzt wurden, und auf deren Erhalt die Länder pochten. Zahlreiche Apps, die mit einer Art Heilsversprechen der technischen Lösung der Pandemieprobleme antraten (und politisch entgegen aller Vernunft gepusht wurden). Um nur ein paar zu benennen.

Anforderungen an Digitalisierungsprojekte

Dies hatte zur Folge, dass die zu lösenden Fragestellungen und datenschutzrechtlichen Anforderungen im Verlauf der Arbeiten sehr viel komplexer und sehr viel umfangreicher wurden. Insofern war es in Bezug auf die Schnittstellen auch nicht sehr verwunderlich, dass die Absicherung noch nicht so mitgedacht und umgesetzt war, wie sie es sein müsste. Der Ausgangspunkt des Projektes war ursprünglich ein ganz anderer.

Was wird in so einer Situation gebraucht?

Im ersten Schritt eine klare und zwischen allen Beteiligten abgesprochene Konzeption der verschiedenen Ausbaustufen der Software (hier SORMAS-X, aber auch jeder anderer Anwendung in der Entwicklung). Welche Zwecke soll eine Schnittstelle genau erfüllen? Welche Aufgaben sollen damit erledigt werden und durch wen?

Wenn diese Konzeption steht, kann im zweiten Schritt dazu übergangen werden, die Anforderungen an Datenschutz und Informationssicherheit definieren.

Klar beschriebene Schritte

Die Umsetzung kann und darf dann nur auf der Grundlage der zuvor beschriebenen Schritte eins und zwei erfolgen. Klar ist, dass diese Schritte nicht immer perfekt zu trennen sind. Es muss aber auf jeden Fall gewährleistet sein, dass alle Beteiligten darauf hinwirken, nicht einfach auf Zuruf zu entwickeln und zu programmieren, sondern die Konzeption im Auge zu behalten und gegebenenfalls einzufordern.

Klar zugewiesene Verantwortlichkeit

Klare und transparente Verteilung von Verantwortlichkeiten zwischen den beteiligten Stellen. Festhalten derselben in einer internen Vereinbarung: wer ist für die Generierung von Testdaten zuständig? Wer verantwortet die Migration von Daten? Wer verantwortet die Umsetzung der Anforderungen an ein datenschutzfreundliches Technikdesign? (Um nur ein paar zu nennen).

Die Umsetzung dieser Vorgehensweise würde zu erheblichen Effizienzgewinnen führen, da in einem Projekt mit vielen Beteiligten nicht ständig diskutiert werden müsste wer gerade für Sicherheitsfragen zuständig ist, generell zuständig ist, oder zuständig sein sollte. Abgesehen von den Effizienzgewinnen wäre so auch eine Einhaltung der Vorgaben des Privacy by Design besser möglich. Die Frage, wer am Ende die Verantwortung für die Umsetzung des Privacy by Design und der Anforderungen des Art. 32 DSGVO im Rahmen der Softwareentwicklung hat, soll einem weiteren Artikel vorbehalten sein.

Weitere Artikel zum Datenschutz für die SORMAS-Software finden Sie u.a. hier und hier.

Wir unterstützen Sie gerne bei Digitalisierungsprojekten. Sprechen Sie uns an.

SORMAS-X Datenschutz: Die Dokumentation

Die SORMAS-X Datenschutz-Dokumentation besteht aus über 50 Dokumenten, die alle Datenschutz/Informationssicherheit Themen abdecken, die aus rechtlicher und technischer Sicht zu regeln waren. Diese Themen reichten von einer Datenschutz-Folgenabschätzung, einem umfassenden Sicherheitskonzept über eine Tabelle mit allen Datenfeldern, die in der Software vorhanden sind, bis zu einer Darstellung des Datenmodells und der Anforderungen an die sichere Gestaltung von Schnittstellen.

Unser Ziel war es dabei von Anfang an, die Dokumentation auch für die Gesundheitsämter nutzbar zu machen, die die SORMAS-X Software einsetzen.

Viele der Dokumente sind daher so gestaltet, dass sie von den Gesundheitsämtern als Vorlage genutzt und mit eigenen Inhalten ergänzt werden können, so zum Beispiel die Datenschutz-Folgenabschätzung und das Verzeichnis Verarbeitungstätigkeiten. Dies war insbesondere vor dem Hintergrund bestehender länderspezifischer Vorgaben in den einzelnen Bundesländern erforderlich.

Privacy by Design umsetzen

Ein weiteres Ziel, das wir im Verlauf der Arbeiten entwickelt haben, war die möglichst weitgehende Berücksichtigung und Umsetzung des Grundsatzes von Privacy by Design in der Software.

Aus unserer Sicht hat sich nicht nur dafür, aber generell ein dreistufiges Vorgehen als das Beste erwiesen. Pro Thema haben wir zunächst ein formales Konzept erstellt, das die formalen datenschutzrechtlichen Anforderungen (beispielsweise an das automatisierte Löschen von personenbezogenen Daten) beschreibt. Daneben haben wir dann ein technisches Umsetzungskonzept entwickelt, das die technischen Möglichkeiten der Umsetzung beschreibt, wie sie im formalen Konzept definiert sind. Um im obigen Beispiel des automatisierten Löschens von personenbezogenen Daten zu bleiben heißt das: im technischen Umsetzungskonzept ist beschrieben, wie das automatisierte Löschen von Daten aus der Software konzipiert und ermöglicht werden soll und kann. Als dritter Schritt war geplant, die Beschreibung der technischen Umsetzung zu dokumentieren, um den Nachweis führen zu können, dass die in den Konzepten niedergelegten Anforderungen eingehalten sind. Dieser dritte Schritt ist in Bezug auf einige Themen der SORMAS Software bis Projektende noch offengeblieben, was den begrenzten zeitlichen, personellen und auch finanziellen Ressourcen des Projektes geschuldet ist.

Im Ergebnis ist SORMAS-X am Ende des Projekts die Software, die von allen IfSG-Fachanwendungen am sorgfältigsten und gründlichsten im Hinblick auf Datenschutzfragen geprüft und dokumentiert ist.

Sie kann damit Vorbild für alle anderen IfSG-Fachanwendungen sein. Dies gilt unabhängig von der Tatsache, dass es weiterhin Bedarf für die Weiterentwicklung gibt. Der ist identifiziert, benannt und die nötigen Arbeiten für die Umsetzung von weiteren Privacy by Design Merkmalen durch Netzlink haben bereits begonnen.

Ausblick

In den nächsten Artikeln werden einzelne Dokumente zu Datenschutz- und Sicherheitsthemen, die im Verlauf des Projektes besonders wichtig waren, etwas weiter im Detail erläutert.

Den ersten Artikel aus der Reihe "SORMAS-X Datenschutz" finden Sie hier.

Sie brauchen Unterstützung bei der Umsetzung von Datenschutz im Gesundheitswesen? Sprechen Sie uns gerne an und wir finden in einem kostenlosen Erstgespräch heraus, was wir für Sie tun können.

SORMAS@DEMIS. Datenschutz

SORMAS@DEMIS. Das Projekt

Die letzten zweieinhalb Jahre meiner Beratungstätigkeit waren von meiner Arbeit im SORMAS@DEMIS Projekt geprägt. Ich habe das Datenschutzteam geleitet, das im Rahmen des Projektes bei meinem langjährigen Kooperationspartner, der Firma Netzlink, angesiedelt war. Zusammen mit dem Team habe ich die Dokumentation zu Datenschutz und Informationssicherheit für die SORMAS-X Software entwickelt. Das Datenschutzteam SORMAS@DEMIS bestand aus insgesamt acht erfahrenen Sachverständigen mit juristischem und technischem Wissen.

Das Projekt endete mit dem Jahr 2022 und ich habe mich entschlossen, hier in einer Reihe von mehreren Artikeln von dieser Arbeit zu berichten. Das Projekt ist beendet, aber die Arbeiten zur Verbesserung des Datenschutzes und der Sicherheit an der SORMAS-X Software gehen weiter. Netzlink betreibt auch in Zukunft die Software als Dienstleister für zahlreiche Gesundheitsämter bundesweit und europaweit, und das Datenschutzteam führt seine Arbeit unter veränderten Vorzeichen fort.

Zu Beginn der COVID-19 Pandemie Anfang des Jahres 2020 wurde sehr schnell klar, dass Deutschland über keine digitale Ausstattung verfügte, die die Gesundheitsämter bei der Kontrolle der Infektionen hätte unterstützen können. Eine Zuordnung von infizierten Personen zu Kontaktpersonen war nicht möglich und damit auch nicht die Auswertung von Infektionsketten. Auch konnten mit den bestehenden Instrumenten die Infektionszahlen nur mit tagelanger Verzögerung an das Robert-Koch-Institut gemeldet werden, um nur zwei Beispiele zu nennen.

SORMAS@DEMIS: Der Beginn

Vor diesem Hintergrund setzte das Bundesgesundheitsministerium ein Forschungsprojekt mit dem Ziel auf, die SORMAS-Software für alle Gesundheitsämter in Deutschland anwendbar zu machen. SORMAS ist die Abkürzung für

„Surveillance Outbreak Response Management and Analysis System“

und der Name beschreibt die Funktion. Das „X“ steht für Exchange und bezeichnet die Möglichkeit des automatisierten Datenaustausches zwischen den Stellen, die die Software einsetzen. Die Software ist ursprünglich ein Open Source Projekt des Helmholtz Instituts in Braunschweig. Sie war bereits seit vielen Jahren in Westafrika als Teil der Bekämpfung von Epidemien erfolgreich im Einsatz und sollte nunmehr für Deutschland weiterentwickelt und an die hiesigen Prozesse des öffentlichen Gesundheitsdienstes angepasst werden. Dabei stand zunächst die Verbesserung des Managements von Kontaktpersonen im Vordergrund, sowie die Möglichkeit des automatisierten Datenaustausches zwischen den einzelnen Gesundheitsämtern. Im weiteren Verlauf des Projektes ging die Entwicklung jedoch immer weiter in Richtung einer IfSG-Fachanwendung, die aber auf die für die Covid-Pandemie erforderlichen Abläufe beschränkt blieb.

SORMAS-X Datenschutz: Die Herausforderung

Als ich im Herbst 2020 die Leitung des Datenschutzteams übernahm, befand sich die Software einerseits in der Weiterentwicklung und Anpassung an deutsche Erfordernisse, gleichzeitig aber war sie in zahlreichen Gesundheitsämtern bundesweit schon im laufenden Betrieb eingesetzt. Wir hatten daher keine Zeit, erst Konzepte zu erstellen, die im zweiten Schritt umgesetzt würden.

Die Definition der Anforderungen, die Ausarbeitung der Konzepte, die Umsetzung im laufenden Betrieb, die Änderungen aufgrund von Datenschutz- oder Sicherheitsanforderungen … alles das erfolgte in weiten Teilen parallel.

Es bestand eine Datenschutz-Dokumentation, die aber aus Sicht des Dienstleisters Netzlink im Rahmen der Auftragsverarbeitung für die Gesundheitsämter geschrieben war. Es galt, diese in eine Dokumentation zu erweitern, die die Software als Ganzes und alle beteiligten Stellen in den Blick nahm. Konkrete Vorgaben von Seiten der Urheber des Projekts gab es nicht, außer, dass das ganze Vorhaben „datenschutzkonform“ sein sollte.

Wir trafen auf massiven zeitlichen Druck, der sich Anfang 2021 noch verstärkte, als die Konferenz der Kanzlerin und der Ministerpräsidentinnen und -präsidenten der Länder beschloss, dass SORMAS-X bis Ende Februar 2021 in allen Gesundheitsämtern bundesweit laufen sollte. Die Informationsflüsse zwischen uns Datenschutzverantwortlichen und den übrigen Projektbeteiligten mussten innerhalb des Projekts erst organisiert werden. Hinzu kam die weitverbreitete „ja, aber“ Haltung gegenüber den Anforderungen an Datenschutz und Informationssicherheit.

Ja, Datenschutz ist wichtig. Aber müsst ihr uns wirklich damit Arbeit machen?

Das gegenseitige Verständnis und die Informationsflüsse wurden im weiteren Verlauf des Projekts immer besser, der zeitliche Druck blieb. Parallel dazu wurden wir immer mehr zu einer Art allgemeinem Datenschutzkummerkasten. Wenn bei einer der projektbeteiligten Stellen etwas schief lief oder schief zu laufen drohte, wurde nicht der/die Datenschutzbeauftragte der jeweiligen Stelle gefragt, sondern wir. Ebenso landeten alle Anfragen aus Gesundheitsämtern zu Datenschutzthemen bei uns.

Alles in allem kam die Arbeit in diesem Projekt meiner Liebe für die Ordnung komplexer Probleme entgegen, und auch wenn ich manchmal der Verzweiflung nahe war, konnten wir viel gestalten. Wie bereits erwähnt, nutzen wir heute die Erfahrungen aus dem Projekt weiter. Zusammen mit Netzlink in Braunschweig und Vossel Solutions in Soest unterstützen wir nicht nur die Weiterentwicklung von SORMAS, sondern bieten auch speziell auf den öffentlichen Gesundheitsdienst und den privaten Gesundheitssektor zugeschnittene Beratungsangebote an.

Fortsetzung folg: Im nächsten Artikel beschreibe ich die Einzelheiten der Datenschutz-Dokumentation für SORMAS-X.

Mein Buch über Datenschutz und Informationssicherheit

„Schreib‘ ein Buch!“, sagten die Frauen aus dem Marketing mir damals, als ich anfing Beraterin zu sein. „Ein Buch ist die beste Eigenwerbung für Kleinselbstständige!“. Schön wär’s, dachte ich. Ich hatte zwei noch sehr kleine Kinder, für die ich alleine verantwortlich war, und hielt die PrivCom Datenschutz mit viel Mühe gerade so am Laufen. Etwas später musste ich dann das (schnelle) Wachstum der Firma organisieren, was sich auch als keine ganz leichte Aufgabe herausstellte. Zusammen mit der Sorgearbeit zu Hause gab es für alles Drumherum nach wie vor wenig bis keinen Platz. Ein Buch über Datenschutz zu schreiben war ein guter Gedanken in ganz weiter Ferne.

Hinzu kam, dass ich lange nur wusste, was ich nicht schreiben wollte. Ich wollte nicht der großen Anzahl von „Wie organisieren Sie Datenschutz im Unternehmen“ Ratgebern einen weiteren hinzufügen.

Nun aber, fast 18 Jahre nach dem ersten Gedanken an ein Buch, ist es jetzt soweit. Das Manuskript ist so gut wie fertig und das Buch wird 2023 erscheinen. „So kompliziert ist das ja gar nicht – Geschichten und nützliches Wissen über Datenschutz“ lautet der vorläufige Titel.

Datenschutz und Informationssicherheit

Ich möchte Leserinnen und Leser erreichen, die sich für Datenschutz, Informationssicherheit und Digitalisierung interessieren (müssen), sich aber mit den Details nicht auskennen und einen verständlichen und unterhaltsamen Überblick über die Materie erhalten wollen. Das Buch ist für diejenigen, die kein Fachbuch im herkömmlichen Sinn lesen, sondern einen ungewohnten Blick auf diese ungeliebten Themen erhalten wollen. Eingeflossen sind gut 20 Jahre Erfahrung aus der Beratung zu Datenschutz und Informationssicherheit und mein Anspruch, diese als „trocken“ oder „extrem kompliziert“ angesehene Materie leicht und in Geschichten verpackt darzustellen. In meinem Alltag als Beraterin gelingt mir das aller Regel - ob es mir auch mit dem Buch gelungen ist, müssen dann diejenigen beurteilen, die es lesen. Ich bin gespannt. Vorbestellungen nehme ich gerne jetzt schon hier entgegen.