Eine Datenbank, in der Gesundheitsinformationen von Menschen gesammelt werden. Das ist die Idee hinter der Software "mikropro health" der Firma Mikroprojekt aus Kaiserslautern. Alle Gesundheitsämter in RLP nutzen sie und arbeiten dabei mit sensiblen Daten, etwa welche Personen unter psychosozialen Erkrankungen leiden.
Noch bis September befindet sich die landesweite Ausspielung des Programms in einer Projektphase. In den vergangenen Monaten gab es allerdings Berichte über mutmaßliche Datenschutzprobleme.
Unbefugte Einblicke in Gesundheitsdaten?
So berichtete "ZEIT Online" im November, einzelnen Mitarbeitenden der Gesundheitsämter sei es möglich, sensible Gesundheitsdaten von Menschen einzusehen, obwohl sie dazu gar keine Berechtigung hätten. Die Firma Mikroprojekt bestreitet das auf SWR-Anfrage: "Das war noch nie möglich, sofern die Rechte innerhalb der Software richtig eingestellt sind." Die Firma schreibt weiter: "Bei der Eingabe ist natürlich zu beachten, dass die Daten korrekt eingegeben werden, das heißt nur in die vorgesehenen Masken."
Dem SWR vorliegende Informationen zeigen allerdings, dass es tatsächlich Probleme mit Zugriffsberechtigungen gab und dass diese bis März dieses Jahres bestanden. Erst ein Update konnte Abhilfe schaffen. Das bestätigt das rheinland-pfälzische Gesundheitsministerium dem SWR.
Auch nach Update weiter Probleme
Öffentlich einsehbare Aktualisierungs-Protokolle der Software zeigen außerdem, dass mit dem Update Anpassungen an der "Neuanlage von Personen" vorgenommen wurden. Doch auch nach diesem Update soll es weiterhin Probleme mit dem Datenschutz geben. Das legen Unterlagen nahe, die dem SWR vorliegen. Demnach könnten weiterhin Unbefugte Zugriff auf sensible Daten haben. Mikroprojekt teilt dem SWR aktuell mit, Kunden, die die Software schon selbst überprüft haben, hätten "keinen Anhaltspunkt dafür gefunden, dass Nutzer ohne Berechtigung Gesundheitsdaten einsehen können".
Gesundheitsministerium: Software hat immer wieder "Schwächen"
Dass es bei der Software nach wie vor Datenschutzprobleme geben könnte, schließt das rheinland-pfälzische Gesundheitsministerium nicht aus: "Es tauchen immer mal wieder Schwächen auf, die dann beseitigt werden müssen", so der Pressesprecher des Ministeriums. Das Projekt laufe noch. Dabei gehe es auch darum, mögliche "Sicherheitslücken" zu finden und zu schließen. Außerdem führe ein IT-Beratungsunternehmen Tests durch, um "die vollständige Behebung zu verifizieren"
Sollten die unberechtigten Zugriffe tatsächlich möglich sein, sei das datenschutzrechtlich bedenklich, sagt Dr. Bernd Schütze vom Berufsverband der Datenschutzbeauftragten Deutschland dem SWR: "Der Zugriff ist rechtswidrig, wenn der Zugriff für diese Beschäftigten nicht erforderlich ist."
Er verweist auf ein Urteil des Europäischen Gerichtshofs von 2023. Darin entschied der EuGH, dass allein die Befürchtung, dass personenbezogene Daten durch Dritte missbräuchlich verwendet werden könnten, einen "immateriellen Schaden" darstellen kann. Der Fall "Mikroprojekt" sei für ihn als Außenstehenden allerdings nur schwer zu bewerten.
Landesdatenschutzbeauftragter überprüft Software
Der rheinland-pfälzische Landesdatenschutzbeauftragte, Dieter Kugelmann, prüft die Software. "Wir gehen den bislang bekannt gewordenen Hinweisen mit hoher Priorität und unter hohem Ressourceneinsatz nach", heißt es in einer schriftlichen Stellungnahme. Die Prüfung sei allerdings noch nicht abgeschlossen - eine umfassende datenschutzrechtliche Bewertung zum aktuellen Zeitpunkt also nicht möglich. Die Datenschutzbehörde hat außerdem Besuche bei den Gesundheitsämtern angekündigt. Von einer systematischen oder akuten Gefährdung der Rechte und Freiheiten der Bürgerinnen und Bürger gehe die Behörde nicht aus.
Unternehmen verweist auf eigene Sicherheitsüberprüfung
Der Hersteller Mikroprojekt bestätigt dem SWR die Überprüfung durch den Landesdatenschutzbeauftragten. Man habe die Software "vor Ort persönlich präsentiert", heißt es in der Stellungnahme. Im Gespräche mit dem SWR verweist die Firma zudem auf eine interne Überprüfung anhand eigener strenger Kriterien. So habe man unter anderem mit Hilfe einer externen Firma einen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten Grundschutzcheck durchgeführt. Über die Resultate dieser Überprüfung wollte das Unternehmen dem SWR keine Auskunft geben.
Das BSI selbst teilte dem SWR mit, es stehe mit der Firma Mikroprojekt in Kontakt. Unter anderem habe man die Firma auf die Möglichkeit hingewiesen, eine Software im "security-by-default"-Zustand auszuliefern, also die Bereitstellung "in einem voreingestellten sicheren Zustand".