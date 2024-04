Mit einem Computerprogramm für die Gesundheitsämter in Rheinland-Pfalz, das von einer Kaiserslauterer Firma angeboten wird, werden Gesundheitsdaten von Bürgern verwaltet. Laut einem Medienbericht gab es darin zeitweise einen Fehler, durch den Unbefugte diese Daten einsehen konnten. Ob das allerdings jemals wirklich passiert ist, bleibt fraglich.

Hat das Programm „mikropro health“ der Kaiserslauterer Firma Mikroprojekt Lücken, über die die persönlichen Gesundheitsdaten von Bürgern für Unbefugte einsehbar werden? Über einen entsprechenden Verdacht berichtete „Zeit Online“. Dabei ging es nicht um eine öffentlich zugängliche Lücke, sondern darum, dass Daten bei den Gesundheitsämtern für Mitarbeiter einsehbar gewesen sein sollen, die keine Berechtigung dazu hatten.

Die Herstellerfirma dementiert – aber nur mit Bezug auf die jetzige Version des Programms. „Aktuell sind uns keine Probleme mit Zugriffsberechtigungen bekannt“, so Mikroprojekt-Geschäftsführer Norbert Geib. Das ist deshalb wichtig, weil sich das Programm in einer Erprobungsphase befindet, in der noch Änderungen eingebaut werden – beispielsweise, wie der Geschäftsführer schreibt, ergänzende Verschlüsselungen.

Programm beim Datenschutzbeauftragten auf dem Prüfstand

In der Erprobung ist Mikropro health, weil es in einer vereinheitlichten Form bei den rheinland-pfälzischen Gesundheitsämtern eingeführt werden soll. Denn bei einigen Ämtern, erklärt die Pressesprecherin des Landesbeauftragten für den Datenschutz und Informationsfreiheit (LfDI), Ines Bayer, sei die Software schon seit Längerem im Einsatz, allerdings in sehr unterschiedlichen Konfigurationen. Um das Programm nun in einer einheitlichen Form einführen zu können, werde es getestet. Auf dem Prüfstand steht dabei nicht nur das Programm an sich, sondern auch die Konfiguration, die vom Gesundheitsministerium vorgegeben wird.

Nach dem Bericht bei „Zeit Online“ habe der LfDI sich des Themas angenommen und sich das Programm vom Hersteller zeigen lassen. Bei der Präsentation sei mit Testdaten gearbeitet worden, Fantasiedaten also, die nur wie echte Daten aussehen. Ein wichtiger Punkt, der auch die noch bis September andauernde Projektphase betrifft. Denn laut Mikroprojekt wird das Programm in der vom Land vorgesehenen Konfiguration „derzeit bei keinem Gesundheitsamt in Rheinland-Pfalz im Echtsystem genutzt“. Heißt: Bei der Aufdeckung von Sicherheitslücken sind wahrscheinlich keine realen Gesundheitsdaten von Bürgern im Spiel gewesen, jedenfalls nicht nach Kenntnis der Herstellerfirma.

Daten sollen verschlüsselt gespeichert werden

Die Gesundheitsämter speichern eine ganze Reihe von personenbezogenen Daten, wie die LfDI-Pressesprecherin erklärt; meldepflichtige Infektionen beispielsweise, wie während der Corona-Pandemie geschehen, damit die Ämter bei Bedarf auch personenbezogen reagieren könnten. Weitere Anwendungsfelder für solche Daten seien amtsärztliche Gutachten und Untersuchungen – beispielsweise bei Schulbeginn –, Impfungen und der Sozialpsychiatrische Dienst, der über bestehende oder vermutete psychische Erkrankungen von Bürgern Bescheid weiß. Gespeichert werden diese Daten jeweils in der Verantwortung der Kreisverwaltungen, bei denen die Gesundheitsämter angesiedelt sind.

Gelangen Hacker in den Besitz der Daten, sollten sie im Normalfall nichts damit anfangen können. Gemäß den Vorgaben der Datenschutzgrundverordnung sind die Daten nämlich verschlüsselt zu speichern.