Die Software für die Gesundheitsämter werde „in enger Abstimmung“ mit dem Datenschutzbeauftragten entwickelt, warb die zuständige Firma. Ganz so stimmte das nicht.
Fast nichts ist so sensibel wie Gesundheitsdaten – das weiß auch das Sozialministerium von Manfred Lucha (Grüne). Bei seinem Millionenprojekt zur Digitalisierung der Gesundheitsämter achtet es daher nicht nur darauf, dass die Vorgaben des Datenschutzes eingehalten werden. Auch über den Großauftrag an die niedersächsische Firma HBSN (Health Business Services Network) gibt es nur eingeschränkt Auskunft. Begründung des Ressorts: Wegen des Datenschutzes bestehe „auf Seiten des Landes ein erhöhtes Interesse an der Geheimhaltung der Vorgaben an das IT-Projekt und der vorgesehenen Schutzmechanismen“.
Deutlich weniger zurückhaltend ist die Firma selbst. Bei anderen potenziellen Kunden wirbt sie offensiv für die Software, die sie zusammen mit Luchas Ministerium und dem dort angesiedelten Landesgesundheitsamt gerade erst entwickelt. Eines der Argumente, die sie in einem Infoblatt hervorhebt, ist die Datensicherheit. Dort hieß es bis vor kurzem, die Anwendung werde „in enger Abstimmung mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI) entwickelt“. Sie entspreche allen Anforderungen des Datenschutzes und erfülle „die höchsten Standards“ des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Die schwer beschäftigte Behörde des Datenschutzbeauftragten Tobias Keber begleitet eine private Firma bei einer Software-Entwicklung? Auf Nachfrage klingt das bei einem LfDI-Sprecher ein wenig anders. Man unterstütze grundsätzlich die Digitalisierung im Gesundheitswesen und berate dabei das zuständige Sozialministerium, soweit dessen eigene Expertise nicht ausreiche. Mehr könne man mit Blick auf die Kapazitäten nicht leisten. „Wir beraten nicht unmittelbar die Firma selbst.“ Über den Stand der Entwicklung habe man keinen vollständigen Überblick, eine Einschätzung aus Sicht des Datenschutzes könne man nicht geben – auch nicht zur geplanten Zusammenführung aller Daten in einem großen Pool, Fachjargon: „data lake“. Ob es ein Plazet für die Nennung auf der HBSN-Webseite gab, beantwortet der Sprecher klar: „Eine Zustimmung haben wir nicht erteilt.“
Wie kam es trotzdem zu der Nennung? Bei HBSN zeigt man sich über die Zweifel verwundert. Der Datenschutzbeauftragte sei „definitiv ein Stakeholder“ in dem Projekt, betont der zuständige Geschäftsführer Rainer Schumacher, jegliche Interaktion zwischen den Beteiligten werde abgestimmt und sei „damit selbstverständlich autorisiert“. Doch auf dem Infoblatt wird die LfDI-Dienststelle inzwischen nicht mehr erwähnt. Dort heißt es nur noch, ÖGDigital – der Name des Projekts – werde „datenschutzkonform nach den gesetzlichen Vorgaben entwickelt“. Wie kam es dazu? Textliche oder graphische Änderungen seien „ein laufender Prozess im Marketing in unserem Unternehmen“, sagt Schumacher, mehr sage man nicht dazu.
