IT und Verwaltung Software im öffentlichen Gesundheitsdienst: Viel Geld und wenig Sicherheit?

06. April 2024, 04:57 Uhr

Eine problematische Software in Gesundheitsämter hat es gezeigt und Experten bestätigen es: Beim Software-Einkauf machen kommunale Verwaltungen schnell Fehler. Dabei sind die Anforderungen auf dem Papier oft sehr deutlich formuliert. Woran liegt es, dass bei der Verwaltungsdigitalisierung Anspruch und Wirklichkeit soweit auseinander liegen?

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

In einer Antwort zur problematischen Software Mikropro, die in sieben Gesundheitsämtern in Thüringen und Sachsen-Anhalt genutzt wird, schreibt Thüringens Finanzministerium stolz: Die Landesregierung stellt den Landkreisen 67 Millionen Euro für die Digitalisierung ihrer Gesundheitsämter zur Verfügung – zusätzlich zu dem Teil, der ihnen aus den 800 Millionen schweren Fördertopf des Bundes zusteht.

Thüringens Gesundheitsministerium will allen Gesundheitsämtern noch in diesem Jahr eine einheitliche Software anbieten. Im Rahmen der "Plattform eGesundheitsamt" soll außerdem ein Portal für Gesundheitsämter und Bürger, ein Kollaborationstool für die öffentliche Gesundheitsverwaltung und ein Datawarehouse entstehen. Gesundheitsämter sollen so entlastet, besser vernetzt und die Beschäftigten dort zufriedener werden.

Software: Jeder Landkreis muss sich selbst eine suchen

Dabei muss die Landesregierung die Kommunen mitnehmen. Denn jeder Landkreis und jede kreisfreie Stadt hat ein Gesundheitsamt und entscheidet eigenverantwortlich, welche Software dort eingesetzt wird. In den 22 Gesundheitsämtern in Thüringen kommen bislang insgesamt nur drei verschiedene zentrale Software-Produkte zum Einsatz: Mikropro, Octoware und ISGA. Für solche Fach-Software ist die Zahl der Anbieter oft klein.

In seinem Plan, die Gesundheitsämter digitaler zu machen, legt Thüringens Gesundheitsministerium Wert auf IT-Sicherheit und Datenschutz: In dem fast 100 Seiten langen Papier hat es mehr als 230 Kriterien gelistet, die erfüllt werden sollen – in 15 davon geht es um IT-Sicherheit und Datenschutz. So heißt es in Anforderung 165 zum Beispiel: "Der Auftragnehmer beseitigt relevante Schwachstellen in der Software. Die Beseitigung muss durch eine Wiederholung des Sicherheitstests nachgewiesen werden."

Digital leben

Alle anzeigen (85)

Problematische Software zeigt, woran Verwaltungsdigitalisierung scheitert

Eine Person, die mit der Digitalisierung des öffentlichen Gesundheitsdiensts vertraut ist und anonym bleiben möchte, sagte dem MDR, dass zum Beispiel die Software Mikropro die Anforderung von Thüringen nicht erfüllt.  "Diese Software wurde bisher unzureichend Sicherheitstests unterzogen. Mit ihr ist keine datenschutzkonforme Arbeitsweise möglich. Eine Datenschutzfolgeabschätzung kann man nicht vorlegen." Mikropro wird in fünf Gesundheitsämtern in Thüringen und in zwei in Sachsen-Anhalt eingesetzt oder erprobt.

Die Firma Mikroprojekt aus Kaiserslautern, die Mikropro entwickelt, hat auf detaillierte Fragen des MDR nicht geantwortet. Die IT-Verantwortlichen in den Landkreisen müssten die Software entsprechend konfigurieren – so ließen sich die Probleme beheben.

Der Landkreis Harz in Sachsen-Anhalt nutzt Mikropro. Die Software erfülle verschiedene Anforderungen, schreibt der Landkreis und listet sie auf – Informationssicherheit und Datenschutz werden nicht erwähnt. In der Antwort des Landkreises Harz wird eine weitere Problematik offensichtlich: Dass es nur wenig Anbieter von Fach-Software gibt. "Im Ausschreibungsverfahren gab es nur einen Bewerber: Firma Mikroprojekt", schreibt der Landkreis. Ähnlich beim Landkreis Wittenberg: Mikropro wurde im Rahmen einer europaweiten Ausschreibung angeschafft. Dabei gab es drei Angebote.

Software-Einkauf von Verwaltungen: Fehleranfällig

Warum der Landkreis Wittenberg Mikropro nutzen will, begründet er so: "Der Zuschlag wurde auf das wirtschaftlichste Angebot nach Maßgabe folgender Kriterien erteilt: Preis, Leistung und Präsentation". Außerdem wurde geprüft, ob die Software in die bestehende IT-Infrastruktur passt. Für jedes Vergabeverfahren seien die Vorgaben des Datenschutzes ein Muss-Kriterium. Gleichzeitig schreibt der Landkreis Wittenberg zur Vergabe an Mikropro: "Eine Einbindung des Datenschutzbeauftragten in die Angebotsbewertung im hier durchgeführten Vergabeverfahren erfolgte nicht explizit."

Sachsen-Anhalts Digitalministerium macht keine Vorgabe, nach welchen Kriterien Gesundheitsämter Software kaufen sollen und unterstützt auch nicht bei der Auswahl. Das ist wegen "des gegebenenfalls erforderlichen Prüfungsaufwands nur sehr eingeschränkt möglich", schreibt das Digitalministerium und verweist auf das zuständige Gesundheitsministerium. Das kann nur allgemeine Kriterien benennen: "die Stärkung des öffentlichen Gesundheitsdienstes, die Interoperabilität, die Nachhaltigkeit sowie die IT-Sicherheit und der Datenschutz." Konkretere Informationen – wie die mehr als 230 Anforderungen in Thüringen – will Sachsen-Anhalts Gesundheitsministerium nicht geben - "aus Sicherheitsgründen".

Eva Wolfangel
"Zeit"-Journalistin Eva Wolfangel: Geht Verwaltungsdigitalisierung unter IT-Sicherheitsgesichtspunkten zu schnell? "Denn einfach so weitermachen, kann ja nicht sein." Bildrechte: Helena Ebel

Dass aber die echten Daten von Bürgerinnen und Bürgern bei Behörden nicht unbedingt sicher sind, zeigen etliche Beispiele. "Zeit"-Journalistin Eva Wolfangel, die zuerst über Mikropro berichtet hatte, sagt im MDR SACHSEN-ANHALT Podcast "Digital leben": "Ich habe zum Beispiel über den Hack vom Rheinpfalz-Kreis recherchiert und dabei die echten Daten der Bürgerinnen und Bürger im Darknet gesehen." Vielleicht müsste man in Verwaltungen überlegen, die Digitalisierung langsamer anzugehen, weil man es gerade nicht hinbekomme. "Denn einfach so weitermachen, kann ja nicht sein", sagt Wolfangel.

Fehlt ein Software-TÜV für Verwaltungen?

Der Mikropro-Fall zeigt: Wenn Behörden Software kaufen, sind Datenschutz und IT-Sicherheit nur zwei Kriterien. Außerdem können Behörden die Sicherheit einer Software nicht wirklich prüfen – sie müssen sich auf die Aussagen der Hersteller verlassen. Und jede Behörde ist dabei auf sich allein gestellt: Ob eine Software taugt oder nicht, muss in jedem Landkreis und jeder Gemeinde selbst entschieden werden. Das sei fehleranfällig, sagt Jürgen Stember im MDR SACHSEN-ANHALT Podcast "Digital leben". Stember ist Professor für Verwaltungswissenschaft an der Hochschule Harz und Mitglied in Sachsen-Anhalts Digitalrat.

Und Jürgen Stember hat an seiner Hochschule eine Art Software-TÜV eingerichtet – er nennt es WiFöLab: "Dort beraten wir anbieter-neutral zu Software, die Kommunen im Rahmen ihrer Wirtschaftsförderung einsetzen", sagt Stember. Kommunale Wirtschaftsförderer könnten dort einzelne Softwareprodukte vergleichen und sich intensiv damit auseinandersetzen. "Was wir in dem Lab für Software für die Wirtschaftsförderung machen, war auch für Software für andere Fachgebiete geplant."

Wenig Sinn für Datenschutz, IT-Sicherheit und ein Denkfehler in Ämtern

Die Person, die mit der Digitalisierung des öffentlichen Gesundheitsdiensts vertraut ist und im Fall Mikropro anonym bleiben möchte, sagte dem MDR: "Mikropro wird von der Verwaltung als vermeintlich günstig und einfach in der Bedienung bewertet." In der Verwaltung und in den Gesundheitsämtern hätten Datenschutz und IT-Sicherheit leider keinen besonders hohen Stellenwert. "Es mangelt an Kompetenzen. Und die Notwendigkeit für IT-Sicherheit und Datenschutz wird bei vielen Verantwortlichen nicht gesehen."

Dr. André Göbel, Präsident der FITKO
Marcel Roth spricht im Podcast mit dem amtierenden Landesdatenschützer Albert Cohaus, dem Datenschutz-Journalisten Ingo Dachwitz, mit dem MDR-Intel-Experten Dr. Sebastian Mantei und Dr. André Göbel 8im Bild), dem Präsidenten der FITKO. Bildrechte: FITKO Kathleen Friedrich

Die Person glaubt, dass es unter den wenigen Software-Produkten für Gesundheitsämter keine wirklich gute gibt. "Eine eigene Lösung zu entwickeln und eigene Anforderungen wie in Thüringen zu formulieren, ist ratsam." Außerdem weist sie auf einen Denkfehler hin: "Verwaltung tut sich schwer damit, bestehende Softwarelösungen durch neue, moderne und bessere abzulösen. Es wird damit argumentiert, dass Kosten entstehen und Veränderungsprozesse notwendig sind – das ist aber zu kurz gedacht."

Das Phänomen, an Projekten festzuhalten, weil Geld und Zeit hineingesteckt wurden, nennen Psychologen und Betriebswirtschaftler die "Versunkene-Kosten-Falle": Wer bereits viel investiert hat, der meint, es lohnt sich, daran festzuhalten. Dieser Denkfehler scheint auch ein Sinnbild für die Digitalisierung der deutschen Verwaltung zu sein: Digitale Projekte sind womöglich so oft nicht erfolgreich, weil sie in historisch gewachsenen staatlichen Strukturen betrieben werden.

MDR (Marcel Roth)

Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 08. April 2024 | 05:30 Uhr

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/75bf84e8-6a4a-4f89-aacc-c213b5399c42 was not found on this server.

Mehr aus Politik

Nachrichten

Endlager für radioaktive Abfälle in Morsleben. 1 min
Bildrechte: IMAGO / photothek
1 min 04.11.2024 | 20:34 Uhr

Nach einem neuen Bericht der Bundesgesellschaft für Endlagerung kommen noch 44 Prozent der Fläch Deutschlands für ein Endlager in Frage.

Mo 04.11.2024 19:03Uhr 00:31 min

https://www.mdr.de/nachrichten/deutschland/politik/video-endlager-atommuell-standort-deutschland-mitteldeutschland100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Video

Mehr aus Deutschland

Menschen schneiden ein Band durch 2 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK