Datenschützer-Kritik an Digital Health Anwendungen

Die Pandemie bietet in Sachen Datenschutz und Digitalisierung eine Menge Diskussionspunkte. Und die spiegeln sich jetzt auch in dem traditionell umfangreichen und „gesundheitssystemfreudigen“ Bericht der Berliner Datenschutzbeauftragten.

SORMAS X pfui…

Gleich am Anfang kommt das heiße Eisen Kontaktnachverfolgung und damit die Einführung der HZI-Software SORMAS, die in den Berliner Gesundheitsämtern ab 2020 erfolgte. Hier stand im Berichtszeitraum die Einführung der zentral betriebenen, für eine ämterübergreifende Kontaktnachverfolgung besser geeignete Version SORMAS X an, die in einigen Ländern zuvor pilotiert worden war.

Die Berliner Datenschützer waren als Berater der Senatsverwaltung beim Berliner SORMAS-Projekt aktiv. Die Bilanz ist wenig schmeichelhaft für das HZI: „Entgegen seiner Zusagen war der Projektentwickler HZI im Laufe dieses Jahres nicht in der Lage, die erheblichen Defizite der Software zu beseitigen, auf die die Aufsichtsbehörden hingewiesen hatten. Fristen wurden nicht eingehalten und Dokumente nicht wie gefordert vorgelegt.“

Wesentliche Kritikpunkte der Aufsichtsbehörden betrafen den Umfang der mit der Software zu verarbeitenden Daten, außerdem fehlende oder unvollständige Löschfunktionen, das Berechtigungsmanagement und die Absicherung von Schnittstellen nach außen. Am Ende schmissen die Berliner Datenschützer hin: „Wir haben uns aufgrund der mangelnden Kooperationsbereitschaft des HZI dazu entschlossen, uns aus dem Beratungsprozess zurückzuziehen.“ Eine Beteiligung der Berliner Gesundheitsämter an SORMAS X könne derzeit nicht empfohlen werden. Ausdrücklich wird darauf hingewiesen, dass die bisherige SORMAS-Version von dieser Einschätzung nicht betroffen ist.

CovPassCheck-App hui…

Ein deutlich besseres Zeugnis als SORMAS X erhalten die digitalen Impfzertifikate. Hier war zwar beim Vergabeportal eine potenzielle Datenpanne identifiziert worden, die dazu geführt hatte, dass das Portal überarbeitet werden musste. Prinzipiell sehen die Datenschützer den Umgang mit den digitalen Impfzertifikaten aber als vorbildlich an. Die CovPassCheck-App wird gelobt, ein missbräuchliches Einlesen von nicht erlaubten Daten durch Veranstalter sei nicht möglich.

Zahlreich seien auch 2021 die Anfragen zu und Beschwerden über Termin-Tools von Arztpraxen gewesen, so die Berliner Datenschützer. Eine häufige Frage betrifft das Thema Einwilligung der Patient:innen. Die sei nicht erforderlich, wenn das Terminverwaltungsunternehmen ein Auftragsdatenverarbeiter der Arztpraxis ist, so die Datenschützer. Anders sehe es aber aus, wenn Patient:innen per Mail oder SMS an Termine erinnert werden sollen. Das gehe nur mit ausdrücklicher Einwilligung. Den medizinischen Einrichtungen empfehlen die Berliner Datenschützer, sich entweder extern beraten zu lassen oder auf gängige Datenschutz- oder Informationssicherheitszertifizierungen der Unternehmen zu achten.

Kritisiert wird von den Berliner Datenschützern im Zusammenhang mit Terminportalen auch, dass teilweise den Verpflichtungen zur Datenlöschung nicht oder nur verzögert nachgekommen werde. Richteten Patient:innen bei einer Termin-Software ein Nutzerkonto ein, dann gebe es ein Vertragsverhältnis zwischen Patient:innen und Unternehmen. Werde das Vertragsverhältnis gekündigt, dann gehe das in der Regel mit der Verpflichtung zur unverzüglichen Datenlöschung einher.

Kritik an Berliner Terminbuchungspraxis in der Impfkampagne

Noch etwas anders war die Situation bei der Online-Terminbuchung für die COVID-Impfungen, die das Land Berlin mit dem Dienstleister und Terminbuchungsspezialisten Doctolib abwickelte. Hier sei das Unternehmen Auftragsverarbeiter der Senatsverwaltung. In einem solchen Kontext dürfe die Datenverarbeitung nur im Rahmen der Weisung der Auftraggeberin erfolgen, so die Datenschützer. Die angelegten Nutzerkonten dürften dann keinesfalls zu eigenen Zwecken des Unternehmens genutzt werden: „Es ist für uns unverständlich, dass die zuständige Senatsverwaltung unsere wiederholten Hinweise zur Art und Weise der Einbindung des Unternehmens als Auftragsverarbeiter für die Terminbuchung in den Impfzentren bisher ignoriert hat“, heißt es im Datenschutzbericht.

Das Ganze schlug in Berlin insofern Wellen, als der Tagesspiegel daraus eine Titelgeschichte mit der Überschrift „Datenkrake Doctolib“ machte. Der Artikel blieb Belege für konkreten Datenmissbrauch aber schuldig, es bewegte sich diesbezüglich alles im Konjunktiv. Doctolib wies die Berichterstattung in einer Stellungnahme dann auch als „falsch“ zurück und verwies darauf, dass das Portal mit seinen 3,6 Millionen vermittelten Impfterminen maßgeblich am Erfolg der (viel gelobten) Berliner Impfkampagne beteiligt gewesen sei.

Stellungnahme Doctolib zu den Vorwürden im Tagesspiegel: