Hintergrund
Auch im Zuge der Corona-Pandemie wurde viel über SORMAS diskutiert, dass Gesundheitsämter landesübergreifend das Tool „SORMAS“ nutzen könnten, welches zur Kontaktnachvervolgung genutzt werden könnte und so bspw. der Fax-Einsatz vermindert werden könnte. Das ganze schaffte es sogar in die ZDF-Kabarett-Show „Die Anstalt”.
Sormas und andere Technologien , erklärt folgendes Zitat:
Das Deutsche Elektronische Melde- und Informationssystem für den Infektionsschutz (DEMIS) muss erst seit dem 1. Januar 2021 verpflichtend genutzt werden. Das Surveillance Outbreak Response Management and Analysis System eXchange (SORMAS-X), das – im Gegensatz zu bislang eingesetzten Systemen, wie z. B. SORMAS Local (SORMAS-L) – eine landkreisübergreifende Nachverfolgung von Kontaktketten ermöglicht, befindet sich noch immer in der Testphase.
aus einer Antwort der Bundesregierung auf eine kleine Anfrage der Grünen (Drucksache 19/27503)
Kritik gab es daran, dass es es nicht überall eingeführt wurde:
Laut dem Helmholtz-Zentrum hatten am 26. Februar 2021 lediglich 250 von 375 Gesundheitsämtern SORMAS installiert. Laut einer Umfrage des ARD Magazins Kontraste, war SORMAS Ende Februar 2021 lediglich bei 90 Gesundheitsämtern in Betrieb. Bei den übrigen Gesundheitsämtern wurde es noch nicht aktiv genutzt und befand sich im “Testbetrieb”.[23]
Nach Webseite des COVID-19 Moduls von ORMAS haben aktuell 347 Sormas installiert.
Was später noch wichtig wird: Das gesamte System ist open-source. Es wird vom Helmholtz-Zentrum für Infektionsforschung entwickelt.
Datenschutz-Problematik
Seitens des Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDIs) Baden-Württemberg wurde in sozialen Medien die Datenschutzkonformität von Sormas trotz der auf der Herstellerwebseite angegebenen Nachweise zumindest angezweifelt, während gleichzeitig die bisher nicht-quelloffene App „Luca“ empfohlen wurde.
Die FAQ von Sormas selbst sagt dazu:
SORMAS-X, DEMIS, SurvNet, andere IfSG-Fachanwendungen sowie das Climedo Syptomtagebuch arbeiten über Schnittstellen zusammen, sind aber als separate Produkte zu betrachten. Das Helmholtz Zentrum für Infektionsforschung verantwortet die Datenschutzkonzepte für SORMAS-X, SORMAS-SB und SORMAS-XL und SORMAS-SB und legt die diesbezüglichen Datenschutzunterlagen in der fortlaufend aktualisierten Fassung dem Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BFDI) und den Datenschutzbeauftragten der Länder zur Prüfung vor.
Also: Datenschutzkonzept? Anfragen!
Nach einer gescheiterten Anfrage beim BfDI, aus Versehen ans BMI, an die Helmholtz-Zentrum für Infektionsforschung GmbH sowie schließlich an das BMG wissen wir: Niemand will es herausgeben.
Gemäß § 1 Abs 1. Satz 3 IFG i.V.m. § 7 Abs. 1 S. 2 müsste hierfür das BMG schlussendlich tatsächlich zuständig sein, denn es bedient sich zur Erfüllung der Aufgaben dem Helmholz-Institut.
Sicherheit? Wie jetzt?!
Deswegen ist die Ablehnung des Bundesministeriums für Gesundheit relevant.
Die Argumente sind:
-
Betriebs- und Geschäftsgeheimnisse… klar…
-
vermischt wird dies, mit dem folgenden IT-Sicherheits-Argument:
Das Öffentlich-Werden der Datenschutzdokumentationen stelle ein potentielles erhebliches Sicherheitsrisiko für das ganze Projekt dar. In Bezug auf Datenschutzdokumentation und Dokumentation zu IT-Sicherheit kann schon die Information geheimhaltungsbedürftig sein, dass bestimmte Dokumente zu bestimmten Themen überhaupt bestehen.
(Hervorhebung von mir)
Weiter heißt es:
Veröffentlichung erhöht die Gefahr potenzieller Angriffe und stellt damit ein Risiko für Datenschutz und -sicherheit dar. Daher ist nachvollziehbarerweise eine Geheimhaltung der beantragten Dokumente erforderlich.
(Hervorhebung von mir)
Schließlich wird geschlussfolgert, dass der Ausschlussgrund der Gefährdung der öffentlichen Sicherheit zutreffen würde.
DIe Erklärung geht soweit, dass man durch einen potentiellen „Cyber-Angriff” die „informationelle Selbstbestimmung“ von BürgerInnen verletzen würde:
Daneben besteht ein öffentliches Interesse an der Geheimhaltung der angeforderten Dokumente gemäß $ 3 Nummer 2 IFG, da mithilfe von SORMAS durch die Gesundheitsämter auch gesundheitsbezogene Daten der Bürgerinnen und Bürger verarbeitet werden, Die subjektiven Rechte des Einzelnen gilt es im Sinne der öffentlichen Sicherheit zu schützen. Die Veröffentlichung würde das Recht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger betreffen, sofern die skizzierten Risiken potentieller Cyber-Angriffe eintreten.
(Hervorhebung von mir)
Wie bitte?
Nochmal als Hinweis: Das gesamte System ist Open-Source! Wie kann man da auf Geheimhaltung aka „Security through obscurity” setzen?
Das ist alles andere als „nachvollziehbar”…
Insbesondere, da doch wohl abgesehen von vlt einigen organisatorischen oder die Server/Netzwerkinfrastruktur betreffenden Dingen – sofern vorhanden – ja wohl kaum mehr Informationen aus den Datenschutzberichten heraus zu lesen werden, als sowieso schon veröffentlicht sind?
Fragen
Denkt ihr, es lohnt sich hier ein Widerspruch?
Ich habe (auch aufgrund der obigen Drucksache) gemerkt, dass es offenbar weitere Sormas-* Versionen gibt, insbesondere “SORMAS-L”. Wer das Datenschutzkonzept verwaltet, ist aber unklar…
Meint ihr, man könnte die Anfrage jetzt noch darauf ausweiten, im Widerspruchsverfahren?
Ich würde im folgenden dann mal Argumente sammeln/einen Widerspruchsentwurf schreiben.