Frau B. darf nicht sprechen. Jedenfalls nicht über ihren Nebenjob. Ob es vielleicht ein Problem sein könnte, dass sie fürs Gesundheitsamt arbeitet und gleichzeitig für eine Firma, die dem Amt Software verkauft? Frau B. ist am Telefon freundlich und verbindlich, so wie man sich als Bürgerin eine Mitarbeiterin im Gesundheitsamt wünscht. Aber zu ihrer Tätigkeit bei der Mikroprojekt GmbH gibt sie keine Auskunft. Die Firma verdient mehrere Millionen Euro damit, dass sie den Gesundheitsämtern in Rheinland-Pfalz Software verkauft. Software, die Daten von Bürgerinnen und Bürger gefährdete. Gerade erst hat Mikroprojekt einen neuen öffentlichen Millionenauftrag bekommen – ganz ohne Ausschreibung.

Wenn der Verdacht aufkommt, dass ein Elternteil sein Kind schlägt oder wenn jemand zwangsweise in die Psychiatrie eingewiesen wird, dann speichern die Gesundheitsämter in Rheinland-Pfalz diese Information in einer Datenbanksoftware, die von der Mikroprojekt GmbH entwickelt wurde. Bereits im November deckte ZEIT ONLINE auf, dass diese Software, Mikropro Health, gravierende Sicherheitslücken aufwies. Mitarbeiter konnten auf Informationen zugreifen, zu denen sie eigentlich keinen Zugang haben sollten. Passwörter waren schlecht gesichert, Daten nicht nach dem aktuellen Stand der Technik verschlüsselt. 

Trotzdem soll Mikropro Health in Zukunft in allen Gesundheitsämtern in Rheinland-Pfalz verwendet werden. Auch intern warnten Fachleute vor den Problemen mit der Software, das zeigten Dokumente, die ZEIT ONLINE einsehen konnte. Und dennoch: "Die Verantwortlichen ignorieren Empfehlungen und Sicherheitsbedenken", sagte eine mit der Sache vertraute Person damals.

Wer sich viel mit IT-Sicherheit und öffentlicher Verwaltung beschäftigt, stößt häufig auf das gleiche Muster: Die Umsetzung ist nicht optimal, irgendwo im Prozess sind Sicherheitslücken, beispielsweise in der verwendeten Software, in der Architektur der Systeme oder der Art, sie zu nutzen, sodass Daten nicht gut vor unberechtigtem Zugriff geschützt sind. Immer wieder geraten aufgrund schlechter Sicherheit sogar Daten von Bürgerinnen und Bürgern in die Hände von Cyberkriminellen.

Wäre die öffentliche Verwaltung ein privates Techunternehmen, würde man den Betroffenen empfehlen, zu einem anderen Anbieter zu wechseln. Das geht aber freilich nicht: Hier haben Bürgerinnen und Bürger keine Wahl, sie müssen ihre Daten in im Zweifel unsichere Systeme geben – und dabei sind das durchaus sensible Daten, nicht nur die eigene Adresse, sondern auch Gesundheitsdaten und vieles mehr.

Wieso halten die Gesundheitsämter an dieser Software fest?

Umso wichtiger ist die Frage: Warum geht das nicht besser? Ein landesweites Projekt in Rheinland-Pfalz, in das aktuell viele Millionen Fördergelder des Bundes investiert werden, gibt Einblick in Strukturen hinter fragwürdigen Entscheidungen in Behörden. Denn es gibt andere Software, die ähnliches kann. Wieso halten die Gesundheitsämter in Rheinland-Pfalz so störrisch an Mikropro Health fest? Dafür liefern ZEIT-ONLINE-Recherchen nun Anhaltspunkte.

Das erste Indiz ist der Nebenjob von Frau B. Seit mehr als 25 Jahren arbeitet Frau B. im Gesundheitsamt in Trier. Als Chefsekretärin sei sie sehr glücklich mit ihrem Job, sagte sie vor einigen Jahren in einem kurzen Zeitungsinterview. Frau B. gilt als engagiert und stets hilfsbereit, so erzählt es ein Insider ZEIT ONLINE. Immer wenn jemand eine Frage oder ein Problem mit Mikropro Health hat, sei sie zu Stelle. Sie berate auch andere Gesundheitsämter zu der Software und bringe ihr Wissen im Landesprojekt ein.

Dabei geht Frau B.s Engagement möglicherweise hinaus über die reine Hilfsbereitschaft einer Person, die eine Software gut kennt und nun ihren Kollegen zeigt, wo sie klicken müssen. Sie fungiere als eine zentrale Ansprechpartnerin im Projekt, berichtet die Quelle, als inoffizielle Schnittstelle zwischen Mikroprojekt und Behörden. Sie vertritt das Gesundheitsamt Trier hin und wieder in einer exklusiven landesweiten Projektgruppe, die (zumindest hin und wieder) Entscheidungen für das Landesprojekt und damit für 22 weitere Gesundheitsämter trifft. Nur ein weiteres Gesundheitsamt ist neben Trier-Saarburg in der Gruppe vertreten. Im Landesprojekt hat man sich unter der Federführung des Gesundheitsministeriums entschieden, dass alle Gesundheitsämter in Rheinland-Pfalz das System nach dem Vorbild Triers übernehmen. 

Dass in genau diesem Gesundheitsamt Frau B. arbeitet, die von genau jenem Unternehmen bezahlt wird, das von dem landesweiten Projekt profitiert, ist intern kein Geheimnis. Sowohl das Ministerium als auch die Kreisverwaltung bestätigen, dass die Mitarbeiterin auch für die Mikroprojekt GmbH arbeitet. Ein Problem sehen beide nicht darin.

Die Nebentätigkeit sei der Kreisverwaltung "ordnungsgemäß angezeigt und genehmigt" worden, schreibt die Pressestelle, "wir sehen keine kritischen oder problematischen Inhalte in dieser Nebentätigkeit." Die Mitarbeiterin betreue im Gesundheitsamt die Umsetzung der fachspezifischen IT-Anwendungen und führe amtsinterne Schulungen der Fachanwendungen durch. Die Projektgruppe des landesweiten Projektes, in der das Gesundheitsamt und damit auch die betroffene Mitarbeiterin im Vertretungsfall sitzt, treffe "keine strategischen oder finanziellen Entscheidungen". Das widerspricht zumindest teilweise der Antwort des Gesundheitsministeriums auf Nachfragen zur Rolle der Projektgruppe. Diese treffe durchaus Entscheidungen, zumindest "bei abweichenden fachlichen Auffassungen".

Frau B. und ihr Nebenjob sind keine Beweise für eine Verschwörung oder für Bestechung. Die Konstellation ist ungewöhnlich, aber wohl nicht illegal. Der Einfluss von Frau B. zumindest offiziell begrenzt. Aber es zeigt, welche Beharrungskräfte in der Verwaltungsdigitalisierung mitunter wirken: Eine Softwarefirma, deren Mitarbeiterin auch beim Kunden – der Behörde – arbeitet, hat sicher einen Vorteil im Wettbewerb mit anderen Firmen, die ähnliche Programme anbieten.

Mikroprojekt hat das wohl verstanden, denn es gibt mindestens einen weiteren ähnlichen Fall, der zeigt, dass die Firma offenbar für gute Kontakte in Behörden sorgt: In einem internen Protokoll vom Januar 2023 ist zu lesen, dass ein Mitarbeiter des Gesundheitsamts Cochem-Zell nun bei der Mikroprojekt GmbH arbeite. Die Pressestelle der Kreisverwaltung Cochem-Zell bestätigte gegenüber ZEIT ONLINE, dass der betreffende Mitarbeiter zum 31. Dezember 2022 ausgeschieden sei. "Anschlussbeschäftigungen ehemaliger Mitarbeiter entziehen sich unserer Kenntnis", schreibt die Behörde. Eine Nebentätigkeit habe er nicht gemeldet gehabt. Hat Mikroprojekt ihn abgeworben für das Landesprojekt, das offiziell am 1. Oktober 2022 startete? Das Gesundheitsamt Cochem-Zell fungiert in dem Projekt laut Protokollen als "Pilot".

Die Rolle des obersten Datenschützers

Aber es gibt noch weitere Puzzleteile. Auch wie mit Dieter Kugelmann umgegangen wurde, deutet darauf hin, dass es ein Interesse innerhalb der Behörden in Rheinland-Pfalz gibt, bei Mikroprojekt zu bleiben, obwohl deren Software technisch zu Wünschen übrig lässt.

Dieter Kugelmann ist der Landesbeauftragte für den Datenschutz (LfDI) in Rheinland-Pfalz. Im November entstand der Eindruck, er sei für den Einsatz der unsicheren Software in den Gesundheitsämtern mitverantwortlich. In den Unterlagen, die ZEIT ONLINE vorliegen, finden sich mehrere Hinweise von Fachleuten, dass das landesweite Projekt eine Software verwende, die nicht dem aktuellen Stand der Sicherheit und des Datenschutzes entspreche. Vertreter von Ministerien und Gesundheitsämtern antworteten auf diese Warnungen in mehreren Fällen mit der Aussage, dass die Datenschutzbehörde in den Prozess eingebunden und mit dem Vorgehen einverstanden sei.

An einem Vormittag im Februar scheint die Sonne hinter Kugelmann durchs Fenster. Neben ihm sitzt die Pressesprecherin seiner Behörde, auf der anderen Seite ein Jurist. Auch mit am Tisch sitzen zwei technische Mitarbeiter. Jeder von ihnen hat einen Ausdruck des ZEIT-ONLINE-Artikels vor sich, in dem auch gegen Kugelmann Vorwürfe erhoben werden: ein Landesdatenschützer, der angesichts dringender Warnungen von Fachleuten nicht eingreift, um die Daten der Bürgerinnen und Bürger zu schützen.

"Machen Sie überhaupt Ihren Job, Herr Kugelmann?" – "Wir haben erst durch Ihren Artikel davon erfahren, dass es diese Warnungen gab", sagt Kugelmann heute. Erst nachdem ZEIT ONLINE ihm Fragen per E-Mail geschickt hatte, habe er angefangen, beim Ministerium nachzufragen.

"Aber waren Sie nicht in das Projekt eingebunden, so wie es in den Unterlagen anklingt?" Das sei ein Missverständnis, sagt Kugelmanns Jurist Michael Heusel-Weiss. Die Datenschutzbehörde sei zwar von sich aus an das Ministerium herangetreten, als das Projekt startete und habe vorgeschlagen, es zu begleiten. "Das heißt aber nicht, dass das Ministerium die Verantwortung abgibt", sagt Heusel-Weiss. Es bedeute auch nicht, dass die Datenschutzbehörde bei allen Besprechungen dabei sei. Das sei nicht die Aufgabe und dafür gebe es auch bei Weitem nicht genug Kapazitäten.

Das Ministerium hätte selbst hellhörig werden müssen angesichts der Warnungen des externen Dienstleisters, sagt Kugelmann. "Wir erwarten von den Kollegen vom Gesundheitsministerium schon, dass sie Ahnung von Datenschutz haben", sagt er. "Es wäre eine gute Idee gewesen, sich an uns zu wenden." Er klingt dabei ein bisschen wie ein enttäuschter Lehrer, der eine schlecht benotete Klassenarbeit zurückgibt. Was hat man von einem Datenschutzbeauftragten, wenn man nicht einmal dann an ihn denkt, wenn ein vom Ministerium selbst beauftragter Dienstleister Gefahren für die Daten der Bürger anmahnt? 

Das Gesundheitsministerium Rheinland-Pfalz schreibt dazu auf Anfrage, dass der Landesdatenschutzbeauftragte von Beginn an "auf der Arbeitsebene" mit einbezogen gewesen sei. "Nach Eingang des von der externen IT-Beratungsfirma übersandten Dokuments mit möglichen Sicherheitsschwächen (unter anderem betreffend Rechte und Rollen) wurde zunächst die Firma Mikroprojekt GmbH eingebunden." Da diese signalisiert habe, das Thema angehen zu wollen, "erfolgte eine Beteiligung des LfDI zu diesem Zeitpunkt nicht".

Die Datenschützer bekamen statt der Warnung nur gelegentlich Fragen zu dem Projekt. An eine davon erinnert sich Jurist Heusel-Weiss gut, "die war so eng zugeschnitten", sagt er. "Ich konnte damals nicht wissen, dass diese noch eine solche Bedeutung bekommt." Sie lautete: "Ist es rechtlich unbedingt nötig, dass der sozialpsychiatrische Dienst eine separate Datenbank bekommt?" Die Antwort lautete: "Nein".

Wurde Kugelmann absichtlich getäuscht?

Im Nachhinein wirkt diese Frage, als hätte jemand Kugelmann eine Falle gestellt. Denn nun konnte man sagen: Der oberste Datenschützer gibt sein Okay, wir brauchen keine separate Datenbank. Allerdings hatten die Fragesteller eine entscheidende Information weggelassen.

Ein zentrales Problem der Software von Mikroprojekt war nämlich die sogenannte Rollen-und-Rechte-Verwaltung, ein grundlegendes Instrument für den Datenschutz und die Sicherheit von IT-Systemen. Es regelt, wer welche Informationen sehen und bearbeiten darf. Das ist wichtig, denn eine Behördenmitarbeiterin, die einen Verdachtsfall eines vernachlässigten Kindes bearbeitet, muss beispielsweise nicht wissen, welche Bürger sich mit einer Krise an den sozialpsychiatrischen Dienst gewandt haben. Probeläufe mit Mikropro Health zeigten, dass zu viele Unbeteiligte Einblick in sensible Daten hatten.

Als klar wurde, dass das technisch mit der Software von Mikroprojekt nicht lösbar zu sein schien – auch das konnte ZEIT ONLINE in den Unterlagen nachvollziehen – schlugen vom Ministerium beauftragte Fachleute vor, dann besser getrennte Datenbanken anzulegen. So könnten die jeweiligen Fälle vor den neugierigen Blicken Unbefugter geschützt werden. Das ist eine Notlösung, aber sie hätte immerhin das konkrete Problem gelöst.

Doch dieser Vorschlag wurde abgelehnt mit dem Argument: Die Landesdatenschutzbehörde befürwortet eine einzelne Datenbank. Heusel-Weiss erinnert sich, wie er angesichts der ZEIT ONLINE Recherche zum ersten Mal vom Hintergrund der Frage erfuhr: "Wir wurden kalt davon erwischt." Denn vor dem Hintergrund eines nicht funktionierenden Rollen-Rechte-Konzepts sei seine Empfehlung freilich anders ausgefallen. Erst jetzt, nachdem die Datenschutzbehörde aufgrund der Recherchen von ZEIT ONLINE intensiver nachgefragt hat, wurde das Problem offenbar technisch behoben. Das bestätigen die beiden IT-Fachleute Kugelmanns: Einen ganzen Tag lang habe man mit der Mikroprojekt GmbH zusammengesessen und sich zeigen lassen, wie deren Software funktioniere. Dabei sei es möglich gewesen, Rollen und Rechte wie gewünscht zu organisieren.

Datenschutz gilt als kompliziert

Aber wie kam es überhaupt dazu? Warum schiebt jemand den Datenschützer vor, um zu verhindern, dass eine zweite Datenbank angelegt wird? Und überhaupt: Wieso wurde nie überlegt, Mikropro Health durch eine andere Lösung zu ersetzen, die möglicherweise besser gesichert ist und die keine Workarounds benötigt?

Ein Teil der Antwort ist wohl, dass Datenschutz keine Priorität hat. Protokolle lassen erahnen, dass die Behörden die Arbeit mit einer Datenbank anstatt zweien einfach unkomplizierter fanden. Tatsächlich zeigt der Fall in Rheinland-Pfalz, dass es in Behörden keine allzu ausgeprägte Sensibilität dazu gibt, welche Daten auf welchem Weg an wen übermittelt werden dürfen. Die Landesdatenschutzbehörde bestätigt, dass manche Gesundheitsämter ganze Datenbanken mit sensiblen Informationen über Bürger mit Dienstleistern geteilt haben. Auch ein sogenannter SQL-Editor, ein Programmiertool, das von Mikroprojekt nur für den Supportfall vorgesehen sei und weitreichende Zugriffsrechte beinhaltet, sei von den Ämtern auch für andere Zwecke verwendet worden. "Wir haben den Ämtern gesagt, dass das nicht in Ordnung ist", sagt Datenschützer Kugelmann.

Eine weitere Erklärung scheint zu sein, dass es einfacher ist, bei dem zu bleiben, was man schon hat, selbst wenn das nicht die beste Lösung ist. 

Auch hier führt die Spur wieder nach Trier – jenem Amt, in dem Frau B. arbeitet. Das Gesundheitsministerium schreibt auf Anfrage, man habe sich für die Konfiguration aus Trier entschieden, weil das Amt bereits viel Erfahrung mit Mikroprojekt hatte: Dort seien bereits "mehrere aktuelle Softwaremodule im Einsatz" gewesen. Das bestätigt das Gesundheitsamt gegenüber ZEIT ONLINE: Man arbeite seit dem Jahr 2000 mit der Software von Mikroprojekt. Man habe sich einst dafür entschieden, unter anderem da diese benutzerfreundlich und günstig gewesen sei. Überprüft habe man diese Entscheidung in den 24 Jahren seither nicht, auch das Konkurrenzangebot habe man nicht analysiert. "Bei dem gut funktionierenden IT-Ablauf und an die Bedarfe unseres Gesundheitsamts angepassten Softwareprodukts war ein Wechsel weder sinnvoll noch erforderlich", ließ die Pressestelle verlauten. "Ein Produktwechsel hätte in jedem Fall einen erheblichen Mehraufwand mit sich gebracht und wäre daher auch nicht verhältnismäßig gewesen."

Das allerdings könnte ein voreiliger Schluss sein. Denn Menschen neigen dazu, die Kosten zu unterschätzen, die entstehen, wenn man ein System am Laufen hält. "Never change a running system" kann eine Sackgasse sein – spätestens dann, wenn durch unsichere Software Daten an Kriminelle gelangen. 

Das beruht auf einem bekannten Effekt, auf den Menschen immer wieder hereinfallen: Die sogenannte Sunk Cost Fallacy, der Fehlschluss, dass bereits entstandene ("versenkte") Kosten eine Rolle bei Entscheidungen spielen sollten. "Da habe ich schon so viel Geld reingesteckt, jetzt kann ich das Auto doch nicht verschrotten", stöhnt der Gebrauchtwagenbesitzer. Also steckt er noch mehr Geld in Reparaturen, und so wird es immer teurer und gefühlt alternativloser. Dabei bleibt die Kalkulation, ob sich ein Neuwagen lohnt, genau gleich – egal, wie hoch die Kosten vorher waren. 

Ein öffentlicher Millionenauftrag ohne Ausschreibung

So ähnlich ist man in Rheinland-Pfalz offenbar auch das Softwarethema angegangen. Das zumindest kann man aus den Antworten des Ministeriums auf die Frage herauslesen, wieso der Auftrag für die Software für das landesweite Projekt nicht öffentlich ausgeschrieben wurde.

Laut Projektantrag sind insgesamt mehr als 18 Millionen Euro dafür vorgesehen, das Softwareprojekt landesweit zu vereinheitlichen. Mehr als drei Millionen davon sollen laut den ZEIT ONLINE vorliegenden Unterlagen an die Mikroprojekt GmbH gehen. Ein öffentlicher Millionenauftrag ohne Ausschreibung?

Das sei vergaberechtlich geprüft worden, schreibt das Gesundheitsministerium: Es gebe "nachvollziehbare, objektive und auftragsbezogene Gründe", weshalb Mikroprojekt den Zuschlag ohne Ausschreibung bekommen habe. Man habe sich auf Mikroprojekt festgelegt, "da nur die Firma Mikroprojekt GmbH objektiv in der Lage ist, die erforderlichen Wartungs- und Supportleistungen zur Verfügung zu stellen".

Nanu, gibt es keine Wettbewerber? Mikroprojekt wird zwar in vielen Bundesländern genutzt, aber nicht in allen. Es muss also eine Alternative geben – wieso wurde diese nicht geprüft? Hier lautet die Antwort des Ministeriums ähnlich wie die des Besitzers eines alten Autos: Mikroprojekt war halt schon da. 

Die Gesundheitsämter hätten bereits eigene Verträge mit Mikroprojekt gehabt, diese würden vom Landesprojekt nicht berührt. Von daher gehe es lediglich um die "Ertüchtigung der vorhandenen Software auf einen einheitlichen Standard mit einheitlicher Konfiguration", was "als vergaberechtskonform beurteilt" worden sei, insbesondere auch vor dem Hintergrund einer "aufwendigen Neuimplementierung und einer komplexen, erforderlich werdenden Datenmigration". Lediglich was an zusätzlichem Aufwand dazukäme, wäre Sache des Ministeriums. So erhält also ein Unternehmen einen öffentlichen Millionenauftrag ohne Ausschreibung. 

Ist Mikroprojekt objektiv der richtige Dienstleister? Das kann sein. Vielleicht erledigt die Software die Aufgaben tatsächlich besser als die der Konkurrenz, oder ebenso gut und billiger. Vielleicht ist es aber auch vor allem der Dienstleister, der schon immer da war und der eine Mitarbeiterin hat, die auch im Gesundheitsamt arbeitet. In einer öffentlichen Ausschreibung wäre das überprüft worden. Angesichts der Lücken, die sich während des Projektes zeigten, wäre das wohl eine gute Idee gewesen.