Frau B. darf nicht sprechen. Jedenfalls nicht über ihren Nebenjob. Ob es vielleicht ein Problem sein könnte, dass sie fürs Gesundheitsamt arbeitet und gleichzeitig für eine Firma, die dem Amt Software verkauft? Frau B. ist am Telefon freundlich und verbindlich, so wie man sich als Bürgerin eine Mitarbeiterin im Gesundheitsamt wünscht. Aber zu ihrer Tätigkeit bei der Mikroprojekt GmbH gibt sie keine Auskunft. Die Firma verdient mehrere Millionen Euro damit, dass sie den Gesundheitsämtern in Rheinland-Pfalz Software verkauft. Software, die Daten von Bürgerinnen und Bürger gefährdete. Gerade erst hat Mikroprojekt einen neuen öffentlichen Millionenauftrag bekommen – ganz ohne Ausschreibung.
Wenn der Verdacht aufkommt, dass ein Elternteil sein Kind schlägt oder wenn jemand zwangsweise in die Psychiatrie eingewiesen wird, dann speichern die Gesundheitsämter in Rheinland-Pfalz diese Information in einer Datenbanksoftware, die von der Mikroprojekt GmbH entwickelt wurde. Bereits im November deckte ZEIT ONLINE auf, dass diese Software, Mikropro Health, gravierende Sicherheitslücken aufwies. Mitarbeiter konnten auf Informationen zugreifen, zu denen sie eigentlich keinen Zugang haben sollten. Passwörter waren schlecht gesichert, Daten nicht nach dem aktuellen Stand der Technik verschlüsselt.
Trotzdem soll Mikropro Health in Zukunft in allen Gesundheitsämtern in Rheinland-Pfalz verwendet werden. Auch intern warnten Fachleute vor den Problemen mit der Software, das zeigten Dokumente, die ZEIT ONLINE einsehen konnte. Und dennoch: "Die Verantwortlichen ignorieren Empfehlungen und Sicherheitsbedenken", sagte eine mit der Sache vertraute Person damals.
Wer sich viel mit IT-Sicherheit und öffentlicher Verwaltung beschäftigt, stößt häufig auf das gleiche Muster: Die Umsetzung ist nicht optimal, irgendwo im Prozess sind Sicherheitslücken, beispielsweise in der verwendeten Software, in der Architektur der Systeme oder der Art, sie zu nutzen, sodass Daten nicht gut vor unberechtigtem Zugriff geschützt sind. Immer wieder geraten aufgrund schlechter Sicherheit sogar Daten von Bürgerinnen und Bürgern in die Hände von Cyberkriminellen.
Wäre die öffentliche Verwaltung ein privates Techunternehmen, würde man den Betroffenen empfehlen, zu einem anderen Anbieter zu wechseln. Das geht aber freilich nicht: Hier haben Bürgerinnen und Bürger keine Wahl, sie müssen ihre Daten in im Zweifel unsichere Systeme geben – und dabei sind das durchaus sensible Daten, nicht nur die eigene Adresse, sondern auch Gesundheitsdaten und vieles mehr.
Wieso halten die Gesundheitsämter an dieser Software fest?
Umso wichtiger ist die Frage: Warum geht das nicht besser? Ein landesweites Projekt in Rheinland-Pfalz, in das aktuell viele Millionen Fördergelder des Bundes investiert werden, gibt Einblick in Strukturen hinter fragwürdigen Entscheidungen in Behörden. Denn es gibt andere Software, die ähnliches kann. Wieso halten die Gesundheitsämter in Rheinland-Pfalz so störrisch an Mikropro Health fest? Dafür liefern ZEIT-ONLINE-Recherchen nun Anhaltspunkte.
Das erste Indiz ist der Nebenjob von Frau B. Seit mehr als 25 Jahren arbeitet Frau B. im Gesundheitsamt in Trier. Als Chefsekretärin sei sie sehr glücklich mit ihrem Job, sagte sie vor einigen Jahren in einem kurzen Zeitungsinterview. Frau B. gilt als engagiert und stets hilfsbereit, so erzählt es ein Insider ZEIT ONLINE. Immer wenn jemand eine Frage oder ein Problem mit Mikropro Health hat, sei sie zu Stelle. Sie berate auch andere Gesundheitsämter zu der Software und bringe ihr Wissen im Landesprojekt ein.
Dabei geht Frau B.s Engagement möglicherweise hinaus über die reine Hilfsbereitschaft einer Person, die eine Software gut kennt und nun ihren Kollegen zeigt, wo sie klicken müssen. Sie fungiere als eine zentrale Ansprechpartnerin im Projekt, berichtet die Quelle, als inoffizielle Schnittstelle zwischen Mikroprojekt und Behörden. Sie vertritt das Gesundheitsamt Trier hin und wieder in einer exklusiven landesweiten Projektgruppe, die (zumindest hin und wieder) Entscheidungen für das Landesprojekt und damit für 22 weitere Gesundheitsämter trifft. Nur ein weiteres Gesundheitsamt ist neben Trier-Saarburg in der Gruppe vertreten. Im Landesprojekt hat man sich unter der Federführung des Gesundheitsministeriums entschieden, dass alle Gesundheitsämter in Rheinland-Pfalz das System nach dem Vorbild Triers übernehmen.
Dass in genau diesem Gesundheitsamt Frau B. arbeitet, die von genau jenem Unternehmen bezahlt wird, das von dem landesweiten Projekt profitiert, ist intern kein Geheimnis. Sowohl das Ministerium als auch die Kreisverwaltung bestätigen, dass die Mitarbeiterin auch für die Mikroprojekt GmbH arbeitet. Ein Problem sehen beide nicht darin.
Die Nebentätigkeit sei der Kreisverwaltung "ordnungsgemäß angezeigt und genehmigt" worden, schreibt die Pressestelle, "wir sehen keine kritischen oder problematischen Inhalte in dieser Nebentätigkeit." Die Mitarbeiterin betreue im Gesundheitsamt die Umsetzung der fachspezifischen IT-Anwendungen und führe amtsinterne Schulungen der Fachanwendungen durch. Die Projektgruppe des landesweiten Projektes, in der das Gesundheitsamt und damit auch die betroffene Mitarbeiterin im Vertretungsfall sitzt, treffe "keine strategischen oder finanziellen Entscheidungen". Das widerspricht zumindest teilweise der Antwort des Gesundheitsministeriums auf Nachfragen zur Rolle der Projektgruppe. Diese treffe durchaus Entscheidungen, zumindest "bei abweichenden fachlichen Auffassungen".
Frau B. und ihr Nebenjob sind keine Beweise für eine Verschwörung oder für Bestechung. Die Konstellation ist ungewöhnlich, aber wohl nicht illegal. Der Einfluss von Frau B. zumindest offiziell begrenzt. Aber es zeigt, welche Beharrungskräfte in der Verwaltungsdigitalisierung mitunter wirken: Eine Softwarefirma, deren Mitarbeiterin auch beim Kunden – der Behörde – arbeitet, hat sicher einen Vorteil im Wettbewerb mit anderen Firmen, die ähnliche Programme anbieten.
Mikroprojekt hat das wohl verstanden, denn es gibt mindestens einen weiteren ähnlichen Fall, der zeigt, dass die Firma offenbar für gute Kontakte in Behörden sorgt: In einem internen Protokoll vom Januar 2023 ist zu lesen, dass ein Mitarbeiter des Gesundheitsamts Cochem-Zell nun bei der Mikroprojekt GmbH arbeite. Die Pressestelle der Kreisverwaltung Cochem-Zell bestätigte gegenüber ZEIT ONLINE, dass der betreffende Mitarbeiter zum 31. Dezember 2022 ausgeschieden sei. "Anschlussbeschäftigungen ehemaliger Mitarbeiter entziehen sich unserer Kenntnis", schreibt die Behörde. Eine Nebentätigkeit habe er nicht gemeldet gehabt. Hat Mikroprojekt ihn abgeworben für das Landesprojekt, das offiziell am 1. Oktober 2022 startete? Das Gesundheitsamt Cochem-Zell fungiert in dem Projekt laut Protokollen als "Pilot".
Frau B. darf nicht sprechen. Jedenfalls nicht über ihren Nebenjob. Ob es vielleicht ein Problem sein könnte, dass sie fürs Gesundheitsamt arbeitet und gleichzeitig für eine Firma, die dem Amt Software verkauft? Frau B. ist am Telefon freundlich und verbindlich, so wie man sich als Bürgerin eine Mitarbeiterin im Gesundheitsamt wünscht. Aber zu ihrer Tätigkeit bei der Mikroprojekt GmbH gibt sie keine Auskunft. Die Firma verdient mehrere Millionen Euro damit, dass sie den Gesundheitsämtern in Rheinland-Pfalz Software verkauft. Software, die Daten von Bürgerinnen und Bürger gefährdete. Gerade erst hat Mikroprojekt einen neuen öffentlichen Millionenauftrag bekommen – ganz ohne Ausschreibung.