Background: Digitalisierung unter pandemischen Bedingungen

Digitalisierung, IT Security, Privacy, Technikfolgenabschätzung

Bianca Kastl

Anlässlich meines Talks «Digitalisierung unter pandemischen Bedingungen» auf der BOB Konferenz 2023 ein paar weitere Hintergründe, falls die beschriebenen Zusammenhänge noch ein paar Fragen aufwerfen.

Talk

Die Aufzeichnung des Talks gibt es bald hier.

Slides

Die Slides gibt es unter bkastl.de/bob23

Inhaltsverzeichnis

  1. Abschnitt Nicht alle Lösungen sind schön
  2. Abschnitt Daten vermitteln, ohne Daten zu verarbeiten
  3. Abschnitt Menschen Impftermine vermitteln, ohne sie zu kennen

Nicht alle Lösungen sind schön

Hier gilt mein ausdrücklicher Dank an das Team von cron.eu und die vielen Beteiltigen im Gesundheitsamt Bodenseekreis.

Die Meldekette von Corona-Fällen

Grundsätzliche Funktion

Datenfluss von Survnet aus dem Jahr 2006, viele Zwischenebenen, teils Versand von Nachrichten per Fax

Wie funktioniert eigentlich die Meldekette von Corona-Fällen? Nicht besonders direkt, die gezeigte SurvNet-Meldekette ist im Wesentlichen immer noch so wie vor ein paar Jahren, wenn auch mit mehr elektronischen Teilen.

Im Wesentlichen läuft das auch heute noch in etwa so:

  • Indexfall fühlt sich krank und geht zum Test
  • Labor macht einen Test und schickt das positive Ergebnis via DEMIS elektronisch an das Gesundheitsamt (nein, kein Fax mehr)
  • Gesundheitsamt importiert Daten in System (oft SORMAS, teils SurvNet, teils was anderes)
  • Gesundheitsamt nimmt Kontakt zur Person auf
  • Gesundheitsamt meldet den Fall nach Erfassung aller relevanten Informationen via SurvNet an die nächsthöhere Behörde, meist ein Landesgesundheitsamt
  • Landesgesundheitsamt meldet dann die gesammelten Fälle wiederum via SurvNet (also braucht es hier auf der Meldekette zwei verschiedene SurvNet-Instanzen) an das RKI

Das ist immer noch der sehr umständliche Prozess der Meldung von Coronafällen. Auch wenn es Möglichkeiten gibt, anonyme Daten aus DEMIS zu bekommen und auch wenn SORMAS es ermöglicht, die SurvNet-Meldungen ohne die Anwendung SurvNet selbst direkt senden zu können.
Ein möglicherweise fehleranfälliger Prozess, der sich im wesentlichen an den Verwaltungszuständigkeiten orientiert.
Anders gesagt: Zwischen DEMIS (Labordaten) und SurvNet (Falldaten) sitzt immer noch irgendeine Software, die manuell gepflegt werden will.

Wieso geht das nicht alles automatisch?

Naja, Labordaten sind in etwa 20 Prozent aller Szenarien nicht vollständig, das ist eher nur ein Erfahrungswert. Oftmals fehlen vielleicht Adressen von Indexfällen oder es fehlen Kontaktinformationen. Das muss dann ein Gesundheitsamt fehlende Infos recherchieren. Ohne Adresse lässt sich auch nicht herausfinden, wohin ein Fall genau gehört, von daher gibt es durchaus auch mal fehlgeleitete Labormeldungen.
Automatisches Anlegen von Fällen aus Labordaten würde darüber hinaus ja einheitliche Schnittstellen und Formate voraussetzen, nur ist das so eine Sache. DEMIS ist eigentlich ganz okay in der Hinsicht, SORMAS wiederum hat brüchiges (und inzwischen deaktiviertes) REST und von SurvNet mag ich jetzt nicht anfangen, da werden Transportdateien ausgetauscht (teilweise via E-Mail) (sic!).
Das Übermitteln der Fälle ist ein manueller Task. Das müsste rein technisch nicht händisch passieren, tuts aber.

Referenzen

  • bkastl.de
    Grundsätzlicher Zusammenhang der Schnittstellen
  • Gematik Wiki
    Meldungsrouting in DEMIS
  • SORMAS ÖGD
    Handbuch SORMAS / DEMIS
  • SORMAS ÖGD
    Handbuch SORMAS / SurvNet
  • psu.edu
    SurvNet@RKI - A Multistate Electronic Reporting System for Communicable Diseases von 2006
  • rki.de
    SurvNet Handbuch

Daten vermitteln, ohne Daten zu verarbeiten

Hier gilt mein ausdrücklicher Dank an den InÖG und das Team von IRIS connect, zu dem ich erst im Laufe der Entwicklung gestoßen bin, mit dem wir inzwischen Schnittstellen für Gesundheitsämter in der Kontaktnachverfolgung für 5 Bundesländer stellen. Ebenso Dank an die digital affinen und geduldigen Gesundheitsämter, die die ersten Versionen von IRIS connect mit begleitet haben. Und ein Dank an die Björn Steiger Stiftung für die großartige Unterstützung.

Worum gehts im Beispiel?

Hintergrund

Zur Geschichte von IRIS connect verweise ich auf entsprechenden Text von der Webseite:

Die Idee einer Datenschnittstelle ins Gesundheitsamt entstand mit den ersten Lösungen zur digitalen Kontaktdatenerfassung. Die meisten davon wurden im April 2020 im Rahmen des #WirVsVirus Hackathon der Bundesregierung initiiert. Viele dieser Lösungen waren im Rahmen der ersten Öffnungen im Sommer und Herbst 2020 im Einsatz - was fehlte, war ein sicherer und standardisierter Weg der Gästelistenübermittlung an die Gesundheitsämter. Oftmals gab es pseudo-digitale und datenschutzrechtlich bedenkliche Individual-Lösungen - wie z.B. den Versand von Excel-Listen per E-Mail oder das Faxen von ausgedruckten Listen.
Im Oktober 2020 schlossen sich mehrere Anbieter unter Federführung der Kölner recover-Lösung deutschlandweit zusammen, um Standards für den Datentransfer in die Gesundheitsämter zu definieren. Das war der Start der Initiative „Wir für Digitalisierung“, mit mittlerweile über 70 Teilnehmenden und einer breiten Anwendungsvielfalt.
Parallel startete ein ähnliches Projekt seitens des öffentlichen Gesundheitswesens - der neu formierte Innovationsverbund Öffentliche Gesundheit (InÖG) hatte die Idee, die von der Bundesregierung präferierte Fachanwendung SORMAS um eine offene Schnittstelle zu „Bürger-Apps“ zu erweitern.
Um alle Projektbeteiligten zusammenzuführen und mit gestärkten Ressourcen schnell zu einem Ergebnis zu führen, unterstützt die gemeinnützige Björn Steiger Stiftung seit Anfang 2021 die Finanzierung des IRIS connect Projekts als Hauptsponsor.

Teil des Teams von IRIS connect bin ich selbst seit Mai 2021, zwischenzeitlich als Verfahrensverantwortliche.

Entwicklungsmodell und Unterschied zu anderen Anbietern

IRIS connect ist Open Source und wird im Open Development Verfahren entwickelt.
Die Länder, die IRIS connect einsetzen, zahlen im Prinzip nur die Betriebskosten für Server und Zertifikate sowie Kosten für Support und Softwarepflege. Den Betrieb von IRIS connect könnte der Staat auch vollständig selbstständig bewerkstelligen. Im Vergleich zu anderen großen kommerziellen Anbietern sind die Kosten überschaubar.

Architektur von IRIS connect
Architektur von IRIS connect
Gästelisten sind im Prinzip nur eine mögliche Anwendung von IRIS connect, dazu stellt IRIS connect rein technisch mehrere Komponenten zur Verfügung. Die Architektur ist grundsätzlich dezentral aufgestellt und leitet im Wesentlichen nur Daten auf Anfragen weiter. Vorgehalten werden die angefragten Daten nur im jeweiligen IRIS Client im Gesundheitsamt.

Die Komponenten bestehen aus:

  • dem IRIS Client für das Gesundheitsamt, der Daten empfangen und entsprechend aufbereiten kann
  • Endpoint-Server-Komponenten, die es Anbietern ermöglichen, sich einfach in den Verbund zu integrieren und Ende-zu-Ende verschlüsselt miteinander zu kommunizieren
  • zentrale Komponenten, wie etwa ein Verzeichnis der erlaubten Apps und eine Art Adressbuch für Locations

Auf dieser Basis lassen sich auch andere Anwendungen realisieren, nicht nur Gästelisten. IRIS connect ist daher eher erst einmal öffentliche digitale Infrastruktur denn App.

Der Trick bei der Infrastruktur ist nicht nur im Bereich des Zero Trust Networks, sondern auch in der Möglichkeit, einmalige Verbindungen in den Informationsverbundd zuzulassen.
Das geschieht über eine Proxy-Proxy-Kombination, bei der der eine Proxy Daten nur weiterleitet, sofern diese angekündigt wurden.

Referenzen

Menschen Impftermine vermitteln, ohne sie zu kennen

Die Vorgeschichte: sofort-impfen.de

Hier gilt mein ausdrücklicher Dank vor allem Andreas Dewes, der sich dem Thema angenommen hat und mit Kiebitz eine herausragende technische Lösung für den Anwendungsfall geschaffen hat – losgelöst von den Tätigkeiten des InÖG.

Grundidee von sofort-impfen.de

Die Grundidee, die sofort-impfen.de mitgebracht hat, war die digitale Vermittlung von Restimpfdosen. Beim Aufziehen von Impfstoffen bleibt im Normalfall bei COVID-Impfstoffen nur ein begrenzter Zeitraum möglich, in dem alle möglichen Impfdosen eines Vials verimpft werden kann

Kontakt mit dem Team von sofort-impfen.de

Mitte des Jahres war das Team von sofort-impfen.de an den Innovationsverbund Öffentliche Gesundheit (InÖG), bei dem ich gerade mit an IRIS connect arbeitete, herangetreten, mit der Bitte um Unterstützung im Bereich IT Security.
Grundsätzlich hatte sofort-impfen.de zwar gute Intentionen, aber aufgrund der schnell wachsenden Plattform ein paar durchaus abzusehende Probleme.
Im Prinzip ging die Unterstützung im «Bereich IT Security» dann soweit, dass es zu einem begleiteten Architekturwechsel weg von einer zentralen E-Mailsammelstelle zu einer datensparsamen dezentralen Architektur ging. Letztendlich war das in gewisser Weise ein Rescue Project eines Rescue Projects.
Nach Beratung im Bereich Software-Architektur und Vermittlung von Entwicklungskapazitäten (siehe oben) gab es im Folgenden keine weitere Kooperation von sofort-impfen.de und dem InÖG.

Ich verweise hierzu auf die Historie der Beteiligung in der Doku von Kiebitz selbst:

Kiebitz wurde ursprünglich von KIProtect als Auftragsarbeit für das Team von sofort-impfen.de entwickelt, auf Vermittlung des Innovationsverbunds öffentliche Gesundheit (InöG). Kernidee war die Schaffung einer dezentralen, privatsphäre-freundlichen Plattform für die Impfterminvermittlung. Initiale Ideen wurden u.a. von Lilith Wittmann und Bianca Kastl entwickelt, ein detailliertes Konzept wurde anschließend von KIProtect ausgearbeitet und ohne Beteiligung des InöG umgesetzt. Dieses Konzept wurde im Betrieb in wesentlichen Punkten angepasst und erweitert um die Vermittlung von Impfterminen noch robuster und zuverlässiger zu machen.

Referenzen

Impfen in größerer Größe: impfen

Dank an

Die SPRIN-D, das BSI, den BfdI, SysElven, infra.run, die f-i-ts, The Brettinghams, Allerzeiten, CISPA, die kbv, diverse Gesundheitsämter, persönlich ganz besonders benben von allerzeiten und Jürgen von der Antei, dem Rest des InÖG und auch hier wieder die Björn Steiger Stiftung für eine Anschubfinanzierung und den Arbeiten an einem Betriebsmodell.
Und ein Danke an eines der ungewöhnlichsten zusammengestellten Teams aus Expert*innen, die du in der Konstellation nicht mal kaufen könntest wahrscheinlich.
(Ja, wir meinen das ernst mit dem Thema, wie vielleicht auch aus den Danksagungen klar werden sollte)

Dank an alle Unterstützer*innen von impfen

Motivation

Die erste Impfkampagne hatte für Impfinteressierte grundsätzlich eher hohe Hürden zu einer Impfung zu kommen. Dass im Sommer 2021 versucht wurde, Impfen niederschwelliger verfügbar zu machen war eine strategisch richtige Entscheidung. Im Herbst 2021 kam dann aber an manchen Orten ein gegenteiliger Effekt zum Tragen: Niederschwelligkeit ohne Koordination und eine klare Übersicht führt dazu, dass z.B. Menschen lange im Regen stehen und nach vier Stunden Warten evtl. keinen Impfstoff mehr bekommen, wie etwa aus einem ZDF-Beitrag von November deutlich wird.

Grundgedanke

Im Prinzip ging es mir darum, endlich ein «Push für Impftermine» haben zu können. Also dass der Impftermin sich in deiner Nähe bei Dir meldet, nicht umgekehrt. Das alles per Opt-In klar, aber auf jeden Fall nicht so wie aktuell, wo Menschen bei der Suche von Impfmöglichkeiten allein gelassen werden.

Das ist eigentlich einfach, wenn alle Impfmöglichkeiten vernetzt sind und ein System mit internen Wartelisten nach regionalen Gebieten (z.B. PLZ) getrennt sind.

Einblick in die Impfplanung

Impfen wie in der Corona-Pandemie ist eigentlich in der Masse nicht wirklich langfristig planbar, weil der Impfstoff wirklich final nur etwa eine Woche voraus planbar ist, da der Impfstoff ja erst just-in-time produziert werden muss. Das deckt sich auch mit meiner beruflichen Erfahrung aus dem Gesundheitsamt, ja wir haben da auch mit großen Impfzentren in der Logistik und Planung zu tun. Das führt in Hochphasen wie der Boosterimpfungszeit im Herbst absehbar immer wieder zu Situationen, in denen eine verteilte und vernetzte Planung wichtig ist, zumindest an der Stelle der Impfstellen.

Diese Planung wurde im Herbst allen Impfstellen eigentlich selbst überlassen. Da Impfen aber ein gesamtgesellschaftliches Problem ist, sollte es eine gemeinsame, öffentliche und vertrauenswürdige Plattform geben, die hier bei der Übersicht und Vernetzung unterstützt. Im Prinzip kann es egal sein, ob eine Person bei einer ärztlichen Praxis, in einem Impfzentrum oder von einem mobilen Impfteam geimpft wird, wenn hier eine dynamische Verteilung stattfinden kann.

Anpassung an die Impfkampagne im Herbst 2021

Dazu haben wir das technische Basis von sofort-impfen, Kiebitz also, adaptiert. Der Grundgedanke von Kiebitz war hier von den Grundakteuren im System schon hervorragend geeignet, weil es hier bereits drei mögliche Akteure im System gibt: Impflinge, Impfstellen und Mediatoren. All das ist bereits in einem Ende-zu-Ende-verschlüsselten Konzept abgebildet (ja, auf dem datensparsamen und sicheren Level geht das da).

Das heißt, dass es technisch bereits möglich ist, dass Dachorganisationen (z. B. Krankenkassen, Apothekerkammern, Gesundheitsämter) ihre Impfstellen im System validieren und freischalten können, die Impfstellen ihr Terminangebot selbst verwalten können und nur die Impfstelle und der Impfling wissen, was gebucht wurde.

Das heißt auch, dass die Abhängigkeiten, wie sie eigentlich auch in der Realität bereits organisatorisch vorhanden sind, vollständig über das System abgebildet werden können. Im Unterschied zu privatwirtschaftlichen oder anderen Konzepten ist es dabei nicht mehr nötig, dass Impfstellen einzelnen auf der Plattform freigeschaltet werden müssen, was Aufwand und Sicherheitsprobleme bringt, sondern dass hier Dachorganisationenen diese Tätigkeit übernehmen können. Heißt in der Praxis: Wenn eine Krankenkasse eines Bundeslandes allen ihren Ärzt*innen Zugang zu dieser Plattform geben möchte, kann sie das digital in Eigenverantwortung tun. Ebenso Apotheken, Impfzentren etc.

Ja gut, aber wer soll das in der Größe bezahlen?

Wir haben dankbarerweise von der Steiger Stiftung zumindest eine Anschubfinanzierung bekommen, damit sich Menschen im Team zumindest finanziell abgesichert voll dem Thema widmen konnten – also quasi Vollzeit entwickeln konnten. Der Rest des Teams hat das ehrenamtlich beigetragen.

Der vorliegende Stand ist eher als Proof of Concept zu sehen, der in einer kleinen Kommune zum Start lauffähig wäre (mit den Spezifika der Impfkampagne vom Herbst).

Den Betrieb und eine Qualitätssicherung für eine Plattform dieser Größe und Relevanz muss aber eine staatliche Institution letztendlich entweder einkaufen oder entsprechend stellen.

Ist das in der Größe denn teuer?

Von der Code-Entwicklung nicht wirklich, das Betriebsmodell wäre auch überschaubar – zumindest in Relation zu anderen Digitalprojekten in dieser Pandemie. Grundbedingung ist aber, dass die Verbände, die sich an eienr solchen Plattform beteiligen möchten, ihre Verifikations- und Kommunikationsstrukturen mit einbringen. Dass diese Verbände also über ihre gesicherten oder etablierten Strukturen Zugänge zum System verschicken.
Das können wir als zivilgesellschaftliche Organisation wie dem InÖG zumindest begleiten, das geht aber halt nur gemeinsam.

Ja aber Datenschutz

Finden wir total wichtig. Deshalb haben wir ein Ende-zu-Ende-verschlüsseltes System gebaut, dass gar keine personenbezogenen Daten speichert. Dann ist es für den Datenschutz einfacher sowas gut zu heißen. Es ist kein Zufall, dass ich auf den Slides das Logo des BfDI verwenden konnte.
Allerdings braucht ein Projekt dieser Größe dennoch weiter entsprechende Begleitung.

Ja aber, dann kann man ja einfach einen Termin so wegbuchen

Das ist ja auch das Prinzip dahinter. Natürlich gibt es aber im System eingebaut entsprechende Schutzmaßnahmen gegen Massenbuchungen. Idealerweise sehen wir eine App als Trust-Anker in dem System, ebenso als Kommunikationskanal. Alternativ wäre SMS eine Option, um Buchungen abzusichern, E-Mail oder andere personenbeziehbare Daten würden wir vermeiden wollen.
Eine Verifikation, ob eine Person medizinisch für eine bestimmte Impfung geeignet ist, muss ohnehin immer vor Ort durchgeführt werden.

Sind damit Pushnachrichten zu Impfterminen möglich

Prinzipiell ja. Auch das ist von Seiten des Datenschutz unkritisch, weil dabei nur eine Nummer «gezogen» wird, eine App oder ein anderer Kommunikationsrückkanal aber dann nur prüft, wann diese Nummer erreicht ist und dann entsprechend eine Pushnachricht ausspielt. Das ist quasi wie Nummer ziehen aufm Amt. Und das ist ja auch okay von Seiten des «Datenschutz».

Wenn das so toll klingt, warum gibt's das dann noch nicht?

Eine Impfterminsoftware auf Landes- oder Bundesebene ist eine überaus relevante Plattform, vor deren Einsatz alle Beteiligten viel Sicherheit brauchen, dass das funktionieren kann (im Sinne von Vertrauen in die Plattform). Dafür braucht es vorher viele kleine Testläufe z.B. auf kommunaler Ebene. Für einen Testlauf auf kommunaler Ebene braucht es aber dennoch wieder ein sauberes Betriebsmodell, was initial Kosten verursacht, die dennoch rentabel sein müssen. Letztlich waren wir zu dem Zeitpunkt, an dem ein Testlauf rentabel durchführbar war, noch nicht so weit von Vertragsstrukturen, die solche Plattformen brauchen. Als wir dann so weit waren, wars wieder nicht rentabel.

Pandemiesoftware hat auch viel mit dem richtigen Timing zu tun, das haben wir im Herbst 2021 nicht ganz getroffen.

Referenzen