Datensicherheit

Datensicherheit

SORMAS operiert vollständig innerhalb der gesetzlichen Voraussetzungen des Infektionsschutzgesetz (IfSG), besonders Paragraph 14 IfSG. Es erfüllt auch die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetz (BDSG). Zusätzlich wurde das System im Juni 2019 durch ein externes Sicherheitsaudit geprüft, wonach es den derzeit gültigen Sicherheitsstandards entspricht. Weitere Sicherheitsaudits sind geplant. 

Weiterhin ist zu beachten, dass SORMAS-ÖGD keine „Tracking-App“ ist. Sie greift nicht auf Geokoordinaten oder Bluetooth-Aktivitäten von Mobiltelefonen zu, weder auf die von Patienten noch auf die von Kontaktpersonen. Somit sind SORMAS und die Tracking App zwei komplett unterschiedliche Ansätze, die andere Aufgaben erfüllen und zudem sehr unterschiedliche Technologien einsetzen. 

Datenhohheit

SORMAS-ÖGD wird für jedes Gesundheitsamt auf einem individuellen, virtuellen Server gehostet. Auch wenn die Gesundheitsämter die Daten nicht physisch besitzen, sind sie alleiniger Besitzer aller in SORMAS-ÖGD eingegebener und generierter Daten, auf die nur Berechtigte des entsprechenden Amtes Zugriff haben.

Datenschutz auf einen Blick

  • Entwicklung von SORMAS mit mittelgroßen und kleinen deutschen IT-Firmen
  • IT- und Servicepartner verfügen über geeignete Erfahrungen, Nachweise und Zertifikate
  • Freigabe durch die Datenschutzbeauftragten der 14 Gesundheitsämter, die SORMAS-ÖGD bereits nutzen
  • Zertifiziertes Qualitätsmanagement nach ISO 9001:2015
  • Informationssicherheitsmanagement-System (ISMS) und DSGVO Zertifizierung
  • Jegliche Kommunikation wird per HTTPS verschlüsselt
  • Physisch getrennte Datenbanken
  • Datensicherung nach 3-2-1-0-Regel 
  • Datenschutzteam und IT-Sicherheitsteam mit aktuellen Zertifizierungen 

Daten sicher bearbeiten und übermitteln

SORMAS wird für jedes Gesundheitsamt auf einem individuellen, virtuellen Server beim ITZBund betrieben. Allein das jeweils zuständige Gesundheitsamt erhält Zugriff auf die Daten. 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Datenschutzaufsichtsbehörden verschiedener Länder haben nach Prüfung des vorgelegten Datenschutzkonzepts einem vorläufigen Betrieb zugestimmt. Die Zustimmung erfolgt unter dem Vorbehalt, dass die Unterlagen zur Datenschutzdokumentation im laufenden Betrieb weiter ergänzt werden sowie weitere, sich daraus möglicherweise ergebende erforderliche Maßnahmen ergriffen werden. 

Im Hinblick auf den Datenschutz steht einer Inbetriebnahme von SORMAS-X in den Gesundheitsämtern somit nichts entgegen.