Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

• ​Zur Herstellerhomepage

Kurzgutachten 2008

Zeitpunkt der Prüfung

12. September 2007  -  26. August 2008

Adresse des Antragstellers

avan g mbH
vertreten durch die Geschäftsführer, Dr. Axel Riechers, Dr. Martin Buchholz 
Jürgensallee 50
22609 Hamburg

Adressen der Sachverständigen

Dipl. Inf. (FH) Andreas Bethke
B³ | Informationstechnologie
Papenbergallee 34
25548 Kellinghusen
andreas@b3-gruppe.de

Rechtsanwältin Dr. Bettina Kähler
PrivCom Datenschutz GmbH
Behringstr. 28a
22765 Hamburg
bettina.kaehler@privcom.de

Kurzbezeichnung

Avan.c ist ein Produkt der Kategorie „Controlling-Softwareprodukte“, das Arztpraxen und Krankenhäuser / Kliniken, sowie medizinische Einrichtungen zur Ermittlung der Rentabilität einsetzen können. Es stellt Einnahmen und Ausgaben detailliert und übersichtlich dar. Darüber hinaus liefert avan.c Zahlen und Fakten zur Bewertung ärztlicher Leistungen sowie anderer medizinischer Angebote. Das System arbeitet internetbasiert und wird daher auch als Internetdienst bezeichnet.

Detaillierte Bezeichnung

Zwischen der Praxiseinrichtung und avan g mbH wird ein Vertragsverhältnis („Lizenzvertrag“) für die Nutzung des Dienstes geschlossen. In diesem Lizenzvertrag verpflichtet sich avan g mbH zu folgenden Leistungen (Auszug):

• Überlassen der Nutzungsrechte an der Software „avan.c, Version 1.0“ für eine begrenzte Anzahl von Serviceobjekten
• Ausstattung der Software mit einem SSL-Server Zertifikat
• Vornahme von Aktualisierungen und „geringen Aktualisierungen“ der Software
• Zur Verfügung stellen von Softwareerweiterungen gegen zusätzliches Entgelt
• Wahrung der Vertraulichkeit

Die Software wird im Auftrag der avan g mbH in einem Rechenzentrum in Rostock gehostet. Der Firma spm – new service and projectmanagement GmbH mit Sitz in Schwerin obliegt der technische Support des Servers, die Wartung, sowie alle sonstigen administrativen Arbeiten im Zusammenhang mit der Bereitstellung dieser Hosting-Leistungen. Zwischen der avan g und der spm besteht ein Vertrag über Auftragsdatenverarbeitung, der die Aufgaben und Pflichten der spm detailliert regelt. Die Firma spm hat wiederum die Firma PLANET IC GmbH mit Sitz in Raben Steinfeld mit der Bereitstellung des Servers und den ISP-Dienstleistungen beauftragt. Zwischen spm und PLANET IC besteht ebenfalls ein Vertrag über Auftragsdatenverarbeitung. Die Wartung der Software, der Support und die Weiterentwicklung der Software obliegt einem Subunternehmer der spm, der Firma SNIT.NET, Dirk Volkmann mit Sitz in Schwerin.
In einer Übersicht stellt sich die Möglichkeit des Zugriffs auf Daten und Software durch die verschiedenen beteiligten Unternehmen wie folgt dar:

Avan g verarbeitet die Daten ihrer Kunden – d.h. die Daten, die die jeweilige Arztpraxis bzw. medizinische Einrichtung, die das Produkt einsetzt, in die Software eingibt - strikt auftragsgebunden. Es gibt auf Seiten von avan g keine eigenständige Entscheidungsbefugnis über beispielsweise das Löschen von Daten, die die Kunden in die zur Verfügung gestellte Software eingeben.

Die Software erfasst dabei fast keine personenbezogenen Daten. Neben den Daten der Anwender (Arzt X in der Praxis Y) können lediglich die Namen der Ärzte eingegeben werden, die eine bestimmte, zu Controllingzwecken erfasste Tätigkeit ausgeführt haben. Die Software eröffnet jedoch die Möglichkeit, diese Namen zu pseudonymisieren („Arzt 1“ statt Name des Arztes). Den Anwendern wird im Benutzerhandbuch ausdrücklich empfohlen, von dieser Möglichkeit Gebrauch zu machen.

Im Gegenzug verpflichtet sich die jeweilige Praxis zur einmaligen Zahlung eines Kaufpreises und einer monatlich fälligen Lizenzgebühr. Sie verpflichtet sich weiter, avan g mbH halbjährlich schriftlich über die Erfahrungen mit der Software zu berichten sowie avan g mbH unverzüglich schriftlich über evt. auftretende Mängel der Software zu informieren.

Tools, die zur Herstellung des IT-Produktes verwendet wurden

Entwicklungsumgebung: Microsoft Microsoft Visual Studio 2005 Professionell 
Webumgebung : Microsoft IIS mit SSL-Zertifikat
Datenbank : MS SQLServer 2005

Zweck und Einsatzbereich

Zweck und Einsatzbereich des Verfahrens ist es, medizinischen Einrichtungen die Möglichkeit eines Controllings zu geben. Das Produkt ist sowohl in Arztpraxen, als auch in Klinken in öffentlich-rechtlicher Trägerschaft einsetzbar. Somit ist das IT-Verfahren grundsätzlich auch für den Einsatz bei oder durch öffentliche Stellen des Landes Schleswig-Holstein geeignet.

Modellierung des Datenflusses

Auf eine Modellierung des Datenflusses wird verzichtet, da die Controlling-Daten manuell in einer Webseitenmaske erfasst werden und von dort auch wieder abgerufen werden.

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Anforderungskatalog Version 1.2

Zusammenfassung der Prüfungsergebnisse

Das avan.c Verfahren kann insgesamt als adäquat werden, da das Verfahren zwar nicht vollständig die automatisierte Verarbeitung von personenbezogenen Daten verzichtet, die personenbezogen Daten sich jedoch auf ein Minimum beschränken. Bei Bedarf können die Namen von Anwendern eingeben werden, sowie die Namen der Ärzte, die eine bestimmte, zu Controllingzwecken erfasste Tätigkeit ausgeführt haben. Die Software eröffnet jedoch die Möglichkeit, diese Namen zu pseudonymisieren („Arzt 1“ statt Name des Arztes). Den Anwendern wird im Benutzerhandbuch ausdrücklich empfohlen, von dieser Möglichkeit Gebrauch zu machen. Davon zu unterscheiden sind die für die Vertragserfüllung zwischen der avan g mbH und den Praxen bzw. medizinischen Einrichtungen benötigten personenbezogenen Daten. Diese werden in zulässiger Weise (in Papierform) erhoben und verarbeitet. Die Voraussetzungen für die Erteilung eines Gütesiegels für IT-Produkte liegen vor.

Beschreibung, wie das IT-Produkt den Datenschutz fördert

avan GmbH beschränkt in ihrem Verfahren die Erhebung und Speicherung von personenbezogenen Daten auf ein Minimum und folgt somit dem Gebot der Datenvermeidung und Datensparsamkeit. Auf die Erhebung von Patientendaten und somit auf sensible Daten wird komplett verzichtet. 
Im Bereich der Transparenz stellt avan g mbH alle Beteiligen und ihre Abhängigkeit dar, so dass Anwender genau wissen, wo ihre Daten gespeichert werden. 
Darüber hinaus gibt avan g mbH in ihrer Anleitung zum Produkt Datenschutzhinweise an und empfiehlt dem Benutzer ganz auf die Erhebung von personenbezogenen Daten zu verzichten und stattdessen mit Pseudonymen zu arbeiten.