#49 – Umsonst ist nicht kostenlos, Risiken durch Freeware – ein Interview mit dem Berater und Auditor für Medizintechnik Dr. Matthias Brönner

Der Einsatz von freier Software und von unbekannten Services, Apps oder Webseiten-Rechnern im Unternehmensalltag ist verlockend, aber auch risikoreich. Am Beispiel der Medizinbranche beleuchte ich im Interview mit Dr. Matthias Brönner das Problem und seine Risiken. Erfahren Sie:

• wo die Risiken unkontrollierter und unkontrollierbarer Softwareentwicklung und -nutzung liegen,
• warum die Nutzung für Mitarbeiter so verführerisch ist,
• wer für daraus entstehende Schäden haftet und
• wie sich ein geeignetes Qualitäts- und Risikomanagementsystem aufbauen lässt.

Viel Vergnügen!

Literaturempfehlungen

• Brönner, Matthias: Risiken durch medizinische Freeware – Auswirkungen von IT-Entwicklungen auf Compliance-Mechanismen und die Risikosituation in Krankenhäusern. 2017

Weitere Literatur zu dem Thema:

Transcript:
ERP-Podcast, Folge 49. Umsonst ist nicht kostenlos. Risiken durch Freeware.

Ein Interview mit dem Berater und Auditor für Medizintechnik Dr. Matthias Brenner. Der Einsatz von freier Software und von unbekannten Services, Apps oder Webseitenrechnern im Unternehmensalltag ist verlockend. Am Beispiel der Medizinbranche beleuchte ich im Interview mit Dr. Matthias Brenner das Problem und seine Risiken.

Erfahren Sie, wo die Risiken unkontrollierter und unkontrollierbarer Softwareentwicklung und Nutzung liegen, warum die Nutzung für Mitarbeiter so verführerisch ist, wer für daraus entstehende Schäden haftet und wie sich ein geeignetes Qualitäts- und Risikomanagementsystem aufbauen lässt. Viel Vergnügen. Herzlich willkommen zum ERP-Podcast.

Dem Podcast für alle, die sich aktiv mit dem Einsatz und der Gestaltung von Unternehmenssoftware und den daraus entstehenden Veränderungen und Potenzialen in Unternehmen auseinandersetzen wollen. Mit diesem Podcast möchte ich Sie mit eigenen Gedanken und Interviews bei der Gestaltung moderner IT-Konzepte nebenbei, also zum Beispiel beim Spazierengehen oder Autofahren begleiten. Damit möchte ich Ihnen in dieser von technologischen Veränderungen geprägten Zeit Informationen anbieten, die sich in Zeitschriften, Fachbüchern und wissenschaftlichen Artikeln in dieser Form nicht darlegen lassen und für die sich im hektischen Alltag ohnehin nicht die Zeit findet.

Mein Name ist Axel Winkelmann. Ich bin Professor für Betriebswirtschaftslehre und Wirtschaftsinformatik an der Universität Würzburg. So, herzlich willkommen zurück zum heutigen ERP-Podcast.

Wie Sie wissen, alles rund um das Datenfundament und ich versuche möglichst breit verschiedenste Themen abzuarbeiten, mit verschiedenen Interviewpartnern zu besprechen und ins Detail zu gehen. Ich möchte heute mal ein Thema aufgreifen, was glaube ich so gar nicht unbedingt bei der Softwareentwicklung im Vordergrund steht und vor allem bei der Softwarenutzung. Es geht nämlich um Risiken.

Ich habe das schon öfter erlebt, dass ERP-Hersteller, aber auch Unternehmen, verschiedenste Dienste, verschiedene Freeware, Open-Source-Produkte mit einbinden in ihre Produkte. Das ist alles kein Problem, solange alles gut geht und man natürlich auch die entsprechenden rechtlichen Implikationen beachtet. Aber was passiert denn eigentlich, wenn so ein Service, wenn so ein Dienst falsch rechnet, ein Vermögensschaden entsteht oder ähnliches? Darüber wollen wir heute ein bisschen sprechen.

Wir werden das tun an einem Beispiel, wo es glaube ich besonders aufschlägt. Das sind nämlich Krankenhäuser. Ich möchte mich heute gerne mal über Risiken durch medizinische Freeware unterhalten und dazu habe ich Herrn Dr. Matthias Brönner eingeladen.

Herr Dr. Brönner hat bei meinem Kollegen Thomé promoviert. Ich hatte das große Vergnügen, im letzten Jahr als Zweitgutachter in die Diskussion mit ihm einsteigen zu dürfen. Ich glaube, er ist einer der wenigen Experten, die sich wirklich mit diesen Auswirkungen, mit diesen Compliance-Mechanismen, mit diesen Risikosituationen, jetzt am Beispiel der Krankenhäuser, beschäftigt hat.

Ich freue mich, dass ich ihn heute als Interviewpartner gewinnen durfte. Herr Dr. Brönner, herzlich willkommen hier im ERP-Podcast. Guten Morgen auch von meiner Seite.

Hallo. Vielleicht stellen Sie sich am Anfang selber einmal vor, wer ist die Person Matthias Brönner? Ja, ich habe irgendwann mal Elektrotechnik studiert, aber dann relativ schnell nach dem Studium die Hardware hinter mich gelassen und mich auf Software konzentriert und im Anschluss daran mit drei Kollegen ein Unternehmen gegründet, das medizinische Software entwickelt hat und auf dem Markt anbietet. Im Zuge dessen haben wir uns auch mit den Medizinprodukten Regularien auseinandersetzen müssen und ein entsprechendes Qualitätsmanagementsystem aufgebaut.

Dabei habe ich relativ viel Erfahrung damit gemacht, die regulativen Vorgaben zu medizinischer Software. Mittlerweile berate ich Medizintechnikunternehmen bezüglich Qualitätsmanagement und dem Erfüllen von regulatorischen Anforderungen in diesem Bereich und auditiere aber auch solche Unternehmen, dass diesen Unternehmen anschließend entsprechende Zertifikate ausgestellt werden können, womit sie ihre Produkte auf dem Markt anbieten können. Sie sagen, Sie beraten.

Warum müssen die beraten werden? Die regulatorische Landschaft ist durchaus komplex, allein wenn man sich jetzt mal den Raum Europa anschaut. Wir haben auch gerade einen relativ starken Umbruch bezüglich den Regularien. Verschiedene Normen sind in neuen Versionen verfügbar.

Wir haben einen Umstieg von der Medizinprodukte-Richtlinie auf die Medizinprodukte-Verordnung auf europäischer Ebene. Das ist jetzt noch eher anstehend für die Hersteller. Aber wenn man jetzt dann auch weitergeht und einfach die weltweite Situation betrachtet, so haben die ganzen großen Märkte voneinander abweichende Regularien.

Es ist relativ komplex für ein Unternehmen. Und vor allen Dingen, wenn das jetzt dann eher kleinere und mittelgroße Unternehmen sind, ist es eigentlich nicht wirtschaftlich machbar, immer den aktuellen Überblick auch über diese Situation zu behalten. Und da brauchen einfach viele Unternehmen Unterstützung.

Es sind aber auch Gesundheitsunternehmen dabei, Krankenhäuser beispielsweise, die ich mit Begutachtungen oder Gutachten zu Produkten, die sie vielleicht selber entwickelt haben, da unterstütze. Das ist einfach schwierig, im Unternehmen oder im Krankenhaus den Überblick zu behalten. Und jetzt haben Sie sich in Ihrer Dissertation ja sehr intensiv und sehr lange mit dem Thema Software-Einsatz in Krankenhäusern beschäftigt.

Das ist jetzt für jede Branche natürlich eine Fragestellung, welche Software setze ich ein? Aber Sie sind eben weitergegangen und gesagt, okay, wenn ich diese Compliance, diese regulatorischen Rahmenwerke habe, dann kann ich halt nicht jede Software einsetzen, beziehungsweise es gibt auch bestimmte Risiken beim Einsatz von Software, oder? Genau. Wir haben im Krankenhaus mal allgemein die Situation, dass die Produkte, die dort eingesetzt werden, bestimmten Regularien unterliegen. Der Gesetzgeber geht hier seiner Pflicht nach, eben den Patienten zu schützen vor dem Einsatz von nicht sachgemäßen Produkten.

Darunter fällt eben auch Software, die unter die Definition des Medizinproduktes fallen kann, wenn sie halt eben therapeutisch oder diagnostisch verwendet wird oder dazu gedacht ist. Und die Krankenhäuser müssen hier eine ganze Reihe von Dingen beachten, eben dass sie beispielsweise, wenn es diagnostisch und therapeutisch eingesetzt wird, ein Produkt, eben da den Anforderungen der Medizinprodukte genügt. Und ja, wenn man alternder Produkte einsetzt, die entsprechend den Anforderungen nicht genügen, dann ist man hier nicht gesetzeskonform und hat ein Compliance-Problem.

Das ist erstmal nicht so ganz offensichtlich, aber vielleicht können wir mal mit einem Beispiel starten, wo Sie sagen, das macht schon, das ist schon sinnvoll, zertifizierte Softwareprodukte zumindest in dieser Branche zu nutzen. Ich denke aber auch an ganz andere Branchen, wo vielleicht auch Freeware, Open Source im Einsatz ist und zwar unterhalb des Radars eigentlich der gesamten Organisation, in Ihrem Fall des Krankenhauses. Ja, ich denke mal jetzt mal unabhängig vom Krankenhaus, vom Gesundheitssektor ist es einfach wichtig in einer Organisation, dass man sich dort bewusst ist, welche Softwareprodukte werden eingesetzt.

Zunächst mal unabhängig davon, ob das jetzt Freeware ist oder ob das lizenzierte oder kommerzielle Software ist. Der Überblick sollte einfach da sein, dass jemand, der für Software verantwortlich ist, im klassischen Fall eine IT-Abteilung, in der Lage ist, mögliche Risiken, die mit diesem Softwareprodukt in das Unternehmen eingetragen werden können, zu erfassen. Darüber einen Überblick zu haben und sich Gedanken über den Umgang damit machen zu können.

In der Gesundheitsbranche haben wir eben jetzt die spezielle Situation, dass wir hier bestimmte Vorgaben zu Medizinprodukten haben. Das gibt es aber sicherlich in anderen Branchen auch, beispielsweise in der Bankenbranche oder irgendwelchen anderen regulierten Branchen ist das sicherlich auch der Fall. Das Interessante jetzt im Rahmen meiner Studie war, dass einfach festzustellen war, dass diese Software eingesetzt werden kann, ohne dass sie überhaupt die IT-Abteilung oder eine andere verantwortliche Abteilung sowie auch eben das Management von Gesundheitseinrichtungen wie Krankenhäusern darüber Bescheid weiß.

Wenn die eigentlich dafür Zuständigen über den Einsatz solcher Produkte eben nicht Bescheid wissen, können sie das nicht in ihren Risiko-Betrachtungen mit einbeziehen. Das hat halt im Gesundheitswesen dann nochmal andere Auswirkungen. Um da jetzt einfach mal das ein bisschen plakativer zu machen für die Gesundheitswirtschaft.

Eine der häufigsten oder der auch schwerwiegendsten Probleme, die auftauchen können im Zusammenhang mit medizinischer Software, ist eine Patientenverwechslung oder aber auch eine Rechts-Links-Vertauschung. Man kann sich natürlich sehr gut vorstellen, ein Patient muss operiert werden und irgendwo im Thorax-Bereich, also im Bauchbereich und wenn jetzt hier Bildmaterial vorliegt und das Bildmaterial bei der Darstellung jetzt seitenverkehrt dargestellt werden würde aufgrund eines Softwarefehlers, dann kann es natürlich dazu kommen, dass die Operation zumindest mal auf der falschen Seite begonnen wird. Vielleicht auch, wenn man jetzt sich Gliebenhasen anschaut, die jetzt auch optisch jetzt rechts und links nicht anders ausschauen, dann besteht da eine große Gefahr, dass das halt jetzt relativ spät erkannt wird, dass man an der falschen Seite jetzt hier zu Gange ist.

Und das ist jetzt eben auch nichts, was eben auffällig wird dadurch. Oder auch eine Kopfstruktur, der Kopf ist symmetrisch aufgebaut. Anders ist es jetzt zum Beispiel der obere Thorax, das wäre dann auffällig, das würde dem Mediziner auffallen, wenn das Bild seitenverkehrt dargestellt werden würde.

Aber im Kopf oder Gliebenhasen ist das eben nicht auffällig. Und da lässt sich der Softwarefehler nicht so einfach erkennen. Anderes Beispiel eben die Patientenvertauschung.

Wenn der Arzt Bilder eines Patienten Müller aufruft, die Software hätte hier beispielsweise einen Fehler und zeigt aber die Bilder des Patienten Meier an. Dann kann das dadurch auffällig werden, dass man bei dem einen Patienten einen Befund hat, den man nun auf den Bildern vermisst. Wenn das aber jetzt darum geht, darzulegen, dass eben kein Befund vorhanden ist und man hat jetzt Bilder von einem gesunden Patienten, aber dem falschen Patienten vor sich, dann kommt der Arzt vielleicht zu der Diagnose, dass der Patient gesund ist, obwohl eigentlich ein Befund vorhanden ist.

Das ist dann auch nicht direkt auffällig. Also ich war persönlich in einem Vorkommnis involviert. Da wurden wir von einem Arzt kontaktiert und der hat gesagt, also hier liegt offensichtlich ein Softwarefehler vor.

Er hatte das festgestellt dadurch, dass er Bildmaterial aufgerufen hat, die zu einem männlichen Patienten gehören, das zu einem männlichen Patienten gehören sollte, aber eine weibliche Brust dargestellt hat und dadurch einfach das Problem auffällig wurde. Wären aber jetzt in dem Fall zufällig bei diesem Fehler eben auch Bilddaten aufgerufen worden, die anatomisch die gleiche Region beinhalten würden, wäre der Fehler in dem Fall nicht auffällig geworden. Man hat das natürlich dann näher untersucht und konnte feststellen, dass wirklich ein systemischer Fehler vorlag, aber sich jetzt der nicht weiter ausgewirkt hat.

Das war jetzt ein glücklicher Umstand, aber das hätte genauso gut auch anders laufen können. Und ähnlich wird es sicherlich auch in anderen Bereichen sein, wo Software eingesetzt wird. Es ist jetzt nicht auf die Gesundheitsbranche reduziert.

Fehler werden entweder auffällig, wenn sie auftreten, beispielsweise wenn ein Softwareprodukt gar nicht startet, ist auffällig, dass da ein Problem besteht. Auch hier hätten wir im Gesundheitsbereich eventuell einen Fehler, wenn die Software in einer Notsituation, also bei Einlieferung eines akuten Notfalls, verwendet werden sollte und dann nicht zur Verfügung steht, Stichwort Verfügbarkeit. Auch hier würde ein akutes Problem bestehen, aber zumindest ist der Fehler dann auffällig.

Und dann haben wir eben diese andere Art von Fehler, die nicht auffällig wird und aber Dinge eben falsch darstellt, verknüpft, präsentiert. Und das ist sicherlich auch in anderen Bereichen genauso ein Problem. Und man kann jetzt an der Stelle nicht sagen, dass eine kommerzielle Software hier besser wäre vom Prinzip her oder generell als eine Freeware oder eine quelloffene Software.

Der wichtigste Punkt ist eigentlich an der Stelle, dass man sich bewusst ist, welche Produkte hat man denn im Haus? Und dann kann man bewerten, auch im Zusammenhang mit dem Einsatz dieser Produkte, welches Risiko geht vielleicht von diesen Produkten aus. Also das, was Sie sagen, ist ja zunächst mal plausibel. Ich glaube, das kann ich auch jedem Mitarbeiter kommunizieren.

Das wird auch jeder Mitarbeiter verstehen. Aber trotzdem kommt es halt zu diesen Fällen, dass Software, die nicht der Organisation bekannt ist oder Software, die auch nicht für so einen Einsatzzweck ursprünglich vorgesehen ist, eingesetzt wird. Warum tun Mitarbeiter das? Das ist durchaus eine gute Frage.

Ich habe dazu eben auch einige Ärzte interviewt, auch einige Medizintechniker und Informationstechniker, die im Krankenhaus entsprechende Produkte betreuen und da auch schon im Dialog beziehungsweise im Konflikt mit Anwendern waren. Und es zeichnen sich eigentlich da mehrere Ursachen, das Ignorieren dieses Problems ab. Eine Ursache ist sicherlich die, dass viele Anwender, die eben jetzt auch keinen IT-Hintergrund haben, ihre Fähigkeit, wirklich Fehler in einer Software zu erkennen, ganz erheblich überschätzen.

Ich vergleiche das immer ganz gerne mit anderen Produkten. Ein einfaches physisches Produkt, sagen wir mal ein Zungenspatel, das kann ein Anwender, also ein Arzt in dem Fall, sehr gut bewerten. Wie ist die Beschaffenheit dieses Zungenspatels? Ist die Oberfläche sehr rau, dass sich der Patient da vielleicht irgendwie ein Spreisel einfangen könnte? Oder ist das entsprechend glatt geschliffen? Sind die Kanten scharfkantig? Kann man sich da irgendwie schneiden an der Zunge? Das ist relativ gut feststellbar.

Kommen wir von einem passiven Produkt zu einem aktiven Produkt, sagen wir mal ein mechanisches Produkt, kann man das wahrscheinlich, wenn das nicht irgendwie sehr gekapselt ist, auch noch irgendwie beurteilen, inwieweit die Funktionalität gegeben ist und auch zuverlässig gegeben ist. Kommen wir von einem mechanischen Produkt zu einem elektrischen Produkt, wird es schon schwieriger, das von außen beurteilen zu können. Da können Bauteile defekt sein, die irgendwo eine Überspannung erzeugen, die irgendwie gefährlich werden kann.

Bei einem elektronischen Produkt wird es noch mal schwieriger. Und wenn das Ganze jetzt noch in Software ist, dann kann ich das von außen eigentlich gar nicht mehr beurteilen. Da besteht ja auch in der Softwarebranche Klarheit und ein gemeinsames Verständnis darüber, dass ich Software auch nicht vollständig testen kann.

Schon bei einer ganzen geringen Anzahl von Pfaden ist das hundertprozentige Abtesten aller Möglichkeiten gar nicht mehr gegeben. Entsprechend ist auch das von außen Beurteilen der Software, ob die jetzt richtig oder falsch funktioniert, nicht möglich. Software kann so programmiert sein, dass sie an sieben Tagen der Woche bis auf eine Stunde immer richtig funktioniert und genau in der einen Stunde immer falsch funktioniert.

Und wenn ich die Software in diesen ganzen anderen Stunden testen würde, würde ich diesen einen Fehler nicht finden. Das ist einfach nicht möglich. Die Komplexität der Software ist zu groß.

Also da ist eine Selbstüberschätzung da. Ja, vielleicht um ein Beispiel zu geben. Es gibt diverse Branchen, wo mittlerweile in Programmierteams oder in Programmierpaaren Vier-Augen-Prinzip oder ähnliches entwickelt wird, um genau schon während der Entwicklung solche Dinge größtmöglich aufdecken zu können.

Und wenn man dann auf der anderen Seite natürlich ein alternatives, kostenloses Produkt einsetzt, man selber kann es gar nicht einschätzen, weil man den Programmierzyklus und die Programmierqualität ja überhaupt nicht kennt. Genau. Und es ist im Prinzip dann eine Blackbox.

Genau, richtig. Sie haben zwei ganz tolle Beispiele genannt, die, glaube ich, die Tragweite auch wahnsinnig aufzeigen. Das ist einmal das Produkt Osirix.

Vielleicht können Sie dazu nächstes Mal was sagen und dann gehen wir nochmal auf ein anderes Beispiel. Gerne. Es hat sich in meiner Studie relativ schnell abgezeichnet, dass neben mehreren kleinen Tools, die gerne als Freeware-Tools im Gesundheitsbereich verwendet werden, auch eine sehr mächtige, sehr leistungsfähige, also wirklich auch von Anwendungsperspektive sehr, sehr gute Software da verbreitet ist und gerne verwendet ist.

Das ist eine Software namens Osirix, die zur Darstellung und Befundung von radiologischen Aufnahmen oder aller Art von medizinischen Aufnahmen sehr gut geeignet ist. Sie ist von einem Radiologen selbst entwickelt. Vielleicht können wir noch sagen, warum ist die sehr gut geeignet oder was gibt es an Alternativen? Ja, das Produkt ist technisch sehr ausgereift.

Dadurch, dass es eben von einem Radiologen hauptsächlich entwickelt wurde, sind die Anforderungen der Anwender aus der Radiologie einfach sehr gut berücksichtigt. Die Usability ist hervorragend, die Performance ist hervorragend, die funktionelle Ausstattung ist hervorragend. Das Produkt ist mittlerweile auch als Medizinprodukt auf dem Markt verfügbar.

Das war noch nicht immer so. Ich glaube, bis 2012 hat es das eben noch nicht gehabt. Und zuvor war es einfach ohne die Medizinprodukte Zulassung auf dem Markt verfügbar und auch kostenlos verfügbar, während vergleichbare Produkte bei einigen wenigen tausend Euro beginnen und bei mehreren zehntausend Euro je nach Funktionsumfang dann enden, sodass sich für Anwender einfach auch ein finanzieller Anreiz gegeben hat.

Das andere Produkt als Osirix zu verwenden, wobei aber festzustellen war, dass es nicht nur finanzielle Anreize waren, sondern es waren dann beispielsweise auch der Grund war dafür, dass vielleicht im Krankenhaus eigentlich sogar ein Budget für eine andere Software zur Anschaffung verfügbar gewesen wäre, aber dann der Beschaffungsprozess als zu sperrig, zu langwierig befunden wird. Und man dann es vorzieht, einfach halt per Mausklick über ein Internetdownload lieber ein Produkt zu beziehen, das dann keine medizinische Zulassung hat, aber nach dem Anschein nach auch alle funktionellen und sonstigen Anforderungen des Anwenders erfüllt. Also für die Anwendung recht attraktiv.

Und ja, das war sehr auffällig. Ansonsten sind eben auch viele kleinere Tools zur Anwendung gekommen im Krankenhaus oder kommen zur Anwendung, wie in meiner Studie erfasst wurde. Beispielsweise relativ simple Tools zur Berechnung der Medikation, beispielsweise von Anästhetika.

Ja, ich glaube, das ist jetzt so ein Thema, wo sich auch andere Branchen natürlich massiv wiederfinden, weil das Thema Apps, man nutzt mal eben was auf dem Handy, um was auszurechnen oder so, das findet sich ja auch in der Bank oder in anderen Branchen wieder. Da war es ganz interessant, ein Interview, das ich mit einem Chefarzt, der bei einer Klinik geführt hat. Der hat mir mal gesagt, er hat einen Kollegen, einen jungen Kollegen auf dem Gang gesehen, der da irgendwie fleißig auf seinem Handy rumgeklimmert hat und hat mal gefragt, was er denn da tut und was er denn da treibt.

Und dann hat er mir gezeigt, er hat so eine ganz tolle App irgendwo im Internet gefunden oder in irgendeinem App-Store runtergeladen, die ihm eben das macht, was er ansonsten mit dem Taschenrechner machen würde und vielleicht noch einer Fachliteratur nebendran liegend, und zwar nämlich eben die Medikation von einem Anästhetikum zu berechnen. Und mein Interviewpartner hat sich dann im Nachgang dieses Gesprächs dann auch diese App mal runtergeladen und hat das mal ausprobiert und hat dann einfach feststellen müssen, dass diese App, sagen wir mal, in 90 Prozent der Fälle eigentlich was Sinnvolles ausspuckt. Und zwar, dass die 90 Prozent der Fälle so die breite Masse eigentlich der Patienten darstellt.

Aber wenn man jetzt in Extrembereiche reingeht, beispielsweise bei Kindern oder jetzt in andere Extrembereiche, wo besonders geringes Gewicht oder besonders hohes Gewicht vielleicht vorliegen oder irgendwelche anderen Aspekte relevant werden, Herrgesagt, dann ist die Dosis, die da ausgerechnet wurde, durchaus als kritisch zu betrachten. Und er meinte, er hätte auch Fälle identifiziert, wo eine tödliche Dosis da angezeigt wurde. Und da kommt dann einfach ins Spiel, dass ein erfahrener Arzt einfach aufgrund seiner Berufspraxis das dann auch beurteilen kann, ohne nochmal irgendwo woanders nachzurechnen, dass das jetzt vielleicht kein gutes Ergebnis ist, während der unerfahrene Arzt, der junge Arzt das vielleicht auch unreflektiert dann eben einsetzt.

Und gerade die junge Generation neigt ja auch dazu, das was im Internet steht als wahre Münze zu nehmen, eben auch was aus diesen Apps springt. Und da muss man einfach sehen, dass diese App war in dem Fall kein Medizinprodukt. Das finden sich nach wie vor zahlreiche Beispiele.

Und da kommt wieder ein anderer Aspekt mit dazu, dass es einfach extrem einfach ist, heute eine App selber zu entwickeln und die auch schnell verfügbar zu machen. Ich sage das so ganz flapsig, es war noch nie so einfach, wirklich eine App zu programmieren und die in einer breiten Menge an Menschen zur Verfügung zu stellen. Und von daher ist das einfach, kann man sich ein Szenario relativ einfach vorstellen.

Ein junger Anästhesiearzt, anstatt da ständig irgendwie mit einem Taschenrechner groß rumklimmern zu müssen, schreibt sich schnell mal abends eine App. Und statt die einfach nur auf sein Handy rüberzuziehen, ist die auch schnell in den App Store gestellt und damit für ihn verfügbar, aber auch für alle möglichen anderen. Er weiß vielleicht, wo die App nicht alle Eventualitäten berücksichtigt, aber das wissen andere Anwender dieser App dann eventuell nicht.

Und so kann es relativ schnell dazu kommen, dass gerade außerhalb des Normalbereichs dann die App auch Ergebnisse ausspuckt, die durchaus nicht so direkt einsetzbar sind und dann auch zu kritischen Geschichten führen können. Und dieses Bewusstsein, Sie haben ja mit sehr vielen Leuten gesprochen, sehen Sie gerade bei den jüngeren Mitarbeitern gar nicht so gegeben, ja? Ja, es sind wohl eher die Jüngeren. Ich meine, da kommen zwei Dinge zusammen.

Es kommt zusammen, dass die Erfahrung nicht da ist in dem Umfang, dass man das einfach nochmal mit seiner Erfahrung abgleicht sinngemäß. Ich habe schon so und so viele Fälle gehabt, wo ich eine ähnliche Ausgangssituation hatte, kam da in etwa das Gleiche raus. Kann das so eine Art Plausibilitätscheck, kann das stimmen? Diese Erfahrung ist nicht in dem Umfang da.

Und dann kommt noch einfach mit dazu, dass man das, was man gerade was für eine Software ausspuckt, was man im Internet liest oder irgendwie eine Internet, kann ja auch irgendwie eine Browserlösung, so eine Kalkulation machen. Was das ausgespuckt wird, wird vielleicht nochmal schneller übernommen, als das ein älterer Arzt macht, der ja eigentlich all diesen IT-Produkten doch vielleicht kritischer gegenübersteht als der junge Arzt. Sie haben vorhin so schön gesagt, wenn ich dann die zertifizierte Software, die bestimmte Qualitätsmechanismen in der Softwareentwicklung auch durchlaufen hat, anschaffen würde gegenüber frei verfügbarer Software, ist sie kostenpflichtig.

Ich brauche ein Budget, ich muss eventuell gerade im Gesundheitsbereich oder im öffentlichen Bereich ausschreiben. Es muss über die Beschaffung, über den Einkauf laufen, über die Wareneinnahme. Ich muss noch eine Rechnung prüfen.

Und dann erst kann ich das in Betrieb nehmen. Aber ich habe ja eigentlich jetzt die Problematik und nicht in drei Monaten. Wie gehen Krankenhäuser damit um? Wie kann man damit überhaupt umgehen, um jetzt von den Krankenhäusern auch ein bisschen wegzukommen an der Stelle? Sehr gut.

Ich hatte auch ein relativ interessantes Interview geführt mit jemandem, der in einem großen amerikanischen Krankenhaus für IT verantwortlich ist, für bestimmte IT-Systeme. Und er hat gesagt, es muss eigentlich das Ziel sein, der IT-Abteilung, und das ist ganz sicher branchenunabhängig, mit den Anwendern ständig in Kontakt zu sein, um wirklich die Bedürfnisse der Anwender zu kennen und quasi kundenorientiert. Wenn man den Anwender mal als Kunde der IT-Abteilung sieht, kundenorientiert hier zu handeln, vorausschauend zu handeln und einfach dann zu erkennen, wenn hier ein Bedürfnis, wozu IT eingesetzt werden soll, nicht gut oder gar nicht abgedeckt ist, dass man einfach da frühzeitig mit den Leuten spricht und dann einfach nach Lösungen sucht.

Und wenn man das macht, dann ist einfach die Gefahr, die Versuchung, dass man am offiziellen Prozess, Klammer auf Beschaffungsprozess vorbei, eigentlich da versucht, irgendwas anderes ins Unternehmen reinzutragen und das da einzusetzen, dann ist die Gefahr eigentlich nach Möglichkeit reduziert. Also wenn ich dieses Bewusstsein als Manager, als Firmeninhaber, als Krankenhausbetreiber nicht habe, dann wiege ich mich ja eigentlich relativ in Sicherheit. Ich habe das selber schon erlebt, dass mir ein jüngerer Arzt einen Tipp quasi gab und dafür eben entsprechend auch eine App nutzte, was Medikation anging.

Es gibt ja bestimmte Risiken, wenn ich mich mit dieser Problematik nicht auseinandersetze für unterschiedliche Anspruchsgruppen innerhalb der Organisation. Also ich denke an den Betreiber, an das Management, aber auch an den, der das tut. Ja, wir haben jetzt gerade in einer geregelten Branche wie eben Gesundheitswesen, haben wir dann einfach die Situation, wenn die Verantwortlichen, ja das ist in einem Krankenhaus klassischerweise der Geschäftsführer oder ein Vorstand, aber auch Chefärzte, also auch Hierarchie-Ebenen dazwischen, wenn das eben in dieser Einrichtung stattfindet und das geht an den Verantwortlichen vorbei und es käme zu einem Haftungsfall, dann sind auch eben die Verantwortlichen hier in der Haftung, ohne aktiv irgendwas Falsches gemacht zu haben, sie sind halt ihrer Organisationspflicht an der Stelle nicht hinreichend nachgekommen und haben den Tätigkeiten oder die Tätigkeiten der ihnen unterstellten Personen nicht hinreichend überwacht. Also das muss man sich auch ganz klar vor Augen führen, das ist jetzt nicht nur ein Verstoß desjenigen, der das tut, gegen ein Medizinproduktegesetz und der Einrichtung gegen das Medizinproduktegesetz, sondern wir haben auch Verstöße hier im Bereich der Organisationspflicht und das Interessante war dann eben auch in meiner Studie, dass es aber auch relativ einfach nachvollziehbar ist, dass diese, das andere Abteilung oder auch Verantwortliche, auch das gar nicht mitbekommen. Ich meine, sie haben es vorhin schon gesagt, der klassische Weg ist eigentlich so im Bestellprozess, es wird vielleicht eben eine Ausschreibung gemacht, es werden Angebote eingeholt, es wird eine Bestellung ausgeschrieben, es wird dann die Ware geliefert, das sind so die klassischen Schritte im Bestellprozess, anschließend ist nur vielleicht eine Rechnungsprüfung, eine Abnahme und all diese Schritte sind auch ein Stück weit, das hat meine Arbeit eben ergeben, auch Teil des Compliance-Mechanismus, auf den sich dann eben diese Verantwortlichen verlassen, dass die Organisation an sich, das Krankenhaus, verlässt sich darauf, dass eigentlich im Rahmen dieser Prozessschritte im Einkaufsprozess auch Compliance sichergestellt wird, aber wenn man das dann einfach mal schaut, eine medizinische Freeware, also eine Software, die A, nichts kostet und B, im Internet direkt verfügbar ist, für die muss keine Ausschreibung gemacht werden, für die müssen keine Angebote eingeholt werden, für die wird keine Bestellung ausgeschrieben, es erfolgt keine Warenannahme, in der jemand Warenbegleitdokumente prüfen kann, ob Zulassungsdokumente beispielsweise dabei sind, es erfolgt keine Abnahme, keine Rechnungsprüfung, also all diese Mechanismen sind nicht bemerksam, weil wenn so ein Freeware-Produkt ins Haus kommt, werden die überhaupt nicht berührt und deswegen kriegen das Verantwortliche auch gar nicht mit.

Die erste Frage ist natürlich, wie kann das überhaupt sein, dass nicht zugelassene Software in so einem regulierten Bereich einfach eingesetzt werden kann, ohne dass das jemand mitbekommt, aber das ist, denke ich, auch in anderen Unternehmen durchaus eben ein Punkt, da ist es halt vielleicht eben nicht ein regulierter Bereich, aber trotzdem möchte man nicht, dass irgendwelche Software eingesetzt wird, sondern möchte das sehr wohl wissen, möchte diese Software vielleicht auch vorher testen, um zu wissen, dass sie doch einer gewissen Wahrscheinlichkeit zuverlässig funktioniert und ich denke, dass da auch entsprechende Mechanismen vorhanden sind, die den Einsatz solcher Produkte verhindern sollen, aber auch die dann in weiten Bereichen dann nicht Also jetzt haben wir ja mehrfache Principal-Agent-Beziehungen, das heißt es gibt Personen, die wissen, was sie tun und darüber stehende, die das eben nicht mitkriegen, sprechen davon Hidden Action. Was ist Ihre Empfehlung, weil wir sehr viele Personen auch in diesem ganzen Anspruchsgeflecht haben, wir haben den Gesetzgeber, wir haben die Aufsichtsbehörden, wir haben den Betreiber, das Management, den Anwender und zu guter Letzt vielleicht der Patient, der im schlechten Fall darunter leiden muss, im guten Fall, aber ja auch Mehrwert hat natürlich vom Freeware-Einsatz. Ja, wir haben hier ganz klar Informationsasymmetrien, was der Anwender da macht, das ist eben seinem Vorgesetzten, der Gesundheitseinrichtung oder auch den Behörden ist das nicht so augenscheinlich.

Ja, vom Prinzip kann man da eigentlich mit mehreren oder sollte man mit mehreren Maßnahmen daher diese Situation verhindern, dass hier eben was passiert, was der Principal an der Stelle nicht möchte. Das ist mal ganz einfach das Monitoring, also das heißt eine stärkere Überwachung, ich muss eine effektive Überwachung einführen, um das mitzubekommen, wenn das stattfinden würde, aber es ist auch eben diese Informationsasymmetrien abbauen, beispielsweise eben durch Aufklärung. Ja, was kann denn da passieren, wenn so eine Software eingesetzt werden würde? Es ist eigentlich an der Stelle ein Blumenstrauß wirklich an Maßnahmen, die auch mehr oder weniger abstrakt oder konkret sind, die an unterschiedlichen Stellen greifen, aber erstmal die Aufklärung ist wahrscheinlich mal das Allerwichtigste.

Und ja, dann letztendlich auch eben die Überwachung. Und das Überwachen, ohne dass es jetzt eben so negativ für den Agenten dann eben erscheint, im Sinne von, da steht jetzt einer ständig neben mir, der mir immer ständig auf die Finger schaut, was ich da mache, sind das durchaus auch Elemente, die kooperativ im Kollegenkreis passieren können. Gerade jetzt aus meiner Erfahrung, aus dem Qualitätsmanagement- Bereich bieten sich da auch dann Dinge an, wie interne Audits, die eben kollegial besetzt sein können, wo man einfach auch mit Kollegen zusammen sich gewisse Situationen anschaut.

Da muss dann gar nicht mehr unbedingt so der Vorgesetzte direkt involviert sein, wo man dann so Verbesserungsgruppen da auch machen kann, die sich eine Situation anschauen und das auch einfach im Kollegenkreis dann beurteilt werden kann und auch so da so eine Überwachung stattfinden kann. Mal als Beispiel. Das heißt, klare Empfehlung von Ihnen, ein Qualitäts- und Risikomanagement-System auch für diesen Bereich vorzusehen.

Also ich erinnere mich selber an einen Fall, wo die Softwareentwickler eines ERP- Herstellers, das ist allerdings schon einige Jahre zurückliegend, dann alles Mögliche an externen Services und Freeware eingebaut haben, ohne dass der Vorgesetzte eigentlich davon wusste, was hier an Software, an Bibliotheken auch tatsächlich in sein Produkt einfließt. Ja, also ist definitiv eine klare Empfehlung. Management-Systeme, die sich auf Qualität, Risiko oder aber auch in dem Moment Informationssicherheit beziehen, sind hier sehr hilfreich.

Traumhaft wäre natürlich ein integriertes Management-System, bestehend aus Qualitätsmanagement, Risikomanagement und auch Informationssicherheit beispielsweise. Ja, wir haben ja da sehr leistungsfähige Normen. Jetzt im Bereich Qualitätsmanagement ist es eben die 9001 oder eben auf Branchen angepasste Normen.

Risikomanagement wäre als theoretisches Rahmenwerk ISO 31000 oder dann eben die Zertifizierungs-Felgen-Variante. Das ist eine österreichische Norm, die 49001 und im Bereich Informationssicherheit die 27001, die eigentlich hier wunderbare Werkzeuge an die Hand geben, wie man solcher Problematik Herr werden kann, ob man dann all diese Normen punktuell umsetzt oder vollständig und auch bis zur Zertifizierung führt, das ist dann wieder ein anderes Thema. Man kann dann, wenn man das zertifiziert, auch einen anderen Nutzen rausschlagen, dass man eben nach außen signalisiert, man hat hier die Dinge unter Kontrolle.

Natürlich hat auch eine externe Begutachtung den Charme, dass so ein System dann nicht nur einer eigenen Bewertung, sondern auch einer Fremdbewertung dann standhalten muss, was sicherlich auch nochmal einen höheren Grad an Zuverlässigkeit des Systems dann auch signalisiert. Sie selber schlagen ja auch vor, einen Fragebogen für eine Selbstbewertung oder um auch von oben, also top-down, bewerten zu können. Nach was sollte man alles schauen? Ich habe dann im Zuge meiner Studie eben ja gerade den Krankenhäusern versucht, noch ein Tool an die Hand zu geben, mit dem sie möglichst in der Lage sind, wer sich jetzt aufgrund meiner Arbeit irgendwie für das Thema interessiert, damit auseinanderzusetzen, ohne jetzt direkt eine Norm kaufen, wälzen, anwenden zu müssen.

Der Fragebogen ist da, glaube ich, ein ganz sinnvolles Instrument. Ja, er ist dazu gedacht oder so ein Fragebogen ist prinzipiell dazu geeignet, um ja die kritischen Fragen mal zu stellen, um den Denkprozess anzustoßen. Was machen wir da eigentlich? Machen wir das richtig? Beispielsweise zum Beschaffungsprozess.

Wie ist unser Beschaffungsprozess denn gestaltet? Ist es einfach? Ist er einfach aufgebaut? Sieht er akzeptable Fristen vor, indem so eine Beschaffungsanfrage geklärt und eventuell dann auch ausgeführt wird? Ist es auch transparent für denjenigen, der eine Software gerne oder ein Produkt mal ganz allgemein gerne hätte? Ist es dann für ihn transparent, wenn zum Schluss eine Entscheidung getroffen wird, wir kaufen das Produkt nicht oder wird einfach nur mitgeteilt oder gar nichts mitgeteilt und irgendwann nach vielen Nachfragen erfährt er, das wurde abgelehnt und der Grund dafür ist aber auch unklar. Ja, also das ist mal so ein Beispiel. Also solche Beschaffungsprozesse, aber auch dann eben technische Aspekte sind zu hinterfragen.

Haben wir das? Kriegen wir das im Moment mit, wenn Produkte eingesetzt würden bei uns im Unternehmen, die wir dafür nicht freigegeben oder vorgesehen haben? Organisatorische Themen, aber eben Einzelbereich, Prozess mal insgesamt, aber unter Organisation würde ich auch fallen lassen, zum Beispiel Aufklärung, Informationen, Risiken, wenn solche Produkte eingesetzt werden. Warum geht das nicht einfach so, dass man hier irgendwas einsetzt? Ja, also verschiedene Aspekte. Ich denke, da lässt sich auch relativ viel auch auf andere Branchen übertragen.

Ein Aspekt ist beispielsweise auch die Kultur. Wie ist bei uns die Kultur im Unternehmen, wenn dann irgendwie auftauchen würde, dass so was passiert? Wird dann derjenige entsprechend dafür öffentlich gescholten und an den Pranger gestellt oder versucht man dann eher zu ergründen, warum ist denn das überhaupt passiert? Warum war die Sensibilität die notwendig an der Stelle nicht gegeben und warum ist uns das nicht früher aufgefallen? Also ich glaube, das ist ein ganz wesentlicher Punkt, auch diese Awareness, diese Kultur, denn selbst wenn ich sage, ich riegele alles ab, die Laptops haben keinen USB-Lauf, keine USB oder ähnliche Zugänge, bring your own device, gibt es bei mir im Unternehmen nicht und so weiter und so fort, spätestens beim Thema Webseiten, die Funktionalität anbieten, werde ich keine Chance haben, dem Mitarbeiter alles vorzuschreiben und ihn davon abzuhalten, bestimmte Dinge zu tun. Absolut, also die technische Verhinderungsmaßnahmen können sinnvolle Maßnahmen sein, aber es sind ganz ganz sicherlich nicht der Weisheit letzter Schluss und in ihrer Effektivität sehr begrenzt.

Einfach mal zwei Beispiele, ich weiß von einer großen deutschen Uniklinik, die eine sehr ausgefuchste IT-Abteilung hat und die sich eigentlich sicher war, dass sie das mitkriegen würde, wenn hier irgendwas passiert im Haus ohne ihr Wollen und ohne ihr Wissen. Die haben dann irgendwelche Portscanner laufen, dass wenn ich da irgendwo eine LAN-Steckdose finden würde, würde hier mein Notebook dran hängen, dann würde relativ kurz danach jemand mit Federn in der Türe erscheinen und nachfragen, was ich denn da tue, weil die das einfach mitkriegen. Aber junge Assistenzärzte sind doch durchaus sehr findig und was die in dieser Uniklinik gemacht haben, sie haben einen alten Rechner, eine alte Workstation zur Bildbetrachtung, die nicht mehr verwendet wurde, haben sie eben vom Netz genommen, haben die Make-up-Adresse von dem Ding vorher abgeschrieben, haben einen WLAN-Router genommen, dem die Make-up-Adresse einprogrammiert und gehen jetzt, was heißt jetzt, vermutlich nicht mehr, aber so war das zumindest damals, sind dann munter mit ihren privaten Notebooks eben über diesen WLAN-Router ins Netzwerk gegangen und das hat die IT-Abteilung nicht mitbekommen.

Sie waren sich sogar sicher, dass eben so was in der Art und Weise überhaupt nicht passieren kann. Ein anderes Beispiel ist, wir haben es eben gerade schon mal angesprochen, auch selbst wenn ich das lokale Netzwerk, aber auch die lokalen PCs alle irgendwie versiegle und da wirklich nichts rankäme, das ist eben der Punkt, ich kann heutzutage den Leuten eigentlich nicht verhindern oder nicht untersagen, dass sie ihr privates Smartphone in der Tasche haben und das Beispiel von vorhin, die Medikationskalkulation von Anästhetiker, da muss auf dem Smartphone eben ja nicht mal eine App dazu drauf sein, da langt es einfach, wenn jemand dann eine entsprechende Website aufruft, die eine entsprechende Kalkulation anbietet. Das passiert über dem Browser auf dem Smartphone, das ist quasi spurenfrei, da braucht man nicht mal einen WLAN-Zugang, einen Internetzugang, das geht über das Mobilfunknetz.

Das kann ich technisch eigentlich nicht unterbinden, das ist nicht möglich, nicht sinnvoll und da hilft dann einfach nur das Verständnis dafür und die Kultur im Haus, dass eigentlich allen klar ist, welche Risiken damit einziehen würden in die Tätigkeit und dass es eigentlich nicht akzeptabel ist und dann muss einfach wirklich der Rahmen muss passen, es muss alles zusammenpassen, eben dass die Kultur ist dazu da, das Verständnis dazu da, andererseits gibt es aber auch gute und praktikable Lösungen und die praktikable Lösung kann nicht sein, dass der Arzt dann erstmal irgendwie durch zwei Häuser laufen muss und dann dort irgendwie an einen PC muss, den sich vielleicht sogar noch mehrere Ärzte mit dem Pflegepersonal teilen, um dann dort irgendwas zu machen, was er aber eigentlich von einer halben Stunde vorher an anderer Stelle mobil gebraucht hätte. Ja, da muss man einfach wieder, da geht es dann wieder darum, dass man weiß, wie sind die Bedarfe für IT-Zugang, in welchem Bereich und kann ich den dann auch an der Stelle, zu dem Zeitpunkt und der Vielzahl an Leuten, die das vielleicht an der Stelle brauchen, dann auch eben zur Verfügung stellen. Ich glaube, das ist ja auch das Schöne und für mich als Wirtschaftsinformatiker auch immer wieder das Interessante, dass wir eben nicht nur über Technologien sprechen, die uns in unseren Arbeitsabläufen unterstützen, sondern wir sprechen ganz viel über Organisation, wir sprechen ganz viel eigentlich auch Psychologie, Persönliches, Zwischenmenschliches, was hier eben auch eine extrem große Rolle bei diesem Thema und bei diesem Bewusstsein für das Thema spielt.

Absolut, absolut. Ich finde es ganz schön bei der ISO 27001, das ist bei vielen auch so abgespeichert als, das ist die IT-Norm, da geht es um IT. Es geht eigentlich nicht nur um IT, sondern es ist die Informationssicherheit und Information ist eben was anderes wie IT.

Die IT ist die Informationstechnologie und die Norm betrachtet eben auch genau, wie Sie eben angesprochen haben, noch viel weitere Aspekte über die reine Informationstechnologie hinaus eben auch die menschliche Komponente. Informationen können auch ungewollt das Unternehmen verlassen, rein über die menschliche Komponente, ohne dass überhaupt Technologie da irgendwie mitspielt. Technologie ist natürlich eine ganz wesentliche Komponente, weil durch ein Lack in der IT, durch aus einem Unternehmen, das sensible Unternehmensdaten hat, ganz andere Mengen an Informationen abfließen können, als wenn jemand Aktenordner beispielsweise aus einem, aus einer Versicherung oder aus einem Industrieunternehmen rausträgt.

Aber ja, ich bin da absolut dabei, die menschliche Komponente, die soziale Komponente, psychische Komponenten sind ganz klar auch da zu betrachten. Rein technisch lässt sich das Thema definitiv nicht lösen. Das ist, das ist ein toller Abschluss zu dem, zu dem inhaltlichen Komplex, über den wir gesprochen haben.

Sie haben eine ganze Reihe von, von Normen erwähnt, die werden natürlich bei unseren Shownotes auch entsprechend verlinken, so dass Sie, liebe Hörer, hier auch nachschlagen können und ein Sammelserium an Informationen zur Verfügung haben. Genauso natürlich auch Ihre Internetadresse, Herr Dr. Brönner. Ich würde gerne noch mal abschließend zu Ihnen zurückkommen, zu unserer Blitzlichtrunde, denn es menschelt ja auch immer ein bisschen in den Folgen.

Ich glaube, Sie haben einen wahnsinnig spannenden Beruf, weil Sie immer neue Herausforderungen, immer neue Menschen, immer neue Abläufe haben, die Sie tagtäglich sehen. Warum sind Sie beruflich das geworden, was Sie sind? Gute Frage. Ich meine, manche Weichen werden so gestellt, ohne dass man das vielleicht aktiv macht.

Ich bin immer oder öfters auch gefragt, eben wie ich überhaupt in dem Bereich QM und dieses Regulatorische so weit reingekommen bin. Und bei vielen steht ja auch, ist ja auch so die Meinung vorherrschend, dass das eine relativ trockene Geschichte ist, oder wie Sie es gerade schon angewiesen haben, ist es relativ vielfältig. Sogar man hat Einblicke in relativ interessante Unternehmensbereiche.

Ich bin wirklich dazu gekommen, mich intensiver mit Qualitätsmanagement auseinanderzusetzen, aus der Situation, dass wir eben vor Jahren, ich habe es eingangs skizziert, in dem Unternehmen, das ich mitgegründet habe, vor der Voraussetzung standen, auch unser Produkt, den Zulassungsverpflichtungen, das musste dann durchgeführt werden und wir brauchten entsprechende Zulassungen, wir brauchten ein Qualitätsmanagementsystem. Und das war einfach die Erfahrung, wir haben erst mal versucht, das zu delegieren vom Management her, aber nicht mit den entsprechenden Ressourcen ausgestattet. Dann hatten wir den Fehler gemacht, dass wir entsprechende Ressourcen da hatten, aber nicht den passenden Mann dafür hatten.

Und letztendlich nützt das alles nichts, da muss dann das Management selber ran. Und das war der Punkt, wo ich mich dann intensiv mit Qualitätsmanagement auseinandergesetzt habe und das eigentlich auch relativ spannend empfunden habe, aber auch zur Kenntnis nehmen musste, gerade im Gesundheits- oder Medizintechnik-Bereich, dass es gerade für kleine und mittelgroße Unternehmen eine ganz besondere Herausforderung ist. Es ist auch eine Herausforderung für Große, aber für die kleinen und mittleren ist es das irgendwo, insbesondere das möglichst wirtschaftlich zu machen, weil ansonsten das mit den Erträgen einfach nicht rein zu wirtschaften ist, was da ein Grundaufwand für den regulatorischen und qualitätsmanagementbedingten Aufwand einfach da zu leisten ist.

Und das fand ich dann eigentlich die interessante Herausforderung an der Geschichte, ein Qualitätsmanagement und in dem Fall auch Risikomanagement und solche Aspekte umzusetzen in kleinen und mittleren Unternehmen und das möglichst schlank zu machen. Das fand ich eine ganz spannende Herausforderung und deswegen bin ich, denke ich, auch jetzt so den Weg gegangen, den ich da in den letzten Jahren gegangen bin. Was war ihr größter beruflicher Erfolg? Ja, das hört sich jetzt ein bisschen speziell an, aber ein ganz großer beruflicher Erfolg war, dass wir damals eine der ersten iPad-Apps bei der FDA in den USA zulassen konnten.

Das war, glaube ich, so die erste außereuropäische App überhaupt. Ich glaube, die zweite oder dritte überhaupt, die zugelassen wurde. Das war durchaus eine Herausforderung, den Behörden, eben der FDA damals, den amerikanischen Behörden klarzumachen und darzulegen, dass es möglich ist, dass so eine App ein sicheres Medizinprodukt sein kann.

Jetzt sind Sie in einem Themenumfeld unterwegs, wo man sich ja auch permanent weiterbilden muss. Das eine sind natürlich Inhalte, ist eine inhaltliche Weiterbildung, aber sicherlich auch eine menschliche Weiterbildung. Wenn wir an das Medium Buch denken, gibt es Bücher, mit denen Sie sich weiterbilden, die Sie vielleicht auch unseren Zuhörern empfehlen können? Ja, da gibt es zunächst mal, was meine Studie anbetrifft, gibt es eine ganze Reihe von Büchern, die ich höchst spannend fand, die ganz interessante Einblicke geben, gerade auch in dem Bereich Fehlerkultur.

Was ist unter einem Fehler zu verstehen? Was spielt da alles rein? Da sind Bücher dabei, die ich eigentlich prinzipiell empfehlen kann. Die sind jetzt auch nicht unbedingt medizinspezifisch, sind teilweise auch Beispiele eben aus der Medizin drin, aber auch Beispiele aus der Luftfahrt oder anderen risikosensiblen Branchen. Die fand ich echt super spannend, die kann ich jedem ans Herz legen.

Das ist dann beispielsweise der Klassiker, was Fehlerkultur betrifft, True Error is Human. Da geht es zwar um die Medizin, da waren aber auch Bücher dabei, wie zum Beispiel von James Reason, Understanding Adverse Events, Human Factors, oder eine Studie zu einem sehr großen medizinischen Vorfall in England. Das war in den 80er-Jahren und das wurde von einer Kommission aufgearbeitet.

Das zeigt die Historie auf, wie in diesem Unternehmen, das war wie gesagt ein englisches Krankenhaus, Schritt für Schritt immer wieder Dinge falsch gelaufen sind, auch eben mit Managementkultur. Da kann man auch für seine eigene Management-Tätigkeit wahnsinnig viel rausziehen, wenn man einfach sieht, wie sowas wirklich strukturiert falsch laufen kann. Da kann ich aber auch gerne einfach nochmal diese Auflistung von den Literaturempfehlungen gerne zur Verfügung stellen.

Sehr gerne, wie immer, wir verlinken alle Buchempfehlungen auch auf unserer Webseite, beziehungsweise den Show Notes, die Sie auch finden unter www.erp-podcast.de. Mal ein Blick in die Glaskugel. Wie wird sich die Berufswelt in Ihrem Umfeld in den nächsten zehn Jahren verändern, was glauben Sie? Ja, der Einsatz von IT wird sicherlich mehr werden. Wir werden mehr über die Entfernung zusammenarbeiten.

Ich denke, das wird in meiner Branche so sein, aber auch in vielen anderen Branchen. Für die Zusammenarbeit wird Projekt bezogen, während die Teams dynamischer zusammengesetzt werden und die sitzen dann eben nicht unbedingt immer an der gleichen Lokalität. Es wird wahrscheinlich auch weniger an Unternehmensgrenzen Halt machen, wie das heute noch der Fall ist, sondern es wird mehr in Partnerschaften, in auch mehr losen Partnerschaften von Unternehmen zusammengearbeitet werden.

Und das ist natürlich IT-Unterstützung wahnsinnig wichtig, dass das Ganze effizient, also erst mal effektiv, aber auch effizient ablaufen kann. Und da muss dann auch eben die Zuverlässigkeit der IT her. Das ist mal wieder ein bisschen bei dem Stichwort auch Inhalt meiner Studie.

Da will man dann vielleicht auch nicht, dass dann alles Mögliche eingesetzt wird, sondern da ist es dann einfach wichtig, dass IT, wenn sie dann gebraucht wird, zuverlässig funktioniert. Sehen Sie das auch als ganz große Herausforderung für das Datenfundament, für Unternehmenssoftware, natürlich in unserem Fall insbesondere ERP, aber auch drumherum? Ja, also die Verfügbarkeit von, also das ist was, was sich, finde ich, wunderbar auch auf ERP übertragen lässt. Da vielleicht dann mal ein Ausflug in meine Tätigkeit.

Wenn ich dann in Unternehmen auditiere, spielt ERP zwar nicht die Hauptrolle dann dabei, aber sie spielt eine gewisse Rolle. Was ich da immer wieder feststelle, wir kommen jetzt ein bisschen von ihrer Frage ab, aber das ist was, das springt mir gerade noch mal der Gedanke in den Kopf, dass ich das an der Gelegenheit auf jeden Fall anbringen sollte. Ich stelle wirklich sehr oft fest, dass eben, wenn wir die Anwender dann zeigen, wie sie gewisse Daten im ERP handhaben, wie sie das aufrufen, wie sie was eingeben, wie sie sich Informationen dort suchen, dass das häufig wenig, die Usability ist deutlich verbesserungsfähig, die Reaktionszeit ist deutlich verbesserungsfähig und da besteht noch ein großer Handlungsbedarf.

Natürlich kann das sein, dass nicht unbedingt überall das optimale Produkt vielleicht für diese Notwendigkeiten, die an einem Platz dann vorherrschen, da zur Verfügung steht. Vielleicht nicht die beste Lösung, aber ich habe auch oft den Eindruck, dass das nicht optimal gelöst ist und da ERP auch, mal ganz allgemein gesagt, die Anwender benutzerfreundlicher und auch effizienter dann unterstützen sollte. Ja, ERP verändert sich gerade kolossal.

Zentrales Datenfundament, zentrales Datenmodell mit vielen verschiedenen Services, noch nicht mal zwangsweise von einem Hersteller. Ich glaube, Herr Dr. Brönner, Sie werden an der Stelle im Bereich von Risiko und Compliance, was Unternehmenssoftware angeht, sei es Krankenhaus, aber auch andere Branchen, nicht so schnell arbeitslos werden. Ne, den Eindruck habe ich auch nicht.

Ich darf mich ganz herzlich bei Ihnen für dieses spannende Interview und diesen hochinteressanten Einblick in Ihre Wirkungsstätte und letztendlich auch in Ihre Dissertation bedanken. Wie immer, die letzten Worte gehören natürlich unserem oder meinem Gast an dieser Stelle, Herr Dr. Brönner. Schön, dass Sie bei uns waren.

Die letzten Worte sind jetzt Ihre. Ja, was ich den Hörern gerne mitgeben möchte, ist, dass aus meiner Sicht heraus eben das Risikomanagement in vielen Unternehmen nicht hinreichend gewürdigt und betrachtet wird. Woher kommt das? Ja gut, Risikomanagement, man stellt eigentlich immer nur fest, dass man es braucht, wenn es zu spät ist, nämlich wenn irgendwo ein Schaden eingetreten ist und dann hätte man sich gewünscht, dass man sich davor über Gedanken gemacht hat.

Ich kann doch jeden empfehlen, in irgendeiner Art und Weise, ob das jetzt mit einem aufwändigen System ist, vielleicht sogar zertifiziert oder mit relativ einfachen Mitteln, zu schauen, dass man in seinem Unternehmen, in seiner Abteilung, je nachdem für was man Verantwortung trägt, sich Gedanken macht über ein Risikomanagement und das eben auch nicht nur einmalig, sondern regelmäßig, sodass das dann auch aktuell gehalten wird. Wenn man Risiken erfasst hat, dann kann man selbst entscheiden, ob man die irgendwie handhaben möchte oder man sie einfach trägt, so wie sie sind. Aber wenn man sich der Risiken nicht bewusst ist, denen man da ausgesetzt ist, dann ist es dem Zufall überlassen, ob man irgendwie davon verschont bleibt und in welchem Ausmaß vielleicht im Schadensfall beeinträchtigt wird.

Das soweit von meiner Seite. Am besten Dank! Ihnen hat der ERP-Podcast gefallen und Sie konnten wertvolle Erkenntnisse gewinnen? Dann würde ich mich über eine Bewertung auf iTunes freuen, damit auch andere von diesem Podcast erfahren können. Eine Anleitung für die Bewertung finden Sie auf www.erp-podcast.de. Dort finden Sie auch weitere Hinweise, Links und Aktualisierungen zu dieser Folge.

Das war der ERP-Podcast für alle, die sich aktiv mit dem Einsatz und der Gestaltung von Unternehmenssoftware und den daraus entstehenden Risiken und Potenzialen in Unternehmen losgelöst von Fachzeitschriften, Büchern und wissenschaftlichen Veröffentlichungen, zum Beispiel beim Spazierengehen oder Autofahren, auseinandersetzen wollen.

Mein Name ist Axel Winkelmann. Ich bin Professor für Betriebswirtschaftslehre und Wirtschaftsinformatik an der Universität Würzburg.