So viel Spaß hat man in England mit Patientendaten

Wenig kann einem so nachhaltig das Leben ruinieren wie versehentlich oder willentlich in die falschen Hände geratene Details zum eigenen Gesundheitszustand, abgesehen von einem unvorteilhaften Gesundheitszustand. Lehramtsstudenten, die Therapiemassnahmen aus der eigenen Tasche bezahlen, wissen das.

Wer die Debatte um die Datenschutzverordnung ein wenig mitverfolgt hat, wird vermutlich auch mitbekommen haben, mit welchem Aufwand Lobbyisten aus den Bereichen Pharma und Medizintechnik gegen strenge Vorschriften beim Umgang mit den Daten der Patienten vorgegangen sind. Forschung solle nicht behindert werden, war dabei das Standardargument.

In Großbritannien ist man bekanntlich besonders forschungsfreundlich, nicht nur beim Geheimdienst GCHQ. In den letzten Monaten gab es immer wieder Meldungen aus dem Bereich Gesundheitsdaten, die „Datenschutzhysteriker“ ein wenig beunruhigten. So hatte etwa der Guardian im Januar berichtet, dass nach der Einrichtung einer zentralen Datenbank für Gesundheitsdaten („care.data“) im März 2014 diese Daten von Pharmaunternehmen und Versicherungskonzernen käuflich erwerbbar würden, darunter auch Informationen zu psychischen Leiden, Genussmittelkonsum und Krebserkrankungen:

Once live, organisations such as university research departments – but also insurers and drug companies – will be able to apply to the new Health and Social Care Information Centre (HSCIC) to gain access to the database, called care.data.

NHS_HSCIC

So werden die Daten verteilt. Grafik aus dem Privacy Impact Assessment

Die Daten sollten pseudonymisiert übermittelt werden. Das Risiko der Zuortbarkeit schätzte der für diese Art der Einschätzung bezahlte HSCIC-Mitarbeiter als gering ein.

Anfang Februar meldete sich ein Mitglied des Unterhauses zu Wort mit dem Hinweis, dass für die Datenbank eine Backdoor für Strafermittlungsbehörden vorgesehen sei.

In britischen Medien, die nicht der Guardian sind, wurde das Thema ein wenig anders aufbereitet. So veröffentlichte der Telegraph am 7. Februar, einen Tag nach der Backdoor-Geschichte des Guardian, einen Blog-Beitrag mit der Überschrift „The Snowden privacy panic has spread to medical research. This is a problem“, in dem erklärt wurde, dass eine Abkehr von zentralen Datenbanken für Gesundheitsdaten die Wissenschaft zurückwerfen würde. Am selben Tag schrieb Professor Peter Johnson von „Cancer Research UK“ für die BBC auf, warum das Teilen der Daten wichtig für die Gesellschaft sei, und verwendete dabei eine Menge Pathos („The choice is yours. […] I’m not here to tell you what to do. […] Everyone in England has a decision to make.“) und eine gehörige Portion Datenschutzhysterie der anderen Art nach dem Motto „Krebs gewinnt, wenn Europa Datenschutz verordnet“.

Ende des Monats war es zur Abwechslung mal der Telegraph, der meldete, dass 2012 die Daten von 47 Millionen Patienten, die über 13 Jahre angefallen waren, an die Versicherungsindustrie verkauft worden waren. Im Nachhinein ein Fehler, fand HSCIC kurz darauf selbst. Weitere unvorteilhafte Datenweitergaben könne man nicht ausschließen, allerdings könne man dazu nichts sagen, denn damals habe man noch NHSIC geheissen, oder so ähnlich:

HSCIC said it couldn’t share documentation on these releases because it had all been done by its predecessor body, the NHS Information Centre – even though the HSCIC replaced the NHSIC in 2013, and is in the same building, doing the same job, with almost identical personnel and all the old records.

Womit wir in der Gegenwart angekommen sind und bei der Meldung des Guardian, der zufolge die englischen Patientendaten versehentlich auf Google-Servern gelandet sind. Der Unternehmensberatungskonzern PA Consulting hatte die erhaltenen Daten in einem Wochen dauernden Prozess auf die Server geladen und stolz verkündet, man könne nun dank der Google-Tools (BigQuery) innerhalb von Sekunden interaktive Karten erstellen. Die darauf folgende Unruhe versuchte man mit einer Presseerklärung zu besänftigen:

PA signed a data sharing agreement to gain access to the Hospital Episode Statistics dataset from the Health and Social Care Information Centre. The dataset does not contain information that can be linked to specific individuals and is held securely in the cloud in accordance with conditions specified and approved by HSCIC.

PA habe ausserdem eine Erklärung unterschrieben, der zufolge keine Google-Mitarbeiter Zugriff auf die auf Google-Servern gelagerten Daten hätten, ergänzte HSCIC. Auch sonst hat die Pressestelle von HSCIC gerade eine Menge Spaß dabei, zu erklären, wer wie an welche Daten gekommen ist.

Schon vor dieser Episode war entschieden worden, die Zusammenführung der Gesundheitsdaten in einer einzigen Datenbank für sechs Monate zu verschieben. Ob das Fiasko bis dahin durch ein bißchen durchdachteres Vorgehen beendet sein wird?

14 Kommentare
  1. Niemand kehrt 4. Mrz 2014 @ 19:56
  2. Der Viewer 5. Mrz 2014 @ 1:26
  3. Willkommen 5. Mrz 2014 @ 2:39
  4. "versehentlich" 5. Mrz 2014 @ 14:20
    • Der Viewer 6. Mrz 2014 @ 0:44
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden