Datenschutz

So viel Spaß hat man in England mit Patientendaten

Wenig kann einem so nachhaltig das Leben ruinieren wie versehentlich oder willentlich in die falschen Hände geratene Details zum eigenen Gesundheitszustand, abgesehen von einem unvorteilhaften Gesundheitszustand. Lehramtsstudenten, die Therapiemassnahmen aus der eigenen Tasche bezahlen, wissen das.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Wer die Debatte um die Datenschutzverordnung ein wenig mitverfolgt hat, wird vermutlich auch mitbekommen haben, mit welchem Aufwand Lobbyisten aus den Bereichen Pharma und Medizintechnik gegen strenge Vorschriften beim Umgang mit den Daten der Patienten vorgegangen sind. Forschung solle nicht behindert werden, war dabei das Standardargument.

In Großbritannien ist man bekanntlich besonders forschungsfreundlich, nicht nur beim Geheimdienst GCHQ. In den letzten Monaten gab es immer wieder Meldungen aus dem Bereich Gesundheitsdaten, die „Datenschutzhysteriker“ ein wenig beunruhigten. So hatte etwa der Guardian im Januar berichtet, dass nach der Einrichtung einer zentralen Datenbank für Gesundheitsdaten („care.data“) im März 2014 diese Daten von Pharmaunternehmen und Versicherungskonzernen käuflich erwerbbar würden, darunter auch Informationen zu psychischen Leiden, Genussmittelkonsum und Krebserkrankungen:

Once live, organisations such as university research departments – but also insurers and drug companies – will be able to apply to the new Health and Social Care Information Centre (HSCIC) to gain access to the database, called care.data.

Die Daten sollten pseudonymisiert übermittelt werden. Das Risiko der Zuortbarkeit schätzte der für diese Art der Einschätzung bezahlte HSCIC-Mitarbeiter als gering ein.

Anfang Februar meldete sich ein Mitglied des Unterhauses zu Wort mit dem Hinweis, dass für die Datenbank eine Backdoor für Strafermittlungsbehörden vorgesehen sei.

In britischen Medien, die nicht der Guardian sind, wurde das Thema ein wenig anders aufbereitet. So veröffentlichte der Telegraph am 7. Februar, einen Tag nach der Backdoor-Geschichte des Guardian, einen Blog-Beitrag mit der Überschrift „The Snowden privacy panic has spread to medical research. This is a problem“, in dem erklärt wurde, dass eine Abkehr von zentralen Datenbanken für Gesundheitsdaten die Wissenschaft zurückwerfen würde. Am selben Tag schrieb Professor Peter Johnson von „Cancer Research UK“ für die BBC auf, warum das Teilen der Daten wichtig für die Gesellschaft sei, und verwendete dabei eine Menge Pathos („The choice is yours. […] I’m not here to tell you what to do. […] Everyone in England has a decision to make.“) und eine gehörige Portion Datenschutzhysterie der anderen Art nach dem Motto „Krebs gewinnt, wenn Europa Datenschutz verordnet“.

Ende des Monats war es zur Abwechslung mal der Telegraph, der meldete, dass 2012 die Daten von 47 Millionen Patienten, die über 13 Jahre angefallen waren, an die Versicherungsindustrie verkauft worden waren. Im Nachhinein ein Fehler, fand HSCIC kurz darauf selbst. Weitere unvorteilhafte Datenweitergaben könne man nicht ausschließen, allerdings könne man dazu nichts sagen, denn damals habe man noch NHSIC geheissen, oder so ähnlich:

HSCIC said it couldn’t share documentation on these releases because it had all been done by its predecessor body, the NHS Information Centre – even though the HSCIC replaced the NHSIC in 2013, and is in the same building, doing the same job, with almost identical personnel and all the old records.

Womit wir in der Gegenwart angekommen sind und bei der Meldung des Guardian, der zufolge die englischen Patientendaten versehentlich auf Google-Servern gelandet sind. Der Unternehmensberatungskonzern PA Consulting hatte die erhaltenen Daten in einem Wochen dauernden Prozess auf die Server geladen und stolz verkündet, man könne nun dank der Google-Tools (BigQuery) innerhalb von Sekunden interaktive Karten erstellen. Die darauf folgende Unruhe versuchte man mit einer Presseerklärung zu besänftigen:

PA signed a data sharing agreement to gain access to the Hospital Episode Statistics dataset from the Health and Social Care Information Centre. The dataset does not contain information that can be linked to specific individuals and is held securely in the cloud in accordance with conditions specified and approved by HSCIC.

PA habe ausserdem eine Erklärung unterschrieben, der zufolge keine Google-Mitarbeiter Zugriff auf die auf Google-Servern gelagerten Daten hätten, ergänzte HSCIC. Auch sonst hat die Pressestelle von HSCIC gerade eine Menge Spaß dabei, zu erklären, wer wie an welche Daten gekommen ist.

Schon vor dieser Episode war entschieden worden, die Zusammenführung der Gesundheitsdaten in einer einzigen Datenbank für sechs Monate zu verschieben. Ob das Fiasko bis dahin durch ein bißchen durchdachteres Vorgehen beendet sein wird?

Weitersagen und Unterstützen. Danke!
15 Kommentare
  1. Obwohl die Thematik wichtig ist und das Missbrauchspotential immens ist, interessiert es niemanden. Wirklich.
    Ich hielt vor ein paar Monaten, als das Thema erstmals im Guardian thematisiert wurde, ein Referat über die neue britische Datenbank, dessen Pro- und Kontra-Argumente und die Gefahr in Wirtschaftslehre (Abiturjahrgang). Was soll ich sagen? Auch unsere Lehrerin, die ich eigentlich doch für recht gebildet hielt/halte, war es egal. Ich führte mehre Punkte an, wie Menschen bereits durch solche Daten diskriminiert wurden. Es war egal. Ich zog eine Parallele zu dem Spionageskandal und dem GCHQ. Es war egal – und den Geheimdienst kannten viele nicht einmal.

    tl;dr: No one cares.
    zl;ng: Niemand kehrt.

    1. Erschreckend. Dann hilft wohl nur noch der Nazibezug: die Nazis waren damals auch beim Einmarsch in die Niederlande „dankbar“ für völlig unsinnige Datensammlungen, die u.a. klar darlegte, wer Jude war. Die Konsequenz ist klar. Gleiches gibt es noch mit aktuellerem Bezug, bei der nach Regierungsumstürzen ebenfalls anhand von umfangreichen Datenbanken Feinde in der Bevölkerung leicht identifiziert und eingeschüchtert, gefoltert oder auch umgebracht werden konnten.

      Nur in Deutschland ist sowas „völlig undenkbar“. Na klar, ausgerechnet in einem Land nicht, das für seine Naziverbrechen in der ganzen Welt berüchtigt ist.

      1. Du liegst garnichtmal so weit daneben:

        „We would like to make clear that information given to Beacon Dodsworth by NW PHO was anonymous, aggregate level analysis, which was used to look at disease prevalence in different communities. “
        [vorletzter Link im Artikel]

  2. Hmm..und in welchem Land soll jetzt auch alles zentral gespeichert werden? Richtig. Hier. Und wer glaubt, hier würde Missbrauch nicht passieren, hat einen an der Waffel. Ich surfe im Web, also muss mein Nutzungsverhalten gespeichert werden. Ich esse und trinke, also soll mein Kaufverhalten gespeichert werden und soll ne Paybackkarte verwenden. Ich bin krank und deshalb sollen meine Diagnosen und Therapien gespeichert werden und soll ne eGK bekommen (habe ich Gott sei Dank nicht). Ich gebe sonst Geld aus und soll am besten mit Kreditkarte oder EC bezahlen, dass auch das lückenlos irgendwo gespeichert wird. Sollen irgendwann noch meine Stuhlgänge irgendwo gespeichert werden?
    Und wieso müssen selbst im Namen der Forschung Grundrechte verletzt werden? Das was bei Pharmakonzernen als Forschung bezeichnet wird, ist doch sowieso nur darauf getrimmt, die Taschen mit Geld zu füllen.
    „PA habe ausserdem eine Erklärung unterschrieben, der zufolge keine Google-Mitarbeiter Zugriff auf die auf Google-Servern gelagerten Daten hätten, ergänzte HSCIC.“
    Was will denn der gemeine Googlemitarbeiter mit diesen Daten? Die hiesigen Geheimdienste haben Interesse daran. Am besten die ganzen sensiblen Daten auf so vielen Drittanbietern speichern wie nur möglich!

  3. Und warum geht das alles?

    Weil die Daten da sind und der Staat für nichts, aber auch gar nichts haftet.

    In DE besser? Ich glaube nicht, Tim!

  4. … im 4. Reich.
    Vom Minority Report sind wir dank Big Data und Verhaltensvorhersagealogrythmen nicht mehr weit weg. Statt der 3 Gehirngewaschenen in der Badewanne werden dann eben 3 Datenzentren in Echtzeit Schuldsprechungen verkünden.

    Es gibt nicht genug Essen auf der Welt um den Berg zu kotzen, der mir grad hochkommt.

  5. Versehentlich wurden die Daten wohl kaum hochgeladen.
    Der Artikel zitiert einem Mitarbeiter „the upload took about 2 weeks(!), after it was completed we were able to imidiately produce google maps with our data“

    2 wochen, my ass! von versehentlich KANN HIER NICHT die Rede sein.

  6. Jaja, wie wär’s auch hiermit:
    Auszug aus einem Bewerbungsformular für ein großes Forschungsinstitut (*.doc-file):

    Sexual Orientation: (Please circle)
    Heterosexual – Homosexual – Bisexual
    I do not wish to disclose my sexual orientation

    (Wenigstens ist es freiwillig, aber die Frage als solche ist schon der Hammer)

    http://www.diamond.ac.uk/Careers/dms/HR/Application-Form—Scientists-and-PDRA—December-2014/Application%20Form%20-%20Scientists%20and%20PDRA%20-%20December%202013.doc

  7. Ich war bereits freiwillig dazu bereit, meine home-klinischen Daten der täglichen Stuhlentleerung öffentlich ins Netz zu stellen. Schweigepflicht der Ärzte – da lachen ja die Hühner sprich die Sprechstundenhilfen …

  8. Wie schön, dass die Insel soweit weg ist. Die Niederlande sind dummerweise um die Ecke. Dort war ich vor Kurzem um eine Freundin zu besuchen. Der Zustand dort ist, erschreckenderweise, sehr vergleichbar mit dem in Großbritannien. Die lückenlose Überwachung im Alltag nimmt wie in GB exorbitante Ausmaße an. Nun sind beide Gesellschaften kulturell sehr durch den fürsorgenden paternalistischen Wohlfahrtsstaat geprägt, ebenso wie die skandinavischen Staatsgebilde, die schon seit längerem eine sehr weit- und tiefgreifende zentrale die Erfassung für ihre Bürger und Bürgerinnen mandatorisch voraussetzen.
    In Gesprächen wurde mir klar, dass die vorherrschende Grundhaltung, die zur weitgehenden Toleranz gegenüber dem übergriffigen Staat führt, ein maßloses Vertrauen in eben den ist. Ein auch nur mögliches Fehlverhalten der Bürokratie wird weitestgehend ausgeschlossen.

    Wenn daraus in aller Kürze ein Schluss gezogen werden kann, dann vielleicht der, dass einem Staatssystem in einer Demokratie nicht zu vertrauen sein kann.
    Nicht das dies, sozialistischer Untriebe grundlegend unverdächtigen Gründerväter und -mütter unserer Demokratien, wenn man sie so nennen mag, nicht vorausgesehen hätten. Die Mahnung nach machtvoller Kontrolle und aktiver Mitgestaltung, und im nötigen Fall der aktiven Abwehr, des Regierungs- und Lenkungssystems durch den Souverän (also der sich in der jeweiligen Gesellschaft befindlichen Menschen) lässt sich in vielen, wenn nicht gar in allen, Grundlagepapieren der Gesetzeswerke demokratischer Staaten finden.
    Und wenn sie nicht zu finden sind, haben sie da schnellsten reingeschrieben zu werden und in eine wirksame Praxis umgesetzt zu werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.