Großbritannien: Datenschutzbeauftragte rügt Krankenhäuser

Bei den Ermittlungen gegen einen großen Krankenhausverband in Großbritannien liegen erste Ergebnisse vor: Die Datenschutzbeauftragte schreibt in einem Bericht, dass die ungefragte Weitergabe der Daten von 1,6 Millionen Patienten an die Google-Tochter DeepMind teilweise rechtswidrig sei – und belässt es doch bei einer Ermahnung.

Sensible Daten: Zu den medizinischen Dokumenten, die auf der Plattform ausgetauscht werden sollen, gehören etwa Röntgenaufnahmen. CC-BY 2.0 AusAID

Würde eine Unternehmensberaterin erzählen, dass sie in den letzten fünf Jahren täglich durch drei große Krankenhäuser der Stadt gelaufen sei, die Patienten befühlt, geröntgt und fotografiert sowie Patientenakten kopiert und archiviert habe, würden nicht nur Datenschützer genauer nachfragen, wie es dazu kam und was sie damit vorhat.

Eine Firma des Google-Mutterunternehmens Alphabet mit dem Namen DeepMind beansprucht die Rolle dieser Beraterin. DeepMinds Produkt, die App Streams, soll Patienten in akuter Not im Krankenhaus schnell und zuverlässig mit den richtigen Ärzten zusammenzubringen. Per App sollen in Echtzeit Nachrichten verschickt werden und Ärzte damit an die Orte gelotst, an denen sie am meisten gebraucht werden.

Rechtswidrige Weitergabe von Daten

Dafür hat DeepMind von einem der größten Krankenhausverbände Großbritanniens Daten bekommen. Nach breiter Kritik und Berichterstattung kommt die britische Datenschutzbeauftragte Elizabeth Denham in ihrem neuesten Bericht (pdf) nun zu dem Schluss, dass diese Weitergabe von Daten nicht verhältnismäßig sei, da sie mit den rechtlichen Bestimmungen zum Datenschutz „nicht voll übereinstimme“.

So habe der Krankenhausverband nicht sicherstellen können, dass die 1,6 Millionen Patienten der Weitergabe ihrer Daten haben zustimmen können. Denn ein Großteil der Daten fiel an, als die Zusammenarbeit zwischen Royal Free NHS und DeepMind noch gar nicht bestand. DeepMind hat nachträglich – bis zu fünf Jahre rückwirkend – Zugang auf diese Daten.

Außerdem, so Denham, seien die Daten nicht anonymisiert oder pseudonymisiert worden. Den Grund, den Royal Free und DeepMind angaben, dass dadurch auch einzelne Patienten mit mehreren ähnlichen Fällen korrekt analysiert werden könnten, sieht die Datenschützerin als nicht ausreichend an.

Google und die Körperdaten

Der vom NewScientist geleakte Vertrag zwischen Royal Free NHS und DeepMind zeigt, dass es sich dabei um Patientenakten mit Krankheitsverläufen, Röntgenaufnahmen und Fotos von Patienten handelt. Dies zeigt, dass DeepMinds Ziel, die Organisation und personelle Abstimmung in Krankenhäusern effizienter zu machen, nicht allein mit Hilfe krankenhausinterner Statistiken wie Dienstplänen und Zimmerbelegung verfolgt wird, sondern auch durch die Analyse des körperlichen Zustands von 1,6 Millionen Einzelpatienten. Damit geht DeepMind über die sich selbst gegebene Rolle des Beraters hinaus.

Transparenz als Ausrede?

Trotz dieser augenscheinlichen Rechtswidrigkeiten argumentiert die Datenschutzbeauftragte, dass die problematische Verwendung von Patientendaten das Projekt nicht gefährde – unter der Bedingung, dass Royal Free NHS und DeepMind in Zukunft die Patienten besser aufklären und kontinuierlich und transparent mit der Datenschutz-NGO zusammenarbeiten. Die invasive Praxis, Körperdaten von Individuen durch Big-Data-Verfahren zu analysieren, kritisiert sie nicht und stellt stattdessen die Wichtigkeit von Forschung und Big Data im Gesundheitssystem heraus.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.