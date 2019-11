Hochsensible Gesundheitsdaten von Millionen Menschen landen auf den Servern eines Konzerns, der mehr über seine Nutzer weiss als fast alle anderen Unternehmen der Welt. Dieser Konzern speichert die Daten nicht nur, sondern gibt Mitarbeitern Zugriff. Maschinen werten die Datensätze aus und bauen eine gigantische Suchmaschine für Gesundheitsdaten. Weder Patienten noch Ärzte wissen davon. Und vermutlich ist all das vollkommen legal. Zumindest in den USA.

So lässt sich zusammenfassen, was in den vergangenen Tagen durch mehrere Medienberichte bekannt wurde. Google arbeitet in den USA seit 2018 mit der Gesundheitsorganisation Ascension zusammen, die 150 Krankenhäuser und Tausende Arztpraxen betreibt. Bis kommenden März sollen Gesundheitsdaten von 50 Millionen Menschen auf Googles Servern landen. Das umfasst Laborergebnisse, ärztliche Diagnosen, Behandlungsverläufe und Krankenhausaufenthalte – nicht etwa anonymisiert, sondern verknüpft mit Namen und Adressen der Patienten.

Codename «Nightingale»

«Project Nightingale», wie Google die Initiative intern nennt, zeigt, wie vehement grosse Tech-Konzerne versuchen, im Gesundheitsbereich Fuss zu fassen. Neben Google drängen auch Amazon, Apple und Microsoft in diesen lukrativen Markt, der allein in den USA mehr als drei Billionen Dollar umfasst. So startet Apple eine neue Research-App, die Gesundheitsdaten der Nutzer von iPhones und Apple Watches sammelt und für Studien verfügbar machen soll. Dabei müssen die Nutzer aber explizit zustimmen, ob und für welche Studie genau die Daten genutzt werden dürfen.

Google entwickelt eine Software, die vorschlägt, wie sich die Versorgung einzelner Patienten verbessern lässt.

Über das «Project Nightingale» berichtete zuerst das «Wall Street Journal». Dem Blatt zufolge sollen 150 Mitarbeiter Zugriff auf die Daten haben. Die «New York Times» schreibt von Dutzenden Personen, die in unterschiedlichen Abteilungen der Muttergesellschaft Alphabet arbeiten. Google selbst nennt auf Anfrage keine genaue Zahl.

Auswertung mit künstlicher Intelligenz

Interne Dokumente und Präsentationen zeigen, wie gross die Ambitionen des Projekts «Nightingale» sind. Google entwickelt eine Software, die mithilfe von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) vorschlägt, wie sich die Versorgung einzelner Patienten verbessern lässt. Es soll eine gewaltige Patientendatenbank entstehen, die optisch an Googles Suchmaschine erinnert.

Die Software vervollständigt automatisch Eingaben zu den Patientennamen, die mit sämtlichen gespeicherten Gesundheitsdaten verknüpft sind. Ärzte sollen nicht nur individuelle Informationen einsehen, sondern grafische Zeitverläufe erstellen und Datensätze miteinander vergleichen können. Google hofft, diese Infrastruktur künftig an andere Gesundheitsdienstleister verkaufen zu können.

Die Daten sollen nicht verwendet werden, um Werbung zu personalisieren. All das geschieht, ohne dass die Betroffenen zugestimmt haben. Ascension und Google müssen die Patienten nicht einmal informieren. Der sogenannte Health Insurance Portability and Accountability Act, ein US-Gesetz aus dem Jahr 1996, erlaubt es Ärzten und Krankenhäusern, Gesundheitsdaten an Geschäftspartner weiterzugeben. Allerdings dürfen die Informationen nur genutzt werden, um Patienten besser zu behandeln.

Unzureichender Schutz in der Schweiz

Schweizer Datenschützer sind alarmiert: «Der Trend zur Auslagerung von Datenbearbeitungen in die Cloud nimmt auch im Gesundheitswesen und in den Spitälern in der Schweiz zu», erklärt Bruno Baeriswyl, der Datenschutzbeauftragte des Kantons Zürich. Dabei müssten Spitäler sicherstellen, dass die Cloud-Anbieter keinen Zugriff auf die Daten haben. «In den wenigsten Fällen wird dies aber konsequent gemacht, sodass nicht auszuschliessen ist, dass in der Cloud die Daten von Dritten verwertet werden können», warnt Baeriswyl.

In der Schweiz haben Patienten mehr Rechte über ihre Daten. Foto: LAB

Laut dem Schweizer Datenschutzrecht dürften Anbieter von Datenverarbeitungsprogrammen – wie in diesem Fall Google – «die Daten nicht für eigene Zwecke verwenden», betont der Datenschützer. Und wollte Google selbstständig Patientendaten in der Schweiz bearbeiten, müsste der Konzern hierfür die Einwilligung der Betroffenen einholen.

Strafbares Handeln

Das gelte auch für Arztpraxen, betont der Eidgenössische Datenschutzbeauftragte: «Für die privaten Ärztinnen und Ärzte oder andere private Leistungserbringer im medizinischen Bereich sind wir der Ansicht, dass eine derartige Zusammenarbeit mit Google oder einem anderen Unternehmen nur mit der ausdrücklichen Einwilligung der Patientinnen und Patienten erfolgen kann.» Ohne diese ausdrückliche Einwilligung würden sich Ärzte, aber auch Apotheker oder Hilfspersonen nach Schweizer Recht strafbar machen.

Im Fall des Projekts «Nightingale» beteuern beide Vertragspartner, dass alle Daten sicher und verschlüsselt gespeichert würden und nur ausgewählte Google-Mitarbeiter darauf zugreifen könnten. Google trenne die Patientendaten strikt von Informationen aus Produkten wie Gmail oder der Suchmaschine. Die Daten sollen nicht verwendet werden, um Werbung zu personalisieren. Google verspricht, die Patientendaten von Ascension auch nicht mit Informationen zu verbinden, die es von anderen Gesundheitsorganisationen erhält.

Doch es gibt Zweifel, ob das tatsächlich so harmlos ist, wie es die Beteiligten darstellen. Mehrere US-Senatoren haben Bedenken geäussert: Der Demokrat Mark Warner will das Programm stoppen, bis die US-Behörden ihre Ermittlungen abschliessen, die sie am Dienstag aufgenommen haben.

Forderung nach besseren Gesetzen

Warners Parteikollegin Amy Klobuchar fordert neue Gesetze, um stärker zu regulieren, wie Gesundheitsdaten ausgewertet werden. Das «Wall Street Journal» zitiert betroffene Patienten aus Ascension-Krankenhäusern. Sie fürchten, dass Google Geld mit ihren Gesundheitsdaten verdienen wolle, und hätten sich gewünscht, vorher informiert zu werden.

Benutzt Google die Daten auf ihren Servern für Werbung? Foto: Thomas Trutschel (TDG)

Auch innerhalb von Google gibt es Widerstand. Ein anonymer Whistleblower veröffentlichte ein Video, das nahelegt, dass Google die Daten nutzen wolle, um Werbung zu schalten. Für diese Behauptung gibt es aber keine Belege. Ausserdem beklagt die Person, dass die Daten nicht ausreichend geschützt seien. In dem Video sieht man das Protokoll eines internen Meetings von Ende September. Demzufolge sind Mitarbeiter von Ascension unsicher, ob alle Daten gesetzeskonform gespeichert würden, und sie kritisieren, dass Google-Angestellte die Daten herunterladen könnten.

Googles Vision

Am Ende ist die entscheidende Frage: Wie sehr vertraut man Google? Während Facebook regelmässig neue Datenschutzverstösse einräumen muss, ist Google zumindest öffentlich etwas seltener mit Pannen und Skandalen aufgefallen.

Googles Vision machte der damalige Chef Larry Page bereits 2014 auf einer Ted-Konferenz deutlich: «Wäre es nicht grossartig, wenn Ärzte auf anonymisierte Gesundheitsdaten von allen Menschen zugreifen könnten?», fragte er. «Wir denken nicht an den gewaltigen Nutzen, der entstehen kann, wenn die richtigen Daten auf die richtige Art und Weise mit den richtigen Menschen geteilt werden.» Vielleicht können Patienten tatsächlich davon profitieren – aber es schadet sicher nicht, ihnen vorher Bescheid zu sagen.

Mitarbeit: Holger Alich