30. 11. 2022 | Die US-Gesundheitsorganisation Mayo Clinic strebt an, die Gesundheitsakten aller Menschen einzusammeln und auszuwerten, in Kooperation mit dem Digitalkonzern Google, der sich seinerseits bereits seit Jahren als Gesundheits-Datenkrake geriert. Ich beschreibe in diesem Beitrag, wie Mayo und Google an unsere Gesundheitsakten kommen können, warum das brandgefährlich für uns und unsere Nachkommen ist, und warum der Nutzen für die Gesundheitspolitik fragwürdig ist.

Auf dem Weltgesundheitsgipfel sagte am 17. Oktober 2022 die Marketingchefin von Mayo Clinic, Molly Biwer, auf dem Panel „Digitale Transformation und Prävention“:

„Wir hoffen zu erreichen – und es ist ein sehr hoch gestecktes Ziel -, dass wir die Gesundheitsakten von jedem Menschen auf der Welt einsammeln, damit wir anfangen können, Voraussagen zu machen, bevor Zustände und Krankheiten eintreten.“

Anders als der Name suggeriert ist Mayo Clinic kein einzelnes Krankenhaus, sondern eine große gemeinnützige Organisation in den USA, die eine Reihe von renommierten Krankenhäusern, Forschungs- und Ausbildungseinrichtungen betreibt.

Im September 2019 verkündete die Mayo Clinic eine zehnjährige strategische Partnerschaft mit Google, die das Gesundheitswesen neu definieren werde. Die Mayo Clinic will dabei fortgeschrittenes Cloud Computing, also Datenverwaltung auf Google Servern, ebenso nutzen wie Maschinenlernen und künstliche Intelligenz.

Zwei Monate später, im November 2019, verkündete Google das Projekt Nightingale. Dabei nutzt Google eine Gesetzeslücke, um in Kooperation mit 2600 medizinischen Einrichtungen in 21 US-Bundesstaaten Zugang zu den Gesundheitsdaten von Millionen Patienten zu bekommen.

Wenige Tage vorher hatte Google Fitbit gekauft. Das Unternehmen bietet Armbänder mit Sensoren an, sogenannte Wearables, die bei Sport und Bewegung Puls und andere Körperfunktionen messen und speichern. Diese Vitaldaten von Abermillionen Menschen laufen jetzt also auf den Servern einer Google-Tochter ein und können mit den Informationen verknüpft werden, die Google über die Nutzung anderer digitaler Geräte durch Fitbit-Nutzer sammelt und auswertet.

Google ist schon länger sehr erpicht darauf, Gesundheitsdaten einzusammeln. Im Jahr 2016 gab der nationale britische Gesundheitsdienst NHS ohne Einwilligung die Daten von 1,6 Mio. Patienten Daten an Googles AI-Tochter Deep Mind. Ein Vorgang, der sich zu einem großen Skandal auswuchs und dem NHS eine Strafe einbrachte. Im Rahmen dieser Kooperation sollte Google den Algorithmus für eine App entwickeln, die Ärzte von Nierenpatienten auf Anzeichen von akutem Nierenversagen hinweisen sollte.

Es wurde allerdings bekannt, dass im Rahmen der Vereinbarung Deep Mind von den drei teilnehmenden Krankenhäusern die Krankenakten von allen aktuellen und in den letzten fünf Jahren behandelten Patienten die medizinischen Daten bekam. Patienten, die die Datenweitergabe nicht wollten, mussten zunächst von der Vereinbarung wissen, die der NHS versucht hatte, geheim zu halten, um dann deren Datenschutzbeauftragten von ihrem „Opt-out“, also ihrem Widerspruch gegen Datenweitergabe, zu informieren.

2019 gab es eine neue Vereinbarung zwischen Google und NHS zur Weitergabe der Patientendaten von neun britischen Krankenhäusern.

Warum sind Gesundheitsdaten in der Cloud so gefährlich?

Daten, die auf mit dem Internet verbundenen Servern (Cloud) gespeichert sind, können grundsätzlich gehackt werden, wenn nicht heute, dann mit besseren Methoden und mehr Computer-Power in der Zukunft.

Gesundheitsdaten sind für die Betroffenen sehr lange hochsensibel, denn viele Krankheiten oder deren Folgen bleiben ein Leben lang. Und bei Erbkrankheiten und genetischer Disposition zu bestimmten Krankheiten sind sogar noch Kinder und Kindeskinder durch Datenweitergabe gefährdet.

Auch illegale Nutzung und Verkauf von Daten, zu denen IT-Konzerne, deren Mitarbeiter oder Teilnehmer des Gesundheitssystems Zugang haben, gefährden bei Digitalisierung und zentraler Speicherung die gesundheitliche Privatsphäre einer riesigen Anzahl von Menschen. Es genügt, irgendwo in der EU als Versicherer oder Behandelnder anerkannt zu sein, um Datenzugang zu haben. Das lässt sich nicht gegen Missbrauch absichern, auch nicht gegen Missbrauch in ganz großem Stil.

Wenn Ihre potentiellen Kranken-, Berufsunfähigkeits- oder Rentenversicherer herausfinden können, dass sie eine genetische Veranlagung für eine schwere Krankheit haben, können Sie sich nicht mehr, oder nur sehr teuer versichern. Wenn potentielle Arbeitgeber solche Informationen bekommen können, kann es mit der Jobsuche schwierig werden, ähnlich mit der Wohnungssuche oder dem Kreditantrag, wenn Vermieter oder Banken den Verdacht haben könnten, dass sie womöglich demnächst berufsunfähig werden, oder wenn sie von einer vergangenen oder gegenwärtigen Abhängigkeit erfahren können.

Wenn diese Daten einmal draußen sind, lässt sich das nicht mehr rückgängig machen oder reparieren. Passwörter und Kreditkartennummern kann man ändern. Die eigene Identität nicht.

Wie kommen Google und Mayo an unsere Daten?

Demnächst wohl leicht. Ärzten und Therapeuten und zunehmend deren Patienten werden derzeit elektronische Patientenakten aufgezwungen. Schon bevor es richtig losging wurde von Opt-in, also eAkte nur nach ausdrücklicher Zustimmung, auf Opt-out umgestellt, also auf eAkte für alle, die nicht ausdrücklich widersprechen.

Nach aktueller Rechtslage kommen Forschungseinrichtungen und forschende Unternehmen nur an die Daten aus der elektronischen Akte, wenn die Patienten im Einzelfall der Verwendung für diesen Zweck zustimmen. Dagegen läuft die Branche seit einigen Monaten Sturm.

Man muss kein Hellseher sein, um vorauszusagen, dass auch hier auf Opt-out umgestellt werden wird, wenn die Akte einmal hinreichend etabliert ist. Es geht schließlich um die Gesundheit aller und dafür braucht man dringend die Daten und sie sind ja ent-personalisiert, wird es heißen. Wer kann da schon dagegen sein?

„Bürokratie bremst Gesundheitsforschung aus“,lautete z.B. schon im Herbst 2021 eine Schlagzeile im Ärzteblatt. Solche Schlagzeilen und Artikel wird man noch einige lesen und dann wird es soweit sein, dass „endlich Bürokratie abgebaut wird“.

Das die Daten „ent-identifiziert“ (deidentified) sein sollen, ist Augenwischerei. Bei dieser Art Forschung geht es darum, ganz viele Daten über den Gesundheitszustand, das Genom und die Lebensumstände einer Person zusammenzubringen, um zum Beispiel Muster erkennen zu können, bei wem bestimmte Krankheiten auftreten und bei wem nicht. Mit diesen Daten ist es Konzernen wie Google ein Ultraleichtes, die entsprechenden Personen zu identifizieren. Auch Behörden dürften damit kein Problem haben, wenn sie Analysefirmen wie Palantir benutzen, was immer mehr von ihnen tun.

In Großbritannien gibt es eine Widerspruchs-Regelung für personalisierte Patientendaten. Dort dürfen also selbst personalisierte Daten weitergegeben werden, solange Patienten nicht ausdrücklich auf Eigeninitiative widersprechen. Anonymisierte oder pseudonymisierte, also mit einer Nummer statt der persönlichen Daten versehene Patientendaten dürfen generell weitergegeben werden.

Wenn unser anfänglich besserer Datenschutz den normalen Gang gegangen ist und in Richtung britisches Modell verwässert ist, brauchen Mayo Clinic oder Google nur eine Kooperation mit einer Einrichtung eingehen, die Zugriff auf die Daten hat, und schon haben sie die Daten. In Anbetracht des Schatzes an Know-How und Daten, die Mayo und Google bereits bieten können, dürfte es sehr attraktiv für deutsche Forschungseinrichtungen sein, mit ihnen zu kooperieren.

Außerdem werden alle digitalen Patientenakten in der Cloud gespeichert, in der Regel also auf den Rechnern der großen amerikanischen IT-Konzerne. Die US-Heimatschutzbehörde hat darauf generell Zugriff. Was die Konzerne selbst damit machen, weiß kein Mensch.

Welche Rolle spielt dabei die digitale Identität?

Will man Daten zu Gesundheit und Lebensumständen des größten Teils der Weltbevölkerung oder auch nur eines großen Landes zusammenbringen, dann ist es wichtig, ein eindeutiges Identifizierungsmerkmal für die Menschen zu haben, also eine harmonisierte, digitale, am besten biometrische Identität. Denn Namen oder Nummern, die sich doppeln, geändert werden können und überall unterschiedlichen Ordnungsprinzipien folgen, erhöhen den Aufwand dramatisch und senken die Datenqualität.

Wenn es eine einheitliche digitale Identität gibt, die für viele Interaktionen und Anwendungsfälle genutzt wird, dann können alle Informationen aus diesen Interaktionen zuverlässig in eine zentrale oder vernetzte Datenbank einlaufen und von dort anhand der digitalen ID abgerufen und verknüpft werden. Die Interdisziplinäre Kommission für Pandemieforschung der Deutschen Forschungsgemeinschaft (DFG) erklärt das so:

„Gesundheitsbezogene Fragen können nur durch die Verknüpfung unterschiedlicher individueller personenbezogener Daten beantwortet werden. In vielen anderen Ländern der Europäischen Union gelingt dies durch die Nutzung einer durchgehenden und einheitlichen Bezugsgröße, z. B. einem DSGVO-konformen „unique identifier“, der eine Interoperabilität von unterschiedlichen personenbezogenen Datensätzen ermöglicht und ein Schlüsselelement für die Harmonisierung und das Zusammenführen von Datensätzen darstellt. Hier sollte, stärker als bisher, die Erfahrung anderer Länder für die Umsetzung genutzt werden.“

Wie nützlich und dringend ist diese datengetriebene Forschung?

Es steht außer Zweifel, dass sich durch Verknüpfung von Gesundheits- und Genomdaten mit sonstigen Daten zu unserem Leben und unseren Gewohnheiten viele medizinisch und gesundheitspolitisch nützliche Zusammenhänge entdecken lassen. Aber ist das ein hinreichender Grund, den Datenschutz auf diesem hochsensiblen Gebiet zu schleifen? Ich finde nicht, denn:

Das Hauptproblem in der Gesundheitsversorgung ist nicht fehlendes Wissen, sondern mangelndes Geld und manchmal mangelnder Wille. Für die Behandlung, für eine gesunde Lebensführung und für Vorsorge brauchen Menschen und Gesundheitssysteme Geld. Und das ist knapp. Dass so viele Menschen durch Rauchen krank wurden und starben, lag nicht daran, dass man nicht wusste, wie gesundheitsschädlich und süchtigmachend Rauchen ist, sondern am Kotau vor den Geschäftsinteressen der Tabak- und Werbebranchen.

Ähnlich ist es mit den Interessen der Zucker- und Nahrungsmittelindustrie und dem grassierenden Übergewicht, das derzeit einer der wichtigsten Lebensverkürzenden Faktoren ist.

Das Antibiotika in der Tiermast antibiotikaresistente Keime hervorbringen, die für Krankenhäuser ein Riesenproblem darstellen und sehr viele Menschen qualvoll sterben lassen, ist lange bekannt. Getan wird kaum etwas dagegen.

Dass ärmere Menschen viel kürzer leben als reichere, weiß man. Massendatengetriebene Forschung wird daran nichts ändern, ganz im Gegenteil. Denn die personalisierten Behandlungsmethoden, die damit vor allem gefunden werden sollen, sind teuer und drohen bei allgemeiner Übernahme der Kosten durch Krankenkassen deren Finanzen zu sprengen. Doch aufgrund der immer stärker werdenden Ungleichheit der Einkommen und Vermögen lohnt sich diese Forschung trotzdem, im Vertrauen auf die hohe Zahlungsbereitschaft einer finanzkräftigen Oberschicht, für auf sie zugeschnittene Medikamente und Behandlungen.

Ich will noch einmal die DFG-Kommission zur Pandemieforschung zitieren,um zu zeigen, wie heuchlerisch manche Forderungen nach weniger Datenschutz im Dienste der medizinischen Forschung sind:

„Mangelnder Zugang zu und erschwerte Verknüpfbarkeit von Daten sind die zentralen Hemmnisse, die dringend notwendige Fortschritte in der gesundheitsbezogenen Forschung verhindern. Während drängende aktuelle Fragen (…) zur Erfassung und Bewertung von Impfreaktionen in anderen europäischen Ländern, wie Dänemark, den Niederlanden und Großbritannien, in der Wissenschaft bereits intensiv untersucht und beantwortet werden können, gelingt dies in Deutschland nur verzögert, mit großen Aufwänden oder ist nicht möglich.“

Es ist ganz sicher nicht der Datenschutz, der einer angemessenen Erfassung von Impfreaktionen in Deutschland im Wege steht. Es fehlt sehr offenkundig am Interesse der zuständigen Behörden, negative Impfreaktionen umfassend zu erfassen und auszuwerten, belegt aktuell etwa durch den MDR-Beitrag „Hirnschädigung nach Impfung – Wie Hinterbliebene um Aufklärung kämpfen“ (Video bei MDR; Youtube-Video)

