Datenschutz im Gesundheitswesen: Sensibelste Daten, unwissendes Personal?

Kürzlich hat uns – leider wieder einmal – ein Datenschutz-Skandal erschüttert: Hochsensible medizinische Daten von rund 16 Millionen Patienten aus der ganzen Welt wurden offenbar jahrelang auf ungeschützten Servern gespeichert. Ein IT-Experte ist zufällig auf das Leck gestoßen und hat es daraufhin dem Bayrischen Rundfunk und den Behörden gemeldet. Wie lange die Daten schon abrufbar waren, weiß man nicht. Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen – jeder mit ein bisschen Sachverstand hätte darauf zugreifen können. Die Bilder wurden zusammen mit Namen, Geburtsdaten, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst versehen. So waren die Daten auch 1:1 realen Personen zuzuordnen. Der BR hat das stichprobenartig auch überprüft und verifiziert. Grund für das Leck war wohl eher Unwissenheit statt böser Absicht: Bilder, die in Praxen und Kliniken entstehen, werden z.B. von MRT-Röhren auf einen speziellen Server für die Archivierung der Bilder geschickt. Offenbar hat niemand daran gedacht, diesen Server wenigstens mit einem Passwort zu schützen… Manchmal kann man sich da nur an den Kopf fassen!

Vor kurzem kam eine Studie zu dem Schluss, dass einige Gesundheitsdienstleister auch absichtlich Daten an Dritte weitergeben: Internetportale, auf denen Nutzer Informationen zu psychischen Erkrankungen finden, geben reihenweise Nutzerdaten an Drittunternehmen weiter. Auf 97 Prozent der untersuchten Webseiten (u.a. Netdoktor und Apotheken-Umschau) wurden Hinweise auf Drittanbieter gefunden, zum Beispiel sogenannte Tracker, mit denen Werbenetzwerke Profile von Nutzern erstellen können, zum Beispiel von Amazon, Google und Bertelsmann. Die Forscher konnten nachweisen, dass in mindestens einem Fall sogar Antworten von Online-Tests zum Thema Depressionen an Drittanbieter übermittelt worden sind. Damit ist es möglich, Informationen über mögliche Erkrankungen eines Nutzers zu speichern, ohne dass dieser einwilligt oder davon weiß. Auf keiner der getesteten Seiten stimmt man aktiv der Sammlung persönlicher Daten zu. Werbung im Internet ist so intransparent, da ist nicht klar, in welche Hände die Daten gelangen. Und wenn jemand weiß, wer depressiv ist, kann das natürlich auch gegen einen verwendet werden… Auch eine beliebte App zum Tracking des Menstruationszyklus teilt sensible Daten mit Facebook. Unter den analysierten Seiten, die Nutzerdaten an Drittanbieter weitergeben, finden sich neben den kostenlosen, werbefinanzierten Portalen aber auch die Internetauftritte mehrerer Kliniken. In deren Umsätzen dürften Werbeeinnahmen durch die eigene Webseite keine große Rolle spielen. Warum sie dennoch zum Teil zehn und mehr Tracker von Drittanbietern einbinden, bleibt unklar. Vermutlich spielt auch hier Unwissenheit eine Rolle, fürchte ich.

Von Januar 2021 an soll die elektronische Patientenakte für jeden Patienten in Deutschland zur Verfügung stehen. Allerdings wird es für Patienten am Anfang nicht möglich sein, auszuwählen, welche ihrer persönlichen Informationen ein Arzt, Apotheker oder Therapeut einsehen darf und welche nicht. So wird etwa ein Physiotherapeut, der Einblick in die elektronischen Daten des Orthopäden braucht, auf diese Weise zum Beispiel auch über einen Schwangerschaftsabbruch seiner Patientin informiert. Oder ein Apotheker erfährt automatisch auch von der Psychotherapie seines Kunden. Der Grund dafür ist angeblich die kurze Frist, die Bundesgesundheitsminister Jens Spahn für die Einführung der Akte gesetzt hatte. Daran wird seit fast 15 Jahren an der E-Akte gewerkelt. Wir dürfen gespannt bleiben, ob die Akte so zum Erfolg wird im datenkritischen Deutschland.

Ein weiterer, anhaltender Trend beim Thema Online-Gesundheit im weiteren Sinne ist die Entschlüsselung der eigenen Gene, z.B. durch Anbieter wie „23andMe“ und „MyHeritage“. Ein Wangenabstrich oder einige Male in ein Röhrchen spucken genügen, um anhand der DNA genaue Genprofile erstellen zu lassen und laut den Unternehmen Fragen beantworten zu können wie „Woher stamme ich ab?“ und „Welche unentdeckten Krankheiten schlummern in mir?“. Die Anbieter werben damit, die genetische Identität auf das Prozent genau berechnen zu können, und haben damit bisher insgesamt über 20 Millionen Tests weltweit verkauft. Dabei sind es – wie immer? – vor allem die Unternehmen, die von diesem Wissen in Form von DNA-Datenprofilen profitieren, um beispielsweise damit zu forschen oder an andere Forschungseinrichtungen weiterzuverkaufen. Im letzten Jahr erhielt „23andMe“ laut eigenen Angaben 300 Millionen Dollar vom britischen Arzneimittelhersteller „GlaxoSmithKline“ für die Bereitstellung von insgesamt 5 Millionen Genprofilen. Darüber informiert werden die KundInnen maximal beiläufig im Kleingedruckten in den Verkaufsverträgen. Seien Sie auch hier auf der Hut: Ihre Daten sind mittlerweile das Wertvollste, was Sie haben. Geben Sie sie nicht leichtfertig aus der Hand. Die Gentester erstellen ein Profil von Ihnen und verdienen mit Ihren Daten Millionen. Pikant: Google ist einer der Hauptinvestoren von „23andMe“, die personellen Verstrickungen zwischen beiden Firmen sehr eng. „Es würde mich nicht wundern, wenn die Gendaten von 23andMe mit den Internetdaten von Google kombiniert würden“, warnt Thilo Weichert, ehemals Datenschutzbeauftragter des Landes Schleswig-Holstein. Dadurch könnte Google noch genauere NutzerInnenprofile erstellen, als das nur mit den Webdaten möglich ist, und auf die DNA zugeschnittene Werbung schalten. Wer erblich bedingten Haarausfall hat, müsste demnach zukünftig nicht mehr nach Haarwachstums-Shampoos suchen, um solche Produkte vorgeschlagen zu bekommen. Möglicherweise praktisch – aber irgendwie auch gruselig, oder?

All diese Beispiele zeigen: Jeder will nur Ihr Bestes – früher war das Ihr Geld, heute sind das Ihre Daten. Denn die rücken die Menschen viel leichtfertiger raus, weil das ja vermeintlich nichts kostet. Unternehmen wiederum können aus Daten viel mehr, auch materiellen, Gewinn ziehen als sie es früher mit Hartgeld je konnten. Bleiben Sie wachsam und informieren Sie sich regelmäßig, wie Sie Ihre Daten so gut wie möglich schützen können. Einige Tipps fürs Gesundheitswesen finden Sie zum Beispiel hier.

Bei all den negativen Meldungen sollten wir aber auch im Hinterkopf behalten, das die fortschreitende Vernetzung auch viele gute Sachen mit sich bringt – im Gesundheitswesen heißt das, sie kann auch viele Menschenleben retten. Wie das vernetzte Krankenhaus sich in Zukunft positiv auf uns auswirkt, hat die Süddeutsche Zeitung hier ausgemalt. Denn während in Deutschland noch immer viele Krankenhäuser mit Papierakten und Faxgeräten arbeiten, macht das UKE Hamburg vor, welche Chancen eine digitale Medizin bietet.