In England sorgt derzeit ein 2015 gewährter Zugang zu Millionen von Patientendaten durch Googles Tochterfirma DeepMind für Wirbel. Jetzt fordern Experten der University of Cambridge, das viel mehr als bis jetzt für den Schutz der sensiblen Daten getan werden muss, um den Datentransfer von öffentlichen Behörden an private Firmen zu regeln. Forschungsleiterin Julia Powles argumentiert, dass 2015 bei der Unterzeichnung eines Vertrages zwischen dem Royal Free NHS Foundation Trust und Googls DeepMind „unverzeihliche“ Fehler gemacht wurden.
Sensible Gesundheitsdaten
Durch die Vereinbarung erhielt das auf künstliche Intelligenz (kurz kI, Anm. d. R.) spezialisierte Google Tochterunternehmen DeepMind Zugang zu hoch sensiblen Daten von rund 1,6 Mio. Patienten, die jährlich in den Krankenhäusern des Trusts behandelt werden. Der Zugang wurde gewährt, um mit Streams eine Überwachungssoftware für mobile Geräte zu schaffen, die eine bessere Versorgung von Patienten mit akuten Erkrankungen der Niere ermöglichen sollte.
Laut Powles und Hal Hodson war die in dem Vertrag festgelegte Datennutzung weit weniger spezifiziert und ließ demnach einen großen Interpretationsspielraum bei der Nutzung der sensiblen Daten zu. Sieben Monate nach Vertragsunterzeichnung ergab eine Studie, dass DeepMind Zugang zu einer großen Anzahl von zuordenbaren Patientenunterlagen erhalten hatte und es nicht möglich nicht nachvollziehbar war, wie diese Daten genutzt wurden. Bei den enthalten Daten waren z. B. Informationen zu Abtreibungen, HIV-Patienten, Überdosierungen oder etwa Routinebesuche im Krankenhaus enthalten.
Weiter im Einsatz
Im November 2016 ersetzten DeepMind und der Trust die alte Vereinbarung durch eine neue. Die ursprüngliche Vereinbarung wird derzeit durch das „Information Commissioner’s Office“ untersucht. Bisher wurden jedoch keine Ergebnisse veröffentlicht. Zusätzlich führt auch der National Data Guardian weitere Ermittlungen durch. DeepMind behielt weiterhin den Zugang zu den Daten, auch nachdem beide Behörden involviert wurden.
Die aktuelle Studie untersucht die Originalvereinbarung im Detail und analysiert öffentlich zugängliche Infos, die durch Anfragen im Rahmen von „Freedom of Information“ gesammelt wurden. Powles arbeitete mit Hodson zusammen, der die ursprüngliche Untersuchung publizierte. Laut den Studienautoren ist es unwahrscheinlich, dass der Zugang von DeepMind ein Risiko im Bereich der Datensicherheit mit sich gebracht hat. Schwierig seien aber der Mangel an Transparenz und einer rechtlichen und ethischen Basis für diese Datennutzung.
Ominöses Vorgehen
Powles und Hodson argumentieren, dass der Datentransfer zu DeepMind nicht so vorgenommen wurde, wie er durchgeführt hätte werden sollen. Sie stellen in diesem Zusammenhang vor allem die Beschwörung des Prinzips der direkten Pflege infrage. Dabei wird davon ausgegangen, dass eine „identifizierte Person“ das stillschweigende Einverständnis gegeben hat, ihre Daten für eine Nutzung, die die Prävention, Untersuchung oder Behandlung einer Krankheit einschließt, weiterzugeben. Bei keinem Patienten, dessen Daten an DeepMind weitergegeben wurden, hat man aber je ein Einverständnis eingeholt.
Neue Überprüfung
Derzeit sei es auch unklar, worin genau das Interesse von Google an den Patientenakten des National Health Service besteht. Powles geht davon aus, dass es nicht auszuschließen ist, dass Google die Daten eines Tages auch für Werbung und andere kommerzielle Zwecke einsetzt. Derzeit arbeiten Powles und Hodson an einer Überprüfung der neuen Vereinbarung vom November 2016. Die Studie wurde im Magazin „Health and Technology“ veröffentlicht.