Nr. 39/2020 vom 24.09.2020

So kriecht Google in uns herum

Das elektronische Patientendossier in der Hand eines datenhungrigen Megakonzerns? Wie sich Google mit dem «Project Nightingale» zum totalen Gesundheitsüberwacher – pardon, -verwalter – machen will.

Von Franziska MeisterMail an AutorIn (Text) und Sebastian König (Illustration)

Es ist der mit Abstand grösste Vorstoss eines Big-Tech-Giganten ins Gesundheitssystem: Mit seinem «Project Nightingale» erhält Google Zugang zu privaten Krankenakten von rund fünfzig Millionen PatientInnen in den USA. Ein datenhungriger Konzern, der sich in Anlehnung an die historische Florence Nightingale als fürsorgliche Krankenschwester inszeniert? Der öffentliche Aufschrei war gross, als das «Wall Street Journal» vergangenen November die Zusammenarbeit von Google mit Ascension publik machte. Dem US-Gesundheitsversorger sind über 2600 Spitäler, Arztpraxen, Alters- und Pflegeheime sowie weitere Gesundheitseinrichtungen angeschlossen. Im Rahmen des «Project Nightingale» sollen die elektronischen Patientendossiers (EPD) dieser Einrichtungen auf Googles Cloud-Plattform transferiert werden – auf dass Google die Austausch- und Verknüpfbarkeit der unterschiedlichen Daten verbessere und mithilfe von künstlicher Intelligenz (KI) digitale Werkzeuge entwickle, die den ÄrztInnen die Arbeit erleichtern und die Sicherheit der PatientInnen erhöhen sollen.

Bereits in den nuller Jahren startete der Techkonzern eine Gesundheitsoffensive: ÄrztInnen, Spitäler, Apotheken und PatientInnen sollten ihre Gesundheitsdaten auf der Plattform Google Health speichern. Doch der Dienst basierte auf Freiwilligkeit und wurde zu wenig genutzt, weshalb ihn Google Ende 2011 einstellte. Wenig später unternahm das Unternehmen einen zweiten Anlauf mit Google Health: David Feinberg, bislang Präsident eines regionalen Gesundheitsversorgers, sollte die diversen Gesundheitsinitiativen des Konzerns bündeln und strategischer ausrichten.

Seither hat sich Google das britische KI-Start-up Deep Mind einverleibt und ist Partnerschaften mit Firmen wie Meditech eingegangen, die Gesundheitsinstitutionen weltweit eine EPD-Plattform anbietet und diese Daten jetzt via Googles Cloud managt. Immer mehr renommierte Spitäler wie die Mayo-Kliniken, das Massachusetts General Hospital in Boston oder das Mount Sinai Hospital in New York City verlagern im Rahmen solcher Partnerschaften ihre PatientInnendaten in Googles Cloud. Vor wenigen Wochen zügelte mit Amwell ein Telemedizinanbieter, der USA-weit mit über 40 000 Spitälern und Arztpraxen zusammenarbeitet, seine Daten von Amazon auf die Plattform von Google.

Deren Dienstleistungen zur Verwaltung elektronischer Patientendossiers wachsen ständig: Mittlerweile können Datensätze rasch erfasst und nach komplexen Kriterien abgefragt und untereinander vernetzt werden, die KI-Stimme «Suki» hilft bei der Navigation. So macht sich Google zunehmend unentbehrlich für die US-Gesundheitsversorger – nicht zuletzt, weil diese ab Frühling 2022 gesetzlich dazu verpflichtet sind, den PatientInnen sämtliche sie betreffenden Daten elektronisch zugänglich zu machen.

Sensible Daten – kaum geschützt

«Can we ever trust Google with our health data?», titelte die «Financial Times» Anfang Jahr, nachdem ein Whistleblower von Ascension dem «Guardian» anvertraut hatte, dass weder ÄrztInnen noch PatientInnen vorab darüber informiert worden waren – geschweige denn ihre Zustimmung erteilt hatten –, dass PatientInnendaten im Rahmen des «Project Nightingale» unverschlüsselt in der Cloud von Google landeten. 150 Google-MitarbeiterInnen erhielten so uneingeschränkt Zugang zu Daten wie Name, Geburtsdatum und Adresse, Diagnosen, Laborbefunden, Röntgenbildern, Hospitalisierungen, Allergien, Impfungen, Medikamenten und Krankheiten.

Die Frage des britischen Finanzblatts ist berechtigt. Das US-Gesundheitsministerium durchleuchtet seit Ende 2019 das «Project Nightingale» mit Blick auf den Datenschutz. Auch wenn Google darauf beharrt, gesetzeskonform zu handeln: Es ist nicht das erste Mal, dass der Techkonzern ob solcher Partnerschaften mit dem Gesetz in Konflikt gerät.

So deckte der «New Scientist» 2016 auf, dass das Unternehmen Deep Mind im Rahmen eines Appentwicklungsprojekts für öffentliche britische Spitäler jedes Jahr Zugang zu 1,6 Millionen PatientInnenakten erhielt, deren Daten die Firma auch fünf Jahre zurückverfolgen konnte. Darunter befanden sich so sensible Informationen wie positive HIV-Tests, Abtreibungen oder Drogenüberdosen. Das rief die nationale Datenschützerin auf den Plan und führte schliesslich zu einer Verurteilung von Deep Mind, weil die PatientInnen nicht über den Datentransfer informiert worden waren. Das KI-Start-up installierte daraufhin eine unabhängige Kommission, die überprüft, wie das Unternehmen mit heiklen PatientInnendaten umgeht. Mit der vollständigen Übernahme durch Google wurden indes nicht nur all diese britischen EPDs in die Cloud von Google transferiert – der US-Konzern löste auch postwendend die Ethikkommission wieder auf.

In den USA ist Google aktuell mit einer Sammelklage konfrontiert, in die auch das Medical Center der University of Chicago involviert ist: Der Vorwurf lautet erneut, dass Google ohne das Wissen der PatientInnen Zugang zu sämtlichen EPDs des Spitals seit 2009 erhalten hat. Dieses behauptet zwar, die Daten seien alle anonymisiert gewesen, doch die KlägerInnen argumentieren, es sei Google problemlos möglich, die Akten konkreten Personen zuzuordnen. Zum Beispiel, indem der Konzern Arzttermine mit Handyortungsdaten verknüpfe. Die grösste Gefahr sehen sie laut Klageschrift im Umstand, dass dem weltweit wohl grössten Data-Mining-Konzern genau die Datenbasis zum Durchleuchten zur Verfügung gestellt wird, die es ihm ermöglicht, sich im billionenschweren Gesundheitsmarkt auszubreiten.

Google wacht über deine Gesundheit

Dabei ist der Umfang dieser PatientInnenakten aus Chicago und selbst die 1,6 Millionen aus den britischen Spitälern ein Klacks verglichen mit den fünfzig Millionen EPDs, die Google im Rahmen des «Project Nightingale» mittels KI untersuchen und auswerten kann. Dass hochsensible Gesundheitsdaten namentlich in den USA gesetzlich zu wenig geschützt sind, ist also das eine. Auf dass dies so bleibe, hat Google längst starke Lobbybande aufgebaut, wie die NGO Tech Transparency Project festhält: Allein bis 2016 zählte sie fast 200 Regierungsleute, die zu Google gewechselt hatten, und 61, die den umgekehrten Weg gegangen waren – gut die Hälfte von ihnen direkt ins Weisse Haus oder zu nationalen Behörden mit direkter Relevanz für Google. Seit Oktober 2019 amtet umgekehrt die ehemalige nationale Koordinatorin für Gesundheits-IT im US-Gesundheitsministerium als «Chief Health Officer» für Google.

Letzten Sommer lancierten die beiden Senatorinnen Amy Klobuchar und Lisa Murkowsi im Kongress den «Protecting Personal Health Data Act». Ob er dem Data-Mining von Google und Konsorten einen Riegel schieben kann, ist jedoch fraglich. Zwar soll das Gesetz alle Gesundheitsinformationen schützen, die Fitnesstracker, Wellnessapps und soziale Medien sammeln. Explizit ausgenommen sind jedoch sogenannte Emergent Medical Data, Informationen über die Gesundheit von Personen, die eine KI etwa aus Suchanfragen im Internet ziehen kann – und auf just diese Daten besitzt Google mit seiner Suchmaschine quasi das Monopol. Eine Auswertung der hundert populärsten Gesundheitswebsites in Grossbritannien ergab Ende 2019, dass die Daten jener Websites, die mittels Cookies Dritten das Tracking der Anfragen erlaubten, in vier von fünf Fällen bei Google landeten. Der Konzern verteidigte sich damit, dass all diese Daten intern als «sensibel» gekennzeichnet würden. Das entbehrt nicht einer gewissen Ironie.

Der eigentliche Skandal beim «Project Nightingale» liege weniger im Datenschutz, argumentiert der Arzt und Jurist Mason Marks vom Thinktank Information Society Project der Universität Yale. Im Zentrum steht vielmehr die Frage, was Google alles mit diesen Daten anstellen kann. So deuten etwa die Patente, die der Konzern in den letzten zwei Jahren angemeldet hat, darauf hin, dass er Tools entwickeln will, die Gesundheitsprobleme vorhersagen und möglichst verhindern sollen. Die PatientInnendaten von Ascension bieten dafür eine ideale Basis. «Die tatsächliche Gefahr, die vom ‹Project Nightingale› ausgeht», so Marks, «ist die Befähigung von Google, dank des gigantischen Speichers an Gesundheitsdaten ein konkurrenzloses Gesundheitsüberwachungsimperium aufzubauen, das sich über zahlreiche Industrien und Technologien erstreckt.»

Dieser Artikel wurde ermöglicht durch den Recherchierfonds des Fördervereins ProWOZ. Dieser Fonds unterstützt Recherchen und Reportagen, die die finanziellen Möglichkeiten der WOZ übersteigen. Er speist sich aus Spenden der WOZ-LeserInnen.

Unterstützen Sie den ProWOZ

Wenn Ihnen der unabhängige und kritische Journalismus der WOZ etwas wert ist, können Sie uns gerne spontan finanziell unterstützen:

Überweisung

PC-Konto 87-39737-0
BIC POFICHBEXXX
IBAN CH04 0900 0000 8703 9737 0
Verwendungszweck Spende woz.ch