In dieser Zeit könnte man sein Leben verbringen mit den Tagungen und Kongressen, auf denen uns die (angeblichen) Segnungen der Digitalisierung im Gesundheitswesen angepriesen werden. Die modernen Technologien werden das Gesundheitswesen – endlich – effizienter und effektiver machen. Mit modernen Technologien sind hier aber nicht die wirklich hilfreichen Innovationen beispielsweise in der Medizintechnik gemeint wie OP-Roboter, die beim Eingriff weniger zittern als der humanoide Chirurg. Sondern unter dem Allesbegriff Digitalisierung geht es vor allem um den Zugriff auf die zahlreichen Daten und deren Verwertung.
Nun kann man viele auf dem Papier gute Argumente finden, warum eine einheitliche Patientenakte, auf der dann mal alles, was die Krankheitsbiografie des einzelnen Menschen hergibt, abgespeichert und abrufbar ist, durchaus Vorteile haben kann. Wenn man dann noch die Krankheitsbiografie verknüpfen könnte gewissermaßen mit ihrem Spiegelbild, also der Gesundheitsbiografie in Form zahlreicher Daten über entsprechende Aktivitäten, was den Kern der grassierenden „Gesundheits- und Fitness-Apps“ darstellt, dann würden sich ganz wunderbare Welten der Erkenntnis offensichtlich. Und ganz neue Dimensionen der Vermarktung dieses Wissens, was heutzutage mit Hilfe von Big Data-Technologien auch ohne weiteres machbar wäre.
Aber schon ohne die von vielen aus durchsichtigen kommerziellen Interessen vorangetriebene Digitalisierung im Gesundheitsbereich im Sinne einer umfassenden Datenzentralisation stößt man in der Realität immer wieder auf krasse Missbräuche von dem, was Menschen im Netzt hinterlassen, also ihrer Datenspuren. Und die dann Objekt von – keine Überraschung – Kommerzialisierungsstrategien werden.
Über einen solchen Fall berichtet das Autorenteam Jannis Brühl, Felix Ebert, Svea Eckert, Jan Strozyk und Vanessa Wormer in der Süddeutschen Zeitung unter der Überschrift Wie Hilfesuchende im Netz erfasst werden. Man sollte dieses Fallbeispiel aus den Untiefen des Datenhandels aufmerksam zur Kenntnis nehmen. Sie berichten:
»Wer fürchtet, an einer Depression zu leiden und im Internet Hilfe sucht, wird dabei in vielen Fällen beobachtet. Ein Großteil beliebter Webseiten, auf denen sich Besucher über psychische Krankheiten informieren können, leitet Nutzungsdaten an andere Unternehmen weiter, die augenscheinlich gar nichts mit den Gesundheits-Webseiten zu tun haben. Unter den Unternehmen sind große Werbenetzwerke und Unternehmen wie Google, Amazon und Facebook. Drittanbieter könnten anhand der weitergegeben Daten erkennen, dass sich ein Besucher über psychische Erkrankungen informiert hat oder gar einen Depressions-Selbsttest gemacht hat … In vielen Fällen werden diese Daten ohne die Zustimmung des Nutzers weitergegeben.«
Die Autoren stützen den – angesichts der Sensibilität der Daten harschen – Vorwurf auf diese neue Studie:
➔ Privacy International (2019): Your mental health for sale. How websites about depression share data with advertisers and leak depression test results, London, September 2019
Was wurde in dieser Studie gemacht?
»Für ihre Analyse untersuchte PI, eine in London ansässige Organisation, 136 beliebte Webseiten für psychische Gesundheit in Deutschland, Frankreich und Großbritannien … Mehr als 97 Prozent der untersuchten Seiten enthielten Elemente von Drittanbietern. Diese können harmlos ein und zum Beispiel nur visuelle Effekte auf der Seite steuern. Andere werden aber eingesetzt, um Besuchern Werbung anzuzeigen, Daten über ihr Verhalten zu erfassen und an andere Firmen weiterzuleiten.«
Zu den Befunden Deutschland betreffend erfahren wir:
»Die 44 untersuchten deutschen Seiten enthielten im Schnitt mehr als acht Elemente von Drittanbietern und übermittelten in mehr als sieben Fällen Tracking-Cookies solcher Firmen. Cookies sind Daten, die auf dem Gerät eines Internetnutzers gespeichert werden, wenn er eine Webseite besucht. Anhand einer eindeutigen Identitätsnummer können Cookies von Drittanbietern Nutzer über verschiedene Webseiten verfolgen. Ziel ist, ihm passgenau maßgeschneiderte Werbung anhand seiner vermuteten Interessen anzeigen zu können. Fast zwei Drittel der Elemente … wurden von den Gesundheits-Webseiten für Werbung eingesetzt. Die Seiten ermöglichen es Werbenetzwerken, ihre ohnehin große Datensammlung um intime Details zu ergänzen. Vier von neun näher untersuchten Seiten fragen der Studie zufolge nicht um Erlaubnis, bevor sie einen Cookie beim Besucher hinterlegen.«
Und das ist laut Datenschützer nach der Datenschutz-Grundverordnung (DSGVO). Man muss wissen: Die DSGVO stellt Gesundheitsdaten auf eine Stufe mit Informationen über sexuelle Orientierung, genetische und biometrische Merkmale.
In der Studie wurden auch Webseiten unter die Lupe genommen, die Depressions-Selbsttests anbieten. In diesen Fällen wird auch die Adresse der Webseite an Werbetreibende weitergeleitet, so das Rechercheergebnis. Anhand der Adresse könnten Werbetreibende den Inhalt der Webseite herausfinden und ihn Besuchern zuordnen. Und: »Einige Selbsttests erwecken den Eindruck, man könne sie komplett anonym nutzen. Dem ist nicht so: Um die untersuchten Tests herum identifizierte Privacy International jeweils Dutzende Tracker, die Informationen speichern und diese wiederum mit Informationen anderer Webseiten verknüpfen können. Dadurch können personenbezogene Profile entstehen.«
»Die Webseite Netdoktor.de ist eine der beliebtesten digitalen Anlaufstellen für Gesundheitsfragen der Deutschen. Sie setzt Privacy International zufolge die meisten Drittanbieter-Elemente aller untersuchten deutschen Webseiten ein.«
Und ergänzend erfahren wir: »Auch die Internetseiten mehrerer deutscher Kliniken gehen laut der Untersuchung nicht sensibel genug mit den Daten ihrer Besucher um. Nach Anfragen von SZ und NDR erklärten mehrere der Kliniken, einzelne Marketing-Werkzeuge von Drittanbietern auf ihren Webseiten vorerst abzuschalten.«
In diesen Zusammenhang passt dann leider auch eine Meldung über eine schwere Datenschutzverstoß in Bayern: Matthias Eberl berichtete darüber unter der Überschrift Blutspendedienst übermittelte heikle Daten an Facebook. Da muss man schon schlucken: »Der Blutspendedienst des Bayerischen Roten Kreuzes hat intime Daten möglicher Spender an Facebook gesendet. Zu den Angaben zählen Aussagen über HIV-Infektion, Schwangerschaft, Drogenkonsum oder Diabetes der Betroffenen. Das ergab eine technische Analyse der Webseite des Dienstes durch die Süddeutsche Zeitung. Die Daten könnten nun bei Facebook profilbezogen gespeichert sein, das heißt: Sie könnten dazu beitragen, die Nutzer bestimmten Werbezielgruppen zuzuordnen.« Man prüfe den Vorfall und habe „rein vorsorglich“ die Übertragung deaktiviert, so wird ein Sprecher des Blutspendedienstes zitiert.
»Die Daten der Blutspender wurden bei einem “ Vorcheck“ auf der Webseite des Blutspendedienstes (BSD) erhoben, einem Tochterunternehmen des Bayerischen Roten Kreuzes (BRK). Die Antworten der Spender wurden automatisch an Facebook weitergeleitet, weil der Spendedienst seine Seite falsch konfiguriert hatte.« Dabei geht es nicht um die Haarfarbe oder die Anzahl der Gesichtspickel, sondern um solche Fragen: „Konsumieren Sie Drogen?“, „Sind Sie positiv auf HIV getestet?“ oder „Wurde bei Ihnen ein Schwangerschaftsabbruch durchgeführt?“
»Unklar bleibt, warum der BSD Facebooks Überwachung einsetzte, wie lange diese aktiv war und wie viele Menschen die Umfrage mitmachten. Sie lief mindestens seit dem Frühjahr. Jährlich spenden beim BSD 250.000 Personen Blut, sodass erhebliche Mengen Krankheitsdaten bei Facebook liegen könnten.«
Der Blutspendedienst des Bayerischen Roten Kreuzes (BRK) hat zwischenzeitlich mit dieser Stellungnahme reagiert: Berichterstattung zum Thema Datenschutz beim Spende-Check auf der Website. Man habe die Vorwürfe, die in dem Artikel von Eberl vorgetragen wurden, „relativieren“ können. Man habe „vorsorglich … technische Anpassungen“ auf der Website vorgenommen.
Das waren nur zwei aktuelle Beispiele aus der Welt der Datenproduzenten und der von ihnen profitierenden Datenhändler. Man kann zum jetzigen Zeitpunkt daraus nur dieses Zwischenfazit ziehen: Bloß keine Zentralisierung der eigenen Gesundheitsdaten, auch wenn das in dem einen oder anderen Fall von Vorteil sein könnte. Die Missbrauchspotenziale sind – soweit derzeit erkennbar – enorm. Zugleich kann Datenschutz wirklich zu einer ärgerlichen Hürde werden, wenn man bedenkt, mit welchen formalen und letztendlich in weiten Teilen sinn-entleerten Verpflichtungen der ehrenamtliche Website-Gestalter eines Fußballvereins oder anderer Gruppen konfrontiert wird – aber hinsichtlich der persönlich sensibelsten Daten über Gesundheit und Krankheit ist das mit Sicherheit nicht der Fall. Und bezeichnend ist, dass hier nicht staatliche, für den Verbraucherschutz zuständige Stellen den Missbräuchen auf die Spur gekommen sind.