Jongliert DeepMind in UK unrechtmässig mit Patientendaten?

Ein kürzlich geleakter Brief der britischen Datenschützerin Fiona Caldicott befeuert einen Verdacht, der schon seit März im Raum steht: Bei der Übermittlung von sensiblen und zuordenbaren Daten von rund 1,6 Millionen Patienten des britischen National Health Service (NHS) an DeepMind wurden mutmasslich Datenschutz-Bestimmungen verletzt. Die Google-Tochter hatte seit 2015 Zugang zu den Gesundheitsdaten, um eine Überwachungs-Software Namens Streams-App für mobile Geräte zu entwickeln, die bei Nierenerkrankungen zum Einsatz kommt.
 
Der Vorwurf der Datenschützerin folgt auf Aussagen von Wissenschaftler der Universität Cambridge. Diese hatten grundsätzliche Bedenken bezüglich der Nutzung der Patienten-Daten angemeldet und sich kritisch zum Aufbau von Daten-Netzwerken durch US-Tech-Giganten geäussert.
 
Caldicott schreibt in ihrem Brief an Stephen Powis, den medizinischen Direktor des London Royal Free Hospitals, dass die Übermittlung der Aufzeichnungen aus dem Krankenhaus an DeepMind der so genannten "impliziten Zustimmung" für die gemeinsame Nutzung solcher Daten nicht entspricht. Diese sieht vor, dass Daten nur ausgetauscht werden dürfen, wenn es aus Gründen der direkten Pflege nötig ist und der Patient "begründete Erwartungen" für die Übermittlung haben kann. Also etwa wenn eine Pflegefachkraft die Schicht beendet und die Daten an ihren Kollegen weitergibt. Dieser Umstand sei im Falle der Weitergabe an die Google-Tochter nicht gegeben.
 
DeepMind hat sich auf einer neu aufgeschalteten Page zur Angelegenheit geäussert: Googles KI-Tochter bedauert vor allem, dass sie zu wenig transparent gearbeitet und zu spärlich mit Patienten und der Öffentlichkeit kommuniziert habe.
 
Das Royal Free Hospital sagte in einem Statement, dass Patientendaten routinemässig verwendet werden, um das ordnungsgemässe Funktionieren neuer Systeme zu überprüfen. Die NHS habe aber die volle Kontrolle über die Daten behalten.
 
Ob die Weitergabe der Gesundheitsdaten tatsächlich unrechtmässig erfolgte, ist nicht endgültig geklärt. Die Entscheidung obliegt der Datenschutzbehörde Information Commissioner's Office (ICO), deren Untersuchung sich "nahe am Abschluss" befinden soll. Die ICO hat die Befugnis, Geldbussen von bis zu 500'000 Pfund auszusprechen. (ts)