"Project Nightingale":50 Millionen Patientendaten landen auf Googles Servern

In Europa sterben mehr Menschen in Folge einer Operation als Ärzte bisher dachten.

Was im Operationssaal passiert, interessiert auch Google. Fast alle großen Tech-Konzerne drängen auf den lukrativen Gesundheitsmarkt.

(Foto: Friso Gentsch/dpa)
  • Die Gesundheitsorganisation Ascension speichert Millionen sensibler Patientendaten auf Googles Servern und lässt sie von Google auswerten.
  • Die Betroffenen erfahren nichts davon, dennoch ist "Project Nightingale" in den USA wohl legal.
  • Auch in Deutschland könnten Krankenhäuser mit Google und anderen Dienstleistern zusammenarbeiten - allerdings müssten Patienten zumindest informiert werden.
  • Der Fall zeigt, wie vehement große Tech-Konzerne auf den lukrativen Gesundheitsmarkt drängen.

Von Simon Hurtz, Berlin

Hochsensible Gesundheitsdaten von Millionen Menschen landen auf den Servern eines Konzerns, der mehr über seine Nutzer weiß als fast alle anderen Unternehmen der Welt. Dieser Konzern speichert die Daten nicht nur, sondern gibt Mitarbeitern Zugriff. Maschinen werten die Datensätze aus und bauen eine gigantische Suchmaschine für Gesundheitsdaten. Weder Patienten noch Ärzte wissen davon. Und vermutlich ist all das vollkommen legal.

So lässt sich zusammenfassen, was in den vergangenen Tagen durch mehrere Medienberichte bekannt wurde. Google arbeitet in den USA seit 2018 mit der Gesundheitsorganisation Ascension zusammen, die 150 Krankenhäuser und Tausende Arztpraxen betreibt. Bis kommenden März sollen Gesundheitsdaten von 50 Millionen Menschen auf Googles Servern landen. Das umfasst Laborergebnisse, ärztliche Diagnosen, Behandlungsverläufe und Krankenhausaufenthalte - nicht etwa anonymisiert, sondern verknüpft mit Namen und Adressen der Patienten.

"Project Nightingale", wie Google die Initiative intern nennt, zeigt, wie vehement große Tech-Konzerne versuchen, im Gesundheitsbereich Fuß zu fassen. Neben Google drängen auch Amazon, Apple und Microsoft in diesen lukrativen Markt, der allein in den USA mehr als drei Billionen Dollar umfasst. Von Apple-Chef Tim Cook etwa ist die Aussage überliefert, dass "Apples größter Beitrag zur Menschheit" im Gesundheitsbereich liegen werde.

Über das "Project Nightingale" berichtete zuerst das Wall Street Journal. Dem Blatt zufolge sollen 150 Mitarbeiter Zugriff auf die Daten haben. Die New York Times schreibt von Dutzenden Personen, die in unterschiedlichen Abteilungen der Muttergesellschaft Alphabet arbeiten. Google selbst nennt auf Anfrage keine genaue Zahl.

Der Süddeutschen Zeitung liegen interne Dokumente und Präsentationen vor, die zeigen, wie groß die Ambitionen von "Project Nightingale" sind. Google entwickelt eine Software, die mit Hilfe von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) vorschlägt, wie sich die Versorgung einzelner Patienten verbessern lässt. Es soll eine gewaltige Patientendatenbank entstehen, die optisch an Googles Suchmaschine erinnert.

Die Software vervollständigt automatisch Eingaben zu den Patientennamen, die mit sämtlichen gespeicherten Gesundheitsdaten verknüpft sind. Ärzte sollen nicht nur individuelle Informationen einsehen, sondern grafische Zeitverläufe erstellen und Datensätze miteinander vergleichen können. Google hofft, diese Infrastruktur künftig an andere Gesundheitsdienstleister verkaufen zu können.

Die Daten sollen nicht verwendet werden, um Werbung zu personalisieren

All das geschieht, ohne dass die Betroffenen zugestimmt haben. Ascension und Google müssen die Patienten nicht einmal informieren. Der sogenannte Health Insurance Portability and Accountability Act, ein US-Gesetz aus dem Jahr 1996, erlaubt es Ärzten und Krankenhäusern, Gesundheitsdaten an Geschäftspartner weiterzugeben. Allerdings dürfen die Informationen nur genutzt werden, um Patienten besser zu behandeln.

Beide Vertragspartner beteuern, dass alle Daten sicher und verschlüsselt gespeichert würden und nur ausgewählte Google-Mitarbeiter darauf zugreifen könnten. Google trenne die Patientendaten strikt von Informationen aus Produkten wie Gmail oder der Suchmaschine. Die Daten sollen nicht verwendet werden, um Werbung zu personalisieren. Google verspricht, die Patientendaten von Ascension auch nicht mit Informationen zu verbinden, die es von anderen Gesundheitsorganisationen erhält.

Doch es gibt Zweifel, ob "Project Nightingale" tatsächlich so harmlos ist, wie es die Beteiligten darstellen. Mehrere US-Senatoren haben Bedenken geäußert: Der Demokrat Mark Warner will das Programm stoppen, bis US-Behörden ihre Ermittlungen abschließen, die sie am Dienstag aufgenommen haben.

Warners Parteikollegin Amy Klobuchar fordert neue Gesetze, um stärker zu regulieren, wie Gesundheitsdaten ausgewertet werden. Das Wall Street Journal zitiert betroffene Patienten aus Ascension-Krankenhäusern. Sie fürchten, dass Google Geld mit ihren Gesundheitsdaten verdienen wolle und hätten sich gewünscht, vorher informiert zu werden.

Ein Google-Whistleblower warnt vor "Project Nightingale"

Auch innerhalb von Google gibt es Widerstand. Ein anonymer Whistleblower veröffentlichte ein Video, das nahelegt, dass Google die Daten nutzen wolle, um Werbung zu schalten. Für diese Behauptung gibt es aber keine Belege. Außerdem beklagt die Person, dass die Daten nicht ausreichend geschützt seien. In dem Video sieht man das Protokoll eines internen Meetings von Ende September. Demzufolge sind Mitarbeiter von Ascension unsicher, ob alle Daten gesetzeskonform gespeichert würden und kritisieren, dass Google-Angestellte die Daten herunterladen könnten.

"Project Nightingale" ist auf die USA beschränkt. Ob Google in Deutschland vergleichbare Initiativen betreibt oder anstrebt, lässt das Unternehmen offen. Aus Vertraulichkeitsgründen könne man nicht mitteilen, welche Kunden ihre Daten in der deutschen Cloud speicherten, sagte eine Sprecherin. Auf der Webseite der Cloud-Abteilung finden sich keine deutschen Partner aus dem Gesundheitsbereich.

Auch in Deutschland speichern Dienstleister Patientendaten

Klar ist, dass deutsche Patienten zumindest informiert werden müssten. Entsprechende Kooperationen seien "hier nur bedingt denkbar", sagt ein Sprecher des Bundesdatenschutzbeauftragten. "IT-basierte Datenverarbeitung kann nur mit Einwilligung der Betroffenen oder nach vorheriger Zertifizierung der Dienste durch staatliche Stellen erfolgen."

Sebastian Zilch, Geschäftsführer des Bundesverbandes Gesundheits-IT, teilt diese Einschätzung. In Deutschland seien Patientendaten durch die Datenschutzgrundverordnung (DSGVO), das Sozialgesetzbuch und die Landesdatenschutzgesetze geschützt. Deshalb werde der deutsche Markt für Google und andere Unternehmen vermutlich nicht erste Priorität haben.

Auch Nils Haag vom Datenschutz-Beratungsunternehmen Intersoft Consulting sagt, dass die DSGVO ein deutsches "Project Nightingale" wohl verhindere. Eine kommerzielle Nutzung der Gesundheitsdaten von Patienten sei "allenfalls nach informierter Einwilligung oder vollständiger Anonymisierung der Daten möglich".

Am Ende steht die Frage: Wie sehr vertraut man Google?

Dagegen hält David Koeppe von der Gesellschaft für Datenschutz und Datensicherheit vergleichbare Projekte in Deutschland für möglich: "Kein Krankenhaus kann ohne externe Dienstleister arbeiten", sagt Koeppe. "Datenschutzrechtlich ist das im Rahmen einer Auftragsverarbeitung grundsätzlich unproblematisch, auch Strafrecht und die ärztliche Berufsordnung geben die Offenlegung der Daten her."

Die Patienten müssten nicht einwilligen, wohl aber informiert werden. Auch das deutsche Gesundheitssystem arbeite mit Dienstleistern zusammen, die Patientendaten speichern, etwa mit der Bertelsmann-Tochter Arvato. "Google ist ein großes Unternehmen mit viel Erfahrung im Bereich der IT-Sicherheit. Dort dürften die Daten besser aufgehoben sein als bei einem kleinen Start-up", sagt Koeppe.

Das ist am Ende die entscheidende Frage: Wie sehr vertraut man Google? Während Facebook regelmäßig neue Datenschutzverstöße einräumen muss, ist Google zumindest öffentlich etwas seltener mit Pannen und Skandalen aufgefallen.

Googles Vision machte der damalige Chef Larry Page bereits 2014 auf einer Ted-Konferenz deutlich: "Wäre es nicht großartig, wenn Ärzte auf anonymisierte Gesundheitsdaten von allen Menschen zugreifen könnten?", fragte er. "Wir denken nicht an den gewaltigen Nutzen, der entstehen kann, wenn die richtigen Daten auf die richtige Art und Weise mit den richtigen Menschen geteilt werden." Vielleicht können Patienten tatsächlich davon profitieren - aber es schadet sicher nicht, ihnen vorher Bescheid zu sagen.

Zur SZ-Startseite
Facebook

Datensicherheit
:Apps geben offenbar sensible Gesundheitsdaten an Facebook weiter

Eine Untersuchung des "Wall Street Journal" zeigt, wie Abnehm- oder Menstruations-Apps intime Details an Facebook senden. Das betrifft auch Nutzer, die keinen Facebook-Account haben.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: