Forschungsuniversität verklagt Google wegen Weitergabe medizinischer Daten
In einer Sammelklage, die am Mittwoch gegen Google eingereicht wurde, enthüllt eine private Forschungsuniversität und ihr medizinisches Zentrum nicht nur, wie eines der mächtigsten Unternehmen der Welt Ihre intimsten Daten erhalten kann, sondern unterstreicht auch ihre Fähigkeit, all diese Daten zusammenzufügen, um herauszufinden, wer Sie sind.
Matt Dinerstein wurde im Juni 2015 für einige Tage an das University of Chicago Medical Center aufgenommen und später in diesem Monat für weitere Tage wieder aufgenommen, so die Klage. Das medizinische Zentrum führte eine Aufzeichnung mit seinen „demographischen Informationen, seinen Vitalfunktionen, Diagnosen, Verfahren und Rezepten“, heißt es in der Beschwerde.
Diese nicht identifizierte Krankenakte wurde dann an Google weitergegeben, und Dinerstein behauptet, dass er weder dem Technologieriesen noch der Universität eine Einwilligung zur Weitergabe solcher persönlicher Daten erteilt hat. Tatsächlich behauptet die Beschwerde, dass „die Universität in ihren Patientenaufnahmeformularen versprochen hat, dass sie die Patientenakten nicht an Dritte, wie Google, für kommerzielle Zwecke weitergeben wird“.
Google hat laut Klage von 2009 bis 2016 die elektronische Patientenakte (Electronic Health Record, EHR) von „fast jedem Patienten“ aus dem medizinischen Zentrum erhalten. Dazu gehören grundlegende Informationen wie Größe, Gewicht und Vitalparameter, aber auch Informationen über Krankheiten, die sie haben, ob sie medizinisch behandelt wurden oder nicht, und Medikamente, die sie einnehmen.
Und während die Krankenakten angeblich dem Technologieunternehmen „de-identifiziert“ zur Verfügung gestellt wurden, verfügt Google über leistungsstarke Tools, die es ihm ermöglichen würden, seine Datenbestände zusammenzufassen, um schließlich anonymisierte Informationen zu identifizieren. Wie die Beschwerde anmerkt, enthielten die Aufzeichnungen auch Datumsstempel und „umfangreiche Freitextnotizen“.
Es ist nicht einfach beunruhigend für ein riesiges Technologieunternehmen, Zugang zu einigen Ihrer intimsten Daten zu haben, auch wenn sie angeblich anonymisiert sind, sondern wie sie ihre anderen Ressourcen nutzen können, um ein vollständigeres Bild davon zu erhalten, wer diese Person ist.
Wie die Beschwerde feststellt, gilt dies in diesem Fall für DeepMind Health, den Gesundheitsbereich des Alphabet-eigenen Unternehmens für künstliche Intelligenz, sowie für Googles Fülle an Informationen über die hochspezifische Geolokalisierungsgeschichte des Benutzers, der sich mit einem Überwachungsgerät in der Tasche um die Welt bewegt. In der Beschwerde heißt es, dass letzteres dazu verwendet werden kann, „genau zu bestimmen und abzugleichen, wann bestimmte Personen das Universitätsklinikum betreten und verlassen haben“.
Was erstere betrifft, so war DeepMind bereits im November letzten Jahres wegen ähnlicher Bedenken in der Luft, nachdem angekündigt wurde, dass sie zu Alphabet gefaltet werden würde, anstatt unabhängig zu arbeiten, und Kritiker betonten, dass dies gegen das Versprechen von DeepMind verstieß, mit dem National Health Service zusammenzuarbeiten, dass „Daten niemals mit Google-Konten oder -Diensten verbunden werden“, berichtete der Guardian. Aber laut Google wurde angeblich der Schritt unternommen, die Health App Streams von DeepMind weiter auszubauen.
„Es ist ein Taschenspielertrick, dies über Semantik zu machen“, tweete die Datenschutz-Forscherin Julia Powles damals. „DeepMind sagte, es würde nie Streams mit Google verbinden. Die gesamte Streams-App ist nun ein Google-Produkt. Das ist ein gravierender Vertrauensbruch für ein bereits belagertes Produkt.“
Dies ist relevant für die Bedenken, die auch in Dinersteins Streit darüber zum Ausdruck kommen, dass die Verstrickung von Gesundheitsdaten und einem mächtigen Technologieunternehmen eine beunruhigende Verletzung der Privatsphäre ist, und dass eine solche Beziehung die Zustimmung der Patienten beinhalten sollte, deren Daten übergeben und seziert werden und die wiederum wahrscheinlich für Kapitalgewinne verwendet werden.
Die Sammelklage gilt für jeden in den Vereinigten Staaten, dessen EPA von der Universität Chicago oder einer ihrer verbundenen Einrichtungen an Google oder eine ihrer verbundenen Einrichtungen übermittelt wurde. Sie verklagt Google und die Universität wegen einer Verletzung des Consumer Fraud and Deceptive Business Practices Act, Verletzung eines Expressvertrages, Verletzung eines stillschweigenden Vertrages, unerlaubte Einmischung in einen Vertrag, Eingriff in die Abgeschlossenheit und ungerechtfertigte Bereicherung.
„Ohne Frage hat die Universität ihre Patienten ausgebeutet“, heißt es in der Beschwerde. „Die Universität hat die Tatsache genutzt, dass ein großer Teil ihrer Patienten aufgrund sozioökonomischer Barrieren nicht in der Lage ist, ihr Recht auf Privatsphäre geltend zu machen und Maßnahmen zu ergreifen, um sicherzustellen, dass ihre medizinischen Daten nicht an Dritte für kommerzielle Zwecke weitergegeben werden.“