Mehr als 1,6 Millionen vertrauliche digitale Krankenakten soll das Unternehmen, das sich auf Künstliche Intelligenz spezialisiert hat und 2014 von Google übernommen wurde, ohne Wissen der Patienten gesammelt und verarbeitet haben. Jetzt klagen die Betroffenen vor dem High Court of England and Wales.

Die britische Anwaltskanzlei Mishcon de Reya kündigte die Sammelklage bereits im September 2021 an. Hintergrund: Der britische Krankenhaus-Betreiber Royal Free London NHS Foundation Trust übermittelte Patientendaten an das Google-Tochterunternehmen DeepMind. Diese wurden – so die Kanzlei – unter Verstoß gegen Datenschutzgesetze weiterverarbeitet.

Warum wurden die Daten übermittelt?

Im Jahr 2015 entwickelte DeepMind die Smartphone-App Stream. Die Anwendung sollte auf Grundlage eingetragener Patientendaten akute Nierenerkrankungen erkennen. Diese Art der Früherkennung führe, so Google damals, zu einer Reduzierung der vermeidbaren Todesfälle um bis zu 25 Prozent. Zur klinischen Sicherheitsprüfung der App vereinbarte DeepMind mit dem Royal Free NHS die Übermittlung von rund 1,6 Millionen Krankenakten. Offenbar ohne das Wissen und die Zustimmung der Patienten. Brisant: Die erhobenen Daten bezogen sich nicht nur auf Nierenleiden. Auch persönliche Informationen von HIV-Patienten, Drogenabhängigen und Frauen, die Abtreibungen vornehmen ließen, wurden an das Google-Tochterunternehmen weitergeleitet. Darüber hinaus erhielt DeepMind Daten über die Intensivmedizin, die Notfallabteilungen sowie die Tagesaktivitäten einzelner Kliniken.

Stream nicht zum ersten Mal in der Kritik

Schon im Jahr 2017 rügte die britische Datenschutzbehörde, DeepMind habe Daten aus einer Zeit erhalten, in welcher noch keine Kooperation mit der Royal Free NHS bestand. Betroffene Patienten hätten nicht davon ausgehen können, dass ihre Daten auf die erfolgte Weise verarbeitet werden. Mit der Sammelklage soll jetzt geklärt werden, wie der Umgang mit medizinischen Daten zukünftig zu regeln ist. Tech-Gigant Google kündigte bereits an, den Betrieb der App einstellen zu wollen. Unklar ist jedoch, was das für die bereits übertragenen Krankenakten und die betroffenen Patienten bedeutet.

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich zum Thema Corona und Datenschutz geäußert.

Verarbeitung von Gesundheitsdaten

Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.

Beispielsweise können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als datenschutzrechtlich legitimiert betrachtet werden:

personenbezogene Daten

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:

• in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
• in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese

• selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
• sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.