„Wir befinden uns an einem Kipppunkt“

Der Ethiker Peter Dabrock verurteilt Googles laxen Umgang mit Patientendaten scharf. Gleichzeitig fordert der Vorsitzende des Deutschen Ethikrates ein Umdenken beim Datenschutz.

Google drängt in den lukrativen Gesundheitsmarkt. Um mit Hilfe künstlicher Intelligenz eine neue Medizin zu entwickeln, sammelt die Firma aus dem Silicon Valley Massen an Patientendaten. Dabei überschreitet der Tech-Gigant ethische Grenzen. Auf Googles Servern landeten detaillierte Daten von Millionen Patienten des US-amerikanischen Krankenhausbetreibers Ascension – ohne die Zustimmung der Betroffenen, wie ein Whistleblower im November enthüllte. Auch Daten von hunderttausenden Patienten der Universitätsklinik Chicago soll Google erhalten haben, ohne dass die Patienten dem Verwendungszweck zugestimmt haben. Hintergründe zu diesen Deals finden sich z.B. hier oder hier.

Hinter solchen Fällen sieht Prof. Dr. Peter Dabrock, Vorsitzender des Deutschen Ethikrates, einen „hochproblematischen“ Trend. Im Gespräch mit Riffreporter verlangt der Theologe und Ethiker der Universität Erlangen einen zeitgemäßen Umgang mit Daten. Der Einzelne soll zum Co-Manager der eigenen Daten werden. Diese „Datensouveränität“ soll technische Fortschritte ermöglichen, gleichzeitig aber verhindern, dass Menschen auf der Datenautobahn „fremdgesteuert“ werden.

Herr Dabrock, wie ethisch ist der Umgang von Google mit Patientendaten?

Auch ohne in datenschutzrechtliche Details zu gehen, zeigt das Beispiel Google: Es werden Daten, die unser Datenschutzgesetz als höchst sensibel betrachtet, weitergegeben, ohne dass die betroffenen Patienten zustimmen konnten. Eine solche fehlende Zustimmung ist hochproblematisch. Das Ganze zeigt: Es gibt eine wachsende Tendenz, dass im Gesundheitsbereich Daten ausgetauscht werden. Man kann sogar weitergehen und festhalten: Wir befinden uns an einem Kipppunkt. Als Gesellschaft müssen wir uns entscheiden. Wollen wir endlich damit ernst machen, dass Personen als Datensubjekte auch Co-Manager ihrer Daten bleiben? Oder müssen wir damit leben, dass einmal gegebene Daten, frei von der Kontrolle der betroffenen Personen, zweit-, dritt- und viertverwertet werden? Letzteres hielte ich in bei hochsensiblen Gesundheitsdaten für äußerst beunruhigend. Ich hoffe, dass der Kipppunkt, das unkontrolliert tun zu können, nicht schon überschritten ist.

Sehen Sie diese Tendenz zum Datenaustausch nur in Bezug auf Google, oder auch breiter?

Sie ist breiter. Bei Google jedoch ist die Tiefe des Eingriffs größer, weil diese Firma die mit detailliertesten Persönlichkeitsprofile erstellt, die man sich vorstellen kann. Google weiß wohl mehr über uns als wir selbst. Im Übrigen sollte man auch im Blick haben: Google hat es im Vergleich zu Facebook, wo der Aufschrei sofort groß ist, geschafft, ein vergleichsweise vertrauenswürdiges Image zu bewahren. Und das, obwohl auch hier die Eingriffstiefe in die intimste Sphäre immens ist.

Kann man Google im Umgang mit Patientendaten nicht trauen?

Das ist mir zu schnell geschossen. Das Versprechen, in großen Datenmengen mit KI Krankheitsbilder zu identifizieren, ist zunächst sehr sinnvoll. Es ist allerdings zu befürchten, dass diese Patientendaten kombiniert werden mit anderen persönlichen Daten im Google-Imperium. Das wird nicht hinreichend transparent gemacht und ist vielen nicht klar.

Verknüpfen von Daten kann nützlich sein

Sollte es eine physische Trennung geben zwischen Gesundheitsdaten und den persönlichen Daten, die Konzerne wie Google halten?

Zunächst dürfen Gesundheitsdaten und andere persönliche Daten nicht einfach verbunden werden. Aber es gibt auch gute Gründe, die für die Kombination der Daten sprechen. Man kann zum Beispiel Suchhistorien eines Nutzers mit medizinischen Daten kombinieren, um Präventionstools zu schaffen. Dies darf alles jedoch nur mit Zustimmung erfolgen. Und noch etwas muss sichergestellt werden. Googles Mutterkonzern Alphabet ist auch engagiert im Versicherungsmarkt. Wenn die Daten kombiniert werden, um gesundheitsrelevante Dienste zu identifizieren, dann dürfen daraus keine Schlüsse für Direktversicherungen, Kreditagenturen oder so etwas gezogen werden – ob man sich in Amerika daran hält, darf man bezweifeln. Das wäre persönlichkeitsgefährdend und damit auch rechtsethisch hochproblematisch. Was möglich ist, zeigt das Suizid-Prävention-Tool von Facebook. Aus Kommentaren, Likes oder Links wird dort die Neigung zu Depression oder zum Suizid berechnet und ein entsprechender Warnhinweis gegeben.

Da zuckt man zusammen, wenn man das hört. So kann man gleich die Gefahr der selbst erfüllenden Prophezeiung sehen. Andererseits ist vielleicht ein nicht ganz so guter Warnhinweis besser als gar keiner. Die ganze Sache ist hochgradig ambivalent. Das Ganze zeigt: Uns fehlt noch die sichere Orientierung, mit den Vorteilen wie Gefahren, die künstliche Intelligenz uns bietet, verantwortungsvoll umzugehen.

Dienen die Patientendaten, die Google sammelt, ebenfalls solchen Präventionsempfehlungen?

Der Austausch der Daten soll, laut Googles Werbesverprechen, das Angebot im Gesundheitsbereich verbessern. Die Werbeversprechen sagen: Wir nutzen die detaillierten Daten, um der einzelnen Person einen Präventionsvorschlag zu unterbreiten. De facto interessiert aber nicht der Mensch als unverwechselbares Individuum, sondern als berechenbarer Datenknotenpunkt. Es geht nicht um den Einzelnen als Person, sondern um möglichst kleinteilige Mustererkennung. Aber bevor man das beklagt: Der auch für den Einzelnen sinnvolle Effekt ist: Wenn über die Integration möglichst vieler Daten die Gruppen, die einem Muster entsprechen, immer kleiner werden können, dann kommt man wohl weg von Blockbuster-Therapien. Die wirken zwar bei vielen Patienten, bei vielen aber auch nicht. Am Ende profitiert also doch das Individuum, weil diese neuen Therapien immer präziser auf die persönliche Ausprägung einer Krankheit zielen. Deswegen ist Google an so unfassbar vielen Daten interessiert. Aber nochmals: Unverzichtbare Bedingung sollte sein, dass der Einzelne im Datenverarbeitungsprozess die Kontrollmöglichkeit behält.

Sind die digitalen Konzerne prädestiniert, diese Präzisionsmedizin zu entwickeln? Schließlich können sie sehr gut mit Massendaten umgehen und diese mit Daten aus anderen Bereichen, etwa Suchhistorien, abgleichen.

Das ist der Punkt! Deswegen drängen die alle in den Gesundheitsbereich. Gesundheit ist ein zentrales Gut, insbesondere in einer Gesellschaft, die nicht mehr an Transzendenz glaubt – eine sicher zutreffende Diagnose, die ich weder moralisch noch verfallstheoretisch bewerte.

Mehr als nur per Häkchen einwilligen

Wenn wir nun den Digitalkonzernen den Job überlassen: Wie verhindert man dann, dass es die Gesundheitsdaten auch in anderen Sparten dieser Konzerne verwendet werden, wie etwa dem Versicherungsmarkt?

Hier komme ich auf den eingangs erwähnten Kipppunkt zurück. Wir müssen uns jetzt radikal eingestehen, dass unsere Modelle, um Datenverwendung im großen Stil zu steuern, völlig unzureichend sind. Das Beispiel Google und auf andere Weise Facebooks Suizid-Prognose zeigen, dass jedes aufgesogene Daten-Bit höchste Gesundheitsrelevanz haben kann. Das ist einerseits bedrohlich. Wenn es andererseits aber eine gute Steuerung gäbe, ist es auch ein Versprechen. Der Deutsche Ethikrat hat Ende 2017 das Konzept der Datensouveränität vorgestellt. Da geht’s um die Souveränität des einzelnen Datensubjekts. Derzeit ist es so, dass man sein Häkchen bei der Einwilligung setzt, und ab da hat man nahezu keinerlei Kontrolle mehr darüber, was mit den eigenen Daten passiert.

Wir wollen, dass das Datensubjekt auch jenseits der informierten Einwilligung im weiteren Datenverarbeitungsprozess weiterhin Kontrollmöglichkeiten hat, gerade im Gesundheitsbereich. Es geht nicht um Kontrolle, sondern um die Möglichkeit dazu. Mit Thomas Hofmann, ehemals Googles Chefingenieur in Europa, haben wir ein Konzept dafür entwickelt. Es enthält eine Mischung aus technischen und administrativen Verfahren, z.B. einen Datenagenten, der abgesaugte persönliche Daten im weiteren Prozess wie so eine Art Cookie verfolgt. Weil der einzelne keine Zeit hat, bei ungewollter Nutzung einzuschreiten, würde ein Datentreuhänder für einen das verfolgen, und eventuell einschreiten. So etwas erfolgt natürlich nicht primär händisch.

Wir müssen davon wegkommen, zu glauben, dass wir den Datenverkehr ohne tiefgreifenden Wandel durch vorlaufende Regulierungen werden steuern können. Vielmehr muss durch nachvollziehbare Erklär- und schnelle und effektive haftungsrechtliche Verfahren sichergestellt werden, dass die Souveränitätsrechte des Einzelnen gewahrt werden.


Prof. Dr. Peter Dabrock, Inhaber des Lehrstuhls für Systematische Theologie (Ethik) an der FAU. (Bild: FAU/David Hartfiel)
Prof. Dr. Peter Dabrock, Inhaber des Lehrstuhls für Systematische Theologie (Ethik) an der FAU. (Bild: FAU/David Hartfiel)

Ich habe Ihr Konzept von der Datensouveränität so verstanden, dass der Verwendung meiner Daten automatisiert gefolgt und festgestellt wird, wie sie verwendet werden. Richtig?

Genau. Der Einzelne soll effektiv zum Co-Manager der eigenen Daten werden. Mein Datentreuhänder stellt mir eine App zur Verfügung. Je nach meinen Vorlieben differenziere ich das präzise aus. Wenn mich etwa der Bereich Sportwetten nicht interessiert, schalte ich sie aus und lasse damit nicht zu, dass meine Daten in diesen Bereich hineinfließen. Interessiert mich Gesundheit hingegen sehr, lasse ich die Verwendung der Daten – womöglich sehr differenziert – hierfür zu. Solche Differenzierungsmöglichkeit kann man sich vorstellen wie einen Baum. Ganz unten werden mir zunächst einige Lebensbereiche angezeigt, und ich kann – je nach meinen Präferenzen – in viele Unterpunkte hineingehen und auswählen.

Ist das praktikabel? Schon heute lesen viele nicht die ganzen AGB, sondern machen einfach ihr Häkchen. Wäre der Aufwand, die Datennutzung mit dieser App kontrollieren nicht immens?

Nicht größer als bislang in anderen Lebensbereichen. Nehmen Sie zum Vergleich den Autoverkehr. Welchen Aufwand hat früher der typische Deutsche beim Kauf eines Autos betrieben, sowie bei der Auswahl der Versicherung, zumindest beim ersten Mal? In der jungen Generation nimmt das Interesse am eigenen Auto stark ab. Heute sind wir mehr auf der Datenautobahn unterwegs als auf der normalen Autobahn. Und den Aufwand, den Sie ansprechen, muss man einmal am Anfang betreiben – danach kann man, wo man will, intervenieren, ansonsten es laufen lassen. Es kann eben nicht mehr sein, dass wir wahnsinnige Zeit in die Wahl der Farbe für unsere Autos stecken, aber nicht merken, wie wir auf der Datenautobahn fremdgesteuert werden. Wenn wir dort unterwegs sind, sollte es solche Datentreuhänder wie eine Art Pflichtversicherung geben. Hinzunehmen, dass das Verkehrsverhalten in der Datenwelt vom Datensubjekt nicht mehr beherrschbar ist, scheint mir in einer Welt, in der das reale Leben großteils online stattfindet, nicht mehr zeitgemäß.

Was bedeutet das angewendet auf unser Thema mit Googles Gesundheitsdaten?

Ich glaube nicht, dass man eine Kombination von Gesundheits- und Persönlichkeitsprofilen verbieten kann. Vielmehr muss man unter den technischen Gegebenheiten dafür sorgen, dass das nicht zu Diskriminierungen führt, sondern den Entscheidungsspielraum der Datensubjekte erweitert, statt ihn zu verkleinern.

Und mit dieser Zielperspektive sollten wir nicht so tun, als ob wir in eine Zeit vor Big Data und KI zurückkönnten. Angesichts der enormen Möglichkeiten will das de facto auch niemand. Wenn wir ehrlich sind, ist es doch so: Uns beunruhigt die Macht der großen Internetkonzerne. Ihr Angebot nutzen jedoch extrem viele. Gezwungen sind wir dazu nicht.

Wem gehören die Daten?

Wäre der Eigentumsanspruch gegenüber den „eigenen“ Daten nicht ein Weg, die Souveränität zu retten?

Das glaube ich nicht. Den rechtlichen Begriff des Eigentums auf Daten anzuwenden, ist schräg. Eigentum ist räumlich und zeitlich umrissen. Das Zugriffsrecht ist jeweils eingeschränkt. Es gibt eine Rivalität in der Nutzung: Wenn jemand mein Auto fährt, kann ich es nicht fahren. All das verhält sich mit Daten anders. Im Verhältnis zwischen Daten und Datensubjekt sollte man nicht auf die Eigentumskategorie zurückgreifen, sondern es muss um Nutzungsrechte und Kontrollmöglichkeiten gehen: Wer darf mit „meinen“ Daten umgehen, oder wer darf das nicht.

Kann man so auch den Zweck der Datenverwendung kontrollieren? Ich stelle mir das schwierig vor, wenn es um ergebnisoffene Forschung geht, wie das bei den Gesundheitsdaten der Fall ist.

Unser ganzes Verhalten zeigt, dass wir Dienste wie Facebook oder Google wollen. Wenn man das ehrlich zur Kenntnis nimmt, dann kann man nicht sagen, dass Zweckbindung und Datensparsamkeit mit Big Data vereinbar sind. Wenn die Datensouveränität gewahrt wird, halte ich vorherzubestimmende Zweckbindung für überflüssig. Nehmen wir wieder den Bereich Gesundheitsdaten: Dass man durch Kombination möglichst vieler Daten auf völlig unerwartete Muster stößt, ist mit dem Prinzip der Zweckbindung fast unmöglich! Weder informierte Einwilligung noch Zweckbindung noch Datensparsamkeit entsprechen den von der großen Mehrheit der Menschen gewollten Anwendungen der Technik. Also müssen wir andere Wege wie den oben beschriebenen Weg der am Outcome orientierten Datensouveränität finden.

Ist das Teilen von medizinischen Daten vor diesem Hintergrund sogar ethisch geboten?

Sagen wir es so: Es besteht die starke Vermutung, dass eine sehr breite Sammlung insbesondere qualitativ hochwertiger Daten die Gesundheit des Einzelnen und der Bevölkerungen erheblich steigern kann. Ohne in die Details des ethisch komplexen Pflichtbegriffs zu gehen, kann man zumindest festhalten: Wenigstens moralisch ist es dann wertvoll, sich an einem solchen Prozess zu beteiligen. Was mich aber bei der aktuellen Google-Sache beunruhigt, ist, dass hier das Datensubjekt nicht zum Co-Manager seiner Daten erhoben wird. Von Seiten der Internetanbieter und der Politik vermisse ich einen konstruktiven Umgang, der die Menschen mitnimmt.

Zudem sollte man nicht nur einen rückwärtsgewandten Verlustdiskurs führen, sondern einen nach vorne blickenden Gestaltungsdiskurs. Von Seiten der Internetanbieter und der Politik vermisse ich einen konstruktiven Umgang, der die Menschen mitnimmt.

Das Gespräch führte Christian J. Meier

Das Gesagte spiegelt die persönliche Meinung von Peter Dabrock wider, nicht die offizielle Auffassung des Deutschen Ethikrates.

Flatrate ab 8 € RiffReporter unterstützen
KI für alle