Gesundheitsdaten von 500’000 Personen zum Verkauf angeboten

Lebensgewohnheiten, psychische Erkrankungen, Laborwerte, Körpermasse, detaillierte genetische Informationen, körperliche Krankheiten, geistige Verfassung, Alter, Geschlecht, Geburtsmonat und -jahr, wirtschaftliche und soziale Verhältnisse – beim chinesischen Onlinehändler Alibaba konnte man vor wenigen Tagen solche Daten von 500’000 Britinnen und Briten kaufen. 

Die Daten stammen aus der UK Biobank, einem «Juwel in der Krone der britischen Wissenschaft», «weltweit führend», wie verschiedene Professoren gegenüber dem «Science Media Centre» sagten.

In dieser 2003 lancierten Biobank werden zu Forschungszecken die genetischen Informationen der Teilnehmenden gespeichert, ergänzt durch ärztliche Befunde, Röntgenbilder, Blutanalysen und vieles mehr. Die Teilnehmerinnen und Teilnehmer werden auch regelmässig untersucht.

Personen könnten erkannt und erpresst werden

Mindestens einer der drei auf der Handelsplattform Alibaba angebotenen Datensätze enthielt die sensiblen Angaben zu allen 500’000 Versuchspersonen in der UK Biobank. Diese Daten werden dort zwar anonymisiert gespeichert, auf Alibaba wurden sie auch so angeboten. Aber es ist nicht schwierig, die Anonymisierung aufzuheben.

Der britische Gesundheitsminister Wes Streeting etwa erhielt 2021 die Diagnose Nierenkrebs. Wisse man, in welcher Woche Streeting operiert worden sei, dann würden die Biobank-Daten – sofern Streeting dort als Teilnehmer registriert wäre – viele weitere Informationen über ihn liefern, warnte ein Vertreter der Gruppe für Patientendatenschutz Medconfidential im «British Medical Journal».

Wie heikel das Datenleck ist, zeigt sich auch daran, dass sogar die britische Regierung intervenierte. Sie riet der Biobank, den Datenzugang für Wissenschaftler zu pausieren.

Die De-Anonymisierung kann den Betroffenen zum Nachteil gereichen und sie unter Umständen sogar erpressbar machen, wie das Beispiel eines finnischen Psychotherapieanbieters zeigte. Hacker gelangten dort an Notizen aus Therapiesitzungen von mindestens 2000 Psychotherapie-Patienten. Daraufhin wurden viele Patienten per E-Mail erpresst. Das «Deutsche Ärzteblatt» berichtete 2020 darüber.

Mit Künstlicher Intelligenz die Anonymisierung aufheben

Selbst wenn die Daten in der UK Biobank jetzt noch anonymisiert sind, gehen manche Fachleute davon aus, dass Künstliche Intelligenz (KI) die Anonymisierung «knacken» werde und die Daten dann einzelnen Personen zuordnen könne.

Schon 2019 hatten Wissenschaftler in «Nature Communications» gezeigt, dass sie anhand von 15 meist leicht zugänglichen Informationen wie Zivilstand, Postleitzahl des Wohnorts, Schulbildung usw. 99,98 Prozent der Amerikaner korrekt identifizieren könnten.

Über 22’000 Wissenschaftlerinnen und Wissenschaftler aus 60 Ländern haben mit den UK Biobank-Daten bereits Analysen durchgeführt. So fanden sie unter anderem heraus, dass sich bereits kleine Alkoholmengen auf die Gehirngrösse und -struktur auswirken. Die Biobank hatte den Teilnehmerinnen und Teilnehmern zugesichert, ihre Daten sicher zu verwalten. 

Wissenschaftler hatten die Daten geteilt

Doch der «Guardian» deckte im März auf, dass diverse Wissenschaftler die Biobank-Daten ganz oder teilweise auf eine Datenplattform namens Github hochgeladen hatten. Diese gehört zum Techriesen Microsoft. In mindestens 80 Fällen habe die UK Biobank juristisch interveniert.

Ein solcher von Wissenschaftlern auf Github deponierter Datensatz enthielt Millionen von Spitaldiagnosen, das Geschlecht und das Geburtsdatum von 413’000 Personen. In mehreren Fällen gelang es dem «Guardian» mit Hilfe eines Datenexperten, die anonymisierten Daten ihren Besitzern zuzuordnen. Bei einer Frau in den 70ern genügten ihr Geburtsmonat und das Geburtsjahr sowie der Monat und das Jahr, in dem ihre Gebärmutter entfernt wurde, um sie zu de-anonymisieren. Die Journalisten erfuhren so von fünf weiteren Diagnosen der Seniorin (die diesem journalistischen Experiment zugestimmt hatte). 

Seit letztem Sommer sei 198-mal bekannt geworden, dass Daten der UK Biobank offengelegt wurden, kritisierte ein Professor an der Universität Oxford im «British Medical Journal» (BMJ). Die chinesische Regierung und Alibaba sorgten nun immerhin dafür, dass das Verkaufsangebot für die Biobank-Daten aus der Handelsplattform entfernt wurde. Gemäss Alibaba sei dies erfolgt, noch bevor es zu einem Kauf kam.

Britische Regierung pusht KI und Biobank

Die UK Biobank übt sich derweil in Schadensbegrenzung, stellte die Datenbank offline, versprach ein Upgrade für erhöhten Datenschutz und weitere Massnahmen.

Im 10-Jahres-Gesundheitsplan für England der britischen Regierung spielt die Biobank eine wesentliche Rolle. Die Regierung setze stark auf Gesundheitsdaten und Künstliche Intelligenz, so das «BMJ». Sie wolle das staatliche Gesundheitssystem zum weltweit am stärksten KI-gestützten Gesundheitssystem machen. Die Biobank diene dabei als eine wichtige Datenquelle, auf der die Nationale Datenbibliothek aufgebaut werden solle. 

Zu diesem Zweck «ebnete die Regierung im Februar 2026 den Weg, um Patientendaten aus Allgemeinpraxen mit der Biobank zu verknüpfen […] Sollte die Öffentlichkeit den Eindruck gewinnen, dass die Regierung und ihre Forschungspartner die Risiken leichtfertig behandeln, könnte der Datenfluss versiegen». Das wäre das Horrorszenario für Wissenschaftler, Pharmafirmen, Bigtech und Politik. Sie alle wollen an mehr Gesundheitsdaten kommen.

Mehrere vom «Science Media Centre» befragte Wissenschaftler übten sich ebenfalls in Schadensbegrenzung, nach dem Motto: Das Wichtigste sei doch, dass die Biobank sofort gehandelt habe. 

Politisch erwünschter Austausch mit den USA – und ungewollt nun mit China

Derweil gehen – auch im restlichen Europa – die Bestrebungen weiter, die Gesundheitsdaten der Bevölkerung zu sammeln und Dritten zur Verfügung zu stellen. Es stehe eine «Zeitwende» an, wir würden uns «am Vorabend grosser Ereignisse» befinden, hatte der frühere deutsche Gesundheitsminister Karl Lauterbach schon 2023 angekündigt. «Wenn wir nicht zurückbleiben wollen, müssen wir uns zusammenschliessen und Daten sowohl innerhalb Europas als auch transatlantisch miteinander teilen.»

Inzwischen werden die Daten – das «neue Gold» – auch mit Asien geteilt – wenn auch unfreiwillig.