Vier Bundesstaaten offenbaren Gesundheitsdaten an Big Tech: Neue Enthüllungen zur Datensicherheit im Gesundheitswesen

Der Schutz persönlicher Gesundheitsdaten ist in der heutigen digitalen Welt von entscheidender Bedeutung. Immer mehr Menschen nutzen Online-Plattformen, um Gesundheitsdienstleistungen in Anspruch zu nehmen, Versicherungen abzuschließen oder wichtige Informationen zu medizinischen Themen zu erhalten. Doch genau diese Online-Angebote stehen zunehmend im Mittelpunkt von Datenschutz-Problemen. Jüngste Ermittlungen haben ergeben, dass vier US-Bundesstaaten – Nevada, Maine, Massachusetts und Rhode Island – sensible Gesundheitsinformationen von Nutzern über ihre staatlichen Gesundheitsaustausch-Webseiten ungewollt an große Technologieunternehmen wie Google, LinkedIn und Snapchat weitergegeben haben. Diese Entdeckung durch investigative Journalisten von The Markup und CalMatters wirft ein bedrohliches Licht auf die Praxis der Datenverarbeitung und stellt die Frage nach der Verantwortung von staatlichen Stellen im Umgang mit besonders schützenswerten Daten.

Die betroffenen Gesundheitsplattformen sind Teil des Affordable Care Act, einem Gesetz, das darauf abzielt, den Zugang zu Krankenversicherungen zu erleichtern. Online-Portale wie Nevada Health Link oder CoverME.gov aus Maine dienen als Schnittstellen, um Verbrauchern basierend auf ihren Gesundheitsinformationen passende Versicherungsangebote zu präsentieren. Dabei müssen Nutzer eine Vielzahl sensibler Fragen beantworten, von Medikamenteneinnahmen über gesundheitliche Beeinträchtigungen bis hin zu persönlichen Lebensumständen. Diese Daten sollen eigentlich nur zur Verbesserung des Services genutzt werden.

Doch in einigen Fällen wurden sie über unsichtbare Tracker ohne Wissen der Nutzer an externe Tech-Giganten übermittelt. Das Ausmaß dieser Weitergabe ist alarmierend. In Nevada beispielsweise stellte sich heraus, dass Angaben zu verschreibungspflichtigen Medikamenten wie Dosierungen und speziellen Medikamentennamen, beispielsweise Fluoxetin, bei der Eingabe an LinkedIn und Snapchat gesendet wurden. Diese Plattformen können die Daten zudem mit bereits vorhandenen Nutzerprofilen verknüpfen, um gezieltere Werbung zu schalten oder Verhaltensprofile zu erstellen. Ähnliche Praktiken fanden sich in Maine und Rhode Island, wo entsprechende Informationen wie Arztbesuche und Medikamente an Google übermittelt wurden.

Massachusetts gelangte in die Schlagzeilen, als die Gesundheitsplattform LinkedIn darüber informierte, ob eine Besucherin schwanger, blind oder behindert war. Die Ursachen für diese unerlaubte Datenweitergabe sind vielfältig. Die Verwendung von Web-Trackern, die auf vielen Websites mittlerweile üblich sind, spielt eine zentrale Rolle. Diese Analyse- und Werbetools helfen Website-Betreibern, Nutzerverhalten zu analysieren und Marketingmaßnahmen besser auszurichten. Allerdings sind die Tracker auf Gesundheitswebseiten besonders heikel, denn sie fangen nicht nur allgemeine Nutzerdaten ab, sondern können auch hochsensible persönliche Gesundheitsinformationen übertragen, die rechtlich besonders geschützt sind.

Das Problem verstärkt sich dadurch, dass viele staatliche Stellen möglicherweise nicht ausreichend wissen, wie sich ihre eingesetzten Software-Tools tatsächlich konfigurieren und welche Daten an wen weitergeleitet werden. Sobald persönliche Gesundheitsinformationen an große Technologieunternehmen gelangen, entstehen neue Datenschutzrisiken. Zwar versichern die Plattformen, dass keine Identitätsdaten wie Name oder Adressen übertragen werden, doch gerade die Kombination von Gesundheitsdaten mit bereits vorhandenen Nutzerinformationen in den Profilen der Tech-Giganten kann Rückschlüsse auf die Identität einzelner Personen zulassen. Datenschützer warnen daher vor den möglichen Folgen dieses Datenabgleichs: Diskriminierung, Stigmatisierung, unerwünschte Werbung oder auch Manipulationen könnten die Konsequenz sein. Die Reaktionen der betroffenen Bundesstaaten zeigen gemischte Signale.

Nach Kontaktaufnahme durch The Markup und CalMatters haben Nevada und Massachusetts den Einsatz bestimmter Tracker trotz vorangegangener Nutzung gestoppt und überprüfen derzeit ihre Datenschutzrichtlinien. Verantwortliche wie Russell Cook aus Nevada geben zu, dass die Übertragung von Medikamentennamen ein unbeabsichtigtes Verhalten der eingesetzten Tracker war und versprechen eine umfassende Prüfung und Überarbeitung der Systeme. Dennoch verdeutlicht dieser Fall ein generelles Problem: Staatliche Institutionen sind oftmals weniger auf den Umgang mit digitaler Datensicherheit vorbereitet als private Unternehmen. Ein weiteres überraschendes Ergebnis der Untersuchungen war, dass viele dieser Gesundheitsaustausch-Webseiten – mit Ausnahme von Washington D.C.

– zahlreiche Tracker implementieren. Während durchschnittliche populäre Webseiten etwa sieben Tracker nutzen, fanden die Reporter auf der Webseite von Nevada Health Link nahezu fünfzig Tracker. Diese Menge an Datenüberwachungs-Tools in Verbindung mit sensiblen Gesundheitsdaten erscheint höchst bedenklich und unvereinbar mit den strengen Anforderungen des Datenschutzes im medizinischen Bereich. Die Problematik geht jedoch über einzelne Bundesstaaten und Plattformen hinaus. Bereits in der Vergangenheit wurden US-Krankenhäuser, Apotheken und andere medizinische Anbieter dabei ertappt, Gesundheitsdaten an soziale Netzwerke und Werbeplattformen weiterzugeben – ohne ausreichende Aufklärung der Patienten.

2022 offenbarte eine Untersuchung, dass diverse Krankenhäuser durch den Einsatz von sogenannten Meta-Pixeln Informationen an den Mutterkonzern Facebook übermittelten, was sogar zu rechtlichen Konsequenzen führte. Im Jahr 2023 zahlte ein New Yorker Krankenhaus eine hohe Strafe wegen Verstößen gegen das Health Insurance Portability and Accountability Act (HIPAA), einem Gesetz, das den Schutz von Gesundheitsinformationen regelt. Experten betonen immer wieder, wie wichtig eine sorgfältige Auswahl und Konfiguration von Analyse- und Marketingtools auf sensitiven Webseiten ist. John Haskell, ein erfahrener Datenschutzanwalt, weist darauf hin, dass Unwissenheit bei Organisationen, welche Daten ihre eigene IT-Infrastruktur letztendlich versendet, keine Entschuldigung darstellen kann. Es sind klare Verantwortlichkeiten gefragt, insbesondere da die möglicherweise unbeabsichtigte Weitergabe personenbezogener Gesundheitsdaten im Extremfall einen Verstoß gegen Bundes- und Landesgesetze darstellt.

Auf Seiten der Technologieunternehmen heißt es, man wolle keine Gesundheitsdaten erhalten und Verletzungen ihrer eigenen Nutzungsbedingungen könnten zu Sanktionen für die Kunden führen. So erklärt ein Sprecher von Google Analytics, dass persönliche Identifikationsdaten standardmäßig nicht übermittelt werden sollen. LinkedIn und Snapchat betonen ebenfalls, dass Werbung auf sensiblen Gesundheitsdaten verboten sei. Dennoch ermöglicht die technische Infrastruktur der Plattformen, Informationen mit bestehenden Nutzerprofilen zu verknüpfen, was eine klare Grauzone darstellt und zudem strengere regulatorische Kontrolle erfordert. Für die Nutzer besteht die Möglichkeit, selbst mit bestimmten Tools und Einstellungen die Übertragung sensibler Daten einzuschränken.

Browser-Erweiterungen, Datenschutzfunktionen oder Einstellungen zur Deaktivierung von Trackern können helfen, Trackingmaßnahmen einzudämmen. Allerdings sind die meisten Anwender sich der Tiefe und Reichweite dieser Datenweitergaben nicht bewusst, weshalb Aufklärung und Transparenz dringend erforderlich sind. Zusammenfassend zeigen die Enthüllungen über die Weitergabe von Gesundheitsdaten an große Technologieunternehmen, wie gefährdet das sensible Datenfeld in der digitalen Ära ist. Die Verbindung von staatlichen Gesundheitsportalen und Werbetechnik führt zu konfusen Situationen, in denen die Grenzen von Datenschutz, Privatsphäre und Medienkompetenz überschritten werden. Die betroffenen Bundesstaaten stehen nun vor der Herausforderung, ihre Systeme zu überprüfen, technische Lösungen zu implementieren und vor allem das Vertrauen der Bürger wiederherzustellen.