Berge an Daten werden gesammelt und analysiert, um Covid-19 besser zu verstehen. Der Datenschutz in Corona-Zeiten ist kaum Thema

Im Datenfieber

d'Lëtzebuerger Land vom 05.06.2020

Stellen Sie sich vor, mit Hilfe künstlicher Intelligenz berechnen zu können, ob eine Covid-19-Erkrankung schwer oder gar tödlich verläuft. Ein Forschungsprojekt der Uni Luxemburg in Zusammenarbeit mit der Huazhong Uni für Wissenschaft und Technik im chinesischen Wuhan hat das zum Ziel, und die bisherigen Projektionen sind viel versprechend. Professor und Computerspezialist Jorge Goncalves vom Forschungszentrum für systematische Biomedizin (LCSB) hat mit Hilfe eines ehemaligen Studenten, der in einem Krankenhaus in Wuhan Zugang zu den Blutproben von 485 schwer erkrankten Covid-19-Patienten hatte, das AI-Verfahren getestet. Eine analysierte Blutprobe reicht aus, um den Verlauf der Erkrankung mit 90-prozentiger Wahrscheinlichkeit vorherzusagen.

Die Methode ist so interessant, dass Luxemburger Krankenhäuser bereits angefragt haben, allerdings ist bisher hierzulande kein Projekt geplant: „Mit den hier geltenden Datenschutzbestimmungen hätte die Genehmigung sicher einige Monate gedauert“, so Goncalves. In China ging das schneller, allerdings hatte Goncalves und sein Team keinen direkten Zugriff auf die Daten, sondern erst nachdem die ersten Ergebnisse veröffentlicht waren. „Das war etwas umständlich, aber es ging“, sagt er.

Elektronisches Tagebuch Der Umgang mit Gesundheitsdaten im Kontext des aggressiven Virus ist kaum Thema. RTL, das die AI-Studie, im Fachmagazin Nature als Preprint veröffentlicht, diese Woche aufgegriffen hat, erwähnte den Datenschutz kein einziges Mal. Tausende von Covid-19-Tests bei denen wahlweise Speichel, Stuhl oder auch Blut untersucht wird und der große Handlungsdruck, um die Pandemie in den Griff zu bekommen, werfen jedoch Fragen nach der Sicherheit und dem Schutz persönlicher Gesundheitsdaten auf. In Luxemburg wird das kaum kritisch erörtert, außer im Kontext einer Tracing-App, eine technologische Alternative zum klassischen Kontakt-Tracing.

Die französische App Maela, die Anfang April auf Luxemburger Verhältnisse angepasst und von der Sanitärinspektion zum medizinischen Monitoring von Covid-19-Patienten eingesetzt wird, ist in dem Sinne keine Tracing-App, sondern eine Art elektronisches Tagebuch: Hier beschreibt die Patientin Symptome, die sie an sich feststellt und wird dann, sollten sich diese verschlimmern, von Ärzten kontaktiert. Eine andere Tracing-App Ariana von einem Forscherteam um Christian Vincenot und Stéphane Bordas vom Fachbereich Computermechanik der Uni Luxemburg, ist noch nicht marktreif. Vincenot und Bordas wollen ihre Idee zu Geld machen und haben dafür das Start-up Ariana Tech gegründet.

Frei entscheiden zu können, ist ein Prinzip, auf das Forscher in Luxemburg sowohl beim Testen wie auch bei den Tracing-Apps setzen. Allerdings hat die blau-rot-grüne Regierung den Einsatz dieser Apps aus datenschutzrechtlichen Gründen bisher abgelehnt. Die CNPD hat sich im Rahmen europäischer Beratungen ausführlich mit der Tracing-Technologie befasst und empfiehlt eher dezentrale Lösungen, wo die Daten nicht zentral auf einem Server gespeichert, sondern auf dem Smartphone der Nutzerin. Noch ist die Technik in Europa aber nicht so ausgereift und Sicherheitsbedenken sind nicht alle ausgeräumt (d’Land 14.4.20). 

Neben dem Tracing ergeben sich Fragen zur Datensicherheit auch bei den Tausenden von Tests rund um das Coronavirus: Welche Daten werden für Forschungszwecke genutzt und welche im Rahmen des öffentlichen Gesundheitsschutzes? Wer erhebt die Daten, wo werden sie wie lange gespeichert und wer hat zu welchen Zweck Zugriff darauf?

Covid-19-Datenschutztipps Während in anderen Ländern wie Großbritannien oder Deutschland BürgerInnen bei ihren jeweiligen Datenschutzbehörden ihre Rechte in punkto Covid-19-Datensammlungen übersichtlich einsehen können – einige haben spezielle Corona-Rubriken angefertigt –, braucht es hierzulande eine kleine Recherche, um halbwegs zu verstehen, wie persönliche Daten rund um die Covid-19-Tests gesammelt und gespeichert werden. Die nationale Datenschutzkommission CNPD hat sich in einem Covid-19-Schwerpunkt mit Aspekten wie der Privatsphäre und der Speicherung befasst, etwa ob ein Arbeitgeber MitarbeiterInnen täglich die Temperatur messen lassen darf (prinzipiell nicht). Es gibt Links zur Europäischen Datenschutzbehörde und ihre Empfehlungen hinsichtlich von Tracing-Apps, aber das war es schon. Wer unsicher ist, ob er dem Arbeitgeber melden muss, ob er Risikogruppe zählt oder welche Schutzlücken bei Streaming-Apps im Homeoffice oder beim Homeschooling bestehen, geht leer aus. „Wir hatten viele Anfragen und waren zugleich im Télé-travail“, sagt Datenschützer Thierry Lallemang. „Wir können nicht an allen Fronten proaktiv werden.“ Eine Beschwerde zu den Covid-19-Tests habe die CNPD nicht erhalten; bisher hat sie sich nicht selbst befasst. Laut Datenschutzgrundverordnung überprüft die Behörde die Zulässigkeit und korrekte Führung neuer Datenbanken erst im Nachhinein.

Als die Autorin dieses Artikels sich an der Drive-in-Teststation Junglinster auf Covid-19 testen ließ, erhielt sie das Ergebnis in weniger als zwölf Stunden und bekam einen Flyer über die Arbeitsbedingungen des Gesundheitspersonals in die Hand gedrückt. Aber aufgeklärt darüber, was mit ihrem Ergebnis geschieht, sollte es positiv ausfallen, wurde sie dort nicht. Auf der Webseite wurde sie nicht fündig und das Labor schickte die zugesagten Informationen bis Redaktionsschluss ebenfalls nicht. Dabei gibt es Prozeduren im Umgang mit Covid-19-Daten.

So muss jeder positive Covid-19-Fall dem Gesundheitsamt gemeldet werden, dazu ist jede Ärztin, jedes Labor verpflichtet, egal ob das nationale Gesundheitslaboratorium (LNS) in Düdelingen oder konventionierte Anbieter wie Ketterthill oder die Laboratoires réunis. Das regelt das Gesetz zur Direction de la Santé vom 1. August 2018. Auch Verdachtsfälle sind bei neuen bedrohlichen übertragbaren Krankheiten meldepflichtig. Während deutsche Datenschutzbeauftragte sich besorgt zeigen, weil die Voraussetzungen eines Verdachts nicht näher bestimmt sind, ist das hierzulande kein Grund zu großer Sorge. Mit dem neuen Pandemiegesetz sind in Deutschland negative Testergebnisse künftig ebenfalls zu melden. Experten warnen davor, das könnte personelle Ressourcen der Gesundheitsämter binden, die dringend für das Tracing benötigt werden.

Meldepflicht für Positive Eine Anfrage bei der Gesundheitsdirektion nach den Datenschutzbestimmungen wird von ihr zügig beantwortet: Dass die Behörde sensible Gesundheitsdaten im Rahmen der Corona-Pandemie sammeln darf, hatte die CNPD in einer Stellungnahme Mitte März klargestellt. Dazu zählen Daten zur Identifizierung, Covid-19-Testergebnisse, Symptomen wie Fieber, Atembeschwerden oder Husten, aber auch über das Kontakt-Tracing (zuvor bereiste Urlaubsorte) und andere Aktionen im Rahmen der öffentlichen Gesundheit. An Dritte dürfen diese Daten nicht weitergegeben werden, nur in anonymisierter Form etwa an die Weltgesundheitsorganisation WHO oder ans Europäische Zentrum für die Prävention und Kontrolle von Krankheiten ECDC. Die Speicherdauer scheint mit zehn Jahren recht lange. Der Entwurf der Regierung für ein Pandemiegesetz, der einen Artikel zur Speicherung von Gesundheitsdaten enthält, legt fest, dass personalisierte Daten bis zum Ende der Pandemie gespeichert und spätestens nach sechs Monaten nach Auslaufen des Pandemiegesetzes anonymisiert werden müssen. Die CSV-Opposition möchte diese Frist bei Verdachtsfällen, die sich als negativ herausstellen, verkürzt sehen.

Die Sanitärinspektion ist zuständig unter anderem für die Reihentests in den Altenheimen, wo sie Speichelproben der BewohnerInnen und das Pflege- und Gesundheitspersonals untersucht. Bisher wurden 4 805 von 5 234 Heiminsassen auf das Virus getestet, davon zehn positiv, sowie 6 225 (von 7 710) MitarbeiterInnen, davon ebenfalls zehn positiv. Insgesamt gab es bis Mitte dieser Woche in den 52 Alten- und Pflegeheime 211 Coronafälle. Fällt ein Ergebnis positiv aus, ist es an den Behörden den Patienten aufsuchen, ihn zu isolieren und mit ihm Kontakte durchzugehen, um gegebenenfalls weitere Positive aufzuspüren und in Quarantäne zu schicken. Erfasste und getestete Personen bekommen eine Mitteilung, in der sie über ihre Rechte und die zugrunde liegenden Datenschutzregeln aufgeklärt werden. Darin stehen zum Beispiel der Zweck der Datenerfassung, die Liste der meldepflichtigen Krankheiten, aber auch eine E-Mailadresse, unter der Interessierte Auskunft im Sinne ihres Rechts auf informationelle Selbstbestimmung über die von ihnen gespeicherten Daten erhalten.

Die Massentests, bei denen Gruppen der Bevölkerung auf freiwilliger Basis getestet werden, verantwortet wohl das Luxembourg Institute of Health (LIH), ist aber ebenfalls eine Maßnahme der öffentlichen Gesundheit. Ergo werden auch hier positive Resultate und Verdachtsfälle den Gesundheitsbehörden gemeldet; die Speicherfrist beträgt ebenfalls zehn Jahre. „Die Inspection sanitaire bekommt alle positiven Resultate von Covid-19-Tests automatisch von den Labors übermittelt, egal wer der Auftraggeber für den Test war“, heißt es in einer schriftlichen Antwort des LIH auf eine Land-Anfrage zu den Datenschutzbestimmungen. Und weiter: „Das LIH erhält zu keinem Zeitpunkt Informationen, weder zu den getesteten Personen noch zu deren Resultate. Es hat auch keinen Zugang zu diesen.“

Neben dem Large Scale Testing laufen beim LIH weitere Covid-19-Testreihen: Discovery, Predi-Covid und Con-Vince. Diese Forschungs- und klinischen Studien „folgten den üblichen ethischen Genehmigungsverfahren und wurden daher vom Gesundheitsministerium und der CNER (der Ethikrat der Wissenschaft, die Redaktion) genehmigt“, so der Datenschutzbeauftragte Laurent Prévotat.

Covid-Forschungsdaten Discovery erprobt die Wirksamkeit vier experimenteller Therapien an 60 freiwilligen Testpersonen, darunter Remdesivir, Lopinar-Ritonavir. Europaweit soll die Testreihe insgesamt 3 200 Covid-19-PatientInnen mit moderaten bis schweren Symptomen umfassen. Hauptsponsor ist Inserm, das französische nationale Institut für Gesundheitsforschung und -entwicklung mit Sitz in Paris. LIH und LNS verarbeiten die Daten im Rahmen der Studie für den Sponsor, sind aber nicht verantwortlich im Sinne der Datenschutzgrundverordnung.

Im Rahmen von Con-Vince werden die Daten nicht nur beim Institut, sondern darüber hinaus beim Studienpartner LCSB, den staatlich zugelassenen Laboratorien, dem Meinungsforschungsinstitut TNS-Ilres und beim LNS gespeichert, wenngleich mit der für diese Forschungsstudien üblichen Speicherfrist von fünf bis 15 Jahren: Teilnehmende der Studie, bei der zusätzlich zu Blut-und Speichelproben klinische Fragebögen auszufüllen sind, erhalten zudem einen Hinweis, wohin sie sich wenden können, wenn sie Fragen zum Datenschutz haben, sei es an den Datenschutzbeauftragten des LIH oder der TNS Ilres. Wer kein Interesse mehr hat, am Panel teilzunehmen, kann die Teilnahme online aufkündigen.

Ein anderes umstrittenes Corona-Kriseninstrument, das im Ausland für Diskussionen sorgt, findet in Luxemburg erst keine Anwendung: In Deutschland müssen KundInnen, die ein Restaurant oder einen Frisörsalon besuchen, Namen und Telefonnummer hinterlassen. Die Autorin hat selbst ihren Namen in einer solchen Liste eintragen müssen und konnte dabei andere Namen einsehen. Dabei haben die Datenschutzbehörden der Länder empfohlen, die Listen so zu gestalten, dass sie nicht von Fremden gelesen werden können. Auch dürfen diese Daten nicht plötzlich für andere Zwecke wie beispielsweise Werbung genutzt werden. Hierzulande verzichtet die Regierung auf derlei Namenslisten und setzt dafür auf eine Maskenpflicht, wenn der Abstand zur (Sitz-)Nachbarin unter zwei Meter beträgt. Allerdings es ist wie mit den Datenschutzregeln: Kontrolliert niemand ihre Einhaltung, kann Papier sich als ziemlich geduldig erweisen.

Ines Kurschat
© 2020 d’Lëtzebuerger Land