Dezember 2013 – eigentlich die Zeit für Weihnachtsgrußkarten. Zehntausenden Inhabern eines Internetanschlusses flatterte stattdessen eine Abmahnung der „The Archive AG“ ins Haus, wegen angeblicher Urheberrechtsverletzungen. Es ging um das Anschauen von Pornofilmen auf dem Videoportal „Redtube“. Auf den ersten Blick bloß ein weiterer kurioser Auswuchs der Abmahnindustrie; zwar berichtenswert, doch irrelevant für ein Life Science-Magazin. Bei genauerem Hinsehen aber kann einem angst und bange werden, wie schlecht das Privatleben geschützt ist. Denn wie erfährt ein Unternehmen von privaten Vorlieben wie Pornokonsum? Und da schließt sich dann doch der Kreis, auch wenn es um die medizinische Forschung und die Arbeit mit Patientendaten geht.
Wer in Deutschland forscht, muss sich einem Übermaß an gesetzlichen Vorschriften und bürokratischen Hürden stellen – so zumindest sehen es laut einer Befragung im Auftrag der Else Kröner-Fresenius-Stifting mehr als die Hälfte der in Deutschland tätigen Wissenschaftler (siehe auch Laborjournal 9-2014, S. 11). Trifft dies auch auf die Regelwerke rund um den Datenschutz zu? Sind die Deutschen gar paranoid, wenn es um ihre Persönlichkeitsrechte geht, und bremst eine übertriebene Angst den medizinischen Fortschritt? Spricht man als Journalist mit Leuten, die Biobanken betreuen oder federführend für großangelegte medizinischen Studien verantwortlich sind, so bekommt man einen anderen Eindruck: Selbstverständlich habe man die Daten der Probanden zu schützen. Sicher, Kritik gibt es, und Ideen, was man besser machen könnte und wo rechtliche Unsicherheiten beseitigt werden können. Doch kein namhafter Forscher würde grundsätzlich den Schutz der Probandendaten ablehnen. Forschung und Datenschutz sind demnach kein Widerspruch, vielmehr gehöre das Einhalten von Vorschriften nun mal zum gewissenhaften Forschen dazu.
Wenn Datenschutz lästig ist
Machen wir uns aber nichts vor: Natürlich gibt es Wissenschaftler, die sich darüber ärgern, dass sie Datensätze nicht einfach mal per E-Mail tauschen dürfen; dass Vorgänge, die technisch mit einem Mausklick möglich wären, aufwändig über Vertrauensstellen laufen müssen und daher Zeit, Geld und Nerven kosten. Unproblematisch vielleicht aus Sicht der Projektverantwortlichen am Schreibtisch. Doch fragen Sie mal die Doktoranden und Postdocs, die sich mit der praktischen Arbeit herumplagen und gerade eine Gruppe Patienten für Rückfragen kontaktieren möchten. Unbestritten ist auch: Könnten Forscher auf sämtliche Krankenversicherungsdaten jedes Bürgers zugreifen, ließen sich medizinische Zusammenhänge erkennen, die Menschenleben retten. Denken wir an Medikamentennebenwirkungen, Herzinfarktrisiko oder Erfolg von Chemotherapien, um nur einige Beispiele zu nennen (siehe auch das aktuelle Laborjournal-Heft). Insofern lässt sich nicht leugnen, dass Datenschutz ein Klotz am Bein der wissenschaftlichen Erkenntnis sein kann.
Was aber hat der Bürger denn zu befürchten, wenn Forscher untereinander recht freizügig mit den persönlichen Daten ihrer Probanden umgehen? Es soll ja nicht darum gehen, Anschriften und Namen gemeinsam mit sensiblen Angaben in die Auswertungen einfließen zu lassen. Die Angaben werden stattdessen über Vertrauensstellen pseudonymisiert, so dass eine Zuordnung zur konkreten Person nur dort möglich ist. Alle Wissenschaftler, die mit den Daten arbeiten, sehen lediglich einen Code anstelle des ausgeschriebenen Namens.
Gehen wir einmal davon aus, dass eine Re-Identifikation tatsächlich nur über die Vertrauensstelle möglich ist. Nehmen wir weiter an, dass alle Forscher und in die Projekte eingebundene Mitarbeiter ausschließlich hehre Ziele verfolgen, vollkommen gewissenhaft handeln und noch dazu sämtliche Server, auf denen Daten lagern, absolut sicher sind vor dem Zugriff Unbefugter. In diesem Fall hätte kein Bürger, der seine Daten für die Forschung zur Verfügung stellt, Nachteile zu befürchten. Oder etwa doch?
Rückschlüsse auf das Privatleben
Genau daran darf gezweifelt werden, wenn man sich die Abmahnaffäre um Redtube einmal anschaut und sich die Details auf der Zunge zergehen lässt. Wenn Sie im Internet surfen, hinterlassen Sie Spuren, etwa Ihre IP-Adresse. Ein Dritter, der nun Ihre Internetaktivitäten anhand der IP-Adresse verfolgt, kann einiges über Sie in Erfahrung bringen. Zugegeben, es erfordert einige technische Tricks, Sie auf sämtliche Webseiten zu verfolgen. Dann aber sind Rückschlüsse auf Ihr Privatleben, Ihre Probleme und die sexuellen Vorlieben möglich. Damit hat man zunächst lediglich ein pseudonymisiertes Profil. Im konkreten Fall hatte The Archives AG also ermittelt, dass ein auf Redtube gespeicherter Film von einer bestimmten IP-Adresse aufgerufen wurde.
Die persönlichen Daten des Anschlussinhabers besitzt das Unternehmen aber nicht und weiß daher nicht, wer konkret nun an diesem oder jenem Erotikclip Gefallen gefunden hat. Folglich kann die Firma auch keine Abmahnung verschicken. Doch auch hier gibt es eine Vertrauensstelle, die der IP-Adresse den Anschlussinhaber zuordnen kann, nämlich der Telekommunikationsanbieter, über den der Anschlussinhaber sich mit dem Internet verbindet. Natürlich sollte der vertrauensvoll mit den Nutzerdaten umgehen, und er wird nicht einfach so persönliche Angaben wie Anschriften herausrücken. Damit würden sich Telekom und Co. sogar strafbar machen!
Allerdings gibt es im deutschen Urheberrechtsgesetz den Paragraph 101. Demnach kann die Herausgabe der Anschlussdaten verlangt werden, wenn in „gewerblichem Ausmaß“ Urheberrechtsverletzungen stattfanden. Geht es um die Ermittlung des Anschlussinhabers einer IP-Adresse, ist eine richterliche Anordnung notwendig, wobei der Geschädigte glaubhaft machen muss, dass tatsächlich ein Urheberrechtsverstoß vorliegt. Eine solche Anordnung hatte die The Archives AG im Sommer 2013 beim Kölner Landgericht beantragt. Zu mindestens 24.800 IP-Adressen hatte das Gericht die Herausgabe der Anschlussdaten genehmigt. Wer im Internet unterwegs ist, kann dort sehr private Sachen tun: Liebesbriefe per Mail verschicken, Selbsthilfeforen besuchen oder eben auch Pornos konsumieren. Ein Gericht, so sollte man meinen, wird also sehr sorgfältig prüfen, wann es einer Identifikation des Anschlussinhabers zustimmt.
Richterliche Fehlentscheidung
Genau das ist aber wohl nicht geschehen, denn noch am 20. Dezember erging durch das Hamburger Landgericht eine einstweilige Verfügung, die den Versand weiterer Abmahnungen untersagte. Weitere Gerichtsentscheidungen bestätigten die auch zuvor gängige Rechtsauffassung, dass durch das Streamen von Webinhalten keine Urheberrechtsverletzung begangen werde. Zeitgleich hatte die Staatsanwaltschaft Köln Ermittlungen eingeleitet. Der Verdacht: Die Herausgabe der Daten an The Archive AG sei durch eine falsche eidesstattliche Versicherung erwirkt worden. Heute deutet alles darauf hin: Nicht die Redtube-Besucher haben sich strafbar gemacht, sondern die Abmahner selbst! Urheberrechtsverletzungen in besagten Fällen hatten wohl nie stattgefunden. Die Daten unbescholtener Bürger gelangten dennoch in unbefugte Hände, weil ein Gericht Fehlentscheidungen getroffen hatte. Die sexuellen Vorlieben einzelner namentlich genannter Bürger wurden dadurch einem Unternehmen zugänglich gemacht.
Wer nichts zu verbergen hat, hat auch nichts zu befürchten – immer wieder fällt dieses Argument, um den vermeintlichen Datenschutzfanatikern den Wind aus den Segeln zu nehmen. Rein juristisch hätte wohl kein Abgemahnter etwas zu befürchten gehabt. Dennoch zahlten viele Pornogucker die 250 Euro und unterschrieben die Unterlassungserklärung. Ob sie das auch getan hätten, wenn es um ein Katzenvideo auf Youtube gegangen wäre? Allem Anschein nach spekulierte The Archive AG ganz bewusst darauf, dass vielen Menschen der Pornokonsum peinlich war, dass die Sache keine Wellen innerhalb der Familie schlagen sollte. Da zahlt man lieber. Manchmal hat man eben doch etwas zu verbergen, ohne sich strafbar gemacht zu haben!
Wenn ein Gericht den Weg in die Privatsphäre ebnet
Und genau deshalb muss das Gesetz die Privatsphäre von Bürgern schützen. Wenn Hacker durch kriminelle Machenschaften an private Daten gelangen, ist das eine Sache. Hier aber ebnete ein Gericht den Weg dubioser Geldmacher in die Privatsphäre deutscher Bürger. Man stelle sich vor, davon seien die Server einer Uniklinik betroffen gewesen und auf diesem Wege Daten von AIDS-Patienten oder Menschen mit psychischen Erkrankungen in fremde Hände gelangt? Eine Briefkastenfirma schickt Ihnen als Studienteilnehmer später eine juristisch vollkommen haltlose Forderung, man werde sich mit Ihrem Vorgesetzten wegen einer Schadenersatzforderung im Rahmen Ihrer Klinikaufenthalte in Verbindung setzen – es sei denn, Sie füllen den beiliegenden Überweisungsträger aus.
Ein an den Haaren herbei gezogenes Szenario? Vielleicht. Doch wenn man jeden Richter so leicht mit fadenscheinigen Argumenten überzeugen könnte, wie einige Juristen am Kölner Landgericht, dann wären die Sorgen nicht so leicht vom Tisch zu wischen. Man sollte wohl annehmen, dass man sich bei der Herausgabe von Patientenakten nicht so einfach auf einen Passus im Urheberrecht berufen kann. Der Redtube-Fall zeigt aber auch, dass das Bewusstsein für Privatsphäre und Datenschutz sogar bei einigen Gerichten mangelhaft ist – die Institutionen, die das Gesetz und die Interessen der Bürger schützen sollen, können zu unfreiwilligen Komplizen zwielichtiger Gestalten werden. Ein Einzelfall vielleicht, der aber zehntausende Internetnutzer betraf. Es erstaunt, dass dieses Fehlverhalten eines deutschen Gerichts nicht mehr Wellen schlug und stattdessen ausschließlich die Geheimdienste im Fokus stehen.
Das Misstrauen der Bürger ist ungerecht gegenüber allen ehrlichen und motivierten Forschern. Und der medizinische Fortschritt braucht Menschen, die sich Wissenschaftlern anvertrauen und ihnen Einblicke in intimste Details gestatten. Daher wird es Zeit, Rechtssicherheit zu schaffen, wenn es um den Umgang mit sensiblen Forschungsdaten geht. Vor allem müssen juristische Hintertürchen ausgeschlossen werden, durch die Dritte sich mit Unterstützung rechtsstaatlicher Institutionen Zugriff auf diese Daten verschaffen können oder könnten. Und sollten diese Daten doch in unbefugte Hände gelangen, so muss es ein Verwendungsverbot für alle Zwecke außer der medizinischen Forschung geben – so wie es etwa der Jurist Jochen Taupitz fordert. Damit sich die Studienteilnehmer auch im Falle eines Hackerangriffs darauf verlassen können, dass sie zumindest juristisch keine Nachteile zu befürchten haben. Man stelle sich etwa vor, dass künftig nicht nur Steuersünder-CDs an Staatsanwaltschaften, sondern auch Probanden-CDs an private Krankenversicherungen verkauft werden!
Daten der Studienteilnehmer besser schützen!
Ein generelles Verwendungsverbot ist noch aus einem anderen Grund wichtig: Vielfach lässt sich noch gar nicht absehen, wofür große Datensätze künftig einmal verwendet werden können und welche Rückschlüsse sie ermöglichen. So lassen selbst anonymisierte Datensätze mitunter Rückschlüsse auf Einzelpersonen zu, wenn man sie mit anderen Informationsquellen verknüpft. Auch dann muss das Gesetz die Interessen der Probanden schützen. Der Gesetzgeber muss dafür sorgen, dass das Vertrauen eines Studienteilnehmers, der im Einzelfall viel von sich preisgibt, nicht enttäuscht wird. Diese Garantie kann momentan aber niemand ausstellen – ein Zustand, den sich eine Gesellschaft, die den bestmöglichen medizinischen Fortschritt im digitalen Zeitalter will, nicht leisten kann.
Mario Rembold
Grafik: © Jürgen Fälchle - Fotolia.com