UK-Biobank-Datenangebote in China verschärfen Fragen zur Forschungssicherheit

Eine Flaggschiff-Forschungsdatenbank muss sich erneut dem Vertrauenstest stellen

Die vertraulichen Gesundheitsakten von einer halben Million britischer Freiwilliger wurden über drei getrennte Angebote auf Alibaba zum Verkauf angeboten, wie der britische Technologieminister Ian Murray dem Unterhaus mitteilte. Die Daten standen in Verbindung mit UK Biobank, einer der weltweit wichtigsten biomedizinischen Forschungsressourcen und einem Eckpfeiler der britischen Wissenschaft.

Die Angebote wurden inzwischen entfernt, nachdem die britische Regierung mit Alibaba und der chinesischen Regierung zusammengearbeitet hatte. Murray sagte dem Parlament, es werde nicht angenommen, dass Verkäufe zustande gekommen seien. Doch der Vorfall hat die Sorgen um die Sicherheit der von UK Biobank gehaltenen Daten verschärft, die einige der sensibelsten Forschungsinformationen enthalten, die im Land zusammengetragen wurden.

Das Projekt verwaltet Gesundheitsdaten von 500.000 Freiwilligen, darunter Genomsequenzen, Hirnscans, Blutproben und Diagnoseunterlagen. Der Zugriff wird Wissenschaftlern an Universitäten und in privaten Unternehmen weltweit über ein Bewerbungsverfahren gewährt. Genau dieser wissenschaftliche Wert macht die jüngste Offenlegung so folgenreich: Je reicher und weit verbreiteter der Datensatz wird, desto größer ist das Bedürfnis nach Vertrauen, dass er angemessen geschützt wird.

Was offengelegt wurde und was die Behörden sagten

Murray sagte, die UK-Biobank-Wohltätigkeitsorganisation habe die Regierung am Montag, dem 20. April, darüber informiert, dass ihre Daten von mehreren Verkäufern auf Alibabas E-Commerce-Plattformen in China zum Verkauf angeboten worden seien. Seinem Bericht zufolge schien mindestens einer der drei Datensätze Teilnahmeinformationen für alle 500.000 Freiwilligen zu enthalten.

Der Minister beschrieb die Informationen als „de-identifiziert“, also so bereinigt, dass offensichtliche persönliche Identifikatoren entfernt wurden. Doch de-identifiziert bedeutet nicht harmlos. Der Wert von UK Biobank liegt in der Tiefe und Reichhaltigkeit seiner verknüpften Gesundheitsinformationen. Selbst ohne direkte Identifikatoren können solche Daten erhebliche ethische und sicherheitsbezogene Bedenken verursachen, wenn sie außerhalb autorisierter Kanäle verarbeitet werden.

UK Biobank hat den Vorfall an das Information Commissioner’s Office gemeldet. Diese Meldung signalisiert die offizielle Anerkennung, dass es um mehr geht als um gewöhnliche Plattform-Moderation oder unautorisierte Weiterverkäufe. Es ist nun ein regulatorisches Thema mit Auswirkungen auf Governance, Aufsicht und das öffentliche Vertrauen in groß angelegte Gesundheitsdatensysteme.

Warum dieser Vorfall über eine einzelne Datenbank hinausreicht

Der Vorfall trifft auf einen besonders sensiblen Zeitpunkt in der britischen Datenpolitik. Im vergangenen Monat berichtete der Guardian, dass sensible UK-Biobank-Daten dutzende Male online offengelegt worden seien, was Fragen aufwarf, ob die Schutzmaßnahmen rund um die Ressource zu lax seien. Die jüngsten Angebote erscheinen daher nicht im luftleeren Raum. Sie fügen sich in ein entstehendes Muster der Sorge darüber ein, wie eines der bekanntesten wissenschaftlichen Vermögenswerte Großbritanniens abgesichert wird.

Das ist wichtig, weil UK Biobank keine Nischendatenbank ist. Sie wird zu Recht oft als Juwel der britischen Wissenschaft beschrieben. Forschende nutzen sie, um Krankheitsrisiken, Genetik, Alterung und Bevölkerungsgesundheit in großem Maßstab zu untersuchen. Wenn Teilnehmende oder die Öffentlichkeit den Eindruck gewinnen, dass Datensicherheit nicht rigoros gehandhabt wird, beschränkt sich der Schaden nicht auf eine Institution. Er könnte das breitere Vertrauen in den Austausch biomedizinischer Daten und in die digitale Gesundheitsforschung beeinträchtigen.

Chi Onwurah, Vorsitzende des Ausschusses für Wissenschaft, Innovation und Technologie des Unterhauses, bezeichnete den Vorfall als „unglaublich ernst“ und als weiteren Schlag für das öffentliche Vertrauen. Ihre Einordnung zeigt die größeren Risiken. Forschungsinfrastruktur hängt nicht nur von technischer Leistungsfähigkeit ab, sondern auch von sozialer Legitimität. Teilnehmende müssen darauf vertrauen können, dass ihre Daten verantwortungsvoll genutzt und kompetent geschützt werden.

Politik, Daten-Governance und internationale Spannungen

Die Tatsache, dass die Angebote auf einer chinesischen E-Commerce-Plattform auftauchten, gab einer ohnehin schwierigen Geschichte eine internationale Dimension. Murray dankte der chinesischen Regierung dafür, schnell zur Entfernung der Angebote beigetragen zu haben. Onwurah nutzte den Moment dagegen, um die unangenehme Optik hervorzuheben, dass Großbritannien auf ausländische Behörden angewiesen sei, um die Veröffentlichung britischer Gesundheitsdaten einzudämmen.

Die politische Brisanz des Falls wird durch den Inhalt von UK Biobank verschärft. Es handelt sich nicht um gewöhnliche Kundendaten. Sie umfassen hochsensible Gesundheitsinformationen von Freiwilligen, die an einem langfristigen Forschungsprojekt teilgenommen haben und davon ausgingen, dass der Datenzugriff reguliert und nicht gehandelt wird.

Die Geschichte überschneidet sich auch mit jüngsten Änderungen bei den Datenflüssen in das Projekt. Im Februar erließ Gesundheitsminister Wes Streeting eine rechtliche Anordnung, die erstmals den Austausch der kodierten GP-Daten aller Freiwilligen mit UK Biobank erlaubte. Diese Ausweitung steigert den Forschungswert der Datenbank, erhöht aber auch die Risiken bei jedem Governance-Versagen. Je reicher der Datensatz wird, desto größer ist der Bedarf an der Gewissheit, dass Kontrollen, Überwachung und Reaktionssysteme angemessen sind.

Die Grenzen des Beruhigungsworts „de-identifiziert“

Die Verantwortlichen betonten, dass die angebotenen Daten de-identifiziert gewesen seien. Doch öffentliches Vertrauen hängt selten nur an der Terminologie. In modernen Datensystemen ist De-Identifizierung ein wichtiger Schutz, aber keine absolute Garantie. Reiche Datensätze können weiterhin indirekte Risiken bergen, insbesondere wenn verknüpfte Gesundheitsinformationen betroffen sind und wenn die unautorisierte Offenlegung eine gesamte Kohorte von Teilnehmenden betrifft.

Das ist ein Grund, warum der jüngste Vorfall selbst dann nachwirken kann, wenn kein Verkauf zustande gekommen ist. Das Problem ist nicht nur, ob eine Transaktion abgeschlossen wurde. Es geht darum, dass es überhaupt unautorisierte Angebote gab und dass eines davon offenbar Daten betraf, die mit allen 500.000 Teilnehmenden verknüpft waren. Für ein auf freiwilliger Teilnahme basierendes Projekt ist diese Schwelle schon an sich alarmierend.

Eine Glaubwürdigkeitsprüfung für Großbritanniens Wissenschaftsinfrastruktur

UK Biobank bleibt eine der stärksten Ressourcen in der Bevölkerungsforschung. Daran ändert dieser Vorfall nichts. Was sich ändert, ist die Last für Institution und Regierung zu zeigen, dass die Governance der Datenbank ihrer wissenschaftlichen Bedeutung entspricht.

Das unmittelbare Thema mag die Durchsetzung auf Plattformseite und die regulatorische Nachverfolgung sein. Das langfristige Thema ist Vertrauen. Wenn die Öffentlichkeit bei einer so prominenten Datenbank wiederholt Offenlegungssorgen sieht, werden Zusicherungen irgendwann nicht mehr überzeugend sein. Entscheidend wird dann sichtbarer Nachweis sein, dass Sicherheitspraktiken, Zugriffskontrollen, Audits und Rechenschaftspflichten gestärkt wurden.

Großbritannien hat die datenreiche biomedizinische Forschung jahrelang als strategischen nationalen Vorteil positioniert. Um diesen Vorteil zu erhalten, muss es belegen, dass wissenschaftlicher Anspruch und verantwortungsvolle Datenverwahrung als gleich ernsthafte Pflichten behandelt werden.

Dieser Artikel basiert auf einer Berichterstattung des Guardian. Den Originalartikel lesen.