In einem Versuch hat Joanne Kim von der Duke-Sanford-Universität verschiedene Data-Broker kontaktiert, vermeintlich um personenbezogene Mental-Health-Daten zu kaufen. In ihrem Versuch stellte sie fest: Die höchst sensiblen Daten werden ohne Regulierungen und ohne Bedenken für sehr wenig Geld verkauft.
275 Dollar für 5.000 Datensätze: Data-Broker verkaufen sensible Daten
Kim kontaktierte 37 Data-Broker, 11 davon verkauften letztlich die angefragten Daten. Höchst sensible Daten werden auf dem offenen Markt verkauft – offenbar ohne Prüfung der Kundschaft und ohne Kontrolle darüber, wie die gekauften Daten verwendet werden. Die zehn aktivsten Daten-Broker fragten immerhin nach dem Verwendungszweck. In der folgenden Kommunikation gab es allerdings keine Hinweise darauf, dass sie die Angaben geprüft oder eine Art Hintergrundprüfung stattgefunden hätte.
Angeboten wurden Daten über Menschen mit Depressionen, Aufmerksamkeitsstörungen, Schlaflosigkeit, Angstzuständen, ADHS und bipolare Störungen. Dazu kamen Daten zu ethnischer Zugehörigkeit, Alter, Geschlecht, Postleitzahl, Religion, Kinder im Haushalt, Familienstand, Nettovermögen, Kreditwürdigkeit, Geburtsdatum und dem Status als Alleinerziehende:r.
Meist gibt es keine Angaben, ob die Daten anonymisiert und aggregiert sind – Kim fand bei einigen Data-Brokern Hinweise darauf, dass sie persönlich identifizierbare Informationen, kurz PII, liefern können.
Die Preise für die Daten seien unterschiedlich: Ein Daten-Broker verlangte 275 US-Dollar für 5.000 aggregierte Datensätze zur psychischen Gesundheit von US-Amerikaner:innen. Andere Firmen verlangten Abonnements oder Lizenzgebühren in Höhe von 75.000 oder 100.000 Dollar für Daten, die psychische Erkrankungen von Personen beinhalteten. Die Datensätze gab es entweder zur einmaligen Verwendung oder aber für einen bestimmten Zeitraum.
Mental-Health-Apps können Daten in den USA legal verkaufen
Sensible Gesundheitsdaten fallen in den USA den Health Insurance Portability and Accountability Act, kurz HIPAA. Das Problem: Für viele dieser Technologien, in der diese Daten in digitaler Form erhoben werden, und ihre Anbieter gilt der HIPAA nicht. Damit sind sie nicht verpflichtet, die Daten vertraulich zu behandeln – und können sie zu Werbezwecken nutzen oder an Data-Broker verkaufen. Darunter fallen einige Mental-Health-Apps, aber auch Hersteller von Wearables.
Diese Data-Broker wiederum verkaufen die Daten dann, so Studie, an jedermann. Es gibt keine Regulierungen, welche Verkäufe gestattet sind und welche nicht. Zudem haben nicht alle Data-Broker gefragt, zu welchen Zwecken die Daten erworben wurden – oder aber die Angaben wurden nicht weiter geprüft oder hatten schlicht keine Konsequenz.
Vor allem strukturell benachteiligte Menschen betroffen
Zum einen werden von allen Menschen hochsensible Gesundheitsdaten verkauft und potenziell missbraucht. Zum anderen aber sind strukturell vulnerable und tendenziell benachteiligte Personen betroffen: Psychisch Erkrankte haben Probleme, eine angemessene Versorgung zu erhalten, beispielsweise aufgrund finanzieller Schwierigkeiten, die eine Therapie nicht ermöglichen, oder weil das soziale Stigma verhindert, dass sie aktiv nach Hilfe suchen.
Besonders betroffen sind dabei ohnehin strukturell benachteiligte Personen: „Historisch unterdrückte und verarmte Gemeinschaften sind am stärksten von diesen Hindernissen betroffen – und haben auch das höchste Risiko, psychische Erkrankungen zu entwickeln“, so Kim in der Studie. Marginalisierte Communitys seien die primäre Nutzungsgruppe von Mental-Health-Apps.
Indem diese Daten verwendet werden, können zudem die vorhandenen Probleme und Stigmata verschärft werden.
Sofortverkäufe, PII und Datendeals mit Werbekund:innen
Eine Firma bezeichnete sich als Ad-Tech-Firma und fragte Kim, ob in ihrem Namen direkt das Management nach einem Daten-Deal mit Kund:innen gefragt werden solle, für die das Unternehmen wirbt.
Ein weiterer Daten-Broker betonte zwar, dass vor dem Verkauf die Verwendung geklärt werden müsse – sandte allerdings eine Datenprobe von aggregierten, de-identifizierten Daten. Als klar wurde, dass Kim keine Marketerin ist, versicherte der oder die Sales-Repräsentant:in, dass Kim die Daten frei verwenden könne, sofern sie die Personen nicht kontaktieren würde.
Ein anderer Daten-Broker gab aggregierte Daten heraus. Im Gespräch mit Kim erklärte das Unternehmen, dass dort persönlich identifizierbare Informationen vorlägen, diese aufgrund des HIPAA allerdings nicht verkauft werden können.
Ein Unternehmen beschreibt Kim als besonders schnell im Verkaufsprozess: Für 2.500 Dollar erhielt Kim Daten von Menschen mit Depressionen und Angstzuständen. Das Unternehmen bot hochsensible Daten an, inklusive Namen, Adressen, diversen psychischen Erkrankungen und ethnischer Herkunft. Drei verschiedene Daten-Broker erwähnten Vertraulichkeitsvereinbarungen als Voraussetzung für den Deal.
Kim erhielt von einer Firma zudem ungebeten häufige Anrufe, die sich vor allem dann steigerten, wenn sie auf E-Mails verspätet antwortete. Alle Daten-Broker seien unwillig gewesen, transparent Auskunft über die Erhebung oder Bereinigung der Daten zu geben.
Mehr Regulierung für Data-Broker und Gesundheitsdaten
Das Fazit von Kim: Viele vor allem bereits strukturell benachteiligte Menschen sind auf die Hilfe von Mental-Health-Apps angewiesen. Die durch Apps und Wearables gesammelten Daten sollten allerdings unter den HIPAA fallen und dementsprechend vertraulich behandelt werden. Data-Broker sollten stärker reguliert werden.
Mit datenbasierten Entscheidungen auf Erfolgskurs gehen – lerne mit unserem Deep Dive, wie du die digitale Transformation meisterst und dein Unternehmen zur Data-Driven-Company machst!