Mitarbeiter des US-Datenkonzerns Palantir sollen offizielle NHS-E-Mail-Adressen erhalten haben – und damit potenziell Zugang zu sensiblen Gesundheitssystemen. Der Vorgang alarmiert Datenschützer und wirft grundlegende Fragen zur Governance öffentlich-privater Partnerschaften auf.
Palantir-Mitarbeiter erhalten NHS-E-Mail-Konten – Datenschützer schlagen Alarm
Zugang mit Vertrauenspotenzial
NHS-E-Mail-Konten gelten im britischen Gesundheitswesen als Vertrauensanker: Sie ermöglichen den Zugang zu internen Kommunikationssystemen, klinischen Netzwerken und sensiblen Infrastrukturen. Wer eine solche Adresse besitzt, wird von anderen NHS-Mitarbeitern und Systemen typischerweise als interner Akteur wahrgenommen.
Die Vergabe solcher Konten an externe Unternehmensvertreter – insbesondere eines Unternehmens mit weitreichenden kommerziellen Interessen im Gesundheitssektor – widerspricht nach Ansicht von Kritikern dem Grundsatz der klaren Trennung zwischen öffentlichen Strukturen und privatwirtschaftlichen Dienstleistern.
Palantir hatte 2023 einen milliardenschweren Vertrag mit NHS England zur Entwicklung einer zentralen Datenplattform gewonnen – der sogenannten Federated Data Platform (FDP). Seitdem ist das Unternehmen tief in operative Abläufe des Gesundheitssystems eingebunden, was die Debatte über Transparenz und Kontrolle zusätzlich befeuert.
Interne Kritik und Governance-Fragen
Laut Berichten des Guardian äußern Beschäftigte und Insider des NHS erhebliches Unbehagen über die Entwicklung. Die Vergabe von NHS-E-Mail-Konten an Palantir-Personal wirft grundlegende Fragen zur Governance auf:
Welche Zugangsrechte sind mit NHS-E-Mail-Konten für externe Auftragnehmer verbunden – und wer überwacht deren Nutzung?
Das britische Datenschutzrecht – insbesondere im Kontext des UK GDPR und des Data Protection Act 2018 – setzt klare Anforderungen an die Verarbeitung sensibler Gesundheitsdaten. Eine Verwischung der Rollen zwischen internen NHS-Akteuren und externen Auftragsnehmern könnte diese Anforderungen unterlaufen, ohne dass dies formal als Datenschutzverletzung eingestuft werden müsste.
Strukturelles Problem öffentlich-privater Partnerschaften
Der Fall steht exemplarisch für ein breiteres Spannungsfeld: Wenn öffentliche Einrichtungen komplexe IT-Infrastruktur an spezialisierte Technologieunternehmen auslagern, entsteht eine operative Abhängigkeit, die sich schwer mit dem Transparenzgebot verträgt.
Externe Dienstleister benötigen tiefe Systemkenntnisse und Zugänge – doch die Grenze zwischen notwendiger Integration und problematischer Vermischung ist fließend.
Palantir ist für seine engen Verbindungen zu Geheimdiensten und Regierungsbehörden bekannt, was die öffentliche Sensibilität gegenüber dem Unternehmen im Gesundheitsbereich zusätzlich erhöht. Kritiker fordern eine unabhängige Überprüfung der vergebenen Zugriffsrechte sowie verbindliche Leitlinien für die Einbindung privater Technologiedienstleister in NHS-Systeme.
Einordnung für deutsche Unternehmen und Entscheider
Der Fall liefert einen konkreten Anlass zur Selbstreflexion für deutsche Organisationen, die externe Technologiedienstleister in sensible Infrastrukturen einbinden. Auch hierzulande ist die Praxis verbreitet, Auftragnehmern temporäre interne Zugänge, Konten oder Identitäten zu vergeben – nicht selten ohne ausreichende Dokumentation oder Zugangskontrolle.
DSGVO und Bundesdatenschutzgesetz verlangen klare Auftragsverarbeitungsverträge und eine nachvollziehbare Trennung von Verantwortlichkeiten. Unternehmen und öffentliche Einrichtungen sollten bestehende Praktiken zur Vergabe interner Zugänge an Dritte systematisch überprüfen – bevor ein ähnlicher Fall öffentlich wird.
Quelle: The Guardian – Alarm as NHS gives Palantir staff health service email accounts
Leave a Reply