verifiable health intelligence

der ursprung

ich tracke alles, nicht aus zwang, sondern aus neugier: kontinuierliche glukose über mehr als tausend tage, jede nacht die schlafarchitektur, HRV, trainingslast, die makros von fast jeder mahlzeit. es ist eine seltsame art von intimität, diese daten. drei jahre glukosewerte verraten, wann ich schlafe, wann ich esse, wann ich gestresst bin, wann ich krank werde, und sie kartieren einen stoffwechsel mit einer präzision, die sich fast unangenehm anfühlt, sobald man sie bemerkt.

letzten monat war ich einen klick davon entfernt, alles davon herzugeben. die app war schön, das onboarding mühelos, und das versprechen war genau das, was ich wollte: lade deine cgm-daten hoch, bekomme mahlzeitenempfehlungen, abgestimmt auf deine eigenen glukosereaktionen. mein finger lag über „konto verbinden“, als ich die datenschutzerklärung las. die firma war in achtzehn monaten zweimal übernommen worden, der aktuelle eigentümer war ein datenhändler, von dem ich nie gehört hatte, die speicherung war unbefristet, und irgendwo in paragraf 47 behielten sie sich das recht vor, „anonymisierte“ daten mit forschungspartnern zu teilen. ich schloss die app.

und hier ist der punkt. ich baue solche systeme, ich weiß also, wie wertvoll diese daten sind und wie brüchig sich jedes versprechen darum am ende erweist. das start-up, das heute schwört, die daten zu schützen, wird morgen von jemandem mit anderen anreizen gekauft, und die verschlüsselung, die unknackbar aussieht, liegt trotzdem auf einem server, dessen schlüssel irgendjemand, irgendwo, erreichen kann. ich habe genau die art längsschnitt-gesundheitsdaten, die ein personalisiertes modell wirklich nützlich machen würden, und ich gebe sie niemandem. was die naheliegende frage aufwirft: wenn ich meine eigenen daten den systemen, die ich bauen würde, nicht anvertrauen würde, warum sollte es irgendwer sonst tun?

was man sammelt, kann man nicht schützen

2024 war kein ungewöhnliches jahr, es war der trend, sichtbar gemacht. in den vereinigten staaten wurden mehr als 276 millionen gesundheitsakten kompromittiert, rund 81 prozent der bevölkerung; allein der ransomware-angriff auf change healthcare legte etwa 190 millionen menschen offen, und der durchschnittliche vorfall kostete über zehn millionen dollar. auf dem schwarzmarkt bringt eine krankengeschichte ein vielfaches des preises einer kreditkarte, aus dem schlichten grund, dass man eine karte sperren kann und eine diagnose nicht.

das muster unter diesen zahlen ist keine nachlässigkeit, es ist architektur. jede health-ki-firma fährt dasselbe drehbuch: daten sammeln, zentral speichern, modelle dagegen laufen lassen und versprechen, sie sicher zu verwahren. das versprechen scheitert nicht, weil die ingenieure schludern, sondern weil ein zentraler speicher wertvoller daten schon vom prinzip her ein ziel ist, und je nützlicher man ihn macht, desto größer wird das ziel. die einzigen daten, die nicht lecken können, sind die, die man nie hält.

beweisen, ohne zu enthüllen

der klassische ansatz nimmt an, man müsse die daten sehen, um über sie zu urteilen. muss man nicht. ein zero-knowledge-beweis erlaubt zu zeigen, dass eine aussage wahr ist, ohne irgendetwas darüber zu verraten, warum sie wahr ist. ich kann beweisen, dass meine durchschnittliche glukosereaktion auf kohlenhydrate in einem gesunden bereich liegt, ohne einen einzigen messwert preiszugeben; ein patient kann beweisen, dass er die kriterien einer studie erfüllt, ohne seine krankengeschichte herzugeben; man kann beweisen, dass man über achtzehn ist, ohne sein geburtsdatum zu zeigen. die prüfung ist mathematisch und lässt sich nicht fälschen, trägt aber nichts von den zugrunde liegenden daten mit sich.

das ist nicht theoretisch. zero-knowledge-systeme laufen heute in produktion, wickeln milliarden an krypto-transaktionen ab und verifizieren zugangsdaten in unternehmen. das gesundheitswesen hat sie nur noch nicht übernommen.

die mathematik, kurz

ein beweissystem muss drei eigenschaften zugleich erfüllen. vollständigkeit heißt, eine wahre aussage überzeugt einen ehrlichen prüfer. korrektheit heißt, eine falsche aussage tut es nicht, wie auch immer der beweisende zu tricksen versucht. und zero-knowledge heißt, der prüfer hat, einmal überzeugt, nichts gelernt außer der einen fraglichen tatsache. in der dritten eigenschaft wohnt der zauber, denn man geht sicher, dass die behauptung stimmt, und um nichts anderes klüger davon.

die technik ist durch ein paar generationen gegangen, und jede gibt etwas auf. groth16 erzeugt winzige beweise, die in millisekunden verifizieren, braucht aber für jede schaltung eine frische trusted-setup-zeremonie. PLONK führte ein universelles setup ein, eine zeremonie für viele schaltungen, zum preis etwas größerer beweise. STARKs lassen das trusted setup ganz weg und sind mutmaßlich sicher gegen einen künftigen quantencomputer, ihre beweise laufen allerdings auf zehnerkilobyte hinaus. für die gesundheitsverifikation baue ich auf PLONK, weil das universelle setup eine vertrauenszeremonie pro schaltung erspart, die beweise klein genug für ein telefon bleiben und das werkzeug um circom und snarkjs reif genug ist, um sich darauf zu stützen.

warum anonymisierung nicht die antwort ist

der naheliegende einwand lautet, wir hätten doch längst eine lösung: die namen entfernen und die daten teilen. haben wir nicht. anonymisierung versucht zu entfernen, was eine person identifiziert, und die daten zugleich nützlich zu halten, und diese beiden ziele ziehen gegeneinander. forscher haben gezeigt, dass sich 99,98 prozent der amerikaner aus nur fünfzehn demografischen merkmalen re-identifizieren lassen, und „anonymisierte“ datensätze sind wieder und wieder enttarnt worden, von browserverläufen bis zu krankenakten. je nützlicher ein datensatz ist, desto eher lässt er sich auf die menschen darin zurückführen. ein zero-knowledge-beweis umgeht das ganze problem, weil kein anonymisierter datensatz übrig bleibt, den man re-identifizieren könnte. es gibt nur einen beweis über eine bestimmte behauptung, und ein beweis sagt sonst nichts.

was möglich wird

sobald man eine gesundheitstatsache beweisen kann, ohne die daten dahinter herzugeben, wird vieles sauber, was heute umständlich ist. patienten können sich selbst für klinische studien vorab prüfen, ohne ihre volle historie offenzulegen, sodass die rekrutierung schneller wird und der schutz hält. ein versicherer kann die anspruchsberechtigung bestätigen, ohne jedes detail zu lesen. ein modell kann personalisierte empfehlungen liefern, gestützt auf merkmale, die es verifiziert, aber nie gesehen hat. ein europäischer patient kann einem us-anbieter seinen status beweisen, ohne dass ein einziges persönliches datum die grenze überquert, nur ein beweis. und jemand kann zeigen, dass er einen genetischen marker trägt oder eben nicht, ohne dass irgendwer je sein genom berührt.

die ehrlichen grenzen

ich nenne die harten teile lieber, als sie finden zu lassen. die kryptografie ist solide; der engpass ist, gesundheitslogik als arithmetische schaltung auszudrücken, und eine komplexe verifikation braucht auf einem mittelklasse-telefon noch fünfzehn bis dreißig sekunden, wo interaktive nutzung sie unter zwei verlangt. nicht jede berechnung passt effizient in eine schaltung, modelle des maschinellen lernens am allerwenigsten. und ein beweis bezeugt nur die daten in dem moment, in dem er entstand, also muss frische eingeplant werden, statt sie vorauszusetzen.

die härteren grenzen sind gar nicht technisch. zero-knowledge schützt die daten auf der leitung, nicht das gerät, auf dem sie liegen, und schadsoftware auf einem kompromittierten telefon kann die eingaben lesen, bevor je ein beweis entsteht. das gesellschaftliche risiko läuft auch andersherum: ein werkzeug, mit dem man freiwillig beweisen kann „ich habe keine vorerkrankung“, kann still und leise zu einem werkzeug werden, dessen nutzung erwartet wird, also genau die diskriminierung, gegen die die regeln geschrieben wurden. die mathematik ist neutral. der einsatz braucht leitplanken, und etwas anderes zu behaupten wäre seine eigene art von unehrlichkeit.

worum es geht

die architektur eines gesundheitssystems entscheidet über seinen datenschutz, lange bevor es irgendeine richtlinie tut. systeme, die daten zentral bündeln, werden geknackt, nicht weil die leute, die sie betreiben, nachlässig sind, sondern weil ein honigtopf ein honigtopf ist. die 276 millionen offengelegten akten sind beleg für eine strukturelle entscheidung, nicht für eine pechsträhne.

zero-knowledge-beweise bieten eine andere wahl: beweise die behauptung, behalte die daten, und lass die mathematik die arbeit tun, die versprechen nicht können. die beweiszeiten sind noch zu langsam für den echtzeit-einsatz, die schaltungen verlangen noch fachkundige hand, und den beteiligten muss erst beigebracht werden, einer garantie zu trauen, die sie nicht sehen können. aber das sind probleme der technik und der aufklärung, nicht des prinzips. für die einundachtzig prozent der amerikaner, deren akten letztes jahr offengelegt wurden, und für jeden, der wie ich alles trackt und niemandem damit traut, ist das die einzige architektur, die sinn ergibt. gesundheits-ki kann mächtig und privat zugleich sein, wenn wir sie von anfang an so bauen.

quellen

1. Goldwasser, S., Micali, S., Rackoff, C. (1989). The Knowledge Complexity of Interactive Proof Systems. SIAM Journal on Computing, 18(1).
2. Groth, J. (2016). On the Size of Pairing-Based Non-Interactive Arguments. EUROCRYPT 2016.
3. Ben-Sasson, E. et al. (2018). Scalable, Transparent, and Post-Quantum Secure Computational Integrity (STARKs). IACR ePrint.
4. Gabizon, A., Williamson, Z., Ciobotaru, O. (2019). PLONK. IACR ePrint.
5. iden3. (2024). circom 2.0 and snarkjs.
6. HIPAA Journal. (2025). 2024 Healthcare Data Breach Report.
7. Rocher, L., Hendrickx, J.M., de Montjoye, Y.-A. (2019). Estimating the success of re-identifications in incomplete datasets. Nature Communications, 10, 3069.
8. HL7 International. (2019). HL7 FHIR R4 Specification.
9. European Parliament. (2016). General Data Protection Regulation (GDPR).

zuletzt aktualisiert: Jun 2026