Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwalt & Spezialist für IT-Recht und Kryptorecht
T (+49) 040 / 7344 086-0
Blog News
Obwohl die Medizin-Branche im Rahmen der Digitalisierung zunehmend die Vorteile des Einsatzes von künstlicher Intelligenz nutzt, haben viele Führungskräfte aus dem Gesundheitsbereich Bedenken gegenüber der KI. Um ihre Einsatzmöglichkeiten weiterhin an die medizinischen Herausforderungen anzupassen, müssen KI-Systeme mit potentiell großen Mengen an personenbezogenen Daten gefüttert werden. Bei der Verarbeitung von Gesundheitsdaten müssen allerdings besondere Anforderungen an den Datenschutz beachtet werden.
KI wird in der Medizinbranche unterstützend bei der Forschung, Diagnostik, Therapie, Erleichterung des Klinikalltags und digital gesteuerten Services von Krankenkassen eingesetzt. Außerdem können Patienten mit VR- und AR-Headsets einen globalen Zugang zu medizinischen Dienstleistungen bekommen, um individuellere therapeutische und medizinische Lösungen zu finden. Künstliche Intelligenzen können praktisch in allen medizinischen Bereichen eingesetzt werden. Das Deep Learning von KI kann Medizinern bei der Analyse von Röntgenbildern und beim Fortschritt der Tumorforschung helfen. Algorithmen können durch verschieden Auffälligkeiten zahlreiche Krankheitsbilder erkennen, darunter unter anderem Tumore, Depressionen oder unterschiedliche Lungenkrankheiten. Zudem sind Operationsroboter mit automatisierten Kamera- und Messinstrumenten schon lange für eine verbesserte Präzision und Sicherheit des Operateurs etabliert.
Der Einsatz von künstlichen Intelligenzen erfordert zwar zunächst hohe finanzielle Investitionen, doch nach einer neuen Studie können dadurch langfristig Kosten eingespart werden. Grund dafür sind unter anderem schnellere Diagnosen bei der sonst kostenintensiven Brustkrebsvorsorge, durch die es zu Kostenersparnissen kommt. In Krankenhäusern leiden viele Mitarbeiter vor allem unter dem hohen Verwaltungsaufwand, der wertvolle Arbeitszeit für die Patientenvorsorge raubt. Viele der Routineabläufe können aber auch von einer KI-gesteuerten Software übernommen werden, indem die Programme Arbeitspläne erstellen oder andere organisatorische Aufgaben erfüllen. So kann die künstliche Intelligenz beispielsweise Krankenakten digital anlegen oder auf Hinweise auf eventuelle Erkrankungen durchsuchen. Auch der Patientenalltag kann unterstützt werden. Durch den Einsatz von Sprachassistenten als Alltagshilfe können alltägliche Aufgaben wie das Öffnen und Schließen von Rollläden durch Sprachbefehle gesteuert werden.
Die Entwicklung und der Einsatz von KI im Rahmen des Deep Learnings ist nur mit Big Data möglich, was auch personenbezogene Daten einschließt. Um den Schutz dieser Daten während der Verarbeitung zu gewährleisten, sind vor allem die Regelungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu beachten. Beim KI-Einsatz in der Medizinbranche und im Gesundheitswesen müssen ebenfalls die speziellen Voraussetzungen der Landesdatenschutzgesetze, Landeskrankenhausgesetze, Sozialgesetzbücher und des Gendiagnostikgesetzes erfüllt werden. Die DSGVO regelt zusammen mit dem BDSG die automatisierte Verarbeitung personenbezogener Daten. Zur Verarbeitung zählen die Erhebung, Erfassung, Ordnung und Speicherung der Daten. Die Verarbeitung ist nur erlaubt, wenn sie auf einer Rechtsgrundlage - wie eine Einwilligung des Betroffenen oder eine Erlaubnis durch andere Gesetze - beruht. Bei der Verarbeitung von Gesundheitsdaten müssen zusätzliche, strengere Vorgaben erfüllt werden. Gesundheitsdaten sind eine besondere Kategorie personenbezogener Daten, die sich auf die körperliche und geistige Gesundheit einer Person (in Behandlung) beziehen und aus denen Informationen über ihren Gesundheitszustand hervorgehen.
Der Einsatz einer künstlichen Intelligenz in der Medizinbranche erfordert teilweise eine automatisierte Entscheidungsfindung, bei der eine Person einer Entscheidung unterworfen wird, die ausschließlich auf einer automatisierten Datenverarbeitung beruht. Dies ist beispielsweise dann der Fall, wenn eine App den Gesundheitszustand eines Nutzers misst und beim Erreichen bestimmter Werte automatisch den jeweiligen Versicherungstarif anpasst. Derartige Entscheidungen mit gegebenenfalls nachteiligen Auswirkungen müssen nach Artikel 22 der DSGVO besondere Anforderungen erfüllen. Bei einer automatisierten Verarbeitung von den besonders schützenswerten Gesundheitsdaten handelt es sich um eine besonders sensible Kombination. Deshalb ist sie nur mit einer ausdrücklichen Einwilligung oder nach einer Rechtsvorschrift auf Grundlage von einem erheblichen öffentlichen Interesse zulässig.
Bei der Verwendung künstlicher Intelligenzen ist immer ein gewisses Maß an Unvorhersehbarkeit und technischer Komplexität vorhanden, was die Erklärbarkeit der Vorgänge und der eingesetzten Logik erschwert. Dies führt allerdings dazu, dass die für die wirksame Einwilligung erforderliche "Informiertheit" problematisch wird, da eine allgemeinverständliche, leichte Vermittlung dieser Informationen zur Herausforderung wird. Die betroffenen Personen, die in die Datenverarbeitung einwilligen müssen, stehen beim medizinischen KI-Einsatz zudem häufig unter dem unmittelbaren Eindruck einer Diagnose oder der Krankheitssymptome, was die Aufnahme der wichtigen Informationen zusätzlich erschweren kann. Dieses Problem wird häufig als "Blackbox" bezeichnet und erschwert neben der Erfüllung der gesetzlichen Pflichtinformationen über die Verarbeitung auch die allgemeine Einhaltung des Transparenzgrundsatzes der DSGVO.
Eine mögliche Lösung findet sich in den sogenannten Blackbox-Tests. Mittels synthetisch erzeugter Testdaten werden dabei statistische Aussagen über den Einfluss bestimmter Eingabemerkmalen gewonnen. Darüber hinaus könnte die "Counterfactual Explanation" einen weiteren Lösungsansatz darstellen. Dabei handelt es sich um den Versuch, maßgeblich entscheidungsbegründende Kriterien für den Output der künstlichen Intelligenz zu identifizieren. Dadurch soll aufgezeigt werden, welche Aspekte aus der Sphäre der betroffenen Person bei geringfügigen Änderungen wahrscheinlich zu einem anderen Ergebnis geführt hätten.
Zwar kann die Einwilligung zur Verarbeitung der eigenen personenbezogenen Daten jederzeit widerrufen werden, bei Gesundheitsdaten kann der Widerruf allerdings durchaus problematisch sein. Beim Einsatz der sich stets weiterentwickelnden künstlichen Intelligenz kann eine gewisse Fortwirkung der Daten nie völlig ausgeschlossen sein, weil sie als selbstlernendes System gerade durch die verschiedenen Rückschlüsse aus dem bereits Gelernten funktioniert. Um eine innovations- und KI-freundliche Datenstrategie als Lösungsweg zu entwickeln, sollte die Pseudonymisierung der Daten als technische Maßnahme unbedingt in Betracht gezogen werden. Werden Daten nur pseudonymisiert gespeichert, wird der potentielle Schaden bei einer ungewollten Offenlegung oder einem Datenleak erheblich reduziert. In diesen Fällen könnten Angreifer ohne den jeweiligen Zuordnungsschlüssel nicht die Personen hinter den Pseudonymen identifizieren.
Zudem kann die Pseudonymisierung den Umgang mit den datenschutzrechtlichen Betroffenenanfragen erleichtern. Zwar sind die Daten grundsätzliche auf Anfrage zu beauskunften oder zu löschen, bei der pseudonymisierten Verwendung zum Training der künstlichen Intelligenz wird die Identifikation allerdings verhindert. Dadurch kann der Verantwortlichegegebenenfalls die verwendeten Datensätze im Trainingsdatenset nicht mehr auffinden, wodurch es zu einer Einschränkung der Betroffenenrechte gemäß Artikel 11 DSGVO kommen kann. Erst wenn der Betroffene selbst weitere Informationen zur Identifikation nennen kann, sind die datenschutzrechtlichen Pflichten umzusetzen.
Soll kein eigenes KI-System eingesetzt werden, muss die Wahl eines passenden externen Dienstleister anhand verschiedener Aspekte erfolgen. Die Anwender der künstlichen Intelligenz sollten insbesondere darauf Wert legen, dass eine geeignete technische oder organisatorische Maßnahme zum Datenschutz gewährleistet werden kann. Dafür sollte ein Datenschutzkonzept vorgelegt werden können, das die entsprechenden Maßnahmen zur Sicherheit der Datenverarbeitung einschließt. Danach muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden, für den die DSGVO einen Mindestkatalog an enthaltenden Verpflichtungen normiert. Zudem sind die speziellen Regelungen für den Medizinbereich, insbesondere die Wahrung des Berufsgeheimnisses und der ärztlichen Schweigepflicht, zu beachten. Bei externen Dienstleistern sollte im Rahmen der Entwicklung der künstlichen Intelligenz darauf geachtet werden, ob sich der Dienstleister eigene Nutzungsrechte an dem Output oder den Erkenntnissen sichern möchte.
Bereits 2021 hat die EU-Kommission den Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften über künstliche Intelligenzen (KI-VO-E) entwickelt. Sie soll für alle Begriffe, die unter den Begriff des "KI-Systems" fallen, gelten. Dementsprechend sind auch KI-basierte Medizin-Software-Systeme vom Anwendungsbereich der Verordnung erfasst. Ziel der neuen Verordnung ist, einen harmonisierten Rechtsrahmen zu schaffen, die Entwicklung und Nutzung künstlicher Intelligenzen zu fördern und das Vertrauen in KI-basierte Systeme zu stärken. Dafür regelt sie das Inverkehrbringen, die Inbetriebnahme und die Nutzung der KI-Systeme. Die neue Verordnung soll frühestens noch 2024 in Kraft treten und wird nicht vor 2026 Anwendung finden.
Ähnlich wie die DSGVO verfolgt auch die neue KI-Verordnung einen risikobasierten Ansatz, bei dem je nach dem Gefährdungspotenzial der künstlichen Intelligenz entsprechende Anforderungen an deren Nutzung und Entwicklung gestellt werden. Dafür werden die KI-Systeme nach ihrer Risikoeinschätzung in vier Gruppen eingeteilt: Künstliche Intelligenzen mit einem inakzeptablen, hohen, geringen oder minimalen Risiko.
KI-Systeme mit einem inakzeptablen Risiko sind gänzlich verboten. Zu dieser Gruppe gehören alle künstlichen Intelligenzen, die eine klare Bedrohung der Grundrechte darstellen.
Hochrisiko-Systeme sind in Artikel 6 der neuen Verordnung geregelt. Demnach muss die künstliche Intelligenz als Sicherheitskomponente eines Produkts nach dem Anhang II der Verordnung anzusehen oder einem in Anhang III genannten Sektorbeispiel zuzuordnen sein. Dazu zählen künstliche Intelligenzen, die der biometrischen Identifizierung und Kategorisierung natürlicher Personen dienen oder über den Zugang zu Leistungen entscheiden. Darüber hinaus gelten KI-Anwendungen, die Auswahlentscheidungen im Rahmen von Bewerbungsprozessen automatisiert unterstützen oder über Beförderungen (mit-)entscheiden, als hochriskante künstliche Intelligenzen. Die Liste der Systeme mit hohem Risiko ist noch nicht abschließend geregelt, sondern es können nach Artikel 7 KI-VO auch weitere Anwendungsfälle in den Anhang III aufgenommen und damit als Hochrisiko-System klassifiziert werden. Mit der Einstufung einer künstlichen Intelligenz als eine mit hohem Risiko, müssen die Anbieter und Hersteller einen umfassenden Pflichtenkatalog erfüllen. Dazu zählen die Implementierung eines Qualitäts- und Risikomanagementsystems, einer effizienten Data Governance und der Erstellung einer minutiösen technischen Dokumentation. Zusätzlich muss eine Konformitätsbewertung oder die Sicherstellung und Überwachung der Pflichterfüllung erfolgen.
KI-Systeme, die mit Menschen interagieren, wie es bei Chatbots wie ChatGPT der Fall ist, zählen als künstliche Intelligenzen mit einem geringen Risiko. Für derartige Systeme enthält die Verordnung hauptsächlich Transparenzpflichten. Künstliche Intelligenzen mit nur minimalem Risiko sind von dem Entwurf der Verordnung nicht erfasst, sodass sie keinen Einschränkungen unterliegen.
Die KI-Systeme, die in der Medizinbranche verwendet werden, sind in der neuen KI-VO noch nicht generell als Systeme mit einem inakzeptablen oder hohen Risiko eingestuft. Die gegenwärtige Diskussion über Kompromissvorschläge tendiert allerdings zu einer Einordnung der medizinischen künstlichen Intelligenzen als Hochrisiko-Systeme in der Liste der Sektorenbeispiele. Das tragende Argument dieser Ansicht ist, dass ihr Einsatz mit Gesundheitsrisiken einhergehen könnte. Werden die künstlichen Intelligenzen aus dem Medizinbereich in die Hochrisikokategorie eingeordnet, müssen Anbieter und Hersteller die dazugehörigen Pflichten beachten.
Derzeit müssen KI-basierte Produkte, die "Medizinprodukte" im Sinne des Artikel 2 Nummer 1 der Medical Device Regulation (MDR) sind, in der EU vor allem die Anforderungen eben dieser MDR erfüllen. Zu den Medizinprodukten zählen Software als Diagnose- und Entscheidunghilfe für medizinisches Personal, Gesundheitsapps und weitere Software-Systeme im medizinischen Bereich. Zukünftig werden die KI-VO und die MDR nebeneinander stehen und unabhängig voneinander Geltung entfalten.
So wie sich die Möglichkeiten, die aus der Entwicklung von künstlichen Intelligenzen entstehen, stets wandeln, entwickelt sich auch die Rechtslage des KI-Rechts ständig. Um dabei den Überblick nicht zu verlieren, unterstützen unsere fachkundigen Anwälte von SBS LEGAL Sie bei sämtlichen IT- und datenschutzrechtlichen Anliegen.
Zögern Sie nicht, sich an uns zu wenden! Mit seiner jahrelangen Expertise steht Ihnen unser Team von SBS LEGAL mit Rat und Tat zur Seite.