20.10.2022

KI im Gesundheits­wesen: mit Datenschutz zum Ziel?

Im Rahmen der Digitalisierung hat die Gesundheitsbranche auch die Vorteile von Künstlicher Intelligenz (KI) bereits für sich erkannt – und zwar zu Recht! KI kann unterstützend bei Forschung, Diagnostik und Therapie eingesetzt werden, den Klinikalltag erleichtern und auch die Krankenversicherungen bieten bereits ihren Mitgliedern KI-gesteuerte (digitale) Services über Apps an.

Unverbindliches Erstgespräch vereinbaren

KI-basierte Medizinprodukte erobern inzwischen sogar das Metaverse, ein Raum, in dem die digitale mit der realen Welt verschmilzt. Das Metaverse zeichnet sich durch Technologien der erweiterten Realität aus. Patienten wird mittels VR- und AR-Headsets global Zugang zu medizinischen Dienstleistungen in der Medical Extended Reality (MXR) verschafft. Hierdurch sollen u.a. therapeutische und medizinische Lösungen für die Patienten individueller gestaltet werden. Bereits diese wenigen Beispiele verdeutlichen plastisch, dass sich KI als Basistechnologie durchsetzen und die Medizin revolutionieren wird.

Gleichwohl fremdeln viele Führungskräfte, auch im Gesundheitsbereich, mit KI. Dies mag auf die Komplexität des Themas zurückzuführen sein. Der nachfolgende Beitrag gibt eine Übersicht über die aktuellen und zukünftig relevant werdenden rechtlichen Herausforderungen für KI im Gesundheitsbereich. Hierdurch sollen die rechtliche Komplexität reduziert und Berührungsängste mit KI genommen werden.

Effektive Lösungen für den datenschutzkonformen Einsatz von KI im Gesundheitsbereich

Sowohl bei der Entwicklung als auch beim Einsatz von KI sind potentiell große Mengen an personenbezogenen Daten erforderlich, deren Verarbeitung sich nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) richtet. Die Umsetzung dieser gesetzlichen Regularien wird bei der Anwendung künstlicher Intelligenz im Gesundheitsbereich dadurch erschwert, dass an automatisierte Datenverarbeitungen von Gesundheitsdaten zudem erhöhte Anforderungen gestellt werden. Daher gilt es hier besondere Lösungen für besondere Herausforderungen zu finden – was auch gelingt!

Der Anwendungsbereich von KI im Gesundheitswesen

Der Anwendungsbereich von KI im Gesundheitswesen lässt sich kurz zusammenfassen: überall! Natürlich ist es ethisch fragwürdig, den Menschen in komplexen Entscheidungen, die das körperliche und seelische Wohlbefinden betreffen, außen vorzulassen, damit stattdessen Algorithmen die Arbeit komplett übernehmen. Aber diese Sichtweise auf KI entspricht auch nicht der Realität! KI wird hauptsächlich unterstützend z.B. in Form von Assistenzsystemen eingesetzt. Die Letztentscheidungen über medizinische Fragen können immer noch Menschen (wie z.B. Ärzt:innen) treffen.

Die vielfältigen Anwendungen von KI in der Medizin: Von Röntgenanalyse bis zur Telemedizin

So ist es z.B. möglich, dank Deep Learning der Ärztin oder dem Arzt bei der Analyse von Röntgenbildern zu helfen. Auch der Tumorforschung kann KI bereits heute zum Fortschritt verhelfen, indem neuronale Netze komplexe Tumorstrukturen erkennen. Algorithmen können anhand von Auffälligkeiten und Mustern in der Aussprache eines Menschen Anzeichen von Depressionen erkennen oder anhand der Tonaufnahmen von Hustengeräuschen unterschiedliche Lungenkrankheiten differenzieren. Seit geraumer Zeit helfen Operationsroboter, mit automatisierten Kamera- und Messinstrumenten die Präzision und Sicherheit der Bewegungen eines Operateurs zu verbessern. Derartige Systeme ermöglichen auch neue telemedizinische Prozesse, bei denen behandelnde Personen und Patient sich nicht mehr physisch an einem Ort befinden müssen.

Kostenersparnis durch KI im Gesundheitswesen: Effiziente Diagnosen und finanzielle Vorteile

Neben ethischen Gesichtspunkten stehen auch oft die hohen finanziellen Investitionen im Raum, die Krankenhausleitungen davon abhalten, in neue Techniken zu investieren. Allerdings zeigt eine neue Studie, dass durch KI Kosten eingespart werden können. So können beispielsweise in dem für das Gesundheitswesen teuren Bereich der Brustkrebsvorsorge Diagnosen durch KI schneller getroffen werden als bisher, was zu einer enormen Kostenersparnis führt. Dieses Beispiel lässt sich auch auf andere kostspielige Bereiche übertragen.

Effiziente Krankenhausverwaltung dank KI: Entlastung für Mitarbeiter:innen und optimierte Patientenversorgung

KI kann nicht nur bei der Behandlung und Diagnose helfen. Die Mitarbeiter:innen von Krankenhäusern leiden heutzutage vor allem unter einem immer höheren Verwaltungsaufwand, der ihnen wertvolle Arbeitszeit für die Patient:innenversorgung raubt. Routineabläufe können an KI-gesteuerte Software abgegeben werden. Hier können Programme helfen, die Arbeitspläne erstellen oder andere organisatorische Aufgaben erfüllen. Ebenso können Krankenakten digital angelegt und von einer Software auf Hinweise untersucht werden, welche auf Erkrankungen hinweist. Sprachassistenzsoftware in Krankenzimmern kann Patient:innen im Krankenhausalltag helfen. So lassen sich z.B. die Rollläden herunterfahren. Dadurch wird dem Pflegepersonal Arbeit abgenommen.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte addieren Sie 7 und 6.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Die Kernfrage: Die Vereinbarkeit von KI und Datenschutz im Gesundheitswesen

Wie bereits ausgeführt, ist KI nur mithilfe von Big Data möglich – und darunter fallen auch personenbezogene Daten. Auf Basis der gesetzlichen Regularien, zu denen nicht nur die DSGVO und das BDSG zählen, sondern auch die Landesdatenschutzgesetze, Landeskrankenhausgesetze, Sozialgesetzbücher und das Gendiagnostikgesetz, ergeben sich die nachfolgenden Lösungsansätze, die aufzeigen, wie Datenschutz im Gesundheitswesen und KI in Einklang gebracht werden können.

Insbesondere schreibt die DSGVO vor, dass technische und organisatorische Maßnahmen (TOM) ergriffen werden müssen, um die datenschutzrechtlichen Vorgaben umzusetzen und Datensicherheit zu gewährleisten. Ihre Rechtsberater:innen können mit Ihnen diese Maßnahmen entwickeln und sie in eine geeignete innovations- und KI-freundliche Datenstrategie einbinden, die die folgenden Kernpunkte umfassen wird.

Künstliche Intelligenz und Gesundheitsdaten: die passende Rechtsgrundlage finden!

DSGVO und BDSG regeln die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Der Begriff des „Verarbeitens“ ist sehr weit gefasst. Darunter fallen u.a. das Erheben, Erfassen, Ordnen und Speichern von personenbezogenen Daten. Die Verarbeitung personenbezogener Daten ist dann erlaubt, wenn es auf Basis einer Rechtsgrundlage geschieht. Dies ist z.B. der Fall, wenn eine Einwilligung zur Verarbeitung personenbezogener Daten eingeholt wurde oder wenn ein anderes Gesetz es erlaubt.

Datenschutz für Gesundheitsdaten und KI: Besondere Vorschriften im Fokus

Besondere Vorschriften für das Gesundheitswesen sind jedoch auch in der DSGVO selbst geregelt. Wird im Gesundheitsbereich KI angewandt, werden in vielen Fällen personenbezogene Gesundheitsdaten benötigt. Insbesondere bei der Entwicklung von KI muss letztere mit großen Datenmengen im Rahmen des Deep Learnings trainiert werden. Gesundheitsdaten sind als personenbezogene Daten zu verstehen, die sich – ggf. auch nur mittelbar – auf die körperliche oder geistige Gesundheit einer Person (in Behandlung) beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über deren Gesundheitszustand hervorgehen. Als sog. besondere Kategorien personenbezogener Daten gelten für Gesundheitsdaten besonders strenge datenschutzrechtliche Vorgaben.

Automatisierte Entscheidungsfindung und Gesundheitsdaten: Anforderungen für KI im Gesundheitswesen

Wesentlich ist, dass im Rahmen von KI teilweise automatisierte Entscheidungsfindungen zur Anwendung kommen, d.h. eine Person wird einer Entscheidung unterworfen, die ausschließlich auf einer automatisierten Datenverarbeitung beruht. Dies könnte z.B. bei einer App der Fall sein, die den Gesundheitszustand misst und sich bei Erreichen von bestimmten Werten automatisch dem jeweiligen Versicherungstarif anpasst. Entscheidungen mit derartigen, u.U. nachteiligen Auswirkungen werden in Art. 22 DSGVO noch gesonderten Anforderungen unterworfen. In Kombination mit den ohnehin schon als besonders schützenswert angesehenen Gesundheitsdaten ergibt sich bei KI im Gesundheitswesen dadurch eine sensible Kombination. Die Verarbeitung von Gesundheitsdaten im Rahmen automatisierter Entscheidungen ist daher nur auf Grundlage einer ausdrücklichen Einwilligung oder aufgrund einer Rechtsvorschrift aus Gründen eines erheblichen öffentlichen Interesses zulässig. In der Praxis wird jedoch nur die Einwilligung relevant sein.

Transparenz und Einwilligungen bei KI im Gesundheitswesen: Herausforderungen und Lösungsansätze

Hinsichtlich der Einwilligungen bereitet beim Einsatz von KI-Systemen im Gesundheitswesen insbesondere das Merkmal der „Informiertheit der Einwilligung“ Schwierigkeiten. Mit dem Einsatz von KI-Systemen geht immer auch ein gewisses Maß an Unvorhersehbarkeit, zumindest aber an (technischer) Komplexität einher, was die Erklärbarkeit der Vorgänge und eingesetzten Logik erschwert. Eine allgemeinverständliche, leichte Vermittlung an betroffene Personen – die ggf. unter dem unmittelbaren Eindruck einer Diagnose oder Krankheitssymptomen stehen und eine Einwilligung abgeben – entpuppt sich daher als besondere Herausforderung. Diese Problematik wird regelmäßig unter dem Stichwort „Blackbox“ konnotiert und erschwert neben der Erfüllung der gesetzlichen Pflichtinformationen über Art, Zweck und Ausmaß der Datenverarbeitung u.a. auch die allgemeine Einhaltung des Transparenzgrundsatzes aus der DSGVO. Mögliche Lösungsansätze finden sich z.B. in sog. Blackbox-Tests, bei denen mittels synthetisch erzeugter Testdaten statistische Aussagen über den Einfluss bestimmter Eingabemerkmale gewonnen werden können. Auch die sog. „Counterfactual Explanation“ kann hier weiterhelfen: Der Ansatz versucht die maßgeblichen entscheidungsbegründenden Kriterien für einen Output der KI zu identifizieren und so aufzuzeigen, welche Aspekte aus der Sphäre der betroffenen Person bei geringfügigen Änderungen wahrscheinlich zu einem anderen Ergebnis geführt hätten.

Einwilligungswiderruf und KI im Gesundheitswesen: Herausforderungen und Grenzen der Datenverarbeitung

Auch der Widerruf einer Einwilligung zur Verarbeitung der personenbezogenen Gesundheitsdaten kann problematisch sein, da eine gewisse Fortwirkung des Gehaltes der Daten in einer sich stets weiterentwickelnden KI nie völlig ausgeschlossen werden kann. Die KI als selbstlernendes System funktioniert gerade infolge verschiedener Rückschlüsse auf bereits Gelerntes, welches jedoch durch den Widerruf unzulässig werden würde.

Anonymisierung und KI im Gesundheitswesen: Datenschutzlösungen für den Umgang mit Gesundheitsdaten

Es empfiehlt sich daher aufgrund der Kombination aus KI und Gesundheitsdatenverarbeitung immer möglichst Anonymisierungskonzepte zu implementieren. Darin wird festgelegt, ob und welche Daten ggf. nur anonym erhoben und verwendet werden. Auf anonyme Daten finden DSGVO und BDSG keine Anwendung, mit der Folge, dass die Daten ohne Einschränkung der soeben genannten Voraussetzungen verarbeitet werden können, was eine erhebliche Erleichterung insbesondere bei der Generierung der KI darstellt, wenn anonyme Trainingsdaten benutzt werden. Anonyme Daten liegen vor, wenn die Informationen die Identifizierung einer Person für jeden unmöglich machen. Die Verwendung anonymer Daten kann im Gesundheitsbereich oft schwierig sein, insbesondere in Anbetracht der Verwendung von Daten aus der Krankenhistorie, da sie sehr individuell sind. In anderen Bereichen ist die Verwendung anonymer Daten jedoch denkbar. Alternativ können auch geeignete synthetische Daten einen Ausweg aus den Datenschutz-Herausforderungen bei der KI-Entwicklung bieten.

Der Europäische Raum für Gesundheitsdaten (EHDS): Förderung von medizinischer Innovation und Datenschutz

Die Datenschutz-Compliance wird zukünftig durch den sog. Europäischen Raum für Gesundheitsdaten (European Health Data Space – EHDS) erleichtert. Am 3.5.2022 wurde der finale Entwurf für den Verordnungsvorschlag der Europäischen Kommission zum Gesundheitsdatenraum veröffentlicht (EHDS-VO-E). Durch den EHDS sollen medizinische Innovation gefördert und der Umgang mit und die Verarbeitung von personenbezogenen Gesundheitsdaten vereinfacht werden. Er soll insbesondere die Möglichkeit bieten, anonymisierte Daten aus dem EHDS herunterzuladen werden, um damit KI-Anwendungen im Gesundheitswesen zu trainieren.

KI und der Umgang mit Betroffenenrechten

In einer innovations- und KI-freundlichen Datenstrategie können des Weiteren Lösungswege und Anleitungen für den Umgang mit den Betroffenenrechten aus DSGVO und BDSG entwickelt werden. Diese können KI-Anwender:innen, wenn sie personenbezogene Daten bzw. Gesundheitsdaten verwenden, vor einen erheblichen Arbeitsaufwand stellen, wenn sie ein sachgerechtes Konzept entwickelt haben. Die Pseudonymisierung von Daten als technische Maßnahme sollte hier unbedingt in Betracht gezogen werden.

Pseudonymisierung von Daten im Gesundheitswesen: Datenschutz und Vereinfachung von Betroffenenanfragen

Werden Daten nur pseudonymisiert gespeichert, reduziert dies zunächst in erheblichem Maße den potenziellen Schadenseinschlag, der sich aus einer ungewollten Offenlegung oder einem DataLeak dieser Daten ergeben könnte: Ohne den Zuordnungsschlüssel wäre es einem Angreifer nicht möglich, die hinter den Pseudonymen stehenden Personen zu identifizieren. In bestimmten Konstellationen kann der Einsatz von Pseudonymisierung der Daten zudem den Umgang mit Betroffenenanfragen vereinfachen: Grundsätzlich wären Daten auf Anfrage zu beauskunften oder ggf. auch zu löschen. Werden Daten jedoch pseudonymisiert zum Training verwendet und wird bei der Pseudonymisierung die Identifikation einer einzelnen Person derart verhindert, dass der Verantwortliche im Fall einer Anfrage die pseudonymisierten Datensätze im Trainingsdatenset nicht mehr auffinden kann, kann gem. Art. 11 Abs. 2 DSGVO eine Einschränkung der Betroffenenrechte in Betracht kommen. Erst wenn die betroffene Person selbst weitere Informationen zur Identifikation nennen kann, wären die Betroffenenrechte umzusetzen.

Auftragsverarbeitung und KI-Systeme

Soweit kein eigenes KI-System zum Einsatz kommen soll, kann es sachgerecht sein, ein System eines externen Dienstleisters zu verwenden. Die Wahl des passenden Dienstleisters sollte aufgrund verschiedener Aspekte getroffen werden. Insbesondere sollte Wert daraufgelegt werden, ob er geeignete technische und organisatorische Maßnahmen (TOM) gewährleisten kann. Er sollte daher unter anderem ein Datenschutzkonzept aufweisen, das entsprechende TOM zur Sicherheit der Datenverarbeitung einschließt. Sodann muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden, wofür die DSGVO einen Mindestkatalog an Verpflichtungen normiert, die vertraglich geregelt sein müssen. Im Gesundheitswesen treten häufig Regelungen im Hinblick auf die Wahrung des Berufsgeheimnisses und der ärztlichen Schweigepflicht hinzu. Zwar gibt es für das Gesundheitswesen darüber hinaus eine Reihe von Übermittlungsbefugnissen, die in § 197a Abs. 3b SGB V niedergelegt sind. Jedoch sind diese im Rahmen einer Auftragsverarbeitung nicht maßgeblich, weil es sich nicht um eine Übermittlung in diesem Sinne handelt. Die KI-einsetzende Stelle bleibt weiterhin Verantwortlicher nach der DSGVO. Beim Einsatz eines externen Dienstleisters im Rahmen der Entwicklung von KI-Systemen sollte immer darauf geachtet werden, ob der Dienstleister sich eigene Nutzungsrechte an Output oder Erkenntnissen sicher möchte.

Die KI-VO

Die EU-Kommission hat am 21. April 2021 einen Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für KI vorgelegt (KI-VO-E). Dieser verfolgt einen horizontalen Ansatz: Die Verordnung soll damit produktartübergreifend für alle Produkte, die unter den Begriff des KI-Systems fallen, gelten. Damit wird die KI-VO auch auf KI-basierte Medizin-Software-Systeme Anwendung finden. Die EU-Gesetzgebungsorgane bereiten derzeit den Trilog für die KI-VO vor. Mit einem Inkrafttreten ist nicht vor dem Jahr 2024 zu rechnen, mit der Anwendbarkeit nicht vor 2026. Neben der Schaffung eines die Werte der EU wahrenden, harmonisierten Rechtsrahmens sollen Entwicklung und Nutzung von KI und das Vertrauen in KI-basierte Systeme gefördert werden. Dadurch soll Europa als globales Zentrum für Exzellenz in der KI gestärkt werden, um nicht (noch mehr) gegenüber China und den USA ins Hintertreffen zu geraten. Die KI-VO wird das Inverkehrbringen, die Inbetriebnahme und die Nutzung von KI-Systemen regeln. Die Regulierung tritt neben die DSGVO und die Medical Device Regulation (MDR) und wird zudem um einen AI Liability Act (KI-Haftungsrichtlinie) ergänzt werden, für den ebenfalls ein erster Entwurf vorliegt (COM(2022) 496 final).

Der AI Liability Act: Haftungsregelungen für KI und Schutz der Betroffenen

Der AI Liability Act soll die Lücke des fehlenden Individualschutzes der KI-VO füllen und Personen, die nachteilig von einer KI betroffen werden, ein haftungsrechtliches Instrument an die Hand geben. Dabei stipuliert das neue Haftungsregime eine Kausalitätsvermutung zugunsten der Betroffenen. Wird etwa der von einer KI-Bewerbersoftware abgelehnte Bewerber aufgrund eines diskriminierenden Patterns abgelehnt, so wird der Geschädigte davon befreit, den Ursachenzusammenhang zwischen Schaden und Einsatz bzw. Output der KI darlegen zu müssen – der Anbieter muss folglich den Entlastungsbeweis erbringen, dass die KI compliance-adäquat konzipiert wurde. Dies wird nur anhand lückenloser Dokumentation möglich sein.

Für Unternehmen der Gesundheitsbranche, die entweder selbst Entwicklungen im KI-Bereich durchführen oder konzipieren, stellt sich die Frage, wie die vielen Verordnungen miteinander verknüpft sind, sich bedingen und ergänzen – und wie sie in der Compliance sachgerecht umgesetzt werden können.

Die KI-VO verfolgt – ähnlich wie schon die DSGVO und die MDR – einen risikobasierten Ansatz. Das heißt, dass je nach Gefährdungspotenzial des KI-Systems entsprechende Anforderungen an Nutzung und Entwicklung der Systeme gestellt werden. Dabei wird zwischen vier unterschiedlichen Risikogruppen unterschieden. In KI mit:

  • inakzeptablem Risiko,
  • hohem Risiko,
  • geringem Risiko und
  • minimalem Risiko.

Verbot von KI-Systemen mit inakzeptablem Risiko: Grundrechte und Unternehmenspraxis

KI-Systeme mit einem unannehmbaren Risiko betreffen KI-Anwendungen, die eine klare Bedrohung der Grundrechte darstellen. Diese sind deshalb in Gänze verboten. In der Unternehmenspraxis spielen sie derzeit keine oder eine nur stark untergeordnete Rolle.

Regelungen für Hochrisiko-KI-Systeme: Anforderungen und Diskussionen in der KI-VO

Was ein KI-System als Hochrisiko-KI-System qualifiziert, regelt Art. 6 KI-VO: Ein Hochrisiko-KI-System liegt vor, wenn das KI-System als Sicherheitskomponente eines Produktes nach Anhang II KI-VO anzusehen ist (Art. 6 Abs. 1 lit. a KI-VO) oder es handelt sich um eine KI-Anwendung, welche in einem der in Anhang III zur KI-VO genannten Sektorbeispiele zuzuordnen ist (Artikel 6 Abs. 2 KI-VO). Dazu gehören bspw. KI-Systeme, die der biometrischen Identifizierung und Kategorisierung natürlicher Personen dienen, beispielsweise Systeme, die Gesichter erkennen und Personen zuordnen sollen (Anhang III Nr. 1 KI-VO), die über den Zugang zu Leistungen entscheiden (denkbar sind bspw. KI-Systeme, die Empfehlungen über bestimmte Vorsorgemaßnahmen im Gesundheitsbereich ausgeben) oder KI-Anwendungen die Auswahlentscheidungen im Rahmen von Bewerbungsprozessen automatisiert unterstützen oder über Beförderungen (mit-)entscheiden sollen (Anhang III Nr. 4 KI-VO).

KI-Anwendungen im Gesundheitsbereich sind in der KI-VO jedoch derzeit noch nicht generell als KI-Systeme mit inakzeptablem Risiko oder als Hochrisiko-KI-System eingestuft. In der gegenwärtigen Diskussion über die Kompromissvorschläge zur KI-VO zwischen den Gesetzgebungsorganen wird aber überlegt KI-Systeme aus dem medizinischen Bereich als Hochrisikosysteme in die Liste der Sektorenbeispiele aufzunehmen, da ihr Einsatz potentiell mit Gesundheitsrisiken einhergehen könnte. Zu beachten ist ferner, dass die Liste von Hochrisiko-KI-Systemen nicht abschließend ist. So können nach Art. 7 KI-VO weitere Anwendungsfälle in den Anhang III zur KI-VO aufgenommen und damit als Hochrisiko-KI-System klassifiziert werden.

Fallen KI-Systeme aus dem Health-Bereich in die Hochrisiko-Kategorie, so müssen Anbieter und Hersteller umfassende Pflichten beachten. Diese reichen von der Implementierung eines Qualitäts- und Risikomanagementsystems, einer effizienten Data Governance, der Erstellung einer minutiösen technischen Dokumentation bis hin zur Durchführung einer Konformitätsbewertung bzw. der Sicherstellung und Überwachung der Erfüllung dieser Pflichten.

Transparenzvorschriften für KI-Systeme mit geringem Risiko gemäß KI-VO

Zur dritten Risiko-Kategorie, der „KI mit geringem Risiko“, gehören solche Systeme, die mit Menschen interagieren, so etwa Chatbots. Hier schreibt die KI-VO vor allem Transparenzverpflichtungen vor.

Keine Einschränkungen für KI mit minimalem Risiko gemäß KI-VO-Verordnungsentwurf

KI mit minimalem Risiko wird von dem Verordnungsentwurf nicht erfasst. Ihre Verwendung und Entwicklung wird durch die KI-VO daher nicht eingeschränkt werden.

Verordnungsdualität: KI-basierte Medizinprodukte müssen MDR-Anforderungen erfüllen

KI-basierte Produkte, die den Begriff des „Medizinproduktes“ i.S.d. Art. 2 Nr. 1 MDR erfüllen, müssen sich in der EU aktuell vor allem an der MDR messen lassen. In diese Produktkategorie fallen beispielsweise regelmäßig Software als Diagnose-Entscheidungshilfe für ärztliches Personal, Gesundheits-Apps, etwa für die Überwachung bestimmter Vitalfunktionen und weitere Software-Systeme im medizinischen Bereich. KI-basierte Medizinprodukte müssen also die Anforderungen der MDR erfüllen. Da zukünftig beide Verordnungen parallel nebeneinanderstehen und unabhängig voneinander Geltung beanspruchen werden, ist es bereits jetzt essenziell, zwischen Medizinprodukt und Nicht-Medizinprodukt möglichst zu Beginn der Entwicklung zu differenzieren, um im späteren Verlauf keine folgenschweren Überraschungen im Hinblick auf den anwendbaren Rechtsrahmen zu erleben. Fehler können zu erheblichen Bußgeldern führen. Werden Pflichten und Vorgaben der KI-VO nicht erfüllt, drohen Sanktionen i.H.v. bis zu EUR 30 Mio. oder 6 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist. Die Höhe der angedrohten Sanktionen geht somit über die in der DSGVO vorgesehenen Bußgelder hinaus.

KI-Anwendungen im Gesundheitsbereich: Hohe Compliance-Anforderungen und Wechselwirkungen der Regulierungen

KI-Anwendungen haben im Gesundheitsbereich eine große Bedeutung erlangt, die zukünftig stark wachsen wird. Die Verarbeitung sensibler Gesundheitsdaten mit KI-Systemen birgt gleichwohl große Risiken für die Rechte der von der Verarbeitung betroffenen Personen. Deshalb sind die datenschutzrechtlichen Anforderungen für den Einsatz solcher KI-Anwendungen besonders hoch, sodass dieser in der Praxis zumeist nur auf Grundlage einer entsprechenden Einwilligung der betroffenen Personen erfolgen kann. Wenn personenbezogene Daten verarbeitet werden sollen, ist es alternativlos, mit datenschutzrechtlicher Expertise die gesamte KI-Lösung strategisch durchzuplanen.

Die KI-VO hält für den Einsatz und die Entwicklung von KI-Systemen in der Gesundheitsbranche weitere Compliance-Pflichten bereit. Eine zusätzliche Komplexität ergibt sich, sobald die von der Medizinbranche eingesetzten KI-Systeme gleichzeitig als Medizinprodukte klassifiziert werden. Der europäische Gesetzgeber sollte den Wechselwirkungen der unterschiedlichen Regulierungen noch mehr Beachtung schenken.

Obwohl sich die KI-VO noch in der Entwurfsphase befindet, lohnt sich bereits jetzt eine sorgfältige Anpassung der internen Compliance-Strukturen. So kann verhindert werden, dass für gegenwärtig schon in der Entwicklung befindliche KI-Anwendungen zum späteren Zeitpunkt aufwendige Nach-Dokumentationen erfolgen müssen. Dadurch wird auch das Risiko hoher Bußgelder gesenkt.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Weitere Neuigkeiten

04.09.2024

AI as a Service (AIaaS): So funktioniert die Implementierung im Unternehmen

31.07.2024

Digital Health Update 2024

25.07.2024

Bonitätsprüfung und Zusammenarbeit mit Auskunfteien nach der SCHUFA-Entscheidung des EuGH