KI im Gesundheits­wesen: mit Datenschutz zum Ziel?

Im Rahmen der Digitalisierung hat die Gesundheitsbranche auch die Vorteile von Künstlicher Intelligenz bereits für sich erkannt – und zwar zu Recht! KI kann unterstützend bei Forschung und Therapie eingesetzt werden, den Klinikalltag erleichtern und auch die Krankenversicherungen bieten bereits ihren Mitgliedern KI-gesteuerte (digitale) Services über Apps an. KI wird sogar vorausgesagt – und es scheint auch vieles dafür zu sprechen -, sie werde die Medizin revolutionieren. Dass trotz aller Vorteile und guter Prognosen noch viele Führungskräfte im Gesundheitsbereich zögern KI-gesteuerte Systeme einzusetzen, liegt auch an den Herausforderungen, die diese mit sich bringen. Neben den ethischen gibt es auch große datenschutzrechtliche Bedenken.

Sowohl bei der Generierung als auch bei der Implementierung von KI fallen große Mengen an personenbezogenen Daten an, deren Verarbeitung sich nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) richtet. Die Umsetzung dieser gesetzlichen Regularien wird bei der Anwendung künstlicher Intelligenz dadurch erschwert, dass an automatisierte Datenverarbeitungen erhöhte Anforderungen gestellt werden. Doch bei der Anwendung von Künstlicher Intelligenz in der Gesundheitsbranche kommt es nicht nur zu den KI-spezifischen datenschutzrechtlichen Herausforderungen, sondern das Gesundheitswesen an sich unterliegt bereits besonderen datenschutzrechtlichen Anforderungen. Daher gilt es hier besondere Lösungen für besondere Herausforderungen zu finden – was auch gelingt!

Der Anwendungsbereich von KI im Gesundheitswesen

Der Anwendungsbereich von KI im Gesundheitswesen lässt sich kurz zusammenfassen: überall! Natürlich ist es ethisch fragwürdig, den Menschen in komplexen Entscheidungen, die das körperliche und seelische Wohlbefinden betreffen, außen vor zu lassen, damit stattdessen Algorithmen die Arbeit komplett übernehmen. Aber diese Sichtweise auf KI entspricht auch nicht der Realität! Sie kann und wird hauptsächlich nur unterstützend eingesetzt. Die Letztentscheidungen über medizinische Fragen können immer noch Menschen (wie z.B. Ärzte) treffen.

So ist es z.B. möglich, dank Deep Learning dem Arzt bei der Analyse von Röntgenbildern zu helfen. Auch der Tumorforschung kann KI bereits heute zu Fortschritt verhelfen, indem neuronale Netze komplexe Tumorstrukturen erkennen können. Seit neuestem können Programme anhand der Sprache eines Menschen Depressionen erkennen und schon seit geraumer Zeit helfen Roboter mit Kameras und Bildschirmen ausgestattet bei Operationen oder können Pflegekräften Arbeit abnehmen.

Neben ethischen Gesichtspunkten stehen auch oft die hohen finanziellen Investitionen im Raum, die Krankenhausleitungen davon abhalten in neue Techniken zu investieren. Allerdings zeigt eine neue Studie, dass durch KI Kosten eingespart werden können. So können beispielsweise in dem für das Gesundheitswesen teuren Bereich der Brustkrebsvorsorge Diagnosen durch KI schneller getroffen werden als bisher, was zu einer enormen Kostenersparnis führt. Dieses Beispiel lässt sich auch auf andere kostspielige Bereiche übertragen.

KI kann nicht nur bei der Behandlung und Diagnose helfen. Die Mitarbeiter von Krankenhäusern leiden heutzutage vor allem unter einem immer höheren Verwaltungsaufwand, der ihnen kostbare Arbeitszeit für die Patientenversorgung wegnimmt. Routineabläufe können an KI-gesteuerte Software abgegeben werden. Hier können Programme aushelfen, die Arbeitspläne erstellen oder andere organisatorische Aufgaben erfüllen. Ebenso können Krankenakten digital angelegt und von einer Software auf Hinweise untersucht werden, welche auf Erkankungen hinweist. Sprachassistenten in Krankenzimmern können Patienten im Krankenhausalltag helfen, wie z.B. die Rollläden herunterfahren lassen, und dadurch wiederum dem Pflegepersonal Arbeit abnehmen.

Die Kernfrage: Die Vereinbarkeit von KI und Datenschutz im Gesundheitswesen

Wie bereits ausgeführt ist KI nur mit Hilfe von Big Data möglich – und darunter fallen auch personenbezogene Daten. Auf Basis der gesetzlichen Regularien, zu denen nicht nur DSGVO und BDSG, sondern auch die Landesdatenschutzgesetze, Landeskrankenhausgesetze, Sozialgesetzbücher und das Gendiagnostikgesetz fallen können, ergeben sich die nachfolgenden Lösungsansätze, wie Datenschutz im Gesundheitswesen und KI in Einklang gebracht werden können.

Insbesondere schreibt die DSGVO vor, dass technische und organisatorische Maßnahmen ergriffen werden müssen, um die datenschutzrechtlichen Vorgaben umzusetzen und Datensicherheit zu gewährleisten. Ihre Rechtsberater können mit Ihnen diese Maßnahmen entwickeln und sie in eine geeignete innovations- und KI-freundliche Datenstrategie einbinden, die die folgenden Kernpunkte umfassen wird.

  1. Künstliche Intelligenz und Gesundheitsdaten: die passende Rechtsgrundlage finden!

DSGVO und BDSG regeln die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Der Begriff des „Verarbeitens“ ist sehr weit. Darunter fallen u.a. das Erheben, Erfassen, Ordnen und Speichern von personenbezogenen Daten. Die Verarbeitung personenbezogener Daten ist dann erlaubt, wenn es auf Basis einer Rechtsgrundlage geschieht, wie z.B. wenn eine Einwilligung dazu eingeholt wurde oder wenn ein anderes Gesetz es erlaubt (Rechtmäßigkeitsprinzip).

Besondere Vorschriften für das Gesundheitswesen sind jedoch auch in der DSGVO selbst angelegt. Wird im Gesundheitsbereich KI angewandt, werden in vielen Fällen logischerweise Gesundheitsdaten benötigt. Insbesondere bei der Entwicklung von KI muss diese mit enormen Datenmengen gefüttert werden, damit sie im Rahmen des Deep Learnings traniert werden kann.  Die „normalen“ Regelungen zur Verarbeitung personenbezogener Daten gelten für Gesundheitsdaten nur bedingt, da sie aufgrund ihrer besonderen Schutzwürdigkeit unter eine besondere Kategorie personenbezogener Daten fallen. Konsequenz ist, dass an ihre Verarbeitung strengere Anforderungen gestellt werden.

Gesundheitsdaten sind als personenbezogene Daten zu verstehen, die sich auf die körperliche oder geistige Gesundheit einer Person (eines Patienten) beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Hinzu kommt, dass im Rahmen von KI teilweise automatisierte Entscheidungsfindungen zur Anwendung kommen, d.h. eine Person wird einer Entscheidung unterworfen, die ausschließlich auf einer automatisierten Datenverarbeitung beruht. Dies könnte z.B. bei einer App der Fall sein, die den Gesundheitszustand misst und bei Erreichen von bestimmten Werten sich automatisch der Versicherungstarif anpasst. Solche sich rechtlich oder nachteilig auswirkende Entscheidungen werden in Art. 22 DSGVO noch gesonderten Anforderungen unterworfen. In Kombination mit den ohnehin schon als besonders schützenswert angesehenen Gesundheitsdaten ergibt sich bei KI im Gesundheitswesen dadurch eine sensible Kombination. Bei der Verarbeitung von Gesundheitsdaten im Rahmen automatisierter Entscheidungen ist daher vorgeschrieben, dass dies nur auf Grundlage einer ausdrücklichen Einwilligung oder aufgrund einer Rechtsvorschrift aus Gründen eines erheblichen öffentlichen Interesses zulässig ist. In der Praxis wird jedoch nur die Einwilligung relevant sein.

Es empfiehlt sich daher aufgrund der Kombination aus KI und Gesundheitsdatenverarbeitung immer, über ein Anonymisierungskonzept nachzudenken. Darin kann festgelegt werden, ob und welche Daten ggf. nur anonym erhoben und verwendet werden. Auf anonyme Daten finden DSGVO und BDSG keine Anwendung mit der Folge, dass die Daten ohne Einschränkung der soeben genannten Voraussetzungen verarbeitet werden können, was eine erhebliche Erleichterung insbesondere bei der Generierung der KI darstellt, wenn anonyme Trainingsdaten benutzt werden. Anonyme Daten liegen vor, wenn die Informationen die Identifizierung einer Person für jeden unmöglich macht. Die Verwendung anonymer Daten kann im Gesundheitsbereich oft schwierig sein, insbesondere in Anbetracht der Verwendung von Daten aus der Krankenhistorie, da sie sehr individuell sind. In anderen Bereichen ist die Verwendung anonymer Daten jedoch durchaus denkbar.

  1. KI und Betroffenenrechte: Pseudonymisierung nutzen!

In einer innovations- und KI-freundlichen Datenstrategie können des Weiteren Lösungswege und Anleitungen für den Umgang mit den Betroffenenrechten aus DSGVO und BDSG entwickelt werden. Diese können KI-Anwender, wenn sie personenbezogene Daten bzw. Gesundheitsdaten verwenden, vor einen erheblichen Arbeitsaufwand stellen, wenn sie kein ordentliches und sinnvolles Konzept entwickelt haben. Die Pseudonymisierung von Daten als technische Maßnahme sollte hier unbedingt in Betracht gezogen werden!

Gelingt KI-Unternehmen eine Pseudonymisierung der Daten, hat das den Vorteil, dass die Betroffenenanfragen komplett wegfallen können und folglich auch die damit immer verbundenen hohen Kosten und der Arbeitsaufwand. Pseudonyme Daten sind Informationen, die nur bei Zugriff auf gesondert aufbewahrte und geschützte Informationen einer Person zugeordnet werden können. Gem. Art. 11 Abs. 2 DSGVO stehen Betroffenen ihre Rechte nicht mehr zur Verfügung, wenn es für den Verantwortlichen nicht möglich ist, die Betroffenen zu identifizieren. Das kann bei bei pseudonymisierten Daten der Fall sein, wenn dem Verantwortlichen der Zugriff auf die gesondert gelagerten Informationen fehlt, z.B. wenn die betroffene Person selbst über diese Informationen verfügt.

Zum einen gibt es umfangreiche Transparenz- und Informationspflichten des Patienten, die der Datenverarbeitende zu beachten hat. Der Patient ist darüber zu informieren, wenn seine Daten verarbeitet werden. Außerdem steht ihm eine Auskunft über alle ihn betreffenden personenbezogenen Daten zu, die ihm unverzüglich, in schriftlicher, elektronischer oder mündlicher Form erteilt werden muss. Dasselbe gilt in Bezug auf die Rechte auf Berichtigung, Löschung und Einschränkung der Verarbeitung von Daten.

Das stellt insbesondere KI-Anwender vor Herausforderungen, da Betroffenen von automatisierten Entscheidungen zusätzliche besondere Rechte zugestanden werden. So hat ein Betroffener auch das Recht auf Auskunft und Information über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Verarbeitung für die betroffene Person.

Außerdem gehen mit den genannten Rechten Dokumentations- und Aufbewahrungspflichten über die Datenverarbeitungsprozesse einher (Accountability bzw. Rechenschaftspflicht). Das ist bei automatisierten Prozessen komplizierter, da sie schwerer nachzuvollziehen und nachzuweisen sind. Insbesondere können KI-Anwender im Rahmen des Deep Learnings oft selbst gar nicht einschätzen, wie sich ihr System weiterentwickelt, da es sich um Modelle handelt, die sich selbst verändern und anpassen (Stichwort: Blackbox). Das bedeutet für KI konkret, dass wenn künstlich intelligente Systeme menschliche Entscheidungen ersetzen, die Entscheidungsfindung genau wie beim Menschen auch erklärbar sein muss.

  1. Datenschutz-Folgenabschätzung: VVT´s nutzen!

Eine weitere Privilegierung pseudonymisierter Daten ergibt sich im Rahmen der Datenschutz-Folgenabschätzung. Darunter ist eine vom Verantwortlichen vorzunehmende Risikoanalyse- und bewertung der Datenverarbeitung zu verstehen. Sie muss nicht immer durchgeführt werden, aber sie ist insbesondere bei automatisierten Datenverarbeitungsvorgängen als auch bei der Verarbeitung von Gesundheitsdaten vorgeschrieben. KI-Anwender im Gesundheitswesen werden daher nicht um sie herumkommen.

Sind die Daten jedoch pseudonymisiert, kann  das einzuschätzende Risiko der Datenverarbeitung gleich geringer sein als sonst, was den Verantwortlichen privilegiert. Wichtig ist hierbei allerdings, dass die Pseudonymisierung vor der Datenverarbeitung, also noch im Rahmen der Generierung der KI, durchgeführt werden muss.

Außerdem muss sowohl bei der Verarbeitung von Gesundheitsdaten als auch bei der automatisierten Verarbeitung zwingend ein Verzeichnis von Verarbeitungstätigkeiten (VVT) geführt werden, was wiederum die Durchführung der Datenschutz-Folgenabschätzung erleichtert. Darin werden nämlich viele für die Datenschutz-Folgenabschätzung relevanten Angaben aufgeführt, die dann dafür genutzt werden können. Aus demselben Grund dient ein VVT auch der Erfüllung der Rechenschaftspflicht.

Es empfiehlt sich also bei der Erstellung eines VVTs andere zu erfüllende Pflichten im Hinterkopf zu haben. Außerdem sollte die Datenschutz-Folgenabschätzung nicht als lästige Pflicht, sondern als Chance betrachtet werden, um einen guten Überblick über die Datenverarbeitung zu erhalten. Des Weiteren sollte beim Aufstellen einer Datenschutzstrategie beachtet werden, dass die Datenschutz-Folgenabschätzung nicht ein einmaliges Geschehnis, sondern einen ständigen Prozess darstellt.

Fazit: KI im Gesundheitswesen – mit Datenschutz zum Ziel!

Im Rahmen des Datenschutzrechts gibt es viele Möglichkeiten, wie KI und Gesundheitswesen in Einklang gebracht werden können, ohne dass es zu Behinderungen im technischen und medizinischen Fortschritt kommt. Zwar stellen schon KI und Gesundheitsdaten für sich genommen eine datenschutzrechtliche Herausforderung dar, sodass es die Kombination nicht leichter macht.

Allerdings kann eine gute Datenschutzstrategie, die geeignete technische und organisatorische Maßnahmen wie Anonymisierung und Pseudonymisierung enthält,  die Datenverarbeitung auch hier möglich machen. KI im Gesundheitswesen ist wirtschaftlich und medizinisch erstrebenswert- und datenschutzrechtlich auch machbar!

 

Lesen Sie auch folgende Beiträge:

Datenverarbeitung bei klinischen Studien: Anforderungen im Datenschutz

Datenschutz-Folgenabschätzung: Ein Muss im Gesundheitswesen?

Gesundheitsdaten: Was Sie beim Datentransfer in Drittstaaten beachten müssen

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.