Der Einsatz von künstlicher Intelligenz (KI) in der medizinischen Diagnostik bietet großes Potenzial für eine effizientere und bessere Patientenversorgung. Der datenschutzkonforme Umgang mit personenbezogenen Daten ist hierbei eine zentrale Herausforderung. Darauf kommt es in der Praxis an!
Empfehlungen der Datenschutz-Aufsichtsbehörden
Der 39. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) zeigt auf, welche Anforderungen medizinische Einrichtungen bei der Nutzung von KI-Systemen beachten müssen.
Im konkreten Fall beriet der LfDI eine radiologische Praxis, die eine KI-basierte Software als Unterstützung in der medizinischen Diagnostik einsetzen wollte. Dabei ging die Behörde auf eine Reihe von Fragen ein, die in diesem Kontext von Relevanz sind und die wir hier praxisbezogen erklären.
Rechtsgrundlagen für den Einsatz von KI-Systemen in der medizinischen Behandlung
Eine rechtskonforme Datenverarbeitung setzt zunächst eine gültige Rechtsgrundlage voraus. Bei dem Einsatz von KI-Systemen in der medizinischen Diagnostik kommen insbesondere folgende Rechtsgrundlagen in Betracht:
- 6 Abs. 1 lit. b) der Datenschutz-Grundverordnung (DSGVO) in Verbindung mit Art. 9 Abs. 2 lit. h) DSGVO (Durchführung eines Behandlungsvertrages nach § 630a des Bürgerlichen Gesetzbuches) und
- eine ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a) DSGVO.
Die erste Option (Durchführung eines Behandlungsvertrages als Rechtsgrundlage) käme zum Tragen, wenn der Einsatz KI-basierter Software für die medizinische Behandlung zu den Haupt- oder Nebenpflichten des Behandlungsvertrages gehörte. Dies kann zurzeit in aller Regel verneint werden, denn der Einsatz von KI-Systemen zur Diagnoseunterstützung dürfte (noch) nicht als üblicher Standard der ärztlichen Behandlung gelten. Daher kann der Einsatz nicht ohne Weiteres über den Behandlungsvertrag gedeckt sein.
Folglich wird in aller Regel eine ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a) DSGVO benötigt. Dies gilt umso mehr, wenn Patientendaten für das Training bzw. die Optimierung des KI-Systems verwendet werden sollen. Die Einwilligung muss den erhöhten Anforderungen an eine Einwilligung für die Verarbeitung besonderer Kategorien personenbezogenen Daten genügen.
Einsatz von KI-Software im Rahmen der Auftragsverarbeitung
Ärztliche Praxen, die eine KI-basierte Diagnosesoftware nutzen, greifen in der Regel auf externe Dienstleister zurück. Ein datenschutzkonformer Einsatz setzt grundsätzlich voraus, dass die Zusammenarbeit über einen Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO geregelt wird. Die Arztpraxis bleibt in dem Fall die für die Verarbeitung verantwortliche Stelle, während der Dienstleister die Daten nur nach Weisung verarbeiten darf.
Der LfDI grenzt dies jedoch ein. Demnach ließe sich eine Weiterverarbeitung der Daten für die Verbesserung des KI-Systems durch dessen Anbieter regelmäßig nicht mit einem Auftragsverarbeitungs-Vertrag adressieren. Dabei lässt die Behörde leider die für sehr viele KI-Systeme relevante Fragen offen, wie eine solche Konstellation zu adressieren ist:
- Geht es etwa um eine eigenständige Verantwortlichkeit des KI-Anbieters hinsichtlich der Verarbeitung zur Verbesserung des KI-Systems?
- Oder werden die Parteien hinsichtlich sämtlicher Verarbeitungsvorgänge zu gemeinsam für die Verarbeitung Verantwortlichen?
Eine Antwort der Behörde(n) auf diese Frage wäre wünschenswert.
Keine vollautomatisierte Entscheidungsfindung durch KI
Nach Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Beim Einsatz von KI in der medizinischen Diagnostik ist in aller Regel davon auszugehen, dass es sich um eine Entscheidung handelt, die den Betroffenen erheblich beeinträchtigt.
Die Anforderungen von Art. 22 DSGVO müssen folglich beachtet werden. Wenn das KI-System eine Diagnose vorschlägt, muss die finale Entscheidung stets von einer Ärztin oder einem Arzt getroffen werden. Das KI-System muss dafür ein Mindestmaß an Erklärbarkeit bieten, um eine sachgerechte Prüfung der Ergebnisse zu ermöglichen.
Schließlich soll dokumentiert werden, inwieweit und auf Basis welcher Überlegungen die ärztliche Entscheidung getroffen wurde. Der LfDI sieht diese Pflicht als eine Ausprägung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.
Informationspflichten und Transparenz
Besondere Aufmerksamkeit ist beim KI-Einsatz im medizinischen Bereich der Erfüllung der Informationspflichten gemäß Art. 12 und 13 DSGVO zu widmen. Patienten müssen leicht verständlich darüber informiert werden, dass und wie KI-basierte Software im Rahmen ihrer Behandlung eingesetzt wird. Dazu gehören Informationen über die Funktionalität der KI, deren Rolle bei der ärztlichen Entscheidungsfindung sowie über die mögliche Verarbeitung ihrer Daten zur Verbesserung des KI-Systems. Des Weiteren sind Informationen über das Bestehen und die Logik der automatisierten Entscheidungsfindung zur Verfügung zu stellen.
Datenschutz-Folgenabschätzung und technische Anforderungen
Die Nutzung von KI-Systemen in der ärztlichen Behandlung erfordert grundsätzlich die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Dabei müssen insbesondere folgende Aspekte berücksichtigt werden:
- Prüfung der Datenqualität (Aktualität, Repräsentativität, Verzerrungen),
- Bewertung der Datenrichtigkeit bezüglich der Trainingsdaten (z.B. in Gestalt der radiologischen Befunde) und des trainierten Modells und
- Bewertung der Qualität der von der KI generierten Ergebnisse im Hinblick auf potenzielle Schäden für die Individuen und Personengruppen.
Zusätzlich sind ausreichende technische und organisatorische Maßnahmen gemäß Art. 25 und 32 DSGVO erforderlich. Dazu zählen insbesondere Verschlüsselung, Pseudonymisierung sowie Verfahren zur Überwachung und Fehlerbehebung der KI-Software im laufenden Betrieb.
Fazit
Der Einsatz von KI-Systemen in der medizinischen Diagnostik erfordert ein sorgfältiges datenschutzrechtliches Vorgehen. Verantwortliche Arztpraxen müssen die datenschutzrechtliche Verantwortlichkeit klar regeln, Transparenz- und Informationspflichten erfüllen, geeignete Rechtsgrundlagen sicherstellen und eine Datenschutz-Folgenabschätzung durchführen. Ausreichende technische und organisatorische Maßnahmen zum Schutz der sensiblen Gesundheitsdaten sind zwingend erforderlich.
Gerade im Gesundheitsbereich ist ein umsichtiger und datenschutzkonformer Einsatz von KI-Systemen ein entscheidender Erfolgsfaktor, um Vertrauen zu schaffen und die Vorteile der Technologie verantwortungsvoll zu nutzen.
