Künstliche Intelligenz ist keine Zukunftsvision mehr im Healthcare-Sektor. Sie hat das Potenzial, das gesamte Gesundheitswesen zu verändern. Schon jetzt findet sie in vielen Bereichen der Gesundheitsvorsorge und Diagnostik teilweise Anwendung. Sobald jedoch die Worte künstliche Intelligenz, maschinelles Lernen oder Big Data fallen, schrillen auch schon die datenschutzrechtlichen Glocken. Der Einsatz solcher Softwarelösungen birgt einige rechtliche Herausforderungen, die Ärzte und Krankenhäuser kennen sollten. Von Thanos Rammos

 

Softwarebasierte Lösungen wie künstliche Intelligenz („KI“), sonstige Maschinelles-Lernen-Algorithmen und Big Data eröffnen dem Fortschritt im Health-Sektor neue Möglichkeiten. Ihr Einsatz kann sich von der Diagnostik über die Unterstützung bei Therapieempfehlungen oder der tatsächlichen Behandlung bis hin zu Pflege und Forschung erstrecken. Durch die Möglichkeit, große Datensätze mittels Big Data zu analysieren und diese einem maschinellen Lernsystem zuzuführen, können neue Erkenntnisse gewonnen werden. Voraussetzung für den erfolgreichen Einsatz ist aber die Gewährleistung des Datenschutzes. KI und Big Data werden nämlich von Patienten, Ärzten und anderen Stakeholdern (z.B. Ethik-Kommissionen) häufig kritisch gesehen. Dies ist verständlich, da einerseits sensible Daten verarbeitet werden und andererseits in Bereiche vorgedrungen wird, die bisher überwiegend menschlicher Beobachtung und Behandlung zugänglich waren. Zudem unterliegen die Daten dem ärztlichen Berufsgeheimnis.

Datenschutzrecht mit allgemeinen Vorgaben

Das Datenschutzrecht stellt keine spezifischen Anforderungen an KI- oder Big-Data-basierte Systeme. Vielmehr trifft es allgemeine Vorgaben, die sich jedoch in diesen Bereichen besonders auswirken können. Vor diesem Hintergrund ist es für Investoren und Anwender aus dem Gesundheitswesen wesentlich, diese Vorgaben im Blick zu haben, damit entsprechende Produkte erfolgreich implementiert und effizient eingesetzt werden können. Neben den allgemeinen datenschutzrechtlichen Vorgaben aus der Datenschutz-Grundverordnung (DSGVO) und den ergänzenden nationalen Regelungen können sich in Deutschland zudem strafrechtliche Fragen im Hinblick auf Patientengeheimnisse stellen. Ferner müssen Krankenhäuser mit öffentlich-rechtlicher Trägerschaft andere Rahmenbedingungen als privatrechtlich organisierte Kliniken beachten, nämlich landesrechtliche. Bei entsprechender Organisation sind zudem kirchliche Datenschutzvorschriften einzuhalten.

Thanos Rammos, Taylor Wessing: „Ein ganz wesentlicher Grundsatz ist das Löschungsrecht, auch ‚Recht auf Vergessenweerden‘.“ Bild: Taylor Wessing

Nachfolgend soll ein Blick auf einige wesentliche Vorgaben der DSGVO für KI und Big Data geworfen werden. Die DSGVO ist seit dem 25. Mai 2018 anwendbar und hat das Datenschutzrecht in der EU reformiert und grundsätzlich vereinheitlicht. Daneben gilt in Deutschland das angepasste nationale Datenschutzrecht, insbesondere in Form des Bundesdatenschutzgesetzes (BDSG) ergänzend.

Zweckbindungsgrundsatz

Die Zweckbindung ist ein wesentlicher Grundsatz, der verlangt, dass für einen bestimmten Zweck erhobene Daten nur für diesen Zweck verwendet werden und ihre Weiterverarbeitung mit diesem nicht unvereinbar ist. Dies sollte bereits bei Erhebung von Gesundheitsdaten, die bei einem maschinellen Lernen oder einer Auswertung durch Big Data zugeführt werden sollen, berücksichtigt werden. Eine gelockerte Zweckbindung ist für eine Weiterverarbeitung vorgesehen, die für im öffentlichen Interesse liegende wissenschaftliche Forschungszwecke erfolgt.

Einwilligungsgebot

Für die Verarbeitung von Gesundheitsdaten bedarf es entweder einer gesetzlichen Erlaubnisvorschrift oder der Einwilligung des Betroffenen. Die bestehenden datenschutzrechtlichen Vorschriften gestatten eine entsprechende Verarbeitung nur zu Zwecken der medizinischen Diagnostik, Versorgung oder Behandlung oder für die Verwaltung von Systemen und Diensten im Gesundheitsbereich und werden von den Aufsichtsbehörden grundsätzlich eng ausgelegt. Daher empfiehlt es sich (vorerst), den Einsatz von Big Data oder KI-basierender Software nicht oder nur teilweise auf die gesetzlichen Vorschriften zu stützen. Es wird somit ganz wesentlich auf Einwilligungen ankommen. Um eine wirksame Einwilligung einzuholen, muss beim Entwerfen entsprechender Erklärungen auf die Gewährleistung der notwendigen Transparenz geachtet werden. Dem Betroffenen sind nicht nur der Zweck sowie die Art und Weise der Verarbeitung seiner Daten, sondern u.a. auch deren Empfänger mitzuteilen. Bei Big-Data-Anwendungen stellt dies insofern eine Herausforderung dar, als die Zwecke häufig im Voraus nicht vollends bestimmt werden können. Bei KI-Lösungen soll der Algorithmus häufig aufbauend auf verschiedenen Datenquellen unterschiedlich lernen. Dem Patienten hierbei transparent darzulegen, was mit seinen Daten genau passiert, ist nicht unmöglich, bedarf aber einer bedachten Formulierung.

Widerruf der Einwilligung

Eine weitere Herausforderung ist die von Gesetzes wegen stets gewährleisteter Widerruflichkeit der Einwilligung. Aufgrund dessen ist es besonders bei Algorithmen, die auf der Basis von vorhandenen Daten lernen oder Vorhersagen treffen sollen, schwierig, wenn dieser Berechnung die Grundlage entzogen wird. Zu beachten ist jedoch, dass der Widerruf nur Wirkung für die Zukunft hat. Ferner gilt ein Widerruf nicht bei Informationen, die anonymisiert worden sind. Hier findet das Datenschutzrecht nämlich keine Anwendung. Bei der Implementierung und Anwendung entsprechender Software sollte die Datenbasis daher mit Augenmaß und diesen Überlegungen im Hinterkopf erstellt werden.

Recht auf Löschung

Ein ganz wesentlicher Grundsatz ist das Löschungsrecht, auch „Recht auf Vergessenwerden“. Es greift bei jedem personenbezogenen Datum, sobald es nicht mehr für die jeweiligen Zwecke erforderlich ist und keinen besonderen Aufbewahrungspflichten unterliegt. Bei Big-Data- und KI-Anwendungen muss sichergestellt werden, dass dieses Recht nicht zu Komplikationen führt und ein Betroffener auch bei solchen Anwendungen sein Löschungsrecht ausüben kann, ohne dass diese zugleich „leer laufen“, weil die Grundlage der Datenanalyse gelöscht wird. Von maßgeblicher Bedeutung wird also auch eine möglichst frühzeitige Anonymisierung der Datenbasis sein.

Ärztliches Berufsgeheimnis

Ein weiterer Aspekt ist der Umgang mit der ärztlichen Schweigepflicht. Bis vor Kurzem hat das strafrechtlich geschützte Berufsgeheimnis den Einsatz von solchen Softwarelösungen erschwert, die Patientendaten an Dritte übermitteln konnten. Durch eine Neuregelung der strafrechtlichen Vorschriften können Ärzte und Krankenhäuser nun mit erweitertem Umfang auf externe Dienstleister zurückgreifen. Dies wirkt sich auch auf KI- und Big-Data-Anwendungen, bei denen wahrscheinlich externe Anbieter zu Zwecken der Wartung Zugriff haben könnten, positiv aus. Zu berücksichtigen bleibt, dass die strafrechtlichen Neuerungen keine Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Inanspruchnahme von Dienstleistern haben. Wie bisher müssen bei deren Inanspruchnahme die bestehenden Voraussetzungen einer sog. Vereinbarung zur Auftragsverarbeitung beachtet werden und hier die Vorgaben zur Wahrung des ärztlichen Berufsgeheimnisses integriert werden.

Fazit

KI und Big Data sind im Gesundheitswesen angekommen. Entsprechende Softwarelösungen können in kürzester Zeit Informationen verarbeiten und aus einer zum Teil selbst lernenden Analyse neue Erkenntnisse gewinnen, die Diagnosen verbessern und Forschung effizienter machen. Die Gesundheitsversorgung kann von enormen Zeit- und Kostenersparnissen profitieren. Um das Potenzial auszuschöpfen und die sich bietenden Chancen für die Zukunft der digitalisierten Medizin zu nutzen, müssen datenschutzrechtliche und sonstige regulatorische Herausforderungen frühzeitig erkannt und schon bei der Implementierung berücksichtigt werden.

 

ZUM AUTOR

Thanos Rammos ist Anwalt und Salary Partner im Berliner Büro von Taylor Wessing. Er ist auf die Beratung im IT- und insbesondere Datenschutzrecht spezialisiert und hat einen Fokus auf Unternehmen aus der Life-Sciences- und Healthcare-Branche.

Autor/Autorin

Thanos Rammos