In der schnelllebigen Welt der medizinischen Technologie stehen Arztpraxen vor der Herausforderung, innovative Ansätze wie Künstliche Intelligenz (KI) in ihre Diagnoseverfahren zu integrieren, während sie gleichzeitig strenge Datenschutzrichtlinien einhalten müssen. Infolgedessen wandte sich eine radiologische Praxis mit einer Beratungsanfrage an den LfDI Baden-Württemberg bezüglich des datenschutzkonformen Einsatzes von KI-basierter Software zur Unterstützung ihrer medizinischen Diagnostik.

In der Beratung des LfDI standen insbesondere die Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO sowie die Umsetzung der Grundsätze der Datenverarbeitung im Vordergrund. Dabei wurden verschiedene Fragen aufgeworfen (vgl. Tätigkeitsbericht Datenschutz 2023 S. 26 f.):

  1. Auftragsverarbeitungsvertrag: Setzt die verantwortliche Arztpraxis die KI-basierte Software über einen Auftragsverarbeitungsvertrag ein?
  2. Transparenz und Informationspflichten: Wie werden die Anforderungen an die Transparenz in den Informationspflichten gemäß Art. 12 und 13 DSGVO für die eingesetzte KI-basierte Software umgesetzt?
  3. Rechtsgrundlagen für den Einsatz: Wurde eine differenzierte Bewertung der Rechtsgrundlagen für den Einsatz der KI-basierten Software durchgeführt?
  4. Weiterverarbeitung von Daten: Werden die für den Einsatz der KI-basierten Software erhobenen personenbezogenen Daten für die Verbesserung des Modells weiterverarbeitet?
  5. Datenschutz-Folgenabschätzung: Hat die verantwortliche Arztpraxis die potenziellen Auswirkungen der KI-basierten Software auf die Rechte und Freiheiten natürlicher Personen bewertet?

Auf was ist besonders zu achten?

Besonderes Augenmerk ist hierbei auf die Erklärbarkeit der Diagnose- bzw. Behandlungsvorschläge der KI zu legen, da andernfalls die Gefahr besteht, dass diese kaum überprüft werden können und der Behandler deswegen – jedenfalls wenn sich der Einsatz von KI im Bereich der Gesundheitsversorgung zum Standard entwickelt – aus Gründen der Haftungsvermeidung angehalten wäre, der KI-Empfehlung unkritisch zu folgen.

Um die Datenschutzanforderungen zu erfüllen, ist es entscheidend, dass die betroffenen Patienten über die Funktionalität der KI-basierten Software informiert werden und eine Einwilligung eingeholt wird, insbesondere wenn die Daten für die Optimierung der Software verwendet werden sollen.

Neben den rechtlichen Aspekten ist es wichtig, technische und organisatorische Maßnahmen zu implementieren, die den hohen Schutzanforderungen gemäß Artt. 25 und 32 DSGVO entsprechen. Dazu gehören Verschlüsselung, Pseudonymisierung und Anonymisierung der Daten sowie Überwachungs- und Fehlerbehebungsverfahren für die Software.

In diesem Zusammenhang verweist der LfDI auf das Diskussionspapier zu „Rechtsgrundlagen im Datenschutz beim Einsatz von KI“, das eine erste Orientierung bietet (wir berichteten).

Fazit

Der Einsatz von KI in der medizinischen Diagnostik eröffnet viele Möglichkeiten, birgt jedoch auch komplexe rechtliche und ethische Herausforderungen. Durch eine umfassende Beratung und die Einhaltung strenger Datenschutzrichtlinien können Praxen sicherstellen, dass sie die Vorteile der KI nutzen, ohne die Privatsphäre ihrer Patienten zu gefährden.