© Who Is Danny - Freepik.com

Gesundheitsdaten und künstliche IntelligenzGesundheitsdaten und künstliche Intelligenz

Die Erfassung von Gesundheitsdaten steigt. Dabei entstehen große Datenmengen, deren Auswertung nur automatisiert möglich ist. Wir erläutern, welche rechtlichen Aspekte beachtet werden müssen, wenn medizinische Daten KI-gesteuert ausgewertet werden sollen.

Gesundheitsdaten und wie KI uns dabei helfen kann

Die Menge der vorhandenen Daten, die gesundheitliche Aspekte betreffen, wächst von Tag zu Tag. Gerade der verstärkte Trend die eigenen Körperfunktionen besser verstehen und verstärken zu wollen, führt dazu, dass immer mehr Menschen diese auch tracken. Sei es nur über die integrierten Funktionen der allgegenwärtigen Smartphones oder direkt über eigens dafür konzipierte und programmierte Fitnesstracker.

Aber auch gesamtgesellschaftliche Entwicklungen, wie der (langsam) steigende Grad der Digitalisierung in Deutschland, die auch den Bereich des Gesundheitswesens erfasst, tragen zu einer gestiegenen Menge an Daten bei. Ebenso steigt das Bewusstsein darüber. Man möchte diese in Zukunft gezielter erfassen um die entsprechenden Daten der Wissenschaft und Forschung zur Verfügung stellen.[1]

Diese Datenberge lassen sich jedoch nur automatisiert auswerten. Und wo große Mengen an (gut aufbereiteten) Daten liegen, da ist der Einsatz von KI nicht weit entfernt. Durch sie lassen sich in den Daten vorher nicht erkannte Muster finden und daraus wieder neue Erkenntnisse gewinnen. Die Anwendungsfelder im Gesundheitswesen und der Medizin, die zukünftig vom Einsatz von KI profitieren könnten, sind zahlreich.

Es könnten medizinische Anwendungen durch KI gesteuert werden, der Operationsroboter beispielsweise die chirurgischen Eingriffe vornehmen, die für einen menschlichen Chirurgen bislang nicht oder nicht in dieser Präzision oder Geschwindigkeit realisierbar wären.[2]

Ferner werden bereits heute in pharmakologischen Prozessen KI-Systeme eingesetzt, um neue Wirkstoffe zu entwickeln. Es werden neue Medikamente entwickelt, die Krankheiten bekämpfen, die nach herkömmlichem Stand noch nicht medikamentös behandelbar sind.[3], [4]

Dabei sind nicht nur Pharmariesen oder Big Tech Konzerne in der Lage Gesundheitsdaten unter Zuhilfenahme künstlicher Intelligenz in neue Produkte zu verwandeln. Dieses Thema kann durchaus auch für kleinere Start-Ups oder etablierte Mittelständler von großer Bedeutung sein, wenn beispielsweise die Sohle eines Sportschuhes für die Laufgewohnheiten der Kunden optimiert wird, deren Laufverhalten zuvor eine KI auswerten konnte.

Allerdings sind viele dieser Daten hochsensibel, entsprechend muss bereits in der Planung eines solchen Vorhabens die rechtliche Seite mitgedacht werden.

Sensible Daten, Recht und Schutzmaßnahmen

Bei der Entwicklung eines KI-Systems sind große Datenmengen erforderlich. Soweit dieses System im Gesundheitsbereich eingesetzt werden soll – beispielsweise bei der Analyse von Röntgenbildern – handelt es sich dabei oft um personenbezogene Daten, also „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen“ (Art. 4 Nr. 1 DSGVO). Aufgrund dieses spezifischen Anwendungsbereiches wird es sich dabei oftmals nicht nur um „einfache“ personenbezogene Daten handeln, sondern meist um sogenannte „Gesundheitsdaten“. Gesundheitsdaten sind „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“ (Ar. 4 Nr. 15 DSGVO).

Gesundheitsdaten sind besonders sensible Informationen über eine Person. Sie unterfallen als „besondere Kategorien“ personenbezogener Daten einem strengeren Schutz im Rahmen der DSGVO (Art. 9 Abs. 1 der DSGVO). An ihre Verarbeitung sind besondere Bedingungen geknüpft; sie ist grundsätzlich verboten, es sei denn, dass eine der Ausnahmen nach Art. 9 Abs. 2 DSGVO vorliegt. Danach ist beispielsweise die Verarbeitung von Gesundheitsdaten im Gesundheitswesen möglich (Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO), also Verarbeitungsvorgänge in Arztpraxen und Krankenhäusern, nicht jedoch die Verarbeitung die beispielsweise notwendig ist, um Systeme künstlicher Intelligenz überhaupt erst für den Gesundheitssektor vorzubereiten. Um die entsprechenden Programme und Geräte zu bauen sind diese vorgelagerten Verarbeitungsprozesse notwendig.

Das Verarbeiten von entsprechenden Daten, um zunächst einmal die Systeme künstlicher Intelligenz zu erschaffen, die dann dazu dienen können, einen neuen Wirkstoff zu generieren, ist ein solcher vorbereitender Verarbeitungsprozess. Er wäre an eine Einwilligung in die Verarbeitung der personenbezogenen Daten als Trainingsdaten an die Voraussetzungen des Art. 9 Abs. 2 lit a) DSGVO gebunden. Das heißt, die Einwilligung ist freiwillig zu erteilen und jederzeit widerrufbar. Zudem muss sie informiert erfolgen – die Einwilligenden müssen also wissen, in welche Verarbeitungstätigkeiten – hier das Trainieren einer KI – sie einwilligen. Dabei ist an die Einwilligung nach Art. 9 Abs.2 lit a) DSGVO ein erhöhtes Maß an Bestimmtheit und Genauigkeit zu stellen.[5] Werden über diesen Trainingsprozess hinaus die Daten weiteren Verarbeitungsvorgängen zugeführt, gelten erneut die allgemeinen Regeln betreffend der besonderen Kategorien von personenbezogenen Daten (Art. 9 DSGVO). Solche Verarbeitungsschritte sind dann nicht mehr von der „Trainings-Einwilligung“ umfasst. In allen Konstellationen – Verarbeitung personenbezogener Daten oder dem Trainieren von KI – sind seitens eines Unternehmens sog. „technische und organisatorische Maßnahmen“ (TOM) zu ergreifen, die die ordnungsgemäße Verarbeitung der personenbezogenen Daten sicherstellen, damit keine ungewollte Verarbeitung geschieht oder gar Gesundheitsdaten durch ein „Datenleck“ abfließen. Die ergriffenen Maßnahmen sollten regelmäßig auf ihre Aktualität geprüft werden, denn sie müssen dem „Stand der Technik“ entsprechen (Art. 32 Abs. 1 DSGVO).

Fazit

Sofern die vorgenannten Punkte beachtet werden, steht einer Verarbeitung von besonderen Kategorien personenbezogener Daten nichts mehr im Wege. Und damit auch nicht dem Einsatz von Systemen künstlicher Intelligenz im zukunftsorientierten Gesundheitssektor, im dem in Zukunft KI eine immer größere Rolle einnehmen wird.[6]

Referenzen und weiterführende Informationen

  1. Bundesministerium für Gesundheit, „Daten für die Forschung und Versorgung“. https://www.bundesgesundheitsministerium.de/themen/digitalisierung/daten-fuer-die-forschung-und-versorgung.html (zugegriffen 1. Februar 2023).
  2. A. M. V. Gorlt Jasmin, „KI in der Medizin – Blog des Fraunhofer IESE“, Fraunhofer IESE, 22. Dezember 2022. https://www.iese.fraunhofer.de/blog/ki-in-der-medizin/ (zugegriffen 1. Februar 2023).
  3. A. Schulte, „Neue Medikamente: Pharmaindustrie nutzt Künstliche Intelligenz zur Arzneimittelforschung“, Handelsblatt. Zugegriffen: 1. Februar 2023. [Online]. Verfügbar unter: https://www.handelsblatt.com/technik/medizin/neue-medikamente-pharmaindustrie-nutzt-kuenstliche-intelligenz-zur-arzneimittelforschung/28161478.html
  4. „Künstliche Intelligenz (KI) in der Medizin – Forschung | Merck“. https://www.merckgroup.com/de/research/science-space/envisioning-tomorrow/precision-medicine/generativeai.html (zugegriffen 8. Februar 2023).
  5. Weichert, „DS-GVO Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten“, DS-GVO BDSG. 2020.
  6. PricewaterhouseCoopers, „Künstliche Intelligenz in der Gesundheitswirtschaft“, PwC. https://www.pwc.de/de/gesundheitswesen-und-pharma/wie-kuenstliche-intelligenz-das-gesundheitssystem-revolutioniert.html (zugegriffen 1. Februar 2023).
  7. KI und DSGVO: Rechtsgrundlagen künstlicher Intelligenz

Verwandte Beiträge