Das Ende des Arztgeheimnisses?

KI-gestützte Geräte halten zunehmend Einzug in unseren Alltag: Für den einen sind sie ein komfortables Gadget, für den anderen Grund zur Sorge um die Privatsphäre. Denn die entsprechende Software verarbeitet persönliche Daten und speichert diese auf Servern von zumeist privaten Firmen. Doch was Sprachassistenten und Co. betrifft, hat in der Regel keiner einen großen Nachteil, wenn er auf diese Geräte verzichtet. Anders ist dies jedoch im Gesundheitssektor: Dort werden KI-Systeme in Zukunft immer wichtigere Assistenten von Ärzten und Pflegern werden und gelten als große Chance, um die Genauigkeit von Diagnosen und Behandlungen zu steigern.

Damit dies funktioniert, ist es notwendig, dass Pflegeroboter mit Mikrofonen und Kameras ausgestattet werden und dass Diagnoseinstrumente, die auf KI basieren, mit riesigen Datensätzen trainiert werden. KI kommt schlicht ohne die Verarbeitung großer Datenmengen nicht aus. Der Rechtsanwalt und Arzt Prof. Dr. Christian Dierks sieht den Einzug von KI-Systemen in den Gesundheitssektor jedoch gelassen: „Datenverarbeitung mit KI enthält kein größeres Bedrohungspotenzial für die Sicherheit der Daten als konventionelle Datenverarbeitung. Die Daten bleiben, wie und wo sie sind und werden auch durch eine KI nicht verändert oder an Dritte übertragen.“

Auch hier gilt: „Die informationelle Selbstbestimmung und das Grundrecht auf Datenschutz garantieren von Verfassung wegen die Entscheidungshoheit des Grundrechtsträgers über seine personenbezogenen Daten“, sagt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar. Wie mit sensiblen Gesundheitsdaten konkret umgegangen werden muss, regelt europaweit die DSGVO, die seit dem 25. Mai 2018 anzuwenden ist. Gesundheitsdaten werden darin der sogenannten „besonderen Kategorie von personenbezogenen Daten“ zugeordnet und unterliegen besonders strengen Regeln. Eine Verarbeitung oder die Weitergabe der Daten an Dritte ist nur mit Einwilligung des Patienten erlaubt. Nur in bestimmten Fällen ist dies auch ohne Zustimmung möglich, zum Beispiel zum Zweck der Gesundheitsversorgung oder aufgrund eines öffentlichen Interesses, wie der Verhinderung von Epidemien.

Die DSGVO regelt zudem automatisierte Entscheidungsfindung, wie sie bei KI eine Rolle spielen kann. „Bei der Verarbeitung von Gesundheitsdaten ist die automatisierte Entscheidung nur bei Vorliegen einer ausdrücklichen Einwilligung oder aufgrund einer Rechtsvorschrift aus Gründen eines erheblichen öffentlichen Interesses zulässig. Findet eine automatisierte Entscheidungsfindung statt, muss der Betroffene hierüber im Rahmen der Datenschutzinformationen aufgeklärt werden“, sagt Caspar. Die automatisierte Entscheidungsfindung sei aber auch eine Frage der Haftung, so Christian Dierks: „Es ist zu unterscheiden, ob durch eine schwache KI, also die Anwendung von Algorithmen, die von Menschen gemacht wurden, oder durch eine starke, selbstlernende KI Entscheidungen getroffen werden. Für Entscheidungen der letzteren Art ist das Haftungsregime in Deutschland noch nicht ausreichend klar. Haftet der Arzt, der Anbieter oder Entwickler der KI oder die KI selbst? Hierzu Regeln zu treffen, ist die Aufgabe der nächsten Jahre“. Johannes Caspar schlägt dazu vor: „Entscheidungen über Leben und körperliche Unversehrtheit sollten zwingend menschlichen Entscheidern überantwortet werden.“

Weitere Regelungen für den Datenschutz trifft in Deutschland das Bundesdatenschutzgesetz. Dieses lässt für wissenschaftliche Zwecke die Verarbeitung von Gesundheitsdaten auch ohne Einwilligung zu. Notwendig ist dazu der Umstand, dass das wissenschaftliche Interesse deutlich die Interessen der betroffenen Person überwiegt. „Das kann unter Umständen dann bejaht werden, wenn ein Forschungsvorhaben erhebliche Verbesserungen für die Gesundheit oder die soziale Sicherheit der Bevölkerung mit sich bringt“, sagt Caspar. Diese Ausnahme könne jedoch nicht für das Training von KI-Systemen gelten. „Unabhängig vom Anwendungsbereich eines KI-Systems verfolgen die Entwickler bzw. Anbieter immer auch ein eigenes privat(wirtschaftlich)es Interesse an der Weiterentwicklung des Systems. Die Datenverarbeitung zu Trainingszwecken kann daher nicht mit einem erheblich überwiegenden, konkreten medizinischen Forschungsinteresse oder Behandlungsnotwendigkeiten gerechtfertigt werden und setzt vielmehr eine ausdrückliche Einwilligung der Betroffenen voraus“, differenziert der Datenschutzbeauftragte.

Weltweit boomt der Markt der KI-Innovationen für Medizin und Pflege. Eine Vielzahl an Systemen stammt daher auch aus Ländern außerhalb Europas, wo oft schwächere Gesetze für den Datenschutz gelten. Dierks möchte aber auch hier beruhigen: „Eine Übermittlung von personenbezogenen Gesundheitsdaten in ein Land außerhalb der EU ist nur zulässig, wenn dieses auf der Liste der sicheren Drittstaaten steht oder zusätzliche Sicherungsmaßnahmen getroffen werden. Entsprechende Kontrollen können von den Aufsichtsbehörden durchgeführt werden.“ Der Rechtsexperte macht sich eher Sorgen um einen anderen Aspekt: „In Deutschland gibt es neben der DSGVO und dem Bundesdatenschutzgesetz auch die Landesdatenschutzgesetze, die Landeskrankenhausgesetze, das Sozialgesetzbuch, das Gendiagnostikgesetz und viele weitere Vorschriften. Diese Heterogenität ist in einem vereinten Europa, in einer globalisierten Welt ein Hindernis für Forschung und Wirtschaft im internationalen Wettbewerb.“ Caspar sieht im europäischen Datenschutzsystem jedoch eher einen Vorteil: „Sofern europäische Entwickler dem Datenschutz und darüber hinausgehenden ethischen Anforderungen im gesamten Prozess der Entwicklung und Anwendung von KI Beachtung schenken, kann dies auch international als Markenzeichen einer ʻAI made in Europeʼ genutzt werden.“

Letztendlich sehen beide Experten das Selbstbestimmungsrecht des Patienten über seine Daten als zentral an. Patienten müsse die Möglichkeit gegeben werden, den Umgang mit ihren Daten zu lernen und die Verantwortung und die Möglichkeiten, diese den Akteuren im Gesundheitswesen im jeweils erforderlichen Umfang zur Verfügung zu stellen, richtig einzusetzen, sagt Christian Dierks: „Es geht nicht darum, den Datenschutz um seiner selbst willen durchzusetzen, sondern um Wissensgefälle zu vermeiden, die den Betroffenen Nachteile bescheren könnten.“ Caspar sieht den Staat in der Pflicht, Patienten bei dieser Aufgabe zu unterstützen: „Der Deutsche Ethikrat weist zu Recht darauf hin, dass sich in verantwortungsethischer Perspektive die Notwendigkeit für den Staat zum gewährleistenden, überwachenden und gegebenenfalls auch regulierenden und sanktionierenden Eingreifen umso mehr aufdrängt, je weniger Unternehmen und private Organisationen Möglichkeiten bereitstellen, dem Einzelnen die Kontrolle über seine Daten zu erleichtern. Hier kommt dem Datenschutz künftig eine wichtige Funktion zu.“