Zurück zur Übersicht
29.11.2024

KI-Software in der ärztlichen Behandlung?

Datenschutzkonforme Nutzung von KI in der medizinischen Diagnostik: Herausforderungen und Anforderungen

Eine radiologische Praxis wandte sich mit einer Beratungsanfrage über den datenschutzkonformen Einsatz von KI-basierter Software als Unterstützung für die medizinische Diagnostik an die Datenschutzbehörde. Es handelte sich um eine Software, die ein Dienstanbieter über einen Auftragsverarbeitungsvertrag den radiologischen Arztpraxen zur Unterstützung in der Diagnostik bereitstellt.

Sobald Ärzte KI-basierte Software in der Behandlung einsetzen, müssen sie sich in besonderem Maße mit der Software befassen, etwa damit, wie sie die Grundsätze der Verarbeitung personenbezogener Daten nach Artikel 5 Abs. 1 DSGVO umsetzen. In unserer Beratung standen die Datenschutz-Folgenabschätzung nach Artikel 35 Abs. 1 DSGVO über die KI-basierte Software und die Umsetzung der Grundsätze der Verarbeitung nach der DSGVO im Vordergrund. Es stellten sich insbesondere folgende Fragen:

  1. Setzt die verantwortliche Arztpraxis die KI-basierte Software über einen Auftragsverarbeitungsvertrag ein?
  2. Wie setzt die verantwortliche Arztpraxis die Anforderungen an die Transparenz in den Informationspflichten nach Art. 12, 13 DSGVO
    für die in der Behandlung eingesetzte KI-basierte Software um? Erklärt die verantwortliche Arztpraxis in den Datenschutz-Informationen den betroffenen Patient_innen die Funktionalität der KI-basierten Software?
  3. Fand eine differenzierte Bewertung der Rechtsgrundlagen für den Einsatz der KI-basierten Software insbesondere hinsichtlich der erhobenen Trainingsdaten, der Verarbeitung für das Training der KI-basierten Software und den Einsatz der KI-basierten Software statt?
  4. Verarbeitet die verantwortliche Arztpraxis bzw. der Auftragsverarbeiter die für den Einsatz der KI-basierten Software erhobenen personenbezogenen Daten für die Verbesserung des Modells weiter? Ist diese Weiterverarbeitung in den Informationen an die betroffenen Patient_innen aufgenommen und liegt dafür eine Rechtsgrundlage vor?
  5. Hat die verantwortliche Arztpraxis die KI-basierte Software auf mögliche Auswirkungen auf die Rechte und Freiheiten natürlicher Personen im Rahmen der Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO mit den Besonderheiten des KI-Einsatzes bewertet und die technischen und organisatorischen Maßnahmen angepasst? Hierzu gehört, dass die Datenrichtigkeit bezüglich der Trainingsdaten z. B. in Gestalt der radiologischen Befunde und des trainierten Modells bewertet werden, was etwa die Kategorisierung, Aktualität, Repräsentativität und den von den Daten abgebildeten Wissensstand – also auch die Abwesenheit von verzerrenden Effekten (Bias) – betrifft. Schließlich hat sich die Bewertung auf die Qualität des von der KI-basierten Software generierten Ergebnisses im Hinblick auf potenzielle Schäden für die Individuen und Personengruppen zu erstrecken.

Sobald sich eine Arztpraxis entscheidet, gegebenenfalls über eine Auftragsverarbeitung KI-basierte Software bei der medizinischen Behandlung einzusetzen, bedarf es erklärender und leicht verständlicher Informationen über die Besonderheiten der Funktionalität im Sinne der Artikel 12 und 13 DSGVO. Dazu gehören auch Informationen darüber, inwieweit die Ergebnisse der Software möglicherweise als Unterstützung einer optimierten und gegebenenfalls personalisierten ärztlichen Entscheidung dienen sollen. Entsprechend kann es besondere Dokumentationserfordernisse nach Art. 5 Abs. 2 DSGVO für die jeweilige Entscheidung geben.


Als Rechtsgrundlage für den Einsatz von KI-basierter Software in der medizinischen Behandlung kommt einerseits Artikel 6 Abs. 1 Buchst. b in Verbindung mit Artikel 9 Abs. 2 Buchst. h DSGVO mit dem Behandlungsvertrag im Sinne des § 630a des Bürgerlichen Gesetzbuches (BGB) und andererseits eine ausdrückliche Einwilligung nach Artikel 9 Abs. 2 Buchst. a DSGVO in Betracht.


Die Rechtsgrundlage des Artikel 6 Abs. 1 Buchst. b in Verbindung mit Artikel 9 Abs. 2 Buchst. h DSGVO mit dem Behandlungsvertrag nach § 630a BGB würde für diejenigen Konstellationen gelten, in denen der Einsatz von KI-basierter Software für die medizinische Behandlung zu den Haupt- oder Nebenpflichten des Behandlungsvertrages gehört. Allerdings dürfte der Einsatz von KI-Systemen für Diagnose- oder Behandlungszwecke derzeit (noch) nicht generell zum üblichen Stand der ärztlichen Kunst gehören, so dass eine derartige Verwendung solcher Systeme zumindest nicht ohne Weiteres von einem ärztlichen Behandlungsvertrag umfasst sein dürfte. Jedenfalls dann aber, wenn die Daten der Patientin oder des Patienten von der KI auch zur Verbesserung des genutzten KI-Systems verwendet werden sollen, dürfte der Bereich des für die Behandlung (der konkret behandelten Person) Erforderlichen verlassen werden, so dass die Verarbeitung zu dem Zweck der KI-Optimierung nicht mehr von dem Behandlungsvertrag gedeckt sein dürfte. Auch würde sich regelmäßig eine Weiterverarbeitung der personenbezogenen Daten durch den Anbieter der KI zur Verbesserung des Systems nicht mit einem Auftragsdatenverarbeitungsvertrag adressieren lassen. Soweit somit die personenbezogenen Daten der Patient_innen auch zur Verbesserung des in der Versorgung verwendeten
KI-Systems verarbeitet werden sollen, dürfte daher stets eine hierauf bezogene ausdrückliche Einwilligung nach Artikel 9 Abs. 2 Buchst. a DSGVO erforderlich sein. Dabei steht die behandelnde und die KI einsetzende Person unter anderem vor der Herausforderung, die behandelte Person trotz der vielfach kaum nachvollzieh- und antizipierbaren Funktionsweise einer KI-basierten Software hinreichend über die mittels der Einwilligung zu legitimierenden Datenverarbeitungen zu informieren.

In den technischen und organisatorischen Maßnahmen haben die verantwortlichen Arztpraxen die hohen Schutz- und Vertrauensanforderungen nach Art. 25, 32 DSGVO umzusetzen, was die Verschlüsselung, Pseudonymisierung und Anonymisierung der Daten durch die Auftragsverarbeiter voraussetzt. Ferner sind Verfahren notwendig, mit denen die verantwortlichen Arztpraxen und Auftragsverarbeiter eine Überwachung und eventuelle Fehlerbehebung der Software im Rahmen ihres Einsatzes umsetzen.

Und nicht zuletzt sind bei dem Einsatz eines KI-Systems in der Gesundheitsversorgung auch die Anforderungen aus Art. 22 DSGVO einzuhalten: Nach Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Bei der Entscheidung über eine Heilbehandlung dürfte die Voraussetzung, dass sie potenziell erheblich beeinträchtigende Wirkung entfalten kann, in aller Regel gegeben sein. Dann darf aber nach der genannten Norm grundsätzlich nicht die Maschine selbst die Entscheidung treffen, sondern die Entscheidung muss letztlich immer die behandelnde Ärztin – der behandelnde Arzt fällen. Damit die behandelnde Person aber die ihr obliegende Entscheidung überhaupt hinreichend substantiiert treffen kann, muss die KI ein Mindestmaß an Erklärbarkeit aufweisen. Andernfalls bestünde für die behandelnde Person die Gefahr, dass sie den Diagnose- bzw. Behandlungsvorschlag der KI kaum überprüfen könnte und deswegen – jedenfalls wenn sich der Einsatz von KI im Bereich der Gesundheitsversorgung durchsetzt und zum Standard wird – schon aus Gründen der Haftungsvermeidung angehalten wäre, der KI-Empfehlung mehr oder weniger unkritisch zu folgen.

Quelle: LfDI BW

Fragen Sie sich, ob Ihre Gesundheitseinrichtung  bei Datenschutz und Datensicherheit richtig aufgestellt ist?

Unverbindlich mit einem Datenschutzbeauftragten sprechen.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks