Der Einsatz von KI-Anwendungen ist auch im Gesundheitssektor die Schlüsseltechnologie der Zukunft. Die Auswertung großer Datenmengen durch KI ermöglicht die Optimierung von Diagnostik und Therapie sowie deutliche Effizienzsteigerungen in Forschungsprozessen, sei es in der Pharma- oder in der Versorgungsforschung. Die Chancen sind groß – aber der Einsatz birgt auch Risiken: Einerseits für die Patienten, deren sensible Daten automatisiert ausgewertet und genutzt werden und andererseits auch für Anwender oder Hersteller, die umfassende regulatorische Anforderungen umsetzen müssen und für Fehler haften. Von Anfang an müssen Sicherheitsaspekte, die richtige Auswahl der für die jeweiligen Zwecke zu nutzenden Daten oder auch die Möglichkeit der Überprüfung der Ergebnisse mit bedacht werden. Nicht zuletzt ist auch eine Strategie zu entwickeln, welche Förderungen notwendig sind und in welchem Umfang die Player im Gesundheitswesen, wie Leistungserbringer, Leistungsträger oder auch Pharma- und Medizinprodukteindustrie einzubinden sind. Die Europäische Union will durch diverse Gesetzgebungsverfahren, genannt seien hier die Verordnung zum European Health Data Space (EHDS) und die KI-Verordnung, den Interessen aller Beteiligten gerecht werden. Diese Neuregelungen sollen bestehende Regelungen nicht ablösen sondern ergänzen. Daraus ergeben sich Widersprüche, die es aufzulösen gilt. Eine Herkulesaufgabe nicht nur für den Verordnungsgeber.
- Hürde: Das Datenschutzrecht
Datenschutzrechtlich gelten für die Verarbeitung von Patientendaten bislang die Datenschutzgrundverordnung (DSGVO), die speziellen datenschutzrechtlichen Regelungen für Krankenhäuser oder auch die bereichsspezifischen Vorschriften des Sozialgesetzbuchs. Diese schränken die Möglichkeiten der Datenverarbeitung mittels KI – die z.B. umfassende, zweckunabhängige Speicherungen und Auswertungen von personenbezogenen Daten im großen Umfang erfordern – erheblich ein und machen fast immer die Einwilligung des Patienten erforderlich. Die DSGVO findet auch weiterhin Anwendung; die geplanten Verordnungen sollen jedoch durch dort vorgesehene gesetzliche Erlaubnistatbestände die Nutzung der Daten auch ohne Einwilligung ermöglichen.
- Hürde: Mangelnde Verfügbarkeit strukturierter Daten
Der Entwurf der Verordnung zum European Health Data Space (EHDS-VO) aus Mai 2022, soll den ersten der in der europäischen Datenstrategie vorgesehenen bereichsspezifischen Datenräumeschaffen. Um die Europäische Union (EU) im weltweiten Wettbewerb um Forschung und Innovation zu stärken, soll auch die kommerzielle Verwertung von Daten durch KI ermöglicht werden. Ein wichtiger Schritt, denn bislang stehen nicht ausreichend und zu wenig strukturierte Daten, die für das notwendige Training von KI eingesetzt werden dürfen, zur Verfügung. Die EHDS-VO enthält harmonisierte Regeln, Standards, Verfahren, Infrastrukturen und Governance für die erleichterte Nutzung von Gesundheitsdaten in der EU für die dort festgelegten Zwecke. Es wird sowohl die Primärnutzung von Gesundheitsdaten, also der Zugriff und die Kontrolle über die eigenen Gesundheitsdaten in der EU durch natürliche Personen im Rahmen der elektronischen Gesundheitsakte (EHR), als auch die Sekundärnutzung von Gesundheitsdaten mittels z.B. KI-Anwendungen für Zwecke der Forschung geregelt. Endlich soll auch der Privatwirtschaft bei Nachweis berechtigter Forschungsinteressen Zugriff und Verwertung ermöglicht werden. Hier mag eine erste Erleichterung für alle Player eintreten.
- Hürde: Regelungswidersprüche
Die Nutzung von Daten für KI-Anwendungen wird jedoch nicht nur durch die EHDS-VO geregelt: Für nächstes Jahr wird auch die Verabschiedung der KI-Verordnung erwartet: Diese findet auf KI-basierte Medizin-Software-Systeme Anwendung und erfordert u.a. ein Risikomanagement, Daten-Governance und technische Dokumentation der Systeme. KI-Anwendungen in der Medizin gelten dabei als Hochrisiko-KI-Systeme.
Bereits heute unterliegen KI-basierte Medizinprodukte dem detaillierten Regulierungsrahmen der Medizinprodukte-Verordnung (MDR). Bei diesen KI-basierten Produkten handelt es sich um Software, die als Teil eins Medizinprodukts unter die CE-Kennzeichnung des Gesamtprodukts fällt oder um eigenständige Software, die als Medizinprodukt mit einer eigenen CE-Kennzeichnung zu versehen ist. Konformitätsbewertung und Klassifizierung erfolgen in Abhängigkeit vom Risikopotential nach den Anforderungen der MDR. Ebenso geregelt sind umfassende Pflichten zur Überwachung nach dem Inverkehrbringen des Produkts und zur Vigilanz.
Das Verhältnis beider Verordnungen ist bislang weitgehend ungeklärt. Widersprüche ergeben sich bereits bei den Begriffsbestimmungen. Kommt es hier zu keiner Verzahnung könnten sich „doppelte“ Kontrollmaßnahmen sowie sich überschneidende oder sogar widersprechende Regelungen nach beiden Verordnungen als erhebliches Innovationshemmnis erweisen.
- Hürde: Nationale Gesetze als Treiber oder Bremser?
Das Bundesgesundheitsministerium hat mit der Vorstellung seiner Digitalisierungsstrategie nachgezogen und angekündigt, den nationalen Rechtsrahmen bereit zu machen für den Europäischen Datenraum. Die Gesetzentwürfe für das Digitalgesetz (DiGiG) und das Gesundheitsdatennutzungsgesetz (GDNG) liegen nun vor. Die Eröffnung der Datennutzung für jeden, der einen wissenschaftlichen Forschungszweck belegt, also auch Unternehmen der Privatwirtschaft, ist ebenso positiv zu bewerten wie die Benennung einer federführenden Datenschutzaufsichtsbehörde bei länderübergreifenden Forschungsvorhaben. Doch wird im laufenden Gesetzgebungsverfahren die Ausgestaltung im Detail über die Praktikabilität der Regelungen und über die Frage entscheiden, ob Deutschland auf dieser Basis den EHDS auf europäischer Ebene vorantreiben kann.
Fazit
Die Regulierungsversuche, sowohl auf europäischer als auch auf nationaler Ebene, sollen mehr Klarheit bei der Nutzung von KI-Anwendungen im Gesundheitssektor schaffen. Für die Nutzer und Hersteller der KI-Anwendungen bedeuten die zahlreichen Regulierungen jedoch ein Dickicht von zumindest derzeit in vielen Punkten noch nicht kompatiblen Regelungen, das gelichtet werden muss. Nur so kann ein einheitlicher Rechtsrahmen zur Nutzung von KI-Anwendungen im Gesundheitssektor gelingen und somit die Vorteile der Nutzung von KI-Anwendungen in Prävention, Diagnostik, Therapie und Forschung ausgeschöpft werden.
Gast-Autorinnen:
Silvia C. Bauer, Rechtsanwältin, Partnerin, Luther Rechtsanwaltsgesellschaft Information Tech & Communications, Köln
Cornelia Yzer, Rechtsanwältin, Co-Lead Life Sciences & Healthcare, Leiterin AG Digital Health, Luther Rechtsanwaltsgesellschaft, Berlin