AIA- und DigiG: Der rechtliche Rahmen im digitalen Gesundheitswesen

KI und Cloud-Computing datenschutzkonform einsetzen

Arbeitspläne von einer KI-gesteuerten Software erstellen lassen, Daten per Cloud-Dienst unterschiedlichen Abteilungen zugänglich machen – im medizinischen Alltag verschaffen moderne digitale Technologien eine deutliche Arbeitserleichterung. Dass ihr Einsatz aber auch datenschutzkonform geschieht, regeln rechtliche Rahmenbedingungen wie der Artificial Intelligence Act (AIA) der EU oder das Digitalgesetz (DigiG) der Bundesregierung. In ihnen sind Vorgaben definiert, die Krankenhäuser, Forschungseinrichtungen und Arztpraxen nun überprüfen sollten.

Rezepte per Krankenkarte in der Apotheke einlösen, organisatorische Aufgaben in Krankenhäusern von einer KI-gesteuerten Software erledigen lassen oder eine bessere und effizientere Versorgung durch die elektronische Patientenakte ermöglichen – der Einsatz digitaler Technologien sorgt im Gesundheitswesen in unterschiedlichsten Bereichen für erhebliche Vorteile. Während ihr praktischer Nutzen meist sofort ersichtlich ist, birgt die Digitalisierung aus Datenschutz-Sicht jedoch einige Risiken, denn bspw. KI-Systeme sind auf große Datenmengen angewiesen, um Muster zu erkennen und Entscheidungen zu treffen. Diese Daten sind jedoch nicht selten personenbezogen oder leicht zu personenbezogenen Daten rückführbar, was sie besonders sensibel macht.

Laut DSGVO sind gerade Unternehmen in der Medizinbranche dazu verpflichtet, personenbezogene Daten nur dann zu verarbeiten, wenn es eine klare Rechtsgrundlage dafür gibt. Hier kollidieren oft die Anforderungen der DSGVO mit den Bedürfnissen von KI-Systemen. Herausforderungen entstehen beispielsweise bei der automatisierten Datenverarbeitung oder in der Transparenz der Verarbeitung. Art. 22 DSGVO zum Beispiel gibt den Betroffenen das Recht, keiner ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die erhebliche Auswirkungen auf sie hat. Dies gilt insbesondere für Entscheidungen, die rechtliche Konsequenzen haben oder das Leben einer Person maßgeblich beeinflussen. Dahingegen wird in Art. 5 Abs. 1 DSGVO die Transparenz in der Datenverarbeitung definiert. Er schreibt vor, dass die betroffene Person über Art und Weise, wie ihre Daten verarbeitet werden, informiert werden muss. Werden personenbezogene Daten zudem durch eine KI verarbeitet, muss gegebenenfalls ein Auftragsverarbeitungsvertrag per Prokura (pp) geschlossen werden.

Künstliche Intelligenz AIA-konform im Gesundheitswesen einsetzen

Um den Einsatz von KI im Gesundheitswesen dennoch zu ermöglichen, haben die EU sowie die deutsche Bundesregierung Maßnahmen wie beispielsweise das Digitalgesetz (DigiG) und den Artificial Intelligence Act (AIA) ergriffen. Diese sollen Krankenhäusern, forschenden Einrichtungen und Arztpraxen einen gesetzlichen Rahmen bieten, sich in einem digitalen Umfeld rechtskonform zu bewegen.

Der AIA, der am 01. August 2024 in Kraft trat und ab August 2026 verbindlich wird, setzt in seinem Umgang mit KI auf einen risikobasierten Ansatz und teilt KI-Systeme in vier Risikoklassen ein:

1. Unannehmbares Risiko: Bestimmte KI-Praktiken, die die Grundrechte gefährden, sind vollständig verboten, wie etwa, wenn eine KI eigenständig entscheidet, welche Patienten eine Notfallbehandlung erhalten und welche nicht.

2. Hohes Risiko: KI-Systeme, die in sensiblen Bereichen – etwa der Medizinbranche – zum Einsatz kommen, unterliegen strengen Anforderungen in Bezug auf Transparenz, Sicherheit und Überwachung.

3. Begrenztes Risiko: KI-Anwendungen, die direkt mit Personen interagieren, bspw. Chatbots, müssen offengelegt werden, sodass Nutzer über den Einsatz von KI informiert sind.

4. Minimales oder kein Risiko: Systeme mit geringem Risiko unterliegen keinen spezifischen Anforderungen.

Daraus ergibt sich für medizinische Einrichtungen konkret die Handlungsempfehlung, ihre eingesetzten Techniken entsprechend dieser Risiko-Einordnung zu überprüfen. Nutzen sie zum Beispiel KI-Systeme der Kategorie 2 sollte eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. In dieser werden potenzielle Risiken im Kontext der Datenverarbeitung durch KI identifiziert und bewertet, sodass im Anschluss Maßnahmen zur Risikominimierung ergriffen werden können. Dazu könnte gehören, dass sensible Patientendaten vor der Verarbeitung durch die KI pseudonymisiert oder anonymisiert werden. Ebenso könnten regelmäßige Audits der KI-Entscheidungen durch medizinische Fachkräfte eingeführt werden, um Verzerrungen oder Fehler frühzeitig zu erkennen und gegenzusteuern.

Neben dieser Überprüfung und Einordnung ist ein transparenter Umgang beim Einsatz von KI entscheidend. Denn schließlich sollte nicht nur dem Personal, sondern auch den Patienten klar kommuniziert werden, wofür KI eingesetzt wird und warum deshalb die Datenerhebung und -verarbeitung wichtig ist. Damit dies ersichtlich wird, müssen zunächst alle Prozesse und Verfahren im Kontext der Datenverarbeitung und dem Einsatz von KI umfassend dokumentiert werden. Ist dies geschehen, sollten der Einsatz sowie Änderungen und/oder Aktualisierungen transparent kommuniziert werden, sodass alle betroffenen Personen stets auf dem neuesten Stand sind.

Neueste Cloud-Computing-Vorgaben des DigiGs

Aktualität wird ebenfalls zur Problemstellung, da sie aufgrund stetiger technologischer Neuentwicklungen auch den deutschen Gesetzgeber immer wieder zum Handeln herausfordert. So hat beispielsweise das Digital-Gesetz (DigiG) vorhandene gesetzliche Rahmenbedingungen für digitale Maßnahmen in der Medizinbranche erneut unter die Lupe genommen und nach aktuellem Wissensstand präzisiert: § 393 des Sozialgesetzbuchs V (SGB V) regelt nun die Nutzung von Cloud Computing-Diensten durch Leistungserbringer, Kranken- und Pflegekassen sowie deren Auftrags(daten)verarbeiter, indem sie eine zentrale geografische Vorgabe macht und sowohl technologische wie auch branchenspezifische Sicherheitsstandards definiert:

– geografische Vorgabe: Seit Juli 2024 darf die Datenverarbeitung nur im Inland, in einem Mitgliedstaat der Europäischen Union oder in einem Staat, der gemäß § 35 Abs. 7 SGB I als gleichgestellt gilt, erfolgen. Eine Ausnahme betrifft Drittstaaten, in denen Gesundheitsdaten verarbeitet werden sollen. Diese müssen einen Angemessenheitsbeschluss der Europäischen Kommission vorweisen, der sicherstellt, dass die Datenschutzstandards in diesen Ländern mit denen der EU vergleichbar sind.

– technologische Sicherheitsstandards: Die eingesetzte Technik muss angemessene technische und organisatorische Maßnahmen zur Informationssicherheit beinhalten. Dazu gehört beispielsweise ein aktuelles C5-Testat (Cloud Computing Compliance Criteria Catalogue) der datenverarbeitenden Stelle. Es bestätigt, dass ein Cloud-Anbieter die erforderlichen Sicherheits- und Datenschutzstandards erfüllt. Für die Medizinbranche bedeutet das, dass der Anbieter sicherstellt, dass Gesundheitsdaten gemäß den strengen Vorgaben der DSGVO und weiteren relevanten Gesetzen verarbeitet werden. Das Testat prüft, ob der Anbieter Maßnahmen wie Datenverschlüsselung, Zugangskontrollen, regelmäßige Sicherheitsüberprüfungen und Notfallpläne implementiert hat und diese kontinuierlich einhält. Es ist somit ein wichtiger Nachweis für die Sicherheit und den Schutz von Patientendaten in der Cloud.

– branchenspezifische Sicherheitsstandards: Ein Beispiel ist § 390 SGB V für die vertragsärztliche und vertragszahnärztliche Versorgung. Dieser schreibt vor, dass Praxen digitale Gesundheitsdaten, wie etwa E-Mails oder Patientenakten, verschlüsselt übertragen müssen, um unbefugten Zugriff zu verhindern. Ein weiteres Beispiel ist § 391 SGB V, der unter anderem die Anforderungen an Datensicherungssysteme in Krankenhäusern festlegt. Krankenhäuser müssen demnach nicht nur über ein funktionierendes Backup-System verfügen, sondern auch regelmäßig Penetrationstests durchführen lassen, um Schwachstellen in ihren IT-Systemen zu identifizieren und zu beheben.

Fazit

Zertifikate und Vorgaben prüfen, Tests durchführen, Risiken bewerten, daraus Maßnahmen ableiten und im Anschluss professionell kommunizieren – auch wenn der rechtliche Rahmen des AIA und DigiG sehr umfangreich ist, lohnt es sich dennoch, alle notwendigen Schritte anzugehen. Denn sind medizinische Einrichtungen datenschutzkonform mit ihren KI-Systemen und Cloud-Diensten aufgestellt, profitieren sie von allen praktischen Vorteilen der digitalen Technologien. Auch müssen sie sich nicht mehr vor eventuellen Kontrollen oder gar Bußgeldbescheiden fürchten. Sind sie sich noch nicht sicher, ob alle bereits geleisteten Maßnahmen ausreichen oder wissen nicht, wie sie auf AIA oder DigiG reagieren müssen, hilft die externe Expertise eines Datenschutzbeauftragten. Er ist mit der Materie vertraut, weiß welche Hürden es zu meistern gilt und hilft mit seiner externen Brille zudem interne Prozesse zu verbessern.