KI und Datenschutz in der Radiologie

von Prof. Dr. Thomas Jäschke, Leiter Institut für Sicherheit und Datenschutz im Gesundheitswesen und Vorstand Datatree AG

In der Radiologie gibt es verschiedene Einsatzmöglichkeiten für künstliche Intelligenz (KI): Unter anderem kann KI zur Erkennung und Einordnung von Krebs- und Gewebezellen, zur Erkennung von Skelettstrukturen und möglichen Abweichungen oder zur Prüfung von Gefäßstrukturen auf eventuelle Anomalien eingesetzt werden. Jede Anwendung von KI ist hinsichtlich einer datenschutzkonformen Gestaltung individuell zu betrachten. Nachfolgend werden verschiedene Anforderungen und Möglichkeiten erläutert.

1. Auftragsverarbeitung

Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) wird notwendig, wenn ein Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet. Das ist der Fall, wenn Sie beispielsweise einen Software-Dienstleister für Installation, Wartung und Fernwartung einer Software beauftragen. Dabei obliegt Ihnen als Auftraggeber die Weisung.

Die allgemeinen Anforderungen an einen AV-Vertrag ergeben sich aus Art. 28 der Datenschutz-Grundverordnung (DS-GVO). Mögliche Muster für AV-Verträge für das Gesundheitswesen werden von unterschiedlichen Berufsverbänden zur Verfügung gestellt und müssen im Regelfall nur geringfügig angepasst werden. Große Gerätehersteller bieten meist sogar einen eigenen Vertrag zur Auftragsverarbeitung an.

2. Gemeinsame Verantwortung

Eine gemeinsame Verantwortung hingegen liegt vor, wenn zwei oder mehrere Verantwortliche gemeinsam eine Verarbeitung durchführen, wobei keiner dieser Verantwortlichen der Weisung eines anderen unterliegt und Teile der Verarbeitung eigenverantwortlich durchführt. Bei einer Studie zur Erprobung neuer Verfahren, Methoden oder Software zu KI kann es sich beispielsweise um eine gemeinsame Verantwortung handeln.

Die gemeinsame Verantwortung stellt allerdings keine Rechtmäßigkeit zur Verarbeitung und Übermittlung personenbezogener Daten dar, es ist also immer eine Rechtmäßigkeit gemäß Art. 6 Abs. 1 DS-GVO erforderlich. Die Rechte und Pflichten der beteiligten Verantwortlichen müssen vertraglich geregelt werden. Dabei ist u. a. klar zu definieren,

  • wer für die Bearbeitung von Betroffenenrechten zuständig ist,
  • was im Falle einer Datenschutz-Verletzung passiert,
  • wer wann und wie zu informieren ist,
  • wer für die Rechtmäßigkeit der Verarbeitung (z. B. das Einholen der Einwilligung) zuständig ist,
  • welche Daten erhoben und verarbeitet werden sollen und
  • zu welchem Zweck die Daten verarbeitet werden.

3. Einsatz von Pseudonymisierung und Anonymisierung

Für jeden Anwendungsfall sollten Sie außerdem prüfen, ob und wie Sie den Einsatz von Pseudonymisierung oder Anonymisierung realisieren können.

Pseudonymisierung

Die Pseudonymisierung zielt darauf ab, die Verarbeitung von personenbezogenen Daten so zu gestalten, dass der entsprechende Patient nicht ohne Weiteres identifiziert werden kann. Der Patient darf im Nachgang nur noch durch das Pseudonym und die dazugehörige Pseudonymliste identifizierbar sein.

Daher ist es nicht ausreichend, nur den Namen des Patienten durch ein Pseudonym zu ersetzen, während Adresse, Geburtsdatum sowie Geschlecht im Datensatz erhalten bleiben. Eine Identifizierung mit diesen Daten wäre nämlich weiterhin möglich. Bei der Bildung des Pseudonyms dürfen somit auch keine Initialen und Teile des Geburtsdatums, der Adresse oder weiterer öffentlich zugänglicher Daten verwendet werden.

Im Falle einer Pseudonymisierung sind folgende organisatorische Aspekte gemäß Art. 4 Abs. 5 DS-GVO von Bedeutung:

  • Wer bewahrt die Pseudonymliste auf und verwaltet sie?
  • Wer hat Zugriff darauf?
  • Unter welchen Voraussetzungen darf eine Rückführung stattfinden?

Anonymisierung

Dahingegen bedeutet eine Anonymisierung, dass der Patient selbst mit großem Arbeits- und Kostenaufwand nicht mehr identifizierbar sein darf. Daher müssen sämtliche direkt identifizierbaren Daten, wie Vor- und Nachname, Adresse, Telefonnummer oder Versichertennummer entfernt werden. Auch weitere Daten, durch die alleine oder durch deren Kombination mit weiteren Daten eine Identifikation des Patienten möglich wäre, wie Geburtsdatum, Geschlecht, Erkrankungen oder Behandlungs- bzw. Untersuchungsdatum, müssen dafür

  • entfernt oder
  • vergröbert werden.

Bei einer Vergröberung werden die Daten verallgemeinert oder in Cluster zusammengefasst. So wird aus dem Geburtsdatum beispielsweise nur das Alter oder eine Altersspanne.

4. Exkurs: Datenübermittlung in die USA

Mit dem EuGH-Urteil vom 16.07.2020 (Az. C-311/18) ist das EU-US Privacy Shield außer Kraft gesetzt worden. Es ist daher nicht mehr, wie vorher durch den Angemessenheitsbeschluss der EU-Kommission, als geeignete Garantie für eine Datenübermittlung in die USA anwendbar.

EU-US Privacy Shield

Das 2016 in Kraft getretene EU-US Privacy Shield diente als sogenannte „geeignete Garantie“ für eine Datenübertragung aus der EU in die USA. US-Unternehmen verpflichteten sich dazu, sich an die europäische DS-GVO zu halten.

 

Das betrifft die Radiologie insofern, da viele Gerätehersteller in den USA sitzen und somit bei möglichen Supportanfragen oder einem Austausch bzw. einer Reparatur von Modalitäten eine Datenübertragung in die USA stattfinden kann. Alternativ zum gekippten Privacy Shield ist aktuell noch die Verwendung von

  • EU-Standardvertragsklauseln,
  • Binding Corporate Rules oder
  • die Einwilligung durch die betroffenen Personen möglich.

Die Einwilligung stellt sich allerdings meist als nicht sonderlich praktikabel heraus, da es sich gerade bei der Wartung von Großgeräten oder Softwareprodukten um zu viele potenzielle Betroffene handelt. Selbst bei diesen Lösungen besteht weiterhin eine rechtliche Unsicherheit, da die Anbieter keine wirklich geeigneten Garantien geben können, dass eine mögliche Einsichtnahme durch US-Behörden ausgeschlossen wird.

Praxistipp

Daher gelten die folgenden Empfehlungen: Gestalten Sie den Support und die Fernwartung von Geräten pseudonym oder anonym. Ebenfalls sollten Sie Ihren Anbieter nach einem sogenannten Transparenzbericht fragen. Dieser umfasst eine Übersicht der Anfragen von US-Behörden auf die Daten von EU-Bürgern.

 

Weiterführende Hinweise