Der Schutz personenbezogener Daten unterliegt den strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO). Doch wie lässt sich Künstliche Intelligenz (KI) in diesem Rahmen einsetzen, um etwa Medizincontroller von lästigen Routineaufgaben zu entlasten?
Alle personenbezogenen Daten lassen sich im Krankenhaus in der Patientenakte finden. In manchen Fällen existiert diese noch in Papierform. In anderen Fällen wird sie bereits digital im KIS abgelegt. Gerade beim Einsatz der elektronischen Fallakte sind Patienten häufig unsicher, wie ihre Daten verwendet bzw. gesichert werden. Datenmissbrauch ist eine der gängigsten Gefahren, wobei die bloße Verarbeitung von Daten – egal in welcher Form – ohne eine ausdrückliche Einstimmung bereits als Datenmissbrauch gewertet wird.
Sollte sich ein Krankenhaus nun für den Einsatz einer KI im Medizincontrolling entscheiden, sollte die Handhabung des Datenschutzes geklärt werden. Muss die Einverständniserklärung, die die Patienten zu Beginn ohnehin abgeben müssen, soweit abgeändert werden, dass die Verarbeitung der Daten mittels KI beinhaltet ist? Oder reicht es aus, dass die Patienten der Verwendung der Daten für die Abrechnung mit den Krankenkassen sowieso zugestimmt haben und die KI eigentlich nur die Medizincontroller unterstützt?
Diese praktische Frage, ob KI für den Datenschutz Gefahren mit sich bringt, sorgt dafür, dass Kliniken beim Einsatz neuer Technologien vorsichtig sind. Denn wird die DSGVO einmal nicht eingehalten, kann das teuer werden.
Dabei lässt sich das Problem ganz einfach lösen, indem die Daten im Haus bleiben und lokal verarbeitet werden. Wird die KI vor Ort („on premise“) installiert und trainiert, lässt sie sich auch direkt an das vorhandene KIS anbinden. Die KIS-Datenbank dient als Trainingsbasis und ermöglicht es der KI, Behandlungen und Diagnosen eigenständig zu kodieren. Auf diese Weise werden die Patientendaten sogar besser geschützt, denn sie werden von weniger Personen gesehen und verarbeitet.
Eine noch weit verbreitete Herausforderung für KI in Krankenhäusern ist die mangelnde Digitalisierung von Patientendaten. Die verpflichtende Einführung der elektronischen Patientenakte („ePA“) 2021 ist hier ein wichtiger Baustein zur Beschleunigung auf dem Weg zur elektronischen Fallakte. Wird die elektronische Fallakte mit einer Schnittstelle zur ePA eingeführt, erhalten Krankenhäuser die Möglichkeit KI-basierte Anwendungen zu nutzen. Krankenhäuser, die in diesem Bereich bereits viel Arbeit investiert haben, können mit großer Datenbasis KI-basierte Anwendungen trainieren und stark davon profitieren.
Doch was wäre eigentlich, wenn personenbezogene Gesundheitsdaten automatisch anonymisiert würden? Eine Anonymisierung würde gleich zwei Datenschutz-Herausforderungen für KI-Anwendungen im Gesundheitswesen auf einmal lösen: Zum einen findet die DSGVO keine Anwendung auf anonyme Daten, d.h. diese dürfen ohne Einschränkungen und ohne eine spezielle Erlaubnis verarbeitet werden. Zum anderen würde sich der Lernprozess der KI in jedem Haus deutlich verkürzen, da mit anonymisierten Daten vortrainierte Modelle ausgetauscht und sofort zum Einsatz kommen könnten.
Zwar steckt die automatische Anonymisierung von unstrukturierten Daten technologisch noch in den Kinderschuhen, denn es genügt ja nicht, einfach Namen und Geburtsdaten aus den Stammdaten der Fälle zu löschen. Oft ist schon aus dem Kontext eines Dokuments in einer Patientenakte ersichtlich, um welche Person es sich handelt. Diese Kontextdaten müssen also zusätzlich anonymisiert werden, um Vertraulichkeit zu wahren und den hohen Anforderungen der DSGVO gerecht zu werden. Dennoch sollte das Gesundheitswesen eine solche Anonymisierung so bald wie möglich umsetzen, nicht nur im Interesse automatisierter und damit kostengünstiger Abläufe im Krankenhaus, sondern auch, um der Ärzteschaft eine größere Datenbasis für die medizinische Forschung zu bieten.
Trotz der geschilderten Herausforderungen lässt sich schon heute sagen: Der Einsatz von KI-Anwendungen im Gesundheitswesen ist wirtschaftlich lohnenswert – und datenschutzrechtlich machbar.