image

Digital Health | Health Care News

10 / 10

Perspektive Datenschutz und Recht

Das traditionelle Medizin­produkte­recht ist nicht für Technologien des maschinellen Lernens konzipiert – vor allem nicht für adaptive Technologien, die sich mithilfe neuer Daten kontinuierlich verbessern.

Prof. Dr. Heinz-Uwe Dettling

Partner EY Law

Dr. Marion-Béatrice Venencie-Nolte

Senior Consultant EY Law

Stellungnahme zu Digital Health aus der Perspektive von Datenschutz und Recht

Frau Dr. Venencie-Nolte, Herr Prof. Dr. Dettling, wie beurteilen Sie die durch Digital Health initiierte Entwicklung aus der Perspektive von Datenschutz und Recht ? Wie lautet Ihre rechtliche Einschätzung? Welche Rahmenbedingungen und Restriktionen sind zu beachten?

Digital Health ist ein enorm breites Feld und zeigt sich den Verbrauchern in den unterschiedlichsten Anwendungen, angefangen bei Fitness-Trackern über Gesundheits-Apps bis hin zu Videosprechstunden. Der Begriff steht aber auch für die zunehmende Vernetzung der Akteure im Gesundheitswesen, für neue Arten der Übermittlung von Gesundheitsdaten wie auch für computergestützte Diagnose- und Behandlungsverfahren. Und das ist nur ein kleiner Ausschnitt der Chancen und Möglichkeiten. Jede dieser Facetten wirft zahlreiche rechtliche Fragen auf und birgt potenzielle Gefahren hinsichtlich des Schutzes der übermittelten Gesundheitsdaten. Daher würde es den Rahmen sprengen, alle Aspekte abdecken zu wollen. Doch es gibt ein Thema, das im Bereich Digital Health die wohl fundamentalste Veränderung mit sich bringt: künstliche Intelligenz (KI). Daher steht dieses Thema hier im Fokus.


KI hat das Potenzial, das Gesundheitswesen in ein neues Zeitalter zu befördern. Das ist längst keine Science-Fiction mehr. Schon heute begegnen wir immer häufiger intelligenten und personalisierten Medizinprodukten in unserem Alltag. Diese stellen die Zulassungsbehörden jedoch vor ganz neue Herausforderungen. Denn das traditionelle Medizinprodukterecht ist nicht für Technologien des maschinellen Lernens konzipiert – vor allem nicht für adaptive Technologien, die sich mithilfe neuer Daten kontinuierlich verbessern. [1] Dies hat die US-amerikanische Zulassungsbehörde für Arzneimittel und Medizinprodukte, die U.S. Food and Drug Administration (FDA), in einem Diskussionspapier im April 2019 festgestellt. [2]


Daher hat die FDA bislang vorsichtig agiert. Im Rahmen ihrer ersten Zulassungen von KI als Medizinprodukt im Jahr 2018 hat sie nur sogenannte „locked algorithms” genehmigt, bei denen die Lernphase abgeschlossen ist. [3] Doch wie steht es mit adaptiven Algorithmen, die Daten aus der Praxis nutzen, um sich immer weiter zu verbessern? Wie lassen sich diese mit den Zertifizierungsanforderungen von Medizinprodukten in Einklang bringen? Auch mit diesen Fragen hat sich die FDA beschäftigt. Ihr Vorschlag für einen Regulierungsansatz ist der neue „total product lifecycle (TPLC) regulatory approach“. Darin fordert die FDA mehr Informationen rund um die „ausreichende Menge und Qualität der Daten“ sowie die Beschreibung der Methodik zum Training der KI-Modelle. Dies ist mit Sicherheit ein Schritt in die richtige Richtung. Gleichzeitig bleibt offen, ob diese teils sehr allgemein formulierten Anforderungen für eine konkrete juristische und medizintechnische Beurteilung ausreichen.


Insbesondere die Verarbeitung personenbezogener Daten in KI-basierten Lösungen wirft viele datenschutzrechtliche Fragen auf. Denn auch hier greift die Datenschutz-Grundverordnung (DSGVO), insbesondere der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Da gesundheitsbezogene Daten als besonders sensibel und schützenswert gelten, ist ihre Verarbeitung laut der DSGVO sogar grundsätzlich untersagt (Art. 9 Abs. 1 DSGVO), es sei denn, die betroffene Person gibt ihre informierte und ausdrückliche Einwilligung. Zusätzlich muss vor der Verarbeitung der personenbezogenen Daten der Patient über den jeweiligen Verwendungszweck informiert werden. Doch genau hier liegt das Problem: Zu dem Zeitpunkt, zu dem die Einwilligung des Patienten eingeholt wird, sind die Zwecke der Datenverarbeitung meist noch nicht vollständig festgelegt. Ein Algorithmus lebt und entwickelt sich immer weiter, sodass sich die Zwecke der Verarbeitung mitunter verändern. In solchen Fällen wären KI-spezifische Anforderungen an Einwilligungen durch den Gesetzgeber eine mögliche Lösung – beispielsweise die Zulassung einer weiten Einwilligung, auch „broad consent“ genannt.


Weitere Hindernisse für den Einsatz von KI ergeben sich aus dem Grundsatz der Datenminimierung, nach dem personenbezogene Daten sparsam erhoben werden müssen. Ein solcher Grundsatz ist schwer mit KI-basierten Lösungen kompatibel, denn eine KI oder ein Modell des maschinellen Lernens sind auf Trainingsdaten angewiesen – je mehr, desto besser.


Diese kurze Skizze der Konflikte zwischen der Umsetzung von KI und dem regulatorischen Rahmen des Datenschutzes zeigt: Es braucht langfristig KI-fachspezifische und praxisorientierte Regelungen sowie konkrete Handlungsanweisungen der Datenschutzaufsichtsbehörden. Ziel ist es, eine Balance zu finden – zwischen dem innovativen Fortschritt der KI und dem effektiven Schutz der Patienten.

[1] Vgl. etwa Dettling, Künstliche Intelligenz als Herausforderung des Medizinprodukterechts. Formallogische und stochastische Grundlagen, MPJ 2019, 176 ff.; Dettling, Künstliche Intelligenz und digitale Unterstützung ärztlicher Entscheidungen in Diagnostik und Therapie. Arzt-, arzneimittel- und medizinprodukterechtliche Aspekte, PharmR 12/2019.


[2] „The traditional paradigm of medical device regulation was not designed for adaptive AI/ML technologies, which have the potential to adapt and optimize device performance in real-time to continuously improve healthcare for patients“, U.S. Food and Drug Administration (FDA), Proposed Regulatory Framework for Modifications to Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD), Discussion Paper and Request for Feedback, published 2 April 2019, p. 3


[3] Vgl. FDA, AI-based SaMD (o. Fn. 3), p. 3; vgl. Zum Verständnis von „locked algorithms“ a. a. O., Fn. 7: „We define a ´locked´ algorithm as an algorithm that provides the same result each time the same input is applied to it and does not change with use (e.g., static look-up tables, decision trees, and complex classifiers).” Vgl. zu den von der FDA zugelassenen Medizinprodukten mit KI etwa FDA, FDA permits marketing of clinical decision support software for alerting providers of a potential stroke in patients (Viz.AI ContaCT), press release 13 February 2018; FDA permits marketing of artificial intelligence-based device to detect certain diabetes-related eye problems (IDx-DR), press release April 11, 2018; FDA permits marketing of artificial intelligence algorithm for aiding providers in detecting wrist fractures (Imagen OsteoDetec), press release 24 May 2018.3

Persönliche Einschätzungen von Prof. Dr. Heinz-Uwe Dettling und Dr. Marion-Béatrice Venencie-Nolte

1.


„Digital Health“ – was geht Ihnen bei diesem Terminus als Erstes durch den Kopf?

HEINZ-UWE DETTLING

Ich denke an die Chancen, die sich aus der digitalen Analyse von Daten mithilfe künstlicher Intelligenz bieten, aber auch an die Herausforderungen, die sich für die richtige Balance zwischen Algorithmisierung und Menschlichkeit in der Patientenversorgung ergeben.

MARION-BÉATRICE VENENCIE-NOLTE

Bei „Digital-Health“ muss ich sofort an KI-basierte Lösungen und Maschinenlernen sowie an die damit verbundenen medizinprodukte- und datenschutzrechtlichen Herausforderungen denken. Denn eine KI oder ein Modell des maschinellen Lernens ist nichts ohne die ihr bzw. ihm zugrunde liegenden Trainingsdaten. In diesem Sinne setzt die Förderung der Entwicklung KI-basierter Lösungen im Health-Care-Bereich eine regelmäßige Patientendatenübertragung an den Softwarehersteller voraus.

2.


Transformation und Digitalisierung – was ist gut daran?

HEINZ-UWE DETTLING

Transformation und Digitalisierung erhöhen die Chancen einer „Gesundheit für alle“. Gesundheit wird unabhängiger vom Land und vom Ort, an dem man sich befindet. Viele Angebote rund um Gesundheit werden insbesondere auch in ärmeren Ländern zugänglich und verfügbar.

MARION-BÉATRICE VENENCIE-NOLTE

KI hat das Potenzial, das Gesundheitswesen in ein neues Zeitalter zu befördern und bietet Chancen für ein effizienteres Gesundheitssystem. Nur so kann das Potenzial der vorhandenen personenbezogenen Gesundheitsdaten und des medizinischen Know-hows zum Wohle der Patienten voll ausgeschöpft werden. Durch die regulierte automatisierte Verarbeitung und Vernetzung von Gesundheitsdaten wird die Entwicklung maßgeschneiderter Therapien und zuverlässigerer Diagnoseverfahren deutlich vereinfacht und beschleunigt.

3.


Welche Probleme bestehen und welche Lösungen sehen Sie?

HEINZ-UWE DETTLING

Ein großes Problem der Digitalisierung ist der mögliche Kompetenzverlust der Leistungserbringer. Zeigt sich KI Ärzten und anderen Leistungserbringern zunehmend überlegen, wird es immer schwieriger, sie auf Dauer fachlich zu kontrollieren. Das Problem des Kontrollverlusts und eines möglichen Vertrauensverlusts wird eines der großen Zukunftsthemen sein.

MARION-BÉATRICE VENENCIE-NOLTE

In Zusammenhang mit dem Einsatz KI-basierter Lösungen besteht wie auch sonst im Recht die Aufgabe darin, diejenigen Rechtsprobleme zu identifizieren, zu analysieren und zu lösen, die sich in dem jeweiligen Kontext in besonderer Weise stellen. Derzeit sieht die DSGVO keine spezifischen Anforderungen an die Verarbeitung personenbezogener Daten durch KI-Lösungen vor. Daher brauchen wir dringend neue Regularien und in der Zwischenzeit praxisorientierte Leitlinien der zuständigen Datenschutzaufsichtsbehörden.

4.


Wie wird das Gesundheitswesen in zehn Jahren aussehen?

HEINZ-UWE DETTLING

Das Gesundheitswesen wird in zehn Jahren ein völlig anderes Gesicht zeigen. Künstliche Intelligenz wird rasende Fortschritte gemacht haben, weitgehend werden Operationen von Robotern ausgeführt, Diagnosen automatisiert und ambulante Gesundheitseinrichtungen digitalisiert werden. Die Menschen lassen ihre Gesundheitsdaten permanent über „Wearables“ messen und analysieren. Unser heutiges Gesundheitswesen wird uns in zehn Jahren rückblickend „wie im Mittelalter“ erscheinen.

Dr. Marion-Béatrice Venencie-Nolte

Senior Consultant EY Law


+49 30 25471 12261

+49 160 939 12261

marion-beatrice.venencie-nolte@de.ey.com

Dr. Marion-Béatrice Venencie-Nolte ist Senior Consultant bei EY Law am Berliner Standort und verfügt über Erfahrung im Bereich des IT- und Datenschutzrechts. Ein Schwerpunkt ihrer Tätigkeit liegt in der datenschutzrechtlichen Beratung im Rahmen von Digitalisierungsprojekten und Projekten zu neuen Geschäftsmodellen in den Bereichen digitale Transformation und künstliche Intelligenz. Zudem unterstützt und schult Marion-Béatrice Venencie-Nolte unsere Mandanten in allen Belangen des Datenschutzes dreisprachig (Deutsch, Englisch, Französisch).

Prof. Dr. Heinz-Uwe Dettling

Partner EY Law


+49 711 9881 19550

+49 160 939 19550

heinz-uwe.dettling@de.ey.com

Prof. Dr. Heinz-Uwe Dettling ist Rechtsanwalt und Partner bei EY Law in Stuttgart. Er berät seit mehr als 20 Jahren Unternehmen im Life-Science-Bereich und leitet das Life-Science-Recht in Deutschland, Österreich und der Schweiz. Heinz-Uwe Dettling ist Autor zahlreicher Veröffentlichungen im Gesundheitsrecht und hält an der Universität Hohenheim Vorlesungen zum Gesundheitswirtschaftsrecht. Er befasst sich zudem intensiv mit Fragen der sich abzeichnenden Regulierung für künstliche Intelligenz.