KI ist aktueller denn je. Grade im Gesundheitswesen kann KI bei der Befundung den Arzt sehr gut unterstützen. Solange KI bei der Erstellung von Befunden nur unterstützt und keine eigenen Entscheidungen fällt ist das eigentlich eine gute Sache.
Die Dienstleister sehen sich als Auftragsverarbeiter. Auch da gibt es erst einmal nichts zu beanstanden.
Mit ist es nun aber schon in zwei Anwendungsfällen passiert, dass der Dienstleister die durch KI beurteilten Daten für eigene Zwecke, nämlich der Weiterentwicklung seiner KI verwenden will. Und da sehe ich grade im Gesundheitswese ein großes Problem. Ich bin der Auffassung, dass das nur mit eigener Rechtmäßigkeit des Dienstleisters möglich ist und auf keinen Fall durch eine Auftragsverarbeitung gedeckt wird.
Wie seht ihr das? Hat da jemand praktische Erfahrung?
Würd ich pauschal auch als gemeinsame Verantwortlichkeit sehen und je nach genauer Fallkonstellation schwierig da Gesundheitsdaten. Insbesondere kann bei solchen Modellen kein Widerspruch/Widerruf erfolgen.
Insbesondere greift spätestens da Art 9 (2) h DSGVO nichtmehr und es müsste eine Einwilligung eingeholt werden.
herzlichen Dank für Deine Einschätzung! Die gemeinsam Verantwortung sehe ich da auch. Konkret war das bisher einmal der Fall in dem der Dienstleister im AV-Vertrag eine Klausel im Vertrag hatte, die Daten für eigene Zwecke über 6 Jahre verwenden zu dürfen. Diese Klausel wurde jedoch auch mein Empfehlung hin gestrichen.
Aktuell geht es nun um ein Diktatsystem für die Behandlungsdokumentation (KI-Anwendung in einer Cloud). Da ist was vergleichbares geplant.
Ich finde das Diskussionspapier des LfDI zu KI sehr hilfreich. Dies beantwortet meines Erachtens genau diese Frage, dass in einem solchen Fall keine AV vorliegt (natürlich immer nur soweit dies auf der hohen Flughöhe der Darstellung des Sachverhalts möglich ist).
Das DSK-Papier ist auch ganz hilfreich, jedoch nicht ganz so konkret wie die Veröffentlichung des LfDI. Aber da hatten ja auch ein paar Leute mehr mit zu reden…
Der Sachverhalt war eine KI, die Schichtaufnahmen des Augenhintergrundes auswertet. Der Arzt wird durch die KI bei der Beurteilung unterstützt, ob sich in dem Bereich Flüssigkeitsansammlungen befinden, was eine Relevanz für die weitere Behandlung hat. Die KI kann hier sehr differenziertere Aussagen treffen als das Auge des Arztes.
Diese Einsatzzweck wird in dem Diskussionspapier der LfDI BaWü konkret angesprochen. Nutzung der KI ist AV, Training der KI nicht.
Wenn der KI-Anbieter keine Begründung nach Art. 6(1) DSGVO für eine Verarbeitung der pers.Daten liefert, dann teilt man ihm mit, dass er solche Daten nicht für eigene Zwecke verarbeiten darf, speziell nicht für die Weiterentwicklung seiner KI. Wenn der KI-Anbieter sich nicht daran hält, dann legt man Rechtsmittel an.