Guten Morgen,
ich habe eine Frage aus dem Gesundheitsbereich:
Ein Arzt möchte ein System einsetzen, wo eine KI ein Röntgenbild analysiert. Das Röntgenbild wird dem KI-Dienstleister ohne Patientennamen zur Verfügung gestellt (verschlüsselte Übertragung). Es findet dann die Analyse statt und das Ergebnis, mögliche Probleme oder von der KI erkannte Unregelmäßigkeiten werden an die behandelnde Arztpraxis zurückgesendet. Die Praxis soll zu keiner Zeit den Patientennamen erhalten und erklärt auch, dass die zur Verfügung gestellten Patientenbilder nicht zu Schulungszwecken der KI benutzt werden, sondern nach einem gewissen Zeitraum (2 Wochen) wieder gelöscht werden. Es wird angenommen, dass die zur Verfügung gestellten Daten anonym sind. Wären sie dies auch, wenn es sich um Röntgenbilder der Zähne (komplettes Gebiss, Panorama-Aufnahme) handelt?
Auf was müsste nun ein Datenschutzbeauftragter dieser Praxis beachten bzw. worauf aufmerksam machen?
Die Leistung ist eine Zusatzleistung. Reicht es, wenn der Patrient eine Information erhält und eine Einwilligung unterschreibt und die Verarbeitung im Verarbeitungsregister aufgenommen wird oder muss eine Datenschutzfolgeabschätzung erfolgen? Was wäre sonst noch zu beachten?
Das erste was mir einfällt ist, dass m. E. ein AVV mit dem Dienstleister geschlossen werden sollte und auch um eine DSFA kommt man m. E. vermutlich nicht herum, die der Anbieter hoffentlich zumindest seinerseits größtenteils vorbereitet hat.
Ob die Daten als anonym gelten ist glaub ich fallabhängig, je nachdem wieviel aus solchen Bildern gelesen werden kann, welche Zusatzdaten (Aufnahmedatum? Klinik/Praxis?) noch verarbeitet werden, etc…Pseudonymisiert passt glaub ich da eher. Bin aber zu ungebildet im Medizinbereich um eine abschließende Aussage treffen zu können wieviel aus solchen Ausnahmen gezogen werden kann und wie die Verarbeitung genau passiert.
Wenn das ganze eine freiwillige Zusatzleistung ist, denke ich ist eine informierte & freiwillige Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO eine sinnvolle Möglichkeit, insbesondere weil die Verarbeitung soweit ich es verstehe einmalig ist und ein Entzug der Einwilligung umsetzbar erscheint.
Art. 9 Abs. 2 lit. h) bietet sich ggfs. auch an, aber ich fände die Einwilligung besser.
Das einzige das mir noch auffällt ist die Aufbewahrungsfrist. Ist dir bekannt wieso der Zeitraum der Aufbewahrung 2 Wochen beträgt?
Ich denke, in den zwei Wochen kann der auftraggebende Arzt noch Rückfragen stellen, kann es aber nicht ganz genau beantworten. Auf den AVV warte ich noch. Dann sind vielleicht einige Fragen bereits geklärt.
Dir vielen Dank schon mal.
Das können gar anonymen Daten sein. Der Arzt erhält von der KI eine Rückmeldung auf Basis der Rückmeldung stellt er seine Diagnose. Ergo muss der Arzt in der Lage sein die Rückmeldung einem Patienten zuordnen zu können. Somit sind die Daten pseudonymisiert.
die Annahme, dass die Daten als “anonym” gelten könnte ist m. E. falsch. Die KI wertet die Aufnahmen aus und gibt eine Rückmeldung. Diese Rückmeldung unterstützt den Arzt bei der Beurteilung und Befundung. Ergo muss der Einsender die Rückmeldung einem Patienten zuordnen können, ergo können die Daten nur pseudonymisiert sein.
Die Dienstleistung “Angebot der KI-Unterstützung” ist eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO und fordert einen entsprechenden Vertrag. In Deutschland gilt das sogenannte AV-Privileg, so dass Patienten über die KI Anwendung informiert werden müssen (Art. 12, 13) Eine Einwilligung wäre für die reine AV nicht notwendig.
Bevor diese Anwendung an den Start geht wäre aus meiner Sicht eine DSFA erforderlich. Natürlich ist das auch ein Prozess fürs VVT. Die Löschfrist darf keine fixe Vorgabe des Anbieters sein. Einzig der Auftraggeber bestimmt einen Zeitraum, wie lang die Aufnahmen in dem fremden System vorgehalten werden sollen.
Den AVV würde ich ebenfalls genau unter die Lupe nehmen. Mir ist da bereits ein Dienstleister untergekommen, der für sich das Recht in dem AVV eingearbeitet hatte übermittelte Daten zur “Qualitätssicherung und Weiterentwicklung” über sechs Jahre eigenverantwortlich zu speichern.
Hier muss der Dienstleister eine eigene Rechtsmäßigkeit sicher stellen. Das geht nicht über einen AVV!
Weiter würde ich auch bei den TOM’s und den eingesetzten Unterauftragnehmern genau hinsehen. Nicht selten werden KI-Systeme auf Cloudsystemen gehostet, die angemietet sind. Und dann sind ganz schnell AWS, Google oder MS Azure im Spiel. Hier würde ich darauf achten, dass der Dienstleister sichergestellt hat, dass ausschließlich Rechenzentren in Deutschland ober zumindest in Europa eingesetzt sind und ein Transfer in Drittstaaten ausgeschlossen ist. Weiter sollte der Dienstleister auf diesen angemieteten Systemen eigene Verschlüsselungsmechanismen anwenden, auf die der Clouddienstleister keinen Zugriff hat. Das ist alleine schon wegen den erforderlichen Backups des Cloudanbieters notwendig, da nicht auszuschließen ist, dass Backups trotz europäischen Rechenzentren in Drittstaaten liegen.
Ja, eh, danke dir. Da war ich so kurz davor es selber zu erkennen weil ich von Zusatzsdaten rede und habs doch nicht geschafft. Insbesondere da die 2 Wochen ja scheinbar für Rückfragen etc. exisiteren
Ich würd die Einwilligung auch eher als ein Thema für den Vorgang, nicht für den AVV sehen, je nachdem wie weit eine Zusatzleistung als freiwillig oder als erforderlich i. S. des Art. 9 Abs.2 lit. h) DSGVO eingestuft werden kann.
Ich würd zudem, fällt mir grad ein, noch das Thema C5 in die Runde werfen, welches m. E. hier greifen könnte und entsprechend müsste jetzt gehandelt werden.
Der Art. 9 ist m.E. keine alleine gültige Rechtmäßigkeit einer Verarbeitung. Kombiniert mit Art. 6 Abs. 1 lit b) (Behandlungsvertrag) würde Art. 9 Abs. 2 lit h) jedoch Sinn ergeben. Wobei aus der Beschreibung des Vorgangs nicht klar hervorgeht, in welchen Fällen die KI genutzt werden soll.
Wenn die Anwendung der KI einen Benefit für die Behandlung/Diagnostik des Patienten darstellt, dann braucht es für den Vorgang keine Einwilligung, das ist ja grade der Nutzeffekt des AV-Privilegs.
Natürlich kann es Sinn machen noch eine gewisse Zeit X Daten im externen System vorzuhalten, insbesondere dann, wenn im Behandlungsverlauf vielleicht auch Aufnahmen durch die KI verglichen werden sollen. Mit meiner Anmerkung wollte ich nur das Bewusstsein schaffen, dass der Verantwortliche Auftraggeber diese Zeit definieren muss und nicht der Auftragnehmer.
Es ist ja nur von Beurteilung eines Röntgenbild durch eine KI die Rede. Dennoch dürfte man davon ausgehen, dass die KI nur bei speziellen Situation eingesetzt wird. Einen Knochenbruch sollte ein Radiologe oder Traumatologe auch ohne KI erkennnen
Der Cloud Computing Compliance Criteria Catalogue, der dank Gesetzesänderungen für die Gesundheitsbranche und alle Ihre Dienstleister verpflichtend ist, sofern sie als Cloud Computing einzuordnen sind, was hier durchaus der Fall sein könnte, je nachdem wie das System genau gestaltet ist.
Ah jetzt ja…
Der KI Act der EU nimmt so langsam richtig Fahrt auf. Grade gestern habe ich von Schulungspflichten von Anwendern von KI gelesen, die sich für Verantwortliche im Gesundheitswesen ergeben. Ein spannendes Thema, da erste KI Anwendungen im Gesundheitswesen ja bereits am Start sind.