Leitner: Ich bin seit jeher an technischen Vorgängen interessiert und habe mich bereits früh mit dem Thema Programmierung beschäftigt. Diese IT-Affinität hat mich auch im Studium begleitet, in dem ich die Schwerpunkte auf Medizin- und Computerrecht gelegt habe. Das doch sehr spezielle Thema der KI in der Medizin begleitet mich seit Beginn der Kooperation zwischen SCWP Schindhelm und der Johannes Kepler Universität Linz, wo ich seit Anfang 2018 als Forschungsmitglied im dortigen LIT Law Lab tätig bin. Dieses interdisziplinäre Forschungslabor untersucht die rechtlichen Auswirkungen der Digitalisierung und erarbeitet entsprechende Lösungsvorschläge. Im Rahmen des von der Österreichischen Forschungsförderungsgesellschaft (FFG) geförderten Projekts „SMARAGD“ beschäftige ich mich in meiner Dissertation zudem mit den datenschutzrechtlichen Anforderungen intelligenter Systeme in der Medizin.
Leitner: Wir beraten und betreuen Spitäler, größere Forschungs- und Gesundheitseinrichtungen sowie Ärzte zu unterschiedlichsten Rechtsfragen, auch zu solchen, die sich womöglich erst zukünftig ergeben könnten. Die flächendeckende Anwendung der KI (in der Medizin) ist allerdings erst im Entstehen.
Nill: Zusätzlich beraten wir Ärzte und Zahnärzte bei Ordinationsgründungen sowie bei allem, was damit in Zusammenhang steht, von gesellschafts-, berufs- und arbeits- bis hin zu mietrechtlichen Aspekten.
Leitner: Die drei wichtigsten rechtlichen Bereiche betreffen das Datenschutz-, das Berufs- und das Haftungsrecht.
Beim Thema Datenschutz geht es vor allem um die Entwicklung von KI-Systemen und den nachfolgenden Live-Einsatz im Krankenanstaltenumfeld. Bei der Entwicklung bzw. Forschung benötigt man Trainingsdaten, die zuvor generiert werden müssen. Hier stellen sich z. B. die Fragen: „Woher nimmt man die Daten und unter welchen Voraussetzungen darf man sie zu wissenschaftlichen Forschungszwecken verarbeiten?“ Soweit der Personenbezug aus den Trainingsdaten nicht entfernt werden kann, stellt sich die Frage, unter welchen Voraussetzungen diese im „Live-Betrieb“ des Systems verarbeitet werden dürfen.
In Bezug auf das Berufsrecht muss betont werden, dass der Arzt seine Leistung grundsätzlich persönlich und unmittelbar am Patienten zu erbringen hat. KI-Systeme weisen einen unterschiedlichen Grad an Autonomie auf. Auf der untersten Ebene dienen sie als reine Assistenzsysteme, treten in der höchsten Ausbaustufe aber als „digitaler Arzt“ auf, der vollständig unabhängig diagnostische und therapeutische Entscheidungen trifft. Es muss verhindert werden, dass durch die Anwendung eines KI-Systems das Primat der unmittelbaren Berufsausübung durch den (menschlichen) Arzt unterlaufen wird.
Nill: Die Herausforderung im Bereich des Haftungsrechts liegt darin, dass KI-Systeme zunehmend zur Durchführung jener Tätigkeiten herangezogen werden, für die nach dem Ärztegesetz eigentlich der Arzt zuständig ist bzw. die diesem vorbehalten sind. Je selbstständiger diese Systeme sind, desto eher stellt sich die Frage, ob der Anwender für einen Schaden überhaupt haftbar gemacht werden kann. Interessant wird die Haftungsfrage in Fällen, in denen KI und Arzt über die Behandlung eines Patienten unterschiedlich entscheiden würden.
Nill: Die Haftungsfragen sind natürlich neben den Datenschutzaspekten die zentralen Rechtsfragen, die wir uns im Zusammenhang mit der KI stellen müssen. Wir selbst haben in der Beratungspraxis speziell im medizinischen Bereich erfahren, dass in der medizinischen Diagnostik die digitale Medizin bzw. die Telemedizin zunehmend wichtiger wird – natürlich beschleunigt durch die Corona-Pandemie. Es gibt bislang allerdings kein KI-spezifisches Haftungsrecht.
Der Arzt ist nach dem Ärztegesetz grundsätzlich zur persönlichen und unmittelbaren Berufsausübung verpflichtet. Die Hauptpflichten, die sich aus dem Behandlungsvertrag ergeben, bestehen in der Untersuchung, Diagnostik sowie der notwendigen Therapie. Hinzu kommt auch, dass das Ärztegesetz ausdrücklich jene Tätigkeiten vorgibt, welche nur von Ärzten durchgeführt werden dürfen – den sogenannten „Arztvorbehalt“. Wenn KI-Systeme zunehmend für die Durchführung jener Tätigkeiten herangezogen werden, welche aufgrund der gesetzlichen Verpflichtungen eigentlich ein Arzt zu erbringen hätte, nehmen sie auf die Behandlung der Patienten großen Einfluss. Nach der derzeitigen gesetzlichen Lage ist es jedenfalls unzulässig, dass die gesamte ärztliche Behandlung auf KI-Einheiten ausgelagert werden würde. KI-Systeme sind daher derzeit vielmehr Hilfsmittel, die bei der Entscheidungsfindung berücksichtigt werden können. Der Arzt hat die Plausibilität des Ergebnisses eines KI-Systems jedenfalls zu überprüfen und allenfalls zu verwerfen.
Bei der Haftung ist aus momentaner Sicht auf das klassische Schadenersatzrecht zu verweisen. Der Ersatz eines Schadens kann grundsätzlich von natürlichen Personen, einem Arzt oder juristischen Personen, z. B. einem Krankenanstaltenträger, entweder aufgrund eines Behandlungsfehlers oder wegen des Vorliegens einer Aufklärungspflichtverletzung begehrt werden. Das zentrale Problem im Bereich der KI bildet der Umstand, dass nach dem klassischen Arzthaftungsrecht ein Verschulden vorausgesetzt wird, das bei einem KI-System grundsätzlich nicht vorliegen kann. Die gängige Rechtsmeinung ist, dass demzufolge die Haftung beim Vertragspartner liegt, sprich, beim Arzt bzw. bei der Krankenanstalt. In der Literatur werden derzeit zudem vereinzelt Ansätze vertreten, solche Fälle nach dem Produkthaftungsgesetz oder einer Gefährdungshaftung zu beurteilen, um so eine verschuldensunabhängige Haftung für KI-Systeme zu kreieren. Das Europäische Parlament hat in diesem Zusammenhang bereits 2017 erwogen, neben der natürlichen und der juristischen Person einen speziellen rechtlichen Status für KI zu schaffen: die elektronische Person. Diese Überlegung muss vor dem Hintergrund betrachtet werden, dass KI-Systeme künftig mitunter vollkommen autonom Behandlungen durchführen könnten. Empfehlungen des Parlaments an die EU-Kommission sahen demgemäß eine obligatorische Versicherungspflicht für KI-Systeme und die Einführung eines speziellen Entschädigungsfonds – analog zu bereits existierenden Entschädigungsfonds nach dem Krankenanstaltenrecht – vor.
Leitner: Auch hier gibt es 3 wesentliche Punkte:
1. Verantwortungsvoller Umgang mit Patientendaten – ein Thema, das von Ethikkommissionen schon immer großgeschrieben wurde.
2. Das besondere Vertrauensverhältnis zwischen Arzt und Patient, das mit wachsendem Autonomiegrad potenziell gefährdet ist. Man stelle sich vor, eine KI soll einem Patienten eröffnen, dass seine Diagnose infaust ist … Das wird es so nicht geben dürfen.
3. Die Frage der „Vorurteile“ eines KI-Systems: Genauso wie Menschen sind auch KI-Systeme anfällig für Vorurteile. Daher ist es wichtig, dass die Entscheidungen eines solchen Systems transparent sind und dass es nicht in der so-genannten Black Box arbeitet. Der Entscheidungsprozess muss für den Arzt immer nachvollziehbar sein.
Zur Veranschaulichung ein Beispiel aus dem Jahr 1997: Dabei ging es um die Überlebensprognose bei Pneumoniepatienten. Ein Tool sollte entscheiden, ob eine Behandlung ambulant oder stationär durchgeführt werden sollte. Dabei ergab sich folgende Berechnung: Für Patienten mit Asthma in der Anamnese errechnete das Tool einen besonders hohen Überlebensscore, weshalb sie einer bloß ambulanten Behandlung zugeführt werden sollten. Das macht aus medizinischer Sicht natürlich keinen Sinn, da diese Patientengruppe tatsächlich eine Hochrisikogruppe darstellt. Hier waren die zugrunde liegenden Daten das Problem, die eine höhere Überlebenswahrscheinlichkeit bei Asthmapatienten zeigten, da diese in der Vergangenheit engmaschiger und besser betreut worden waren. Dieser in den Trainingsdaten enthaltene Bias wurde schlicht übernommen und das System hat die falschen Schlüsse daraus gezogen.
Leitner: Die Gesetzgebung kann oft auf den technologischen Fortschritt nur reagieren. So kommt es oftmals vor, dass die Technik, die ein Gesetz regeln sollte, mit dessen Kundmachung bereits veraltet ist, aber auch, dass das Gesetz bestimmte Technologien noch gar nicht berücksichtigt. Ein Beispiel: Die Datenschutzgrundverordnung (DSGVO) ist 2016 in Kraft getreten und wurde mit 25. Mai 2018 in Geltung gesetzt. Die KI ist in der DSGVO aber bestenfalls ein Randthema, genauer gesagt, kommt sie nur einmal (als „automatisierte Entscheidungsfindung“) vor.
Es gibt aber Empfehlungen der EU, die unter anderem vorgeben, dass KI-Systeme den Menschen unterstützen und gleichzeitig seiner Aufsicht unterliegen sollen. Umgelegt auf die Medizin bedeutet das, dass der Arzt die Entscheidungen supervidieren muss und aus seiner Verantwortung nicht entlassen werden kann. Derzeit haben wir noch Gebiete massiver Rechtsunsicherheit; es braucht deshalb verbindliche Vorgaben, die sich durch eine gewisse Technologieneutralität auszeichnen und so längere Zeiträume überdauern können.
Leitner: Hier ist der Ordinations- und Krankenhausbetrieb vom Bereich der Forschung zu unterscheiden. Für den Austausch von Gesundheitsdaten gibt es ganz klare gesetzliche Vorgaben, die insbesondere im Gesundheitstelematikgesetz geregelt sind. Wichtig ist, dass die Identität und die Rollen der Personen, die an der Übermittlung beteiligt sind, nachgewiesen wurden, die Vertraulichkeit der Daten gewahrt bleibt und die Datenintegrität sichergestellt wird. Ausnahmsweise darf zur Übermittlung auch das Fax genutzt werden. Im Rahmen der Corona-Pandemie wurde diese Ausnahmeregel auf die Übermittlung per E-Mail ausgeweitet. Messenger-Dienste wie WhatsApp sollten keinesfalls genutzt werden.
Für Datenverarbeitungen zu wissenschaftlichen Forschungszwecken bestehen zudem eigene Rechtsgrundlagen. Nicht in jedem Fall ist zwingend die Einwilligung des Patienten einzuholen.
Leitner: Es sind grundsätzlich geeignete technische und organisatorische Maßnahmen vorzunehmen, um die Datensicherheit zu gewährleisten und auch sogenannte Data Breaches, also Datenverluste, zu verhindern. Wird ein PC mit Patientendaten gestohlen oder gibt es eine Cyberattacke, z. B. mit Ransomware (Software, die eingeschleust wird, um Daten zu verschlüsseln; in der Folge wird mit dem Betroffenen Kontakt aufgenommen und angeboten, gegen eine Zahlungsleistung die Daten wieder zu entschlüsseln), gibt es ein klares Prozedere: Es muss eine unverzügliche Meldung an die Datenschutzbehörde erfolgen, außer wenn die Verletzung voraussichtlich zu keinem Risiko für betroffene Personen führt. Ist der PC im Vorfeld sicher verschlüsselt worden und können sämtliche Daten nachträglich – etwa im Wege der Fernwartung – gelöscht werden, wird eine solche Meldung vermutlich nicht erforderlich sein. Wesentliche Sicherheitsmaßnahmen sind außerdem regelmäßige Backups und Updates. Sämtliche Maßnahmen sind in einem IT-Sicherheitskonzept zu dokumentieren.
Leitner: KI-Systeme werden schon relativ lange eingesetzt. Ein frühes Beispiel war das System ELIZA aus dem Jahr 1966, das einen Psychotherapeuten simulieren konnte. MYCIN aus dem Jahr 1972 war ein Expertensystem zur Diagnose und Therapie bestimmter Infektionskrankheiten. Ein weiteres Beispiel war das System LEXMED aus dem Jahr 2001, das zur Diagnose der akuten Appendizitis eingesetzt wurde und die Indikation zur OP stellen konnte. Auch Mustererkennungssysteme sind im CT bzw. MRT mittlerweile weitverbreitet.
Die maßgeblichen Entwicklungen der letzten Jahre haben insbesondere im Bereich neuronaler Netze stattgefunden, womit auch in Kombination mit der massiv gestiegenen Rechnerleistung bei steigenden Mengen von Patientendaten ganz neue Anwendungen ermöglicht werden.
Zwei konkrete Beispiele dazu: zum einen Smartphone-Apps wie beispielsweise Cardiogram. Dabei wird die Erkennung von Krankheiten KI-gestützt auf Basis einer einfachen Pulsmessung durchgeführt. Als Vergleichsparameter dienen Pulsmuster von Personen mit den Krankheiten, die die App erkennen soll, wie z. B. Diabetes. Und zum anderen: Im Bereich der Robotik werden in Japan bereits Pflegeroboter eingesetzt. In Deutschland hat die Caritas den Roboter „Pepper“ getestet. Aus ethischer Sicht muss bei deren Einsatz jedoch die Verhinderung einer Zwei-Klassen-Medizin im Fokus stehen: Es sollte keinesfalls so sein, dass derjenige in den Genuss einer menschlichen Betreuung kommt, der es sich leisten kann, und der Rest mit Pflegerobotern versorgt wird.
© Fotos: SCWP Schindhelm