In die Künstliche Intelligenz (KI) werden enorme Erwartungen in der Gesundheitswirtschaft gesetzt. Zukünftig soll Deutschland in Europa zu einem Vorreiter bei der Einführung digitaler Innovationen in das Gesundheitssystem werden. Der KI-Aktionsplan des Bundesforschungsministeriums sieht Investitionen in die KI in Deutschland bis zum Jahr 2025 von mehr als 1,6 Mrd. € vor. Bundesgesundheitsminister Karl Lauterbach bescheinigt der Technologie großes Potenzial und auch die Praxis zeigt bereits, dass eine Vielzahl an zielführenden Einsatzmöglichkeiten im Krankenhaus bestehen, die nicht nur helfen, das Fachpersonal zu entlasten, sondern vor allem auch, um eine Verbesserung der Versorgung von Patienten und eine Steigerung der Behandlungssicherheit zu erreichen.

Um das lebensrettende Potenzial von KI nutzen zu können, sind jedoch große Datenmengen erforderlich – denn eine KI ist nur so gut wie die Daten, mit der sie trainiert wurde. Obwohl diese Daten in Krankenhäusern vorhanden sind, sind sie häufig noch nicht genügend standardisiert bzw. für alle Patientengruppen in ausreichender Anzahl verfügbar. Und auch wenn die Daten in ausreichender Qualität und Quantität vorliegen, unterliegen sie zudem dem Spannungsverhältnis der Vertraulichkeit in der ärztlichen Behandlung. Denn nicht jeder Patient wird selbst von jener KI profitieren, die unter Umständen mit seinen Daten trainiert wurde. Es bedarf daher rechtlicher Voraussetzungen, um dieses Spannungsverhältnis zu lösen und die Gesundheitsdaten im Einklang mit der informationellen Selbstbestimmung nutzen zu dürfen.

Mit dem Gesundheitsdatennutzungsgesetz (GDNG) hat das Bundesgesundheitsministerium im März 2024 neue rechtliche Möglichkeiten geschaffen, damit die in der Klinik vorliegenden Patientendaten unter bestimmten Voraussetzungen für andere Zwecke weiterverarbeitet werden dürfen; hierbei wird auch die Eigen- und Fremdforschung gestärkt. Weiter soll – laut Gesetzesbegründung – auch das Training von KI-Modellen mit Hilfe repräsentativer Datensätze gefördert werden.

clinalytix Medical AI fördert Patientensicherheit

Die Prävention von Krankheiten und die Prädiktion von Ereignissen, wie z.B. einer drohenden Sepsis oder akuten Nierenschädigung, können im klassischen Krankenhausalltag oft nicht ausreichend berücksichtigt werden. Mit Hilfe von KI, die sämtliche zur Verfügung stehenden digitalen Daten permanent scannt und bei interventionsbedürftigen Konstellationen aktiv das Behandlungsteam auf ein drohendes Ereignis hinweist, ist eine zusätzliche Unterstützung gegeben, um solche unerwünschten Ereignisse frühzeitig zu erkennen.

Die KI-Anwendung clinalytix Medical AI ist ein zertifiziertes Medizinprodukt der Klasse IIa (MDR), welches neuronale Netzwerke zur Risikovorhersage von bestimmten Krankheitsbildern wie z.B. Sepsis, Delir und Akutes Nierenversagen (AKI), Pneumonie oder Venöse Thromboembolie nutzt. Die Daten sind dabei flüchtig, es wird lediglich das Muster im neuronalen Netz gespeichert. So erkennt die clinalytix Medical AI komplexe Zusammenhänge in den klinischen Daten, erzeugt daraufhin eine Warnmeldung im Krankenhausinformationssystem (KIS) und gibt dem ärztlichen Personal die Möglichkeit, entsprechend zu reagieren, denn das Potential einer solchen KI-Lösung lässt sich nur gemeinsam mit der klinischen Exzellenz entfalten. Somit wird eine entscheidende Hilfestellung bei Diagnostik und Therapie geleistet und die Patientensicherheit signifikant gesteigert. Damit folgen die Lösungen von clinalytix Medical AI der Zielsetzung des GDNG.

Gesundheitsdatennutzungsgesetz schafft neue Möglichkeiten

Der § 6 des GDNG ermöglicht es Krankenhäusern nun, die routinemäßig bei ihnen erhobenen Gesundheitsdaten ihrer Patienten zu Zwecken der Qualitätssicherung, Förderung der Patientensicherheit sowie zur medizinisch-pflegerischen Forschung weiterzuverarbeiten. Soweit der Einsatz eines KI-Systems also einem dieser Zwecke dient, besteht hiermit grundsätzlich eine Legitimationsgrundlage, krankenhauseigene Gesundheits- und Versorgungsdaten der Patienten zunächst für das Training eines spezifischen KI-Modells zu nutzen und dies danach für klinische Analysen einzusetzen.

Diese Möglichkeit wird jedoch an technische und organisatorische Maßnahmen geknüpft. So fordert das Gesetz, dass die Daten pseudonymisiert werden müssen und, sobald es der Zweck der Weiterverarbeitung zulässt, auch zu anonymisieren sind. Daneben sind für die Zugriffe auf die Daten Rechte- und Rollenkonzepte nach dem „Need-to-know-Prinzip“ und eine Löschung der Daten spätestens nach 30 Jahren nach Beginn der Weiterverarbeitung umzusetzen. Auch müssen die von der Datenverarbeitung betroffenen Personen nach § 6 Abs 4 GNDG öffentlich und allgemein in präziser, transparenter, leicht verständlicher und zugänglicher Form über die Zwecke der Verarbeitung informiert werden.

Für einen Einsatz von KI-Anwendungen im Krankenhaus sind daher nicht nur gute Modelle (Algorithmen bzw. künstliche neuronale Netzwerke), eine ausreichende Rechenkapazität sowie große und gut strukturierte Datenmengen unabdingbar. Wird der Einsatz von KI auf § 6 GDNG gestützt, müssen Kliniken insbesondere Pseudonymisierungs-, Anonymisierungs-, Berechtigungs- und Löschkonzepte umsetzen und die Rechte der Betroffenen wahren.
Auch externe Verwendung möglich

Mit der Trials4Care Research-Lösung (T4C) hat Dedalus neue Möglichkeiten zur klinischen Forschung geschaffen. Durch die Lösung werden die klinischen Daten zunächst getaggt, in nutzbare Formate konvertiert und dann einem aufwendigen Anonymisierungsprozess unterzogen. Anschließend stehen die strukturierten und homogenen Daten klinischen Forschern des Krankenhauses für tiefgreifende Analysen zur Verfügung, die neue Erkenntnisse zu dem Zusammenwirken medizinischer Prozeduren zulassen.

Mit T4C Gravity betreibt Dedalus darüber hinaus ein krankenhausübergreifendes zentrales Forschungsnetzwerk. Der sichere Research Hub ermöglicht Organisationen die Durchführung von Machbarkeits- und retrospektiven Studien, die Identifizierung von Patienten für die Rekrutierung zu klinischen Studien und für die Durchführung von Real-World-Evidence-(RWE)-Studien. Forscher können effizient Patienteninformationen identifizieren, die ihren Studienkriterien entsprechen, und so den gesamten Prozess der Patientenrekrutierung optimieren. Krankenhäuser können durch die Einbindung externer Life Science-Unternehmen neue Einnahmequellen erschließen.

Auch spannt das GDNG einen sicheren (datenschutz-)rechtlichen Rahmen. In § 6 Abs 3 GDNG heißt es dazu, dass personenbezogene Daten aus dem Krankenhaus an Dritte zu Zwecken der medizinischen, rehabilitativen und pflegerischen Forschung weitergegeben werden dürfen, wenn diese zuvor anonymisiert worden sind. Dedalus hat hierzu in der T4C-Umgebung einen dem Stand der Technik entsprechenden Anonymisierungsprozess umgesetzt, der durch die gleichzeitige Umsetzung von Prozessen zur Randomisierung, Generalisierung und Pseudonymisierung sicherstellt, dass eine De-Anonymisierung der Daten ausgeschlossen ist.

KI-Verordnung bereits jetzt beachten

Am 12. Juli 2024 wurde zudem die KI-Verordnung der EU veröffentlicht. Hier wird ein KI-System sehr weitreichend als ein „maschinengestütztes System, das für einen in unter-schiedlichem Grade autonomen Betrieb ausgelegt ist […] sowie aus den erhaltenen Eingaben für explizite oder implizite Ziele Ausgaben ableitet, wie etwa Vorhersagen, Empfehlungen oder Entscheidungen, die die physischen oder virtuellen Umgebungen beeinflussen können“ definiert. Dies zeigt, dass bereits einfache Systeme als KI-Systeme zu bewerten sind und unter den Anwendungsbereich der KI-Verordnung fallen.

Bei der Einordnung von KI-Systemen wählt die Verordnung einen risikobasierten Ansatz. Das heißt, dass KI-Systeme, die ein besonderes Risiko für die Gesundheit, die Sicherheit oder die Ausübung von Grundrechten bedingen können – sogenannte Hochrisiko-Systeme – zum Teil besondere Compliance-Anforderungen erfüllen müssen.

Dabei kann ein KI-System auf zwei Wegen als Hochrisikosystem eingestuft werden:

1. Wenn ein KI-System als Sicherheitskomponente eines Produktes eingesetzt wird, welches nach EU-Vorschriften durch Dritte kontrolliert werden muss, bevor es in den Verkehr gebracht werden darf, oder wenn das System selbst ein solches Produkt ist. Dies betrifft beispielsweise Systeme, die als Medizinprodukt gemäß der Medizinprodukterichtlinie 93/42/EWG (MDD) zu klassifizieren sind.
2. Wenn es sich um ein System handelt, das in Anhang III der Verordnung benannt ist. Hier werden eigenständige KI-Systeme aufgeführt, bei denen sich ein Risiko bereits gezeigt hat oder zumindest absehbar ist. Dabei ist der Kommission vorbehalten, weitere KI-Systeme zu der Liste hinzuzufügen.

Nicht als Hochrisikosysteme erfasst werden von der KI-Verordnung hingegen Lösungen, deren Einsatz medizinischen Zwecken, etwa der Diagnostik, dient. Es gilt daher, die weiteren Entwicklungen in Bezug auf die Interpretation der Anforderungen zu beobachten.

Darüber hinaus werden durch die KI-Verordnung eine Reihe weiterer technischer und organisatorischer Anforderungen für den Einsatz von KI-Systemen definiert. So müssen Organisationen, die KI-Systeme einsetzen, ihre mit dem Einsatz betrauten Mitarbeitenden mit der notwendigen KI-Kompetenz ausstatten, also entsprechende Schulungsmaßnahmen umsetzen (vgl. Art. 4 KI-VO). Für den Einsatz von Hochrisiko-Systemen sind durch die einsetzende Organisation Risikomanagementsysteme einzurichten, die im Rahmen eines kontinuierlichen iterativen Prozesses während des System-Lebenszyklus durchgeführt werden und Risiken für die Gesundheit, die Sicherheit oder die Grundrechte der betroffenen Personen erfassen, so dass gezielte Maßnahmen zur Bewältigung der Risiken umgesetzt werden können (vgl. Art. 9 Abs 1, 2 KI-VO).

Art. 26 KI-VO definiert noch weitere Maßnahmen, die von Betreibern umzusetzen sind. Hervorzuheben ist hier, dass der Betrieb von KI-Systemen unter menschliche Aufsicht zu stellen ist. D.h. eine Person, die über die erforderliche Kompetenz, Ausbildung und Befugnis verfügt, muss die einschlägigen Fähigkeiten und Grenzen des Hochrisiko-Systems angemessen verstehen und seinen Betrieb ordnungsgemäß überwachen, um im Falle des Auftretens spezifischer Risiken den Anbieter bzw. die Marktüberwachungsbehörde unverzüglich zu informieren. Darüber hinaus sind diese „KI-Beauftragten“ verpflichtet, die Systemnutzer fortlaufend auf die potenzielle Gefahr eines übermäßigen Vertrauens in die Ergebnisse der KI-Systeme hinzuweisen.

Per se sollten Kliniken, die KI-Systeme einsetzen oder planen, dies zu tun, die Anforderungen der KI-Verordnung bereits mitdenken und in ihre Kalkulationen einbeziehen. Dedalus wird die Compliance-Anforderungen der KI-VO bei seinen clinalytix Medical AI-Produkten frühzeitig berücksichtigen, um den Kunden die notwendige rechtliche Sicherheit zu bieten.

Fazit

Mit dem GDNG wurden die erforderlichen Rahmenbedingungen geschaffen, um den Einsatz der Dedalus clinalytix Medical AI und T4C-Produkte in Krankenhäusern rechtlich abzusichern. Die Nutzungsmöglichkeiten, die sich aus § 6 GDNG ergeben, sind jedoch an die Umsetzung technischer und organisatorischer Maßnahmen gekoppelt, die auch von den einsetzenden Krankenhäusern selbst zu berücksichtigen sind. Unabdingbar ist die Durchführung einer Datenschutz-Folgenabschätzung, die ebenfalls in der KI-Verordnung gefordert wird. Der Datenschutzbeauftragte sollte daher von Beginn des Einführungsprozesses an beteiligt werden.

Artikel vom 5. Dezember 2024