Dieser Beitrag erscheint in Zusammenarbeit mit der Kanzlei Lyck+Pätzold. healthcare.recht. Dürfen Ärztinnen und Ärzte in Deutschland KI-basierte Spracherkennungs- und Transkriptionstools zur Dokumentation von Patientengesprächen nutzen? Die Antwort lautet klar „Ja, aber“. Denn es gibt ein paar wichtige Spielregeln zu beachten.
Rechtlicher Rahmen
Hintergrund ist hier, dass es sich bei den Informationen im Rahmen eines Patientengespräches um hochsensible Gesundheitsdaten handelt, die u. a. nach der Datenschutzgrundverordnung (DSGVO) als personenbezogene Daten besonderen Schutz genießen.
Zu beachten sind zudem die ärztliche Schweigepflicht (§ 203 StGB) sowie das ärztliche Berufsrecht und Vorschriften zum Sozialdatenschutz aus dem Sozialgesetzbuch (SGB X). Mit Inkrafttreten der neuen EU-KI-Verordnung kommen zusätzliche Anforderungen an die Konzeption und den Betrieb von KI-Systemen hinzu (etwa zur Transparenz oder zur Nachvollziehbarkeit), insbesondere bei Anwendungen, die automatisiert Entscheidungen treffen können.
DSGVO
Mit Blick etwa auf die DSGVO lautet die bekannte Faustformel, dass die Erhebung/Verarbeitung/Speicherung von Patientendaten grundsätzlich dann erlaubt ist, wenn entweder eine rechtliche Grundlage für diese besteht oder – und dieser Fall kommt in der Praxis häufiger vor – der Patient/die Patientin eine Einwilligung erteilt. Die Patientinnen und Patienten müssen daher unbedingt vorab darüber informiert werden, dass das Patientengespräch transkribiert und KI-basiert dokumentiert werden soll.
Dem können die PatientInnen natürlich widersprechen. Zudem können sie im Falle einer Einwilligung diese auch nachträglich widerrufen. Über dieses Widerrufsrecht sind sie in gewohnter Weise zu informieren, insbesondere darüber, dass dieses jederzeit frei und ohne Angabe von Gründen ausgeübt werden kann.
Bei einer systematischen und umfangreichen Verarbeitung von Gesundheitsdaten kann zudem eine sog. „Datenschutzfolgenabschätzung“ erforderlich sein. Das bedeutet u. a., dass die Praxis mögliche Risiken im Rahmen der Datenerhebung bewerten und dokumentieren muss, welche Maßnahmen zur Minimierung dieser Risiken ergriffen werden.
Cloud-Dienste
Für die Verarbeitung vertraulicher Daten in der Cloud eines Softwareanbieters spielen zusätzliche Sicherheitsanforderungen eine Rolle. Es sollte darauf geachtet werden, dass die Speicherung in einem deutschen Rechenzentrum erfolgt und dass die Patientinnen und Patienten mit einer anonymen ID angelegt werden. Zudem sollte der Cloud-Dienstleister über ein aktuelles C5-Testat verfügen, womit er nachweist, dass er die Mindestanforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erfüllt.
Zudem sollten die Verantwortlichkeiten zwischen der Praxis und dem Anbieter im Rahmen der sog. Auftragsdatenverarbeitung vertraglich geregelt werden. Hierzu zählen insbesondere Regelungen zu Zugriffsrechten, zu Löschfristen, zur Datenlokation, zu Auditrechten und Sicherheitsprüfungen etc.
Haftung
Schließlich sollten haftungsrechtliche Fragen vertraglich geregelt und eventuelle Haftungsrisiken versicherungsrechtlich abgebildet werden. Auch wenn es bisher keine Rechtsprechung zu Haftungsfragen beim Einsatz von KI in Arztpraxen gibt, zeigt sich eine klare Entscheidungslinie in der Argumentation der Gerichte in vergleichbaren Fällen: Wer sich willentlich einer Software bedient, die Informationen aufbereitet, kann sich bei einem Softwarefehler (z. B. wenn sich nachträglich herausstellt, dass die Software unzulänglich programmiert war) nicht darauf zurückziehen, er sei an diesem automatischen Vorgang nicht beteiligt gewesen.
Als Betreiber haften Praxisinhaber den Patienten gegenüber auch dann, wenn diese nach außen erkennbar die inhaltliche Verantwortung für die Anwendung übernommen haben.
Zusammenfassend lässt sich sagen, dass sich Rechtskonformität nur durch ein abgestimmtes Zusammenspiel von Datenschutz, IT und Geschäftsführung erzielen lässt.
