Tatsachen
Es geht ein Gespenst um in der Medizin, das Gespenst der Künstlichen Intelligenz. Abseits dieser – nicht ganz ernst gemeinten – Äußerung ist es aber tatsächlich so, dass KI-Systeme in der Medizin immer häufiger eingesetzt werden; möglicherweise ist hier der Nutzen der KI sogar viel größer als bei der Erstellung schöner LinkedIn-Beitrags-Bilder.
Ein Überblick über die belastbaren Statistiken:
- In der EU gaben bereits 2021 rund 42% der Gesundheitseinrichtungen an, bereits KI‑Technologien für Krankheitsdiagnose zu nutzen.
- Laut einer Statista‑Erhebung nannten 2023 fast 30% der befragten US‑Krankenhaus‑/Health‑System‑Manager „klinische Entscheidungsunterstützung“ als prioritären KI‑Einsatzfall; dazu gehören explizit diagnostische Tools.
- Eine Marktstudie für Krankenhäuser in USA und Europa berichtet, dass 68% der Häuser bereits klinische KI (Diagnostik, Clinical Decision Support etc.) einsetzen; Radiologie ist mit 74% der wichtigste Einsatzbereich.
- Die WHO‑Region Europa meldet, dass 64% der Mitgliedstaaten KI‑gestützte Diagnostik einsetzen (staatliche Selbstauskunft, nicht zwingend flächendeckende Routineversorgung).
Jetzt ist es 2026 und die Entwicklung hat sich wohl kaum verlangsamt.
KI-Diagnosen und Datenschutzrecht (1): Automatisierte Entscheidung?
Die langläufige Meinung zahlreicher „Reformer“ ist ja die, dass das Datenschutzrecht an allem schuld sei, ja sogar die Medizin ausbremse. Das ist, nicht nur im Grunde, sondern ganz und gar falsch. Selbstverständlich lässt das Datenschutzrecht KI-Diagnosen zu; und zieht lediglich dort Grenzen, wo es unbedingt erforderlich ist.
Eine Grenze, die schon früh bei der Implementierung von KI-Projekten im Gesundheitswesen berücksichtigt werden muss, ist Artikel 22 Absatz 1 DSGVO. Dort heißt es:
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Ist eine Diagnose eine Entscheidung?
Bevor nun alle schreien: „Eine Diagnose ist doch keine Entscheidung“, gehen wir lieber einmal selbst darauf ein:
Nach Scholz im Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, DS-GVO ist eine Entscheidung die Festlegung auf ein bestimmtes Ergebnis nach Auswahl zwischen mindestens zwei möglichen Varianten. Dies darf bei einer Diagnose durchaus angenommen werden, da mindestens die Entscheidung zwischen „krank“, „gesund“ und „ohne Befund“ getroffen wird.
KI als Automation?
Die nächste Frage, die gestellt werden darf:
Ist eine KI-Diagnose eine automatisierte Entscheidung?
So selbstverständlich ist das gar nicht. Unser Grundverständnis war bisher, dass Automation v.a. etwas Deterministisches hat, während KI in seinen Entscheidungswegen etwas freier ist.
Gleichwohl muss man anerkennen, dass der Europäische Gerichtshof den Tatbestand des Artikel 22 DSGVO sehr weit fast. Offenbar geht die Definition so weit, dass sich von Lewinski im Beck Online Kommentar zum Datenschutzrecht dazu genötigt fühlte, klarzustellen, dass wenigstens Gottesurteile und Entscheidungen des Schicksals keine automatisierten Entscheidungen sind. Nun, das leuchtet ein. Daher sind im Grunde alle Entscheidungen, die nicht von Menschen oder Göttern getroffen sind, automatisiert.
Konsequenzen?
Die Betroffenen haben also das Recht, nicht von der KI diagnostiziert zu werden. Ob sie dieses Recht aktiv geltend machen oder ob die Krankenhäuser dies aktiv sicherstellen müssen, ist eine interessante Frage, der wir in einem anderen Beitrag nachgehen werden.
Lösungsmöglichkeiten?
Im Wesentlichen gibt es zwei Möglichkeiten, wie etwa Krankenhäuser damit umgehen können.
- Entweder die Ergebnisse werden von den Ärztinnen und Ärzten „menschlich“ validiert. Denn dann greift Artikel 22 DSGVO schon nicht.
- Oder es wird von den Patient*innen eine Einwilligung nach Artikel 22 Absatz 2 lit. c DSGVO eingeholt.
37 Absatz 2 BDSG hilft hier übrigens nicht, da es dort nicht um Diagnosen von Ärzten, sondern um Versicherungsverträge geht.
KI-Diagnosen und Datenschutzrecht (2): Artikel 9 DSGVO
Fraglos spielt auch Artikel 9 Absatz 1 DSGVO eine wichtige Rolle, da Diagnosedaten fraglos darunter fallen. Nach dieser Norm gilt:
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Konsequenzen?
Die Konsequenz liegt auf der Hand. Ganz unabhängig von der Frage, ob die mit der KI-Diagnose verbundene Verarbeitung personenbezogener Daten nach Artikel 6 Absatz 1 DSGVO rechtmäßig ist, wäre die Datenverarbeitung so oder so verboten.
Lösungsmöglichkeiten?
Die Lösung ist für sich genommen leicht, da das Verbot nach Artikel 9 Absatz 1 DSGVO nach der anerkannten Ausnahme des Artikel 9 Absatz 2 lit. h DSGVO greift (Ausnahme für das Gesundheitswesen).
Und ja, diese technologie-offene Norm dürfte auch KI-Prozesse umfassen.
Eine weitere Verwendung für die Forschung wäre hier auch nicht grundsätzlich verboten, wie Artikel 9 Absatz 2 lit. j DSGVO zeigt.
KI-Diagnosen und Datenschutzrecht (3): Artikel 5 Absatz 1 lit. a DSGVO
Und natürlich muss die KI-basierte Datenverarbeitung an sich rechtmäßig sein, vgl. Artikel 5 Absatz 1 lit. a DSGVO i.V.m. ErwG 40.
Hier allerdings kommen mit Artikel 6 Absatz 1 Satz 1 litt. b und f DSGVO gleich zwei einwilligungsunabhängige Erlaubnisgrundlagen in Betracht.
Denn, dass die KI-Diagnose der Erfüllung des Behandlungsvertrages dient (Artikel 6 Absatz 1 Satz 1 lit. b DSGVO), ist mindestens genauso offensichtlich, wie der Umstand, dass ein berechtigtes Interesse an einer viel effektiveren KI-Diagnose besteht (Artikel 6 Absatz 1 Satz 1 lit. f DSGVO); insbesondere im Sinne der Patient*innen.
Das setzt eine menschliche Validierung dennoch voraus.
KI-Verordnung (1): Human Oversight – Anforderungen an die ärztliche Kontrolle
Die Verpflichtung zur effektiven menschlichen Kontrolle über KI‑gestützte Entscheidungen („Human Oversight“) wird durch die KI‑Verordnung (vgl. Artikel 14) und die Aufsichtsbehörden konsequent betont. Dies ist ebenso früh zu beachten.
Was ist Human Oversight?
Die KI‑Verordnung versteht unter Human Oversight eine qualifizierte menschliche Aufsicht, die u.a. die Schulung des Personals, reale Eingriffsmöglichkeiten und eine Gestaltung der Mensch‑Maschine‑Schnittstelle voraussetzt, die echte Kontrolle ermöglicht.
Eine formale, rein oberflächliche Kontrolle genügt daher nicht. Es müssen klare Prozesse und Dokumentationen geschaffen werden, die gewährleisten, dass eine ärztliche Prüfung und eigenständige Bewertung vorliegt und nachvollziehbar dokumentiert wird.
Verantwortung, Ablauf und Entscheidungsbefugnisse müssen eindeutig geregelt sein.
Hochrisiko-KI
Diagnostische KI‑Systeme im Gesundheitswesen werden nach der KI‑Verordnung regelmäßig als Hochrisiko‑Systeme eingestuft, was zusätzliche Pflichten für Hersteller und mit sich bringt.
Es ist sicherlich erforderlich, dass technische und organisatorische Maßnahmen eingeführt werden, die Mensch und Maschine klar abgrenzen: Es muss nachvollziehbar werden, wann ein Mensch eingegriffen und den KI‑Vorschlag geprüft oder abgelehnt hat.
Ein anschauliches Beispiel ist die radiologische Befundung: Wenn KI‑Befunde automatisch in den Arztbrief übernommen werden, ohne dass der Radiologe die Bilder eigenständig prüft, fehlt es an der geforderten „meaningful“ Human Oversight. Wir weisen unsere Mandant*innen immer wieder darauf hin, dass gerade im Gesundheitsbereich eine sorgfältige Dokumentation und Sensibilisierung der Beteiligten für die Grenzen und Risiken von KI‑Systemen unerlässlich ist.
KI-Diagnosen und Datenschutzrecht (4): Transparenz- und Informationspflichten gegenüber Patienten
Mit der Nutzung von KI‑Systemen wachsen auch die Pflichten der Verantwortlichen gegenüber den betroffenen Personen. Nach den Artikeln 13 und 14 DSGVO müssen Patientinnen und Patienten transparent über Einsatz, Funktionsweise und Auswirkungen automatisierter Systeme informiert werden, insbesondere über die „involvierte Logik“, mögliche Auswirkungen und ihre Rechte im Zusammenhang mit automatisierten Entscheidungen, einschließlich der Möglichkeit zum Widerspruch und zur Anfechtung.
Konkret betonen Aufsichtsbehörden, dass die Information über die Rolle von KI‑Systemen kein Randaspekt sein darf, sondern zentraler Bestandteil der Patienteninformation ist; hierzu gehören auch Hinweise darauf, ob und wie ihre Daten für die Systemweiterentwicklung genutzt werden und die Klarstellung, dass die medizinische Entscheidung weiterhin beim Arzt liegt
Neben den Informationspflichten nach den Artikeln 13 und 14 DSGVO ist der Einsatz von KI auch im Rahmen der ärztlichen Aufklärung und Einwilligung anzusprechen, etwa zu Rolle, Grenzen und Risiken der eingesetzten Systeme. Patientinnen und Patienten müssen verstehen können, dass KI‑Systeme Vorschläge liefern, die ärztlich bewertet werden, und dass sie Rechte im Hinblick auf automatisierte Entscheidungsprozesse haben.
Fazit und Empfehlungen
Rechtsprechung und Aufsichtsbehörden machen klar:
- Automatisierte Diagnosen ohne substantielle ärztliche Beteiligung bewegen sich regelmäßig im Anwendungsbereich von Art. 22 DSGVO und werden datenschutzrechtlich nur unter engen Voraussetzungen zulässig sein. Besser ist eine Validierung der Diagnosen durch Ärztinnen und Ärzte.
- Ärztliche Kontrolle ist Pflicht, nicht bloße Formalie.
- Transparenz gegenüber Patientinnen und Patienten sowie lückenlose Dokumentation und Governance sind zentrale Voraussetzungen für eine rechtskonforme KI‑
Autoren: Ulf Castelle und Stephan Gärtner, vgl. Impressum