Warum brauchen KI-Forscher besseren Datenzugang?

Anwendungen der künstlichen Intelligenz sind die Kirsche auf der Torte guter Informationstechnik. KI kann dort gut eingesetzt werden, wo Daten nach einheitlichen Standards vorgehalten werden. Das gilt für strukturierte Daten in Datenbanken, aber auch für unstrukturierte Daten, wie man sie etwa in Pathologie-Schnitten oder in Röntgenbildern findet. Es gibt eine Abhängigkeit der KI von den Daten, auf die hin sie trainiert wurde. Soll eine KI, die z.B. auf Daten der Universitätsmedizin Greifwald gelernt hat, Tumore zu erkennen, auch im Klinikum rechts der Isar eingesetzt werden, muss sichergestellt werden, dass die Daten von vergleichbarer Qualität sind und relevante Metadaten enthalten. Nur dann kann die KI daher dieselben Leistungen erbringen. Dem menschlichen Auge ist es eher egal, ob ein Röntgenbild einen Blaustich hat oder eher einen Rotstich. Für die KI kann das irritierend sein.

Wenn wir über Datenzugang und KI reden, reden wir also bei Weitem nicht nur über Datenschutz?

Genau: Datenschutzrechtliche Hürden, die es ohne Zweifel gibt, stellen nur einen Teilaspekt der Diskussionen dar. Wichtiger ist es zunächst, dass (technische und inhaltliche) Standards geschaffen werden, die die Voraussetzung für das Funktionieren von KI-Anwendungen sind. Eine rechtliche Betrachtung wird ansonsten regelmäßig zu dem Ergebnis kommen, dass der Einsatz von KI in Ermangelung einer nachgewiesenen Geeignetheit nicht angemessen ist im Verhältnis zu den rechtlichen Risiken. Das Recht guckt ja nicht nur auf Formales, sondern fordert im Rahmen einer Verhältnismäßigkeitsprüfung, dass Mittel zur Erreichung eines Zwecks geeignet sind. Diesen Punkt erreichen wir gar nicht, wenn wir nicht mehr über Standards und Generalisierbarkeiten nachdenken.

Gibt es da schon Ansätze?

Ja, Anfänge sind gemacht. Aktuell zu nennen wären coronaspezifische Interoperabilitätsstandards, die zusammen mit dem Nationalen Forschungsnetzwerk, dem RKI, der Medizininformatik-Initiative und anderen formuliert wurde. Wenn wir es zum Beispiel schaffen würden, dass Daten miteinander kommunizieren, wäre das ein Riesenschritt für die KI, aber auch für andere Anwendungen wie die elektronische Patientenakte. Datenqualität ist ja nicht nur etwas für KI. Es gibt viel basalere Anwendungen, die ganz wesentlich von guten Daten abhängen. Wenn wir das verstehen, können auch vielfältige Anreize geschaffen werden, um prozessübergreifend gute Daten zu produzieren. Der erste Schritt auf dem Weg zu einem besseren Datenzugang für die KI muss daher die Pflege von Daten und Datenbanken sein. Ein zweiter Schritt ist es dann, rechtliche Hürden zu identifizieren und gezielt Lösungen zu suchen, die das Potenzial der Anwendung freisetzen können. Das muss dann auch hinreichend spezifisch sein. Auf einem sehr allgemeinen Level werden wir keine sinnvolle Regulierung von KI normieren können.

Gibt es spezielle datenschutzregulatorische Hürden, die abgebaut werden sollten, und wenn ja wo?

Das Datenschutzrecht sieht keine spezifischen Hürden für die algorithmengestütze Auswertung von großen Datenbeständen zu Forschungszwecken vor. Die DSGVO enthält im Wesentlichen eine KI-spezifische Vorschrift in Art. 22 DSGVO, die einen Schutz vor rein automatisch gefällten Entscheidungen bieten soll, wenn diese rechtliche Wirkung gegenüber einer natürlichen Person entfaltet. Das wird in Forschungskontexten kaum anzunehmen sein. Das bedeutet aber nicht, dass es keine datenschutzrechtlichen Hürden für den KI-Einsatz gäbe. Denn selbstverständlich gelten die allgemeinen datenschutzrechtlichen Hürden neben den gesundheits- und forschungsspezifischen. Dabei muss klar sein, dass Datenschutz/Privatheit/Vertraulichkeit und ärztliche Schweigepflicht kein Problem, sondern wichtige Errungenschaften sind. Keines der Grundrechte Datenschutz, Recht auf Leben und Gesundheit, Forschungsfreiheit und Berufsfreiheit sind Super-Grundrechte, die die kollidierenden Grundrechte verdrängen würden. Die Verfassung fordert den schonenden Ausgleich!

Wo liegen konkret die Herausforderungen?

Aus meiner Sicht gibt es zwei besondere Herausforderungen. Da ist zum einen die Zweckbindung. Explorative Forschung in Form von Big-Data-Analysen hat das Problem, dass sie in Reinform nicht derart thesengetrieben ist, dass bereits im Vorfeld konkrete Forschungsfragen formuliert werden können, die gut mit dem Grundsatz der Zweckbindung im Sinne der DSGVO vereinbar wären. Die DSGVO sieht für wissenschaftliche Forschung allerdings die Möglichkeit vor, breitere Zweckbestimmungen genügen zu lassen und über eine Zweckvereinbarkeitsprüfung auch Sekundärnutzung zu ermöglichen. Im deutschen Recht und insbesondere in der Auslegung des deutschen Rechts wird diese Freiheit hingegen noch nicht gelebt, mit Ausnahme des Broad Consent, der im Rahmen der Medizininformatik-Initiative entwickelt wurde.

Die zweite große Herausforderung sehe ich in der uneinheitlichen Ausgestaltung der datenschutzrechtlichen Regelungen in den Mitgliedstaaten der EU und insbesondere zwischen Bund und Ländern in Deutschland. Trotz der Bestrebungen, Datenschutzrecht unionsweit einheitlich auszugestalten hat man sich in Deutschland entschieden, an den tradierten Strukturen eines föderal zerklüfteten Gesundheitsdatenschutzrechts – insbesondere im Krankenhausbereich – festzuhalten. Das ist einerseits unverständlich, weil es nicht einleuchtet, dass informationelle Selbstbestimmung föderal (oder gar kirchlich) unterschiedlich zu gewährleisten ist. Es ist andererseits auch dysfunktional, da landesübergreifende Forschung die unterschiedlichen Regelungen gleichzeitig beachten und dabei auch noch unterschiedliche Aufsichtsbehörden mit regional unterschiedlichen Auslegungspraktiken berücksichtigen muss. Nicht nachvollziehbare Regelungen bergen dabei immer die Gefahr, dass sie entweder umgangen werden oder eine an sich gewünschte Forschung ungewollt verhindern. Die Auslegungsspielräume der vielen technikneutralen unbestimmten Rechtsbegriffe sind gewaltig!

Und das Ergebnis ist gewaltige Rechtsunsicherheit.

Genau, vor allem auch vor der Drohkulisse drakonischer Strafen in der DSGVO. Besser wäre es, wenn man einheitliche, forschungsspezifische Standards in Form von Positivkatalogen schaffen würde, bei deren Einhaltung die Verantwortlichen auf die Rechtmäßigkeit der Datenverarbeitung vertrauen dürfen. In diese Richtung gehen zum Beispiel aktuelle Best-Practice-Empfehlungen der bayerischen Aufsichtsbehörden, aber das ist wieder nur Bayern. Zur Schaffung solcher Standards gehört immer auch der Mut, zu gewissen Risikobeurteilungen zu stehen. Das können wir im deutschen Datenschutzrecht nicht besonders gut. Wir definieren uns regelmäßig aus Sicherheitserwägungen vom anonymen Datum in den Anwendungsbereich des Datenschutzrechts hinein und dort sicherheitshalber in den Bereich der sensiblen Daten, um dort undifferenziert immer höchste Schutzniveaus zu fordern. Am Ende scheitern wir an der Realität, dass niemand diese Niveaus einhalten kann.

Was wäre die Alternative?

Bei den digitalen Gesundheitsanwendungen wurde ein anderer Weg gegangen. Es wird in der DiGA-Rechtsverordnung nicht bloß auf Maßnahmen nach dem Stand der Technik verwiesen, sondern ein konkreter Fragenkatalog präsentiert. So etwas hat das Potenzial, das Durchschnittsniveau in Sachen Sicherheit und Datenschutz in der Breite merklich anzuheben und effektive Anreize zur Implementierung bei gleichzeitiger Überprüfbarkeit zu gewährleisten. Etwas Ähnliches könnte man sich für KI-Anwendungen vorstellen.

Text: in Kooperation mit E-HEALTH-COM