Seite 3: ChatGPT und der Gesundheitsdatenraum

Inhaltsverzeichnis

Also im Moment wird der Einsatz von ChatGPT sehr intensiv diskutiert. Würde die jetzige Regelung ausschließen, dass Sprachmodelle auf die Daten im Gesundheitsraum zugreifen dürfen?

KI-Anwendungen können Gesundheitsdaten nutzen, wenn sie zum Gesundheitssektor zugeordnet werden. Wenn es darum geht, Gesundheitsdienstleistungen zu fördern oder eine KI-Anwendung im Bereich der Gesundheitsversorgung zu entwickeln und zu trainieren, dann ist es nicht ausgeschlossen. Beispielsweise könnten computergestützten Psychotherapien verwendet werden, um Depressiven die Zeit zu überbrücken, bevor sie wieder face-to-face mit ihrem Psychotherapeuten Sitzungen halten können. Dass man so eine Anwendung mit pseudonymisierten Patientendaten trainiert, wäre durchaus denkbar.

Wenn anhand der Patientendaten ein digitaler Zwilling mit einem typischen Krankheitsprofil erstellt wird, wie kann sichergestellt werden, dass Unbefugte durch eine individuelle Krankheitsgeschichte keinen Zugriff auf die Daten der Person erhalten?

Da wählt der Vorschlag der Kommission einen Ansatz, den wir vom digitalen Versorgungsgesetz bereits auch schon kennen: Es ist der Versuch, das Problem teilweise technisch, teilweise rechtlich zu lösen. Man muss die technisch-organisatorischen Maßnahmen treffen, um das Risiko der Depseudonymisierung oder Deanonymisierung zu minimieren. Das wird begleitet mit der Anweisung, dass es dem verantwortlichen Datennutzer rechtlich verboten ist, eine solche Depseudonymisierung vorzunehmen.

Wie soll das Verbot durchgesetzt werden?

Hier werden Sanktionen angedroht, wobei man über die Wirksamkeit der Sanktionen trefflich streiten kann – es geht hier über Nutzungsausschlüsse. Parallel dazu natürlich auch Datenschutzverletzungen, die dann unter Umständen zu Sanktionen führen könnten, wenn man diese betreffenden Stellen erwischt. In der Praxis wird es daran wohl scheitern. Denn da muss man sich schon ziemlich dämlich anstellen, um erwischt zu werden. Das muss man einfach mal ganz nüchtern konstatieren.

Wer verdient an den Gesundheitsdaten?

Dazu gibt es noch eine Grundsatzfrage zu klären: Wer hat eigentlich die Verwertungslogik? Ist das sicher, wer die Befugnis zur wirtschaftlichen Verwertung hat: Ist das der Datenbesitzer, der Dateninhaber, der Produzent einer Anwendung oder von einem Produkt oder aber der datenschutzrechtlich Betroffene?

Nicht der Betroffene?

Das ist der Punkt: Diese Diskussion läuft ja auf der Sachebene an. In der Öffentlichkeit findet sie so gut wie gar nicht statt. Es gibt keine politische Diskussion, die im Licht der Öffentlichkeit stattfindet. Zugleich ist der Lobbydruck auf die Kommission und auf die Mitgliedsstaaten gewaltig. Zugegebenermaßen haben die Mitgliedstaaten sich allerdings jeweils auf der Öffnungsklausel in der DSGVO etwas ausgeruht, die ihnen erlaubt, den Datenschutz im Gesundheitssektor selbst zu regeln.

Was könnte der Grund gewesen sein, dass in Deutschland und anderen Ländern nichts passiert ist?

Ich möchte nicht ausschließen, dass die Staaten diese Öffnungsklauseln genutzt haben, um ihre Versorgungssysteme, ihre öffentliche Gesundheitsversorgung Systeme einfach so beizubehalten. Das hat dazu geführt, dass diese Gesundheitssysteme einfach nicht kompatibel miteinander sind. Es mag zwar punktuell Datenschutzprobleme geben, aber in allererster Linie ist das eine Schnittstellenproblematik der unterschiedlichen Strukturen in der Gesundheitsversorgung, wo man jahrelang, vielleicht jahrzehntelang nichts gemacht hat, um diese Unterschiede in der Gesundheitsversorgung zu beheben und etwas mehr Parallelität zu schaffen. Erst in den letzten Jahren ist man wirklich aufgewacht, obwohl das Thema schon bekannt war.

Cyberrisiken als Sicherheitsrisiken

Wie hoch sehen Sie die Gefahr, dass die Daten in Folge von Cyberattacken auf Krankenhäuser missbraucht werden? Erhöht sich das Risiko, wenn jetzt noch diese Datenbereitstellungspflicht dazukommt?

Man kann darüber nur mutmaßen. Die Stellen werden ja nicht verpflichtet, Daten vorzuhalten, um sie dann bereitzustellen. Der Vorschlag knüpft an die vorhandenen Daten an. Es ist also nicht so, dass man auf Vorrat die Daten bereithält für den Fall der Fälle und damit das Risiko erhöht, dass Daten missbräuchlich abgegriffen werden. Die Frage ist eher, was bei den Datennutzern passiert. Dass diese möglicherweise mit den Daten etwas machen, was die Verordnung nicht erlaubt. Wie man das unterbinden will, ist mir schleierhaft. Als Aufsichtsbehörde kann ich vielleicht stichprobenartig kontrollieren und decke dann vielleicht einen Fall von tausend auf.

Wie haben Sie die Kontrollaktivitäten der Aufsichtsbehörden in Deutschland im Gesundheitswesen in den letzten Jahren erlebt?

Wir haben sehr viel Licht und Schatten. Wir prüfen die Kliniken relativ häufig, was in der Pandemie etwas zurückgefahren wurde. Es gibt jedenfalls Kliniken mit grundlegenden Defiziten. In einem Fall mussten wir anordnen, sehr schwerwiegende Sicherheitsmängel abzustellen. Die Klinik hat sogar gegen die Anordnung geklagt, um Zeit zu gewinnen – man kann ja nicht mit der Aufsichtsbehörde reden, darüber, dass man vielleicht ein paar Monate mehr braucht. Im Klageverfahren wurden sukzessive die Mängel abgestellt, sodass das Verfahren am Ende als erledigt erklärt werden konnte. Ich fürchte, das ist kein Einzelfall.

(mack)