Datenschutz und die europäische KI-Verordnung: neue rechtliche Herausforderungen für intelligente Medizinprodukte?!

Sefan Hessel

In unserer Beratungspraxis begegnen uns immer wieder Hersteller oder Produkte, die den Vorgaben der Datenschutzgrundverordnung (DSGVO) nicht entsprechen. Häufig hören wir dann, dass die Einhaltung der DSGVO für Hersteller und Produkte nicht verpflichtend sei. Für die Einhaltung der DSGVO seien nur diejenigen verantwortlich, die die Datenverarbeitung am Ende durchführen, indem sie über Zweck und Mittel der Verarbeitung entscheiden. Doch diese Annahme greift, wie wir im Folgenden erklären, häufig zu kurz. Darüber hinaus hat die EU-Kommission Anfang Mai 2021 eine Verordnung für Künstliche Intelligenz (KI) vorgeschlagen. Diese soll einen besonderen Schutz für die Bürgerrechte und die Sicherheit durch die Anwendung von KI schaffen und könnte zusätzliche Verpflichtungen für die Hersteller von intelligenten Medizinprodukten mit sich bringen.

Datenschutzvorgaben für Hersteller

Richtig ist: Hersteller sind nicht per se an die Vorgaben der DSGVO gebunden. Die Verordnung adressiert sie lediglich in dem Erwägungsgrund 78, wonach Hersteller "ermutigt" werden, "das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen". Dass die DSGVO die Hersteller nicht direkt verpflichtet, liegt an dem Anwendungsbereich der DSGVO. Dieser greift erst dann, wenn personenbezogene Daten tatsächlich verarbeitet werden. Das geschieht nicht durch den Hersteller, sondern erst durch den Betreiber der KI-Anwendung, also die verantwortliche Stelle, die über Zweck und Mittel der Verarbeitung letztendlich entscheidet. Nichtsdestotrotz sollten Hersteller bereits in der Entwicklung und Herstellung die Datenschutzgrundsätze beachten, da die späteren Betreiber das Produkt andernfalls erst gar nicht datenschutzkonform einsetzen können. Die DSGVO gilt daher zumindest mittelbar auch für die Hersteller.

Verarbeitung von Gesundheitsdaten

Bei der Anwendung von intelligenten Medizinprodukten oder auch digitalen Gesundheits-Apps (DiGA) ist es meist unerlässlich, eine Vielzahl von meist sensiblen Gesundheitsdaten zu verarbeiten. Dabei gibt es aber einiges zu beachten: "Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen." (Erwägungsgrund 35 der DSGVO).

Wenn es um die Verarbeitung dieser Daten geht, soll das Datenschutzrecht die betroffenen Personen, also jene, auf die sich die Daten beziehen, besonders schützen. "Technisch-organisatorische Maßnahmen zum Schutz der Integrität und Vertraulichkeit von Gesundheitsdaten sind nicht nur rechtlich geboten, sondern auch notwendig, um eine missbräuchliche Verwendung von Daten zu verhindern und Fehlern in der Verarbeitung entgegenzuwirken", so die Bremer Landesbeauftragte für Datenschutz (3. Jahresbericht 2020, S. 60).  Bei einer Verarbeitung von personenbezogenen Daten mithilfe einer KI-Anwendung ist insoweit besondere Vorsicht geboten, da diese zu Ergebnissen kommen kann, die zu Nachteilen für die betroffenen Personen führen, ohne dass die Verarbeitungsschritte durch den Menschen überprüft werden können.

Datenübermittlungen in die USA

Insbesondere für Hersteller digitaler Gesundheitsanwendungen (DiGA) sind Datenübermittlungen in Drittstaaten eine besondere Herausforderung. Nach § 4 Abs. 3 der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) dürfen personenbezogene Daten nämlich nur in Staaten außerhalb des europäischen Wirtschaftsraums (EWR) übermittelt werden, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Doch einen solchen gibt es für die USA seit der "Schrems II"-Entscheidung des EuGHs nicht mehr. Eine Übermittlung ist seitdem rechtlich problematisch.

Selbst die Frage, ob eine DiGA trotzdem in den App-Stores  von Google und Apple angeboten werden kann, ist bisher nicht geklärt. Leider bringen auch Bemühungen des Bundesinstituts für Arzneimittel und Medizinprodukte durch Leitfäden und eigene Informationen (PDF) aus unserer Sicht keine ausreichende Rechtssicherheit für die Datenübermittlung. Eine genaue Einschätzung von uns zu dessen Veröffentlichungen finden Sie hier. Generell raten wir DiGA-Herstellern dazu, ihre Datenflüsse tatsächlich und rechtlich genau zu überprüfen und sich der erheblichen datenschutzrechtlichen Risiken bei der Nutzung von außereuropäischen Anbietern und deren Tochtergesellschaften bewusst zu sein.

Neue Vorgaben durch die kommende KI-Verordnung?

Im April 2021 legte die EU-Kommission den weltweit ersten Rechtsrahmen für KI vor. Dieser bezweckt einen besonderen Schutz für die Bürgerrechte und die Sicherheit durch die Anwendung von KI. Der Vorschlag folgt dabei einem risikobasierten Ansatz, wonach eine KI-Anwendung je nach Risiko für die geschützten Güter unterschiedlichen Vorgaben unterliegt. Je nachdem welche Auswirkungen auf den Menschen befürchtet werden und welche Gefahren daraus für hohe Rechtsgüter entstehen können. So ist ein KI-System, das "als klare Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen" gilt (unannehmbares Risiko), verboten. Die nächste Stufe erfasst die sog. "High-Risk-KI". Darunter fallen u.a. KI-Techniken, die als Sicherheitskomponenten von Produkten genutzt werden. Beispielhaft nennt die Kommission hier eine KI-Anwendung für die roboterassistierte Chirurgie.

Hersteller intelligenter Medizinprodukte müssen sich mit den Pflichten also genauer beschäftigen und das Risiko ihrer KI-Anwendung genau bestimmen. Für alle Hersteller von KI-Anwendungen dürfte – unabhängig vom jeweiligen Risiko – die Transparenzpflicht von Bedeutung sein, die auch ein wesentlicher Grundgedanke der DSGVO ist. Weitere Überschneidungen zum Gesundheitsdatenschutz und der DSGVO entstehen natürlich dort, wo personenbezogene (Gesundheits-) Daten mithilfe der KI-Anwendung verarbeitet werden. Was aufgrund der besonderen datenschutzrechtlichen Bedeutung von Gesundheitsdaten ein erhöhtes Risiko darstellen kann.Genauere Informationen zu der KI-Verordnung und welche weiteren Pflichten voraussichtlich auf die Hersteller zukommen, finden Sie hier in einem Beitrag unserer Kollegen Philipp Reusch und Niklas Weidner.

Unsere Empfehlungen für Ihr weiteres Vorgehen

Wir empfehlen Herstellern, sich möglichst frühzeitig sowohl mit den rechtlichen Anforderungen an ihr Unternehmen als auch an ihr Produkt zu beschäftigen. Hierbei sollten auch mittelbare Anforderungen, die sich insbesondere aus der DSGVO ergeben können, berücksichtigt werden. Wie streng die Aufsichtsbehörden bei Verstößen sind, ist noch nicht absehbar, es ist jedoch klar, dass die datenschutzrechtlichen Anforderungen angesichts des enormen Durchsetzungsdrucks aus den Aufsichtsbehörden und der Sensibilität von Gesundheitsdaten enorm an Bedeutung gewinnen werden. Die französische Datenschutzaufsichtsbehörde CNIL hat in diesem Bereich für das Jahr 2021 beispielsweise einen Arbeitsschwerpunkt angekündigt und bereits erste Bußgelder verhängt. Um auf Überprüfungen durch Aufsichtsbehörden vorbereitet zu sein und negative Konsequenzen von Verstößen, wie z.B. Bußgelder, aber auch Untersagungsverfügungen zu vermeiden, empfehlen wir die Implementierung eines Compliance-Management-Systems für die rechtlichen Vorgaben im Datenschutz und bei Medizinprodukten.

[Juni 2021]