KI-Diagnostik: EMA-Zulassung stellt Datenschutz auf die Probe

17. April 2025

KI-Diagnostik: EMA-Zulassung stellt Datenschutz auf die ProbeDie Europäische Arzneimittel-Agentur (EMA) hat erstmals ein KI-gestütztes Diagnosetool für den medizinischen Bereich qualifiziert. Das System mit dem Namen AIM-NASH unterstützt Pathologen bei der Analyse von Leberbiopsien und der Einschätzung des Schweregrads von MASH (Metabolic dysfunction-associated steatohepatitis) in klinischen Studien. Dieser Schritt markiert einen Meilenstein für den Einsatz von Künstlicher Intelligenz in der medizinischen Diagnostik – ein Bereich, der in den kommenden Jahren durch Digitalisierung und datenbasierte Technologien grundlegend transformiert werden dürfte.

Mit den Chancen dieses Fortschritts gehen jedoch erhebliche datenschutzrechtliche und regulatorische Herausforderungen einher. Besonders im Fokus stehen dabei die Datenschutz-Grundverordnung (DSGVO) und die Verordnung der Europäischen Union über Künstliche Intelligenz (KI-VO).

Datenschutzhürden in der KI-Diagnostik

Der Einsatz von KI-Systemen wie AIM-NASH bringt große Fortschritte in der medizinischen Diagnostik, erfordert aber zugleich die Verarbeitung besonders sensibler Gesundheitsdaten. Diese unterliegen gemäß Artikel 9 Absatz 1 DSGVO einem hohen Schutzniveau. Die rechtmäßige Verarbeitung setzt in der Regel eine Ausnahmevorschrift voraus, häufig in Form einer ausdrücklichen Einwilligung nach Artikel 9 Absatz 2 Buchstabe a DSGVO.

  • Einwilligung: Doch genau diese Einwilligung ist bei KI-Anwendungen nicht immer leicht einzuholen. Denn viele Systeme sind technisch komplex und funktionieren intransparent – sogenannte Black Boxes. Patientinnen und Patienten können daher kaum nachvollziehen, wie Entscheidungen getroffen werden oder welche Datenverarbeitungen stattfinden. Eine informierte Entscheidung ist unter diesen Umständen schwierig. Zudem steht der oft umfangreiche Datenbedarf moderner KI-Anwendungen im Widerspruch zum Prinzip der Datenminimierung aus Artikel 5 Absatz 1 Buchstabe c DSGVO.
  • Widerruf & Löschung: Auch nachträgliche Betroffenenrechte wie der Widerruf einer Einwilligung werfen Fragen auf. Gemäß Artikel 7 Absatz 3 DSGVO muss der Widerruf jederzeit möglich sein. Doch lassen sich einmal verarbeitete Daten technisch noch vollständig aus einem KI-System entfernen – insbesondere, wenn diese Daten auch zum Training des Systems verwendet wurden? (ein Ansatz dazu: Machine Unlearning) Besteht weiterhin ein Personenbezug, greifen die Löschpflichten aus Artikel 17 Absatz 1 Buchstabe b DSGVO. Die Umsetzung solcher Vorgaben bleibt (zumindest aktuell) technisch herausfordernd.
  • Verbot automatisierter Entscheidungen: Hinzu kommen rechtliche Anforderungen bei automatisierten Einzelentscheidungen. Artikel 22 DSGVO erlaubt solche Prozesse nur unter engen Voraussetzungen – etwa mit ausdrücklicher Einwilligung oder wenn geeignete Schutzmaßnahmen getroffen werden. Gerade im medizinischen Kontext, in dem KI unter Umständen ohne menschliches Zutun diagnostische Entscheidungen trifft, ist besondere Vorsicht geboten.
  • Datenschutz-Folgenabschätzung: Der Einsatz von KI in der Medizin erfordert eine sorgfältige datenschutzrechtliche Bewertung. In vielen Fällen ist eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO verpflichtend. Sie soll potenzielle Risiken frühzeitig identifizieren und Maßnahmen sicherstellen, um betroffene Personen angemessen zu schützen.

Strenge Anforderungen für medizinische Hochrisiko-KI-Systeme

Neben der DSGVO rückt auch die EU-KI-Verordnung in den Fokus. Sie schafft erstmals einheitliche Rahmenbedingungen für den Einsatz von KI-Systemen in Europa. Anwendungen wie AIM-NASH, die im medizinischen Bereich zur Anwendung kommen, gelten nach der KI-VO als Hochrisiko-KI-Systeme. Für sie gelten besonders strenge Vorgaben, etwa im Hinblick auf Risikomanagement, Transparenz, Robustheit und menschliche Kontrolle. Die meisten Regelungen der KI-Verordnung werden im August 2025 verbindlich.

Die Verordnung sieht unter anderem eine umfassende Dokumentationspflicht vor. Anbieter müssen nachvollziehbar darlegen können, wie ihre Systeme funktionieren, auf welchen Daten sie basieren und wie Risiken gemindert werden. Verantwortlichkeiten liegen insbesondere bei Anbietern und Betreibern. Damit entstehen nicht nur technische, sondern auch organisatorische Anforderungen, die in bestehende Compliance-Strukturen integriert werden müssen.

ePA und Europäische Gesundheitsdatenraum als Datengrundlage?

KI-Systeme sind auf qualitativ hochwertige und große Datenmengen angewiesen. In der Zukunft könnten insbesondere die elektronische Patientenakte (ePA) sowie der geplante Europäische Gesundheitsdatenraum (EHDS) zentrale Datenquellen für das Training medizinischer KI darstellen. Über den EHDS könnten etwa medizinische Bilder in großer Zahl bereitgestellt werden, um die Leistungsfähigkeit von Algorithmen zu verbessern. Gleichzeitig ist sicherzustellen, dass diese Nutzung mit den datenschutzrechtlichen Vorgaben vereinbar ist (datenschutzkonformes KI-Training). Auch bei der Verwendung pseudonymisierter Daten, etwa aus der ePA für Forschungszwecke, bleibt der Schutzbereich der DSGVO eröffnet. Der Zugriff auf Daten muss also klar geregelt, die Risiken technisch abgesichert und die Betroffenenrechte gewahrt bleiben. Am Beispiel von Doctolib werden die Risiken noch einmal verdeutlicht.

Cybersicherheit im Gesundheitswesen

Die Qualifizierung von KI-Tools wie AIM-NASH und deren Integration in digitale Prozesse im Gesundheitswesen erfordert ein hohes Maß an Cybersicherheit. Der von der EU-Kommission vorgestellte Aktionsplan zur Cybersicherheit im Gesundheitswesen zielt darauf ab, Krankenhäuser und Gesundheitsdienstleister vor Cyberbedrohungen zu schützen. Angesichts der zunehmenden Anzahl schwerwiegender Cybersicherheitsvorfälle im Gesundheitswesen ist die Stärkung der Bedrohungserkennung, Vorsorge- und Reaktionsfähigkeit von entscheidender Bedeutung.

Fazit

Die EMA-Qualifizierung von AIM-NASH zeigt, welches Potenzial KI in der medizinischen Versorgung entfalten kann. Doch Innovation allein reicht nicht – der verantwortungsvolle Umgang mit sensiblen Daten ist entscheidend. Nur wenn Datenschutz, Transparenz, Cybersicherheit und die künftigen Anforderungen der KI-Verordnung konsequent mitgedacht werden, kann das Vertrauen in KI-Systeme wachsen. Dieses Vertrauen ist die Grundlage für nachhaltige und datenschutzkonforme Fortschritte in der digitalen Medizin.

Kategorien: Automatisierte Entscheidung · Cyberangriffe · Datenschutzfolgenabschätzung · Datenverarbeitung · DSGVO · EHDS · Einwilligung · EU-Datenschutzgrundverordnung · Europäisches Recht · Gesundheitsdatenschutz · KI-News · KI-Verordnung · Künstliche Intelligenz