Digitale Gesundheit und Recht | Gesundheit und Digitalisierung | bpb.de

In der modernen Welt haben digitale Technologien nahezu alle Lebensbereiche revolutioniert, einschließlich des Gesundheitswesens. Diese Innovationen versprechen, die Sicherheit von Patient:innen zu erhöhen, das medizinische Outcome zu verbessern und den Praxisalltag zu erleichtern. Doch hieraus ergeben sich auch neue rechtliche Aspekte, die, abhängig von der jeweiligen Technologie, eine Anpassung bestehender Regulierungen und neue gesetzliche Ausarbeitungen erfordern. Dieser Beitrag soll einen Überblick über die rechtliche Dimension beim Einsatz digitalisierter Technik in der Medizin geben.

Anwendungsgebiete

Die Einführung neuer digitaler Technologien im Gesundheitswesen hat zweifellos das Potenzial, die Versorgungssituation erheblich zu verbessern. Elektronische Patientenakten ermöglichen etwa den schnellen und einfachen Zugriff auf fachübergreifende medizinische Informationen. Mithilfe von künstlicher Intelligenz (KI) können große Datenmengen in kürzester Zeit analysiert werden, was Ärzt:innen Zugang zu präziseren Informationen verschafft und zu besseren Diagnosen und Behandlungen führen kann. Fortschritte in der Medizintechnik, beispielsweise robotergestützte Operationen, bieten höhere Genauigkeit und geringere Invasivität, wodurch das Risiko von Komplikationen verringert wird. Zudem entlasten Roboter in Pflege und Therapie das medizinische Personal. Durch Telemedizin wird es möglich, auch in ländlichen Gebieten Zugang zu Spezialisten zu erhalten. Allerdings stellt der gesamte Bereich gewissermaßen eine Blackbox dar, denn wenn Daten in rasanter Geschwindigkeit verarbeitet, analysiert, interpretiert und als Ergebnisse präsentiert werden, können Ärzt:innen unter Umständen nicht mehr nachvollziehen, wie all dies zustandegekommen ist. Gerade im Fall von KI-Anwendungen übernimmt Technologie ganze Behandlungsschritte, die bislang Ärzt:innen vorbehalten waren, was aus rechtlicher Sicht durchaus problematisch sein kann.

Praktische Konsequenzen und Herausforderungen

Digitale Technologien bieten offensichtliche Vorteile für die Patient:innenversorgung. In vielen Bereichen des Gesundheitswesens haben sie sich bereits bewährt und finden immer mehr Anwendung. Eine breite und einheitliche Nutzung dieser Technologien ist erforderlich, um die eingangs genannten Effekte zu erzielen und eine umfassende Vernetzung aller Akteure im Gesundheitswesen zu erreichen. Dennoch reicht die Verwendung der Technologien allein nicht aus, um die Patient:innensicherheit zu garantieren. Notwendig sind ebenso eine angemessene Schulung des Personals sowie klare Richtlinien und Monitoring, die jeweils kontinuierlich hinterfragt und angepasst werden müssen.

Wichtig ist außerdem, Patient:innen besser einzubeziehen und aufzuklären. Vertrauen und Akzeptanz für neue Technologien müssen geschaffen werden, besonders im sensiblen medizinischen Bereich. Manche Patient:innen haben bereits im analogen Umfeld Schwierigkeiten, Ärzt:innen zu vertrauen, und begegnen neuen Technologien daher oft mit Skepsis. Fehlende digitale Ethikregeln und unklare soziale Auswirkungen der Digitalisierung verstärken dieses Gefühl. Nur durch eine ganzheitliche Herangehensweise können die Vorteile der Technologien voll ausgeschöpft werden.

Ein weiteres Problem ist die Regulierung neuer Technologien. Strenge Regulierungen sind nicht neu, manche bestehenden Gesetze tragen bereits zur Patientenversorgung und -sicherheit bei. Der Einsatz neuer Technologien erfordert daher zwingend rechtliche Überlegungen darüber, welche Gesetze dabei berücksichtigt und gegebenenfalls angepasst werden müssen.

Allgemeine rechtliche Erwägungen

Es gibt deutschlandweit spezifische Gesetze und Vorschriften, die den Einsatz von digitalen Technologien im Gesundheitswesen regeln und darauf abzielen, Patient:innensicherheit zu fördern und Risiken zu minimieren.

Mit dem E-Health-Gesetz von 2015, also dem Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen, sollte eine zügige Einführung und Nutzung medizinischer Anwendungen sichergestellt werden. Ziel der damaligen Bundesregierung war es, die Digitalisierung zu fördern, um im internationalen Vergleich wettbewerbsfähig zu bleiben und den Nachholbedarf im Gesundheitswesen zu adressieren. Das Gesetz regelt neben dem Aufbau einer entsprechenden Infrastruktur die Förderung telemedizinischer Leistungen, zum Beispiel Online-Videosprechstunden oder Telekonsilien, das heißt die Befundbeurteilung etwa von Röntgenaufnahmen zwischen Ärzt:innen unterschiedlicher oder gleicher Fachrichtung über digitale Kommunikationswege. Zugleich fördert das Gesetz durch die verbesserte Verfügbarkeit und Transparenz von Gesundheitsinformationen indirekt das sogenannte Patienten-Empowerment, also die Stärkung der Rolle und Selbstbestimmung der Patient:innen. So ermöglicht zum Beispiel der erleichterte Zugang zu den eigenen Gesundheitsdaten informiertere Entscheidungen über therapeutische Maßnahmen. Hierfür ist allerdings die Bereitschaft von Patient:innen zur aktiven Mitwirkung erforderlich (Compliance).

Das Digitale-Versorgung-Gesetz (DVG) von 2019 schafft die gesetzliche Grundlage für die Verschreibung von Digitalen Gesundheitsanwendungen (DiGA) und schreibt verpflichtende IT-Sicherheitsstandards fest.

Hauptbestandteile des Patientendaten-Schutz-Gesetzes von 2020 wiederum sind Regelungen zur elektronischen Patientenakte, zum elektronischen Rezept und zum Datenschutz.

Das 2022 verabschiedete Krankenhauspflegeentlastungsgesetz enthält neben Regelungen zum Pflegepersonal zahlreiche Maßnahmen, um Prozesse in der digitalen medizinischen Versorgung nachzusteuern. Zum Beispiel soll die Vergütung bei telemedizinischen Leistungen den analogen Leistungen angepasst werden, um so Telemedizin zu fördern und dadurch eine Entlastung des Personals herbeizuführen.

Mit dem Gesundheitsdatennutzungsgesetz (GDNG), das am 25. März 2024 in Kraft getreten ist, soll die Nutzbarkeit von Gesundheitsdaten unter Berücksichtigung der geltenden datenschutzrechtlichen Standards verbessert werden. Gemäß Paragraf 1 Absatz 1 GDNG ist das Ziel der Nutzung von Gesundheitsdaten, "eine sichere, bessere und qualitätsgesicherte Gesundheitsversorgung und Pflege zu gewährleisten, Forschung und Innovation zu fördern und das digitalisierte Gesundheitssystem auf Grundlage einer soliden Datenbasis weiterzuentwickeln". Aus Datenschutzsicht besonders bedeutsam sind die Auswertungsbefugnisse der Krankenkassen. Diese sollen auch ohne Einwilligung der Versicherten eine individuelle, versichertenbezogene Auswertungsbefugnis erhalten. Gesundheitseinrichtungen sollen so eine bundeseinheitliche Grundlage zur Weiterverarbeitung der zu Behandlungszwecken erhobenen Daten zu weiteren Zwecken bekommen. Damit werden Datenverarbeitungen ohne Einwilligung der betroffenen Personen erlaubt, wie etwa bei der Genomsequenzierung, die zum Beispiel in der Forschung angewendet wird, um Ausbrüche von Krankheitserregern zu untersuchen. Die Weiternutzung der Daten in der elektronischen Patientenakte zu verschiedenen weiteren Zwecken im Forschungsdatenzentrum des Statistischen Bundesamtes soll nicht mehr zustimmungsbasiert, sondern automatisiert als Opt-out-Modell gestaltet werden, das heißt, die betreffenden Personen müssen sich aktiv gegen die Verwendung der Daten aussprechen.

Das Digital-Gesetz (DigiG) vom 26. März 2024 schließlich soll der Weiterentwicklung und Beschleunigung der digitalen Transformation im Gesundheitswesen und in der Pflege dienen. Unter anderem umfasst es die Umstellung auf eine Opt-out-Regelung für die elektronische Patientenakte ab Anfang 2025, die verbindliche Nutzung des eRezepts ab 1. Januar 2024 und eine tiefere Integration von DiGA in die Versorgungsprozesse. Außerdem regelt es die Weiterentwicklung von Videosprechstunden, Telekonsilien und digital strukturierten Behandlungsprogrammen, die Verbesserung der Interoperabilität von Daten und die Erhöhung der Cybersicherheit.

Datenschutz und Datenaustausch

Datenschutz ist ein wichtiges Element zur Bewahrung der Patient:innensicherheit, etwa wenn es um das Teilen von Daten für schnellere und bessere Diagnosen geht. Zentral ist hier die Europäische Datenschutz-Grundverordnung (DSGVO), die strenge Regeln für den Umgang mit personenbezogenen Daten in der Europäischen Union festlegt. Demnach ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ohne Erlaubnis verboten. Personenbezogene Daten sind zum Beispiel Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtstag, Kontodaten und Cookies, aber auch sensible Daten wie Gesundheitsdaten sind besonders geschützt. Die DSGVO umfasst explizit auch medizinische Informationen, diese müssen durch Technologien wie die elektronische Patientenakte geschützt werden. Beim Umgang mit diesen Daten gelten die Grundsätze der Datensparsamkeit und Zweckbindung, das heißt, es dürfen nur jene Daten erhoben werden, die einem konkreten Zweck dienen, etwa zur Diagnosestellung. Auch sind die Daten richtig und aktuell zu halten. Diese Maßnahmen tragen nicht nur zur Sicherheit der Patient:innen bei, sondern schützen auch deren Privatsphäre und Entscheidungsfreiheit.

Der Datenschutz muss besonders bei der Vernetzung der medizinischen Bereiche beachtet werden. Die DSGVO stellt sicher, dass Daten nur dann ausgetauscht werden dürfen, wenn sie geschützt sind, beispielsweise durch Verschlüsselung. Dadurch können Reaktionszeiten verkürzt und präzisere Diagnosen gestellt werden. Ein umfassender und sicherer Datenaustausch ist die Grundlage dafür, es muss jedoch eine Balance zwischen Datenschutz und Datenverfügbarkeit gefunden werden.

Europäische KI-Verordnung

Zulassung und Einsatz von medizinischen Technologien unterliegen strengen Sicherheits- und Qualitätsstandards, wie sie in der Medical Device Regulation der EU festgelegt sind. Dies gilt für Roboter, elektronische Geräte, aber auch Gesundheitsapps, die von der Diätunterstützung bis zur Ferndiagnose reichen. Medizinische Apps müssen strenge Zulassungskriterien erfüllen, während Lifestyle-Apps nicht als Medizinprodukte gelten und daher weniger reguliert sind.

Der Einsatz von Algorithmen und KI im Gesundheitsbereich bringt einen hohen Nutzen mit sich, zum Beispiel durch sogenannte Wearables, kleine, direkt am Körper getragene Computersysteme, die Daten in Echtzeit analysieren und gegebenenfalls bei Abweichungen Alarm schlagen. Das verkürzt zwar eventuelle Reaktionszeiten und ermöglicht schnellere Behandlungen, gleichzeitig können mit Algorithmen und KI-Systemen aber auch Intransparenz, Diskriminierung und Missbrauch einhergehen.

Ein bedeutender Aspekt bei der Nutzung neuer Technologien im Gesundheitswesen ist die sogenannte Blackbox-Problematik, insbesondere bei der Verwendung von KI-Systemen. Diese können Entscheidungen auf Grundlage komplexer Algorithmen treffen, deren Funktionsweise für Nutzer:innen und Entwickler:innen nicht immer vollständig nachvollziehbar ist. Gerade deshalb fällt es schwer, sich darauf zu verlassen. Denn wie kann Verantwortung für etwas übernommen werden, was sich nicht nachvollziehen lässt? Die Europäische Union hat diese Schwierigkeit erkannt und mit der KI-Verordnung (KI-VO oder AI-Act) reagiert. Es ist weltweit die erste Regulatorik hierzu und legt für mehrere Bereiche Maßstäbe für Transparenz und Nachvollziehbarkeit sowie regulatorische Anforderungen fest.

Transparenz und Nachvollziehbarkeit

Die fehlende Transparenz in Entscheidungsprozessen von KI-Systemen ist ein erhebliches Problem. Wenn die Entscheidungswege nicht nachvollziehbar sind, ist es schwierig, Fehlerquellen zu identifizieren und zu korrigieren. Dies kann die Patient:innensicherheit gefährden und das Vertrauen in diese Technologien untergraben. Daher ist es wichtig, dass KI-Systeme transparent und erklärbar gestaltet werden. Dies bedeutet, dass die Entwickler:innen der Systeme verpflichtet sind, Mechanismen zu implementieren, die die Entscheidungsprozesse nachvollziehbar machen.

Regulatorische Anforderungen

Regulatorische Rahmenwerke wie die KI-VO zielen darauf ab, die notwendige Transparenz zu gewährleisten. Sie fordern von den Herstellern, dass KI-Systeme nachvollziehbare Entscheidungen treffen können und dass klare Protokolle und Dokumentationen vorhanden sind. Zudem müssen medizinische Einrichtungen sicherstellen, dass sie nur solche KI-Systeme verwenden, die diesen Anforderungen entsprechen.

Aber wer ist letztlich verantwortlich, wenn eine KI-basierte Entscheidung zu einem Behandlungsfehler führt? Die Frage der Haftung ist bei der Verwendung von KI im Gesundheitswesen essenziell. Nach momentan geltendem Recht tragen die behandelnden Ärzt:innen die Letztverantwortung und haften entsprechend. Eine noch zu verabschiedende europäische KI-Haftungsrichtlinie soll klären, wie die Verantwortung zwischen den Entwickler:innen der KI, den medizinischen Einrichtungen und den Nutzer:innen verteilt wird. Eine klare Haftungsregelung ist entscheidend, um die Sicherheit und das Vertrauen in KI-basierte medizinische Entscheidungen zu gewährleisten. Solange hier keine Klarheit herrscht, bleiben die anwendenden Ärzt:innen in der Letztverantwortung gegenüber den Patient:innen, was zu erheblicher Zurückhaltung beim Einsatz von KI führen wird. Auch deshalb ist eine klare Haftungsabgrenzung erforderlich.

Haftungsfragen

Bestehende gesetzliche Regelungen zur Haftung bei Behandlungsfehlern tragen zur Patient:innensicherheit bei, indem sie Anreize für Sorgfalt und Sicherheit bei der Behandlung schaffen. Diese Regelungen müssen auf neue Technologien übertragen und durch neue Sorgfaltspflichten ergänzt werden. Die KI-VO enthält keine spezifische Haftungsregelung, aber eine geplante KI-Haftungsrichtlinie soll nationale zivilrechtliche Regelungen ergänzen.

Die Anpassung der Haftungsregelungen umfasst neue Gesetzesvorschläge: Der Vorschlag für eine Richtlinie des Europäischen Parlaments und des Europäischen Rats über die Haftung für fehlerhafte Produkte (Produkthaftungsrichtlinie) vom 28. September 2022 zielt darauf ab, die fast 40 Jahre alten EU-Vorschriften über Produkthaftung an den ökologischen und digitalen Wandel sowie an neue Technologien wie KI anzupassen. Vor allem die Frage, ob Software als Produkt gilt, steht dabei im Fokus. Gemäß Artikel 4 Absatz 1 des Entwurfs soll dies ausdrücklich der Fall sein.

Ein weiterer Vorschlag ist die Richtlinie zur Anpassung der Vorschriften über außervertragliche zivilrechtliche Haftung an KI vom 28. September 2022 (Richtlinie über KI-Haftung). Diese soll ein einheitliches Schutzniveau für durch KI-Systeme verursachte Schäden schaffen. Das heißt, es soll keine verschuldensunabhängige Haftung für den Betrieb von KI und keine sonstige Gefährdungshaftung gelten. Die Vermutung der Ursächlichkeit (Kausalität) zwischen Verschulden und KI-Ergebnis ist ein Kernelement der Richtlinie. Diese greift, wenn nach vernünftigem Ermessen davon ausgegangen werden kann, dass das Verschulden des Angeklagten das von dem KI-System erzeugte Ergebnis beeinflusst hat. Die Richtlinie erstreckt sich nur auf außervertragliche verschuldensabhängige Schadensersatzansprüche im Zivilrecht, also im Bereich des Deliktsrechts, und gilt nicht für vertragliche Ansprüche. Zusätzlich soll ein erleichterter Zugang zu Beweismitteln gewährleistet werden, indem nationale Gerichte auf Antrag eines (potenziellen) Klägers die Offenlegung von Beweismitteln zu einem Hochrisiko-KI-System anordnen können. Diese Regelung soll auch für Geschädigte gelten, die noch keine Klage erhoben haben. Zudem wird vermutet, dass ein Sorgfaltspflichtverstoß vorliegt, wenn die Beklagten Beweismittel nicht offenlegen.

Die Produkthaftungsrichtlinie und die Richtlinie über KI-Haftung ergänzen sich gegenseitig, obwohl sie unterschiedliche Ansprüche abdecken. Während die Produkthaftungsrichtlinie Schadensersatzansprüche nur Privatpersonen zugesteht, sollen nach der Richtlinie über KI-Haftung sowohl natürliche als auch juristische Personen Schadensersatzansprüche geltend machen können. Bereits die KI-VO zielt darauf ab, sicherheitsorientierte Vorschriften zu etablieren, um Risiken zu verringern und Schäden im Vorfeld zu vermeiden. Sollte ein Schaden dennoch eintreten, greift das Haftungsregime der Richtlinie über KI-Haftung.

Die KI-VO wurde im Mai 2024 verabschiedet, die beiden Richtlinienentwürfe befinden sich noch im europäischen Gesetzgebungsverfahren. Bis zur Verabschiedung und Umsetzung in nationales Recht werden noch mehrere Jahre vergehen – in Deutschland wird dies frühestens 2025/26 zu erwarten sein. Bis dahin gelten die allgemeinen deutschen Haftungsregeln, die dazu führen, dass Ärzt:innen beim Einsatz von KI nach Paragraf 831 BGB weiterhin die Verantwortung tragen.

Fazit

Neue Technologien können erheblich zur Patient:innensicherheit beitragen. Durch elektronische Patientenakten, präzisere chirurgische Eingriffe, Überwachungs- und Warnsysteme sowie Telemedizin und KI können Risiken minimiert und die Effizienz des Gesundheitssystems verbessert werden. Allerdings bringen diese Technologien auch neue Herausforderungen mit sich, insbesondere im Bereich der rechtlichen Rahmenbedingungen. Es ist unerlässlich, dass sowohl die gesetzlichen Anforderungen als auch die technischen Lösungen weiterentwickelt werden, um eine sichere und transparente Nutzung zu gewährleisten. In Kombination mit angemessenen rechtlichen Rahmenbedingungen tragen diese Technologien dazu bei, die Patient:innensicherheit weiter zu verbessern und eine effizientere Versorgung zu bieten.