Wiederverwendung von Patientendaten in der wissenschaftlichen Forschung zur Schulung von KI-Systemen – wichtige Überlegungen zur DSGVO
In der Entdeckungsphase der wissenschaftlichen Forschung können KI-Systeme eingesetzt werden, um Patente zu überprüfen und potenzielle neue Medikamente für klinische Studien zu identifizieren. Wenn eine Organisation ihr eigenes KI-System intern entwickelt, ohne Patientendaten zu verwenden, sollte das KI-Gesetz nicht anwendbar sein, da es unter die Forschungsausnahme fällt. Ähnlich ist die DSGVO in solchen Fällen nicht relevant, da keine personenbezogenen Daten verarbeitet werden.
Wenn jedoch Patientendaten verwendet werden, um ein KI-System zu trainieren, wird die DSGVO relevant. Patientendaten können aus verschiedenen Quellen stammen, einschließlich Gesundheitsakten, die von Institutionen wie dem NHS gesammelt werden, freiwilligen Registern, in denen Patienten der Weitergabe ihrer Daten für Forschungszwecke zustimmen, oder Daten, die aus früheren klinischen Studien gewonnen wurden. Diese Datensätze wurden ursprünglich für spezifische Zwecke gesammelt, was eine Bewertung erfordert, um zu bestimmen, ob sie für das Training von KI-Modellen wiederverwendet werden können.
Bewertung der Kompatibilität für die sekundäre Nutzung von Patientendaten
Die DSGVO umfasst das Prinzip der Zweckbindung, das vorschreibt, dass personenbezogene Daten für einen spezifischen, expliziten und rechtmäßigen Zweck gesammelt werden müssen und nicht weiterverarbeitet werden dürfen, wenn dies mit diesem Zweck unvereinbar ist. Wenn die Daten für einen anderen Zweck wiederverwendet werden sollen, ist eine Kompatibilitätsbewertung erforderlich. Mehrere Faktoren beeinflussen diese Bewertung:
- Verbindung zwischen den ursprünglichen und sekundären Zwecken: Je enger die Verbindung, desto wahrscheinlicher wird sie als kompatibel angesehen.
- Der Kontext und die angemessenen Erwartungen der betroffenen Personen: Wenn die betroffenen Personen zum Zeitpunkt der Erhebung über mögliche sekundäre Verwendungen informiert wurden, ist eine Wiederverwendung eher gerechtfertigt.
- Art der Daten: Je sensibler die personenbezogenen Daten (z. B. Gesundheitsdaten), desto enger wird der Rahmen für die Kompatibilität sein.
- Folgen für die betroffenen Personen: Sowohl positive als auch negative Folgen müssen bewertet werden.
- Existenz angemessener Schutzmaßnahmen: Maßnahmen wie Verschlüsselung, Pseudonymisierung, Transparenz und Opt-out-Optionen sollten in Betracht gezogen werden.
Das Prinzip der Zweckbindung zielt darauf ab, die Kontrolle der Individuen über ihre Daten aufrechtzuerhalten und eine unbefugte Wiederverwendung zu verhindern. Wenn die sekundäre Nutzung mit den angemessenen Erwartungen übereinstimmt, wird sie eher als kompatibel angesehen. Wissenschaftliche Forschung wird im Allgemeinen als kompatible sekundäre Nutzung betrachtet, vorausgesetzt, dass angemessene Schutzmaßnahmen vorhanden sind.
Wissenschaftliche Forschung und DSGVO-Konformität
Die DSGVO definiert „wissenschaftliche Forschung“ nicht ausdrücklich, aber Erwägungsgrund 159 legt eine breite Auslegung nahe, die technologische Entwicklungen, grundlegende und angewandte Forschung sowie privat oder öffentlich finanzierte Studien abdeckt. Der Europäische Datenschutzausschuss (EDPB) rät, dass wissenschaftliche Forschung etablierten ethischen und methodologischen Standards entsprechen muss. Sowohl die Entdeckungsphase als auch die klinische Forschung folgen typischerweise strengen Methoden oder Protokollen, sodass sie als wissenschaftliche Forschung qualifizieren sollten.
Obwohl der EDPB geplant hatte, 2021 Leitlinien zur Definition wissenschaftlicher Forschung und zu den angemessenen Schutzmaßnahmen herauszugeben, ist dies bislang nicht geschehen. Angesichts dieser Unsicherheit ist es ratsam, nicht automatisch von einer Kompatibilität auszugehen, sondern eine gründliche Kompatibilitätsbewertung durchzuführen.
Ergebnisse der Kompatibilitätsbewertung
Wenn die sekundäre Nutzung mit der ursprünglichen Erhebung unvereinbar ist, können die Daten nicht für den sekundären Zweck wiederverwendet werden, es sei denn, eine solche Verarbeitung kann auf der Einwilligung der betroffenen Person oder einem Rechtsakt der Union oder des Mitgliedstaats, der wichtige Ziele von allgemeinem Interesse (z. B. öffentliche Gesundheit) schützt, basieren.
Wenn die sekundäre Nutzung mit der ursprünglichen Erhebung kompatibel ist, kann man sich auf die rechtliche Grundlage stützen, die für die ursprüngliche Erhebung der Daten angeführt wurde. Allerdings müssen alle anderen Datenschutzprinzipien weiterhin für die weitere Verarbeitung respektiert werden, einschließlich der Information der betroffenen Personen über die weitere Verarbeitung und ihre Rechte sowie der Durchführung einer Datenschutz-Folgenabschätzung, falls erforderlich. Die Kompatibilitätsbewertung und die getroffenen Maßnahmen müssen dokumentiert werden, um dem Rechenschaftsprinzip zu genügen.
Ausnahmen gemäß Artikel 9 der DSGVO für die Verarbeitung von Gesundheitsdaten
Selbst wenn eine sekundäre Nutzung als kompatibel angesehen wird, ist eine zusätzliche Ausnahme gemäß Artikel 9 der DSGVO für die Verarbeitung von Gesundheitsdaten erforderlich. Mögliche Ausnahmen umfassen:
- Explizite Einwilligung (Art. 9(2)(a)).
- Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit basierend auf dem Recht der Union oder des Mitgliedstaats (Art. 9(2)(i)).
- Wissenschaftliche Forschung basierend auf dem Recht der Union oder des Mitgliedstaats und der Annahme angemessener Schutzmaßnahmen (Art. 9(2)(j)).
Fazit
Die Verwendung von Patientendaten für die Entwicklung oder Schulung von KI-Systemen, die in der wissenschaftlichen Forschung eingesetzt werden, erfordert sorgfältige regulatorische Überlegungen. Wenn Patientendaten beteiligt sind, wird die Einhaltung der DSGVO entscheidend, und Organisationen müssen die Kompatibilität der sekundären Datennutzung neben den anderen Prinzipien und Verpflichtungen der DSGVO bewerten.
