EU KI Act: Leitfaden für die Entwicklung psychotherapeutischer KI-Systeme

Verfasst von Joshua Quattek

1. Einführung

Der EU KI Act stellt umfassende Anforderungen an die Entwicklung von KI-Systemen, insbesondere im Hochrisikobereich wie der psychotherapeutischen Versorgung. Dieser Leitfaden soll KI-Entwicklern und Psychotherapeuten eine praxisorientierte Übersicht bieten, um den rechtlichen und ethischen Anforderungen gerecht zu werden.

Hier gibt es mehr Informationen zum EU-Act!

2. Klassifizierung psychotherapeutischer KI-Systeme

Psychotherapeutische KI-Systeme fallen in der Regel unter die Kategorie der Hochrisikosysteme (Anhang III, Absatz 1 EU KI Act[^1]). Dies bedeutet:

  • Strikte Anforderungen an Risikomanagement, Datensicherheit und -qualität, Transparenz, menschliche Aufsicht, Robustheit und Cybersicherheit (Art. 9 EU KI Act)

  • Verpflichtende Konformitätsbewertung vor Inverkehrbringen (Art. 19 EU KI Act)

  • Aufnahme in die EU-Datenbank für Hochrisikosysteme (Art. 60 EU KI Act)

🏥 Beispiel: Eine KI zur Früherkennung von Depressionen anhand von Patienteninterviews wäre ein Hochrisikosystem.

3. Datenverarbeitung nach DSGVO-Grundsätzen

Die Verarbeitung psychotherapeutischer Daten erfordert die strikte Einhaltung der DSGVO[^2], insbesondere:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)

  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

  • Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)

  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

  • Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)

⚖️ Beispiel: Patientendaten dürfen nur für den konkreten Behandlungszweck verwendet und nicht länger als nötig gespeichert werden.

4. Informationspflichten und Einwilligung

Patienten müssen umfassend über den Einsatz von KI-Systemen informiert werden (Art. 13, 14 DSGVO):

  • Identität des Verantwortlichen

  • Zwecke und Rechtsgrundlage der Verarbeitung

  • Empfänger der Daten

  • Dauer der Speicherung

  • Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit)

  • Recht auf Widerruf der Einwilligung

  • Beschwerderecht bei Aufsichtsbehörden

Die Einwilligung muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden (Art. 4 Nr. 11 DSGVO).

📝 Beispiel: Einwilligungserklärungen müssen in klarer, einfacher Sprache verfasst sein und dürfen nicht in AGB versteckt werden.

5. Erklärbarkeit und Transparenz

KI-Systeme müssen transparent und erklärbar sein (Art. 13 EU KI Act). Für psychotherapeutische Anwendungen bedeutet dies:

  • Nachvollziehbarkeit der Entscheidungskriterien und des Datenverarbeitungsprozesses

  • Bereitstellung von Informationen über Fähigkeiten und Grenzen des Systems

  • Menschliche Aufsicht zur Kontrolle und Intervention

🔍 Beispiel: Ein KI-System zur Diagnoseunterstützung sollte dem Therapeuten die relevanten Entscheidungsfaktoren verständlich darlegen.

6. Technische und organisatorische Maßnahmen

Entwickler müssen angemessene technische und organisatorische Maßnahmen (TOMs) zur Sicherheit der Datenverarbeitung implementieren (Art. 25, 32 DSGVO):

  • Stand der Technik

  • Implementierungskosten

  • Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der Patienten

Beispiele für TOMs:

  • Pseudonymisierung und Verschlüsselung

  • Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit

  • Verfahren zur Wiederherstellung der Verfügbarkeit bei physischen oder technischen Zwischenfällen

  • Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der TOMs

🔒 Beispiel: Patientendaten sollten Ende-zu-Ende verschlüsselt und pseudonymisiert verarbeitet werden.

7. Kooperation mit Ethikbeiräten

Die Entwicklung psychotherapeutischer KI-Systeme erfordert die enge Einbindung von Ethikbeiräten, um ethische Risiken frühzeitig zu identifizieren und zu adressieren:

  • Bewertung potenzieller Diskriminierung oder Bias in Daten und Algorithmen

  • Sicherstellung von Fairness, Verantwortlichkeit und Transparenz

  • Schutz der Patientenautonomie und informationellen Selbstbestimmung

  • Abwägung zwischen Patientennutzen und Risiken

🤝 Beispiel: Ethikbeiräte sollten bereits in der Designphase eingebunden werden, um ethische Leitlinien für die KI-Entwicklung zu definieren.

Fazit

Die Entwicklung psychotherapeutischer KI-Systeme im Einklang mit dem EU KI Act ist eine komplexe Herausforderung, die ein tiefes Verständnis der rechtlichen und ethischen Anforderungen erfordert. Durch die sorgfältige Implementierung der hier beschriebenen Prinzipien können Entwickler jedoch innovative und vertrauenswürdige Lösungen schaffen, die das Potenzial haben, die psychotherapeutische Versorgung zu verbessern und zu erweitern. Entscheidend ist dabei die enge Zusammenarbeit aller Stakeholder - KI-Experten, Psychotherapeuten, Ethiker und Juristen - um den bestmöglichen Nutzen für die Patienten zu gewährleisten.

[^1]: EUR-Lex - 52021PC0206 - EN - EUR-Lex

[^2]: EUR-Lex - 32016R0679 - EN - EUR-Lex

Joshua Quattek
Zurück

Schutz von Patientendaten im KI-Zeitalter: Rechtliche und ethische Überlegungen für die moderne Psychotherapie
Weiter

EU KI-Verordnung: Auswirkungen auf Psychotherapie und Medizin