Keine Harmonie bei medizinischen Forschungsdaten
Während Forschende in Europa oft schon glücklich sind, wenn sie für ihre Projekte auf Daten von ein paar hundert oder sogar ein paar tausend Patientinnen und Patienten zurückgreifen können, verfügen internationale Branchenriesen sowie manche ausländischen wissenschaftlichen Einrichtungen über unzählige Datensätze und treiben damit ihre KI-Entwicklungen relativ ungeregelt voran. Dennoch ist nicht alles schlecht an den europäischen Regulierungsansätzen wie Datenschutzgrundverordnung und AI Act.
Es gebe ungeheure Aktivitäten des Gesetzgebers im Rahmen von sogenannten horizontalen Gesetzgebungsakten, die einen umfassenden Geltungsbereich haben – also auch in die Forschung wirken, erklärt Nikolaus Forgó, Professor für Technologie- und Immaterialgüterrecht an der Universität Wien, im Gespräch mit APA-Science. Dazu gehöre auch der AI Act, der von der Polizeiüberwachung über Google Street View bis eben hin zur medizinischen Forschung alles reguliere, „weswegen vielleicht nicht immer alles passt“.
Im AI-Act werde nach vier Risikoklassen differenziert, das reiche von der obersten Kategorie mit inakzeptablen Risiken bis zur untersten, die so gut wie keiner Regulierung unterliege. Dazwischen seien „High Risk“ und „Limited Risk“ angesiedelt. Intensive Regulierungen und umfangreiche Verpflichtungen gebe es vor allem bei den Hochrisiko-Anwendungen, unter die aktuell medizinische Geräte, die der sogenannten Medical Device Regulation unterliegen, automatisch fallen, wenn KI zum Einsatz kommt.
Weg auf den Markt erschwert
„Medizinische Produkte, die KI zum Gegenstand haben oder verwenden, unterliegen jetzt also nicht mehr nur der Medical Device Regulation, sondern auch noch der KI-Regulierung“, so Forgó. Erstere habe bereits ziemliche Schwierigkeiten erzeugt, „das kann ich auch aus eigener Erfahrung bestätigen“, wenn ein reines Forschungsprojekt, das ja der Medical Device Regulation nicht unterliegt, „irgendwas erfindet, was dann wirklich in einen Markt gebracht werden soll, was sehr teuer, komplex, verantwortungsvoll und haftungsbeladen ist“.
Hier gebe es jetzt schon eine Bruchstelle zwischen Grundlagenforschung auf der einen Seite und Produkten, die daraus entstehen. Es sei zu befürchten, dass sich dies durch die KI-Verordnung noch verschärfen werde, verweist Forgó auf die produktbezogene Problematik. Die datenbezogene beziehungsweise forschungsbezogene Problematik sei, dass all diese neuen Acts parallel zur bereits bestehenden Datenschutzgrundverordnung (DSGVO) existierten. Diese Verordnung würde Forschung mit personenbezogenen Daten erschweren, weil sie relativ viel an Verantwortung für die konkrete Ausgestaltung an die Mitgliedstaaten delegiere.
Kein gemeinschaftlicher Datenraum
„Wir haben einen ziemlichen Blumengarten an Regeln, was überhaupt ein personenbezogenes Datum ist, unter welchen Voraussetzungen etwas anonymisiert werden kann, ob man dafür eine informierte Einwilligung braucht und so weiter. Man muss sagen, dass sich der Anspruch eines gemeinschaftlichen Datenraums für medizinische Forschung in Europa bisher nicht hat realisieren lassen“, konstatiert der Experte. Für eine bessere Harmonisierung soll der European Health Data Space Act sorgen, der aber noch in der Schwebe sei.
Letztendlich treffe eine nach wie vor nationale Besonderheiten tolerierende DSGVO auf eine horizontale Regelung im AI Act, die nicht immer zu den Besonderheiten der Medizin passe, und auf einen noch nicht bestehenden und von dieser EU-Kommission wahrscheinlich nicht mehr erlassenen European Health Data Space Act. „Das Grundproblem ist, dass wir es mit Unternehmen zu tun haben, die über Billionen an Datensätzen verfügen und damit tolle KI-Entwicklungen machen können, während man bei einem europäischen Forschungsprojekt glücklich ist, wenn man ein paar tausend Patienten hat“, so Forgó, der befürchtet, „dass dieses Ungleichgewicht, diese Diskrepanz, diese Schere noch weiter zulasten Europas aufgehen wird.“
Technische und Qualitätsstandards fehlen
In Europa sei es außerdem sehr, sehr schwierig, Daten über die einzelne Klinik oder über den einzelnen Staat hinaus standardisiert zu vergleichen. Das habe zwei Gründe: Das eine sei das Fehlen von technischen Standards und damit zusammenhängend auch das Fehlen von einigermaßen einheitlichen Qualitätsstandards. Auch wenn diese Probleme gelöst würden, sei es sehr schwierig, solche Daten zu teilen, weil häufig nicht ausgeschlossen werden könne, dass es sich um personenbezogene Daten handle, wodurch man sie nicht öffentlich zugänglich machen dürfe. Das sei aber ohnehin nicht ratsam. Sensible Gesundheitsdaten „anonymisiert“ ins Netz zu stellen, „ist auch deswegen keine gute Idee, weil man die Möglichkeiten der Re-Identifizierung solcher Daten regelmäßig unterschätzt“.
Einerseits seien viele medizinische Forschungsprojekte in Europa sehr intensiv damit beschäftigt, eine einigermaßen einheitliche Datenquelle zu erzeugen. Allerdings komme man selbst bei der Zusammenarbeit mit großen Kliniken und Partnern selten auf eine vier-, fünf- oder sechsstellige Zahl von Datensätzen. Andererseits gebe es beispielsweise in den USA oder China Lifestyle-Gadgets, von denen gesagt werde, dass sie kein Medizinprodukt seien, obwohl sie zur Kontrolle von Muttermalen eingesetzt würden. „Letztendlich bekommt man so hunderttausende Muttermal-Fotografien, ohne dass ein Regulator oder Jurist darauf geschaut hätte. Das ergibt einen relativ deutlichen Startvorteil“, streicht Forgó hervor.