Das Universitätsklinikum Hamburg-Eppendorf (UKE) führt das von einem Tochterunternehmen entwickelte KI-Sprachmodell ARGO ein, um – im ersten Schritt – das ärztliche Personal bei der Erstellung der sogenannten Epikrise in Arztbriefen zu unterstützen. Das geht aus einer Pressemitteilung des UKE vom 20.08.2024 hervor. Ein Satz daraus lässt aufhorchen: „Grundlage für die Entwicklung des Sprachmodells ist die 2009 eingeführte digitale Patient:innenakte des UKE, die mit sieben Millionen Fällen eine der größten deutschsprachigen multidimensionalen Sammlungen medizinischer Datensätze bereithält.“
Ein Mitglied des Vereins Patientenrechte und Datenschutz nahm diese Mitteilung zum Anlass, bei der Hamburger Datenschutz-Aufsichtsbehörde dazu eine Anfrage zu stellen. Sie lautet im Kern: „Ich habe dazu vier Fragen, um deren Beantwortung ich Sie bitten möchte:
- Wurde der Hamburger Datenschutzbeauftragte in die Entwicklung dieser KI einbezogen?
- Welche Stellungnahme hat der Hamburger Datenschutzbeauftragte dazu abgegeben sowie zur Nutzung der Daten aus den 2009 beim UKE eingeführten digitalen Patientenakten zum Training dieser KI? Bitte – soweit datenschutzrechtlich zulässig – als pdf-Datei zusenden!
- Ist den früheren Patient*innen des UKE bekannt, dass ihre Gesundheits- und Behandlungsdaten zum Training einer KI namens ARGO genutzt werden?
- Auf welcher Rechtsgrundlage werden diese Daten genutzt?“
Die Anfrage wurde am 09.09.2024 per Mail versandt. Und schon drei Tage später ging die Antwort ein:
„Da wir Ihren Ausführungen zu der vom UKE eingesetzten KI zur Erstellung von Arztbriefen nicht entnehmen können, dass Sie selbst als Patient des UKE von der dargestellten Datenverarbeitung betroffen sind, verstehen wir diese nicht als Beschwerde nach Artikel 77 Datenschutz-Grundverordnung oder als Beratungsanfrage einer betroffenen Person, sondern als eine Anfrage nach dem Hamburgischen Transparenzgesetz. Ihre Fragen wollen wir danach wie folgt beantworten:
- Der HmbBfDI wurde nicht in die Entwicklung der KI einbezogen.
- Eine Stellungnahme dazu sowie zur Nutzung der Daten aus den 2009 beim UKE eingeführten digitalen Patientenakten zum Training dieser KI hat der HmbBfDI bislang nicht abgegeben. Eine solche kann daher nicht zur Verfügung gestellt werden.
- und 4. Diese Fragen können aktuell nicht beantwortet werden, da eine Prüfung noch andauert.“
Stellt sich die Frage: Hat das Universitätsklinikum Hamburg-Eppendorf „vergessen“, dass es auch so was wie Patient*innenrechte und Datenschutz gibt?