Der Arztbrief stellt einen wichtigen, aber zeitaufwändigen Bestandteil der Patientenbehandlung dar. Um bei der Formulierung Zeit zu sparen – insbesondere auch im Hinblick auf sich wiederholende Inhalte wie beispielsweise Aspekte aus der Krankenhistorie des Patienten – kann (und wird mittlerweile wie am Uniklinikum Hamburg-Eppendorf) Künstliche Intelligenz (KI) bei der Erstellung von Arztbriefen eingesetzt. Konkret handelt es sich dabei um KI-Sprachmodelle (auch bekannt unter dem englischen Begriff Large Language Model), also Modelle, die menschliche Sprache verstehen, verarbeiten und selbst generieren können. und selbst kann die Erstellung massiv beschleunigen. Um Haftungs- und andere Risiken für Ärzte zu minimieren, sind bei ihrem Einsatz jedoch Vorsichtsmaßnahmen zu ergreifen.

Diese Fähigkeiten erlernt die KI dadurch, dass sie mit einer großen Menge Daten „gefüttert“ wird, aus denen sie die relevanten Inhalte extrahiert und eigene Inhalte erstellt. In Bezug auf Arztbriefe umfassen diese Lerndaten Informationen zu allgemeinen Abläufen in der medizinischen Einrichtung (beispielsweise zur Patientenaufnahme, -entlassung und zum stationären Freigabeprozess), aber insbesondere auch zu konkreten Patienten, ihrer Anamnese, Behandlung und Medikation etc. Letzteres wird durch in den medizinischen Einrichtungen geführte digitale Patientenakten effizient ermöglicht. Die durch die KI erstellten Arztbriefe wiederum werden in ebendiesen Akten bzw. (zukünftig) in den elektronischen Patientenakten (ePA) gespeichert. Auf diese Weise wird es der KI ermöglicht, durchgängig neue Erkenntnisse über den jeweiligen Patienten zu erlangen, die sie zukünftig in weiteren Arztbriefen verarbeiten kann. 

Hört sich alles gut an. Oder nicht?

Dass der Einsatz von KI zur Erstellung von Arztbriefen in einer massiven Zeitersparnis für Ärzte resultiert, steht wohl außer Frage. Es darf jedoch nicht vergessen werden, dass es sich bei den Inhalten der Arztbriefe und den Daten, mit denen die KI trainiert wird, (auch) um sensible, personenbezogene Daten handelt. Zudem stellen Arztbriefe gegebenenfalls die Basis für eine Weiterbehandlung von Patienten dar und ihre inhaltliche Richtigkeit ist essentiell. In diesem Zusammenhang ergeben sich Risiken, die es einzudämmen bzw. zu vermeiden gilt:
Ein bekanntermaßen großes Problem von KI-Anwendungen ist das Halluzinieren. Bei diesen Halluzinationen handelt es sich um von der KI generierte Inhalte, die zwar realistisch und plausibel erscheinen, es in Wahrheit aber nicht sind.

Im Kontext von Arztbriefen und den zugrundeliegenden Trainingsdaten könnte eine Halluzination in der Praxis dergestalt vorliegen, dass Teile der Krankengeschichte verkürzt dargestellt werden sollen, die KI jedoch beim Kürzen wesentliche Aspekte (z. B. Symptome, Vorerkrankungen, Befunde) nicht einfügt, da sie deren Relevanz nicht erkennt. Sofern die KI dann zusätzlich so trainiert ist, dass sie auf Basis von Symptomen und / oder Befunden automatisiert Behandlungsempfehlungen einfügt, ist es wahrscheinlich, dass diese Empfehlungen falsch oder unvollständig ausfallen. Im Ergebnis besteht mithin die Möglichkeit, dass ein Patient aufgrund eines solchen fehlerhaften Arztbriefes falsch oder nicht hinzureichend weiterbehandelt wird und gesundheitliche Schäden von sich trägt. Einheitliche Zertifizierungen von KI-Anwendungen gibt es (noch ?) nicht. Bei der Entwicklung sind jedoch Leitlinien und Praxistipps von Behörden, Verbänden und Instituten einzubeziehen.

Im Anschluss stellt sich sodann die Frage, wer für eine etwaige Falschbehandlung durch den fehlerhaften Arztbrief für etwaige Schäden haftet. Der Arzt? Die medizinische Einrichtung? Der Hersteller / Programmierer des KI-Sprachmodells? Juristisch ist diese Frage (noch) nicht abschließend geklärt. Es ist jedoch davon auszugehen, dass eine Haftung des Arztes sehr wahrscheinlich ist, jedenfalls, sofern dieser den durch KI erstellten Arztbrief ungeprüft übernimmt, ihn also nicht auf Richtigkeit und Plausibilität prüft.

Trainingsdaten im Zusammenhang mit medizinischen Aspekten sind an Sensibilität kaum zu übertreffen und entsprechend zu schützen. Deshalb ist es in jedem Fall empfehlenswert, geschlossene Systeme zu nutzen, also Systeme, in denen die Datenverarbeitung in einer eingegrenzten und abgeschlossenen Umgebung erfolgt. Auf diese Weise haben die Anwendenden die volle Kontrolle über das System und können Datenein- und ausgabe sowie den Kreis der Zugriffsberechtigten festlegen und überwachen (anders als beispielsweise bei in der Cloud / online verfügbaren Modellen, bei denen in der Regel die Ein- und Ausgabe für alle Nutzer dieselben Inhalte umfasst).

Unter anderem aufgrund der oben dargestellten Risiken, aber auch, weil es sich um eine noch recht neue Technologie handelt, stehen viele Menschen dem Einsatz von KI (und anderen technischen Neuerungen wie z. B. der ePA) skeptisch gegenüber. Dennoch ist davon auszugehen, dass Patienten nicht das Recht haben, der Nutzung von KI für das Verfassen von Arztbriefen zu widersprechen. Sie sind jedoch im datenschutzrechtlich gebotenen Rahmen (also abhängig von den konkreten Trainingsdaten und den entsprechenden Vorgaben der EU-Datenschutzgrundverordnung, DSGVO) über die Datenverarbeitung zu informieren. Im Hinblick auf die KI-Verordnung der Europäischen Union ist wiederum davon auszugehen, dass entsprechende KI-Sprachmodelle keine Hochrisikoan-wendungen darstellen (jedoch noch um-stritten), sodass in Zusammenhang nur „vereinfachte“ Transparenzvorgaben zu erfüllen sind, konkret die Offenlegung der Textgenerierung durch KI. 

Fazit: Ein Fall sinnvoll eingesetzter KI

Im Ergebnis überwiegen die Vorteile der Nutzung von KI-Sprachmodellen für die Erstellung von Arztbriefen. Durch die Zeitersparnis profitieren schließlich nicht nur Ärzte, sondern mindestens mittelbar auch Patienten, für die so Behandlungszeit gewonnen und ausführliche Arztbriefe erstellt werden.

Vor dem konkreten Einsatz entsprechender KI und bereits im Rahmen der Entwicklung solcher Modelle sind jedoch die gesetzlichen Vorgaben aus DSGVO und KI-Verordnung (mit den jeweiligen lokalen Umsetzungsgesetzen) sowie Best Practices für Cybersecurity zu berücksichtigen und umzusetzen. Es empfiehlt sich in diesem Zusammenhang eine enge Zusammenarbeit mit Experten in diesen Feldern wie beispielsweise dem Datenschutzbeauftragten der medizinischen Einrichtung, der IT-Abteilung sowie, ge-gebenenfalls, externen Beratern.

Autorin: Friederike Wilde-Detmering, Rechtsanwältin, München