22.01.2020

Sprachassistenten im Gesundheitswesen: Datenschutzbedenken?

In Bezug auf Einsatzmöglichkeiten wächst das Potenzial von Sprachassistenten stetig. Mindestens genauso groß ist allerdings die Skepsis (insbesondere beim Datenschutz). Ob man sie nun aber völlig verbannen muss oder ihre Vorteile doch unter bestimmten Umständen rechtssicher nutzen kann, klären wir in diesem Artikel.

Stellen Sie sich vor, Sie liegen im Winter in einem Krankenhauszimmer, ans Bett gebunden, die Heizung nicht aufgedreht – und Ihr erster Ansprechpartner ist kein Arzt und kein Krankenpfleger, sondern ein kleiner Lautsprecher, der auf dem Nachttisch steht und auf den Namen Alexa hört. Eine kurze Bitte, und Alexa dreht die Heizung auf. Sie ruft den Arzt, erinnert Sie daran, dass Medikamente eingenommen werden müssen oder schaltet auch einfach nur das Fernsehprogramm um. Was hierzulande bislang nur schwer vorstellbar scheint, wird im Cedars-Sinai Medical Center in Los Angeles seit Anfang 2019 in einem Pilotprojekt getestet.

Solche Beispiele zeigen, dass es Amazon – und den vielen anderen digitalen Assistenten wie Apples Siri, Samsungs Bixby, Microsofts Cortana oder dem Google Assistant – trotz aller anfänglichen Bedenken über den Sinn solcher Geräte und trotz der Vorstellung, einen Spion in die eigenen vier Wände zu lassen, gelungen ist, eine Erfolgsgeschichte zu schreiben. Amazon-Manager David Limp erklärte kürzlich, dass insgesamt über 100 Millionen Geräte des 2014 vorgestellten Lautsprechers „Echo“ verkauft worden seien. Und nicht nur die Zahlen, auch die Anwendungsmöglichkeiten erweitern sich ständig. Das hat Amazon vor allem durch sogenannte Skills ermöglicht, mit denen Drittanbieter zusätzliche Funktionen für Alexa freischalten und sie mit Sprachsoftware zu den unterschiedlichsten Themengebieten anreichern können. Sowohl in Bezug auf Nutzer als auch auf ihre Einsatzmöglichkeiten wächst das Potenzial von Sprachassistenten stetig. Mindestens genauso groß ist allerdings die Skepsis (insbesondere beim Datenschutz), und tatsächlich sprechen viele Gründe für einen vorsichtigen Umfang. Ob man sie nun aber völlig verbannen muss oder ihre Vorteile doch unter bestimmten Umständen rechtssicher nutzen kann, klären wir in diesem Artikel.

Skepsis gegenüber digitalen Sprachassistenten

Doch warum tut man sich mit solchen Projekten hierzulande schwer? Kurz gesagt könnte man die Skepsis gegenüber solcher Technik und den Datenschutz ins Feld führen. Und tatsächlich ist der Umgang mit Programmen wie Alexa nicht immer einfach. Als ein US-amerikanischer Nachrichtensprecher über ein Mädchen berichtete, das sich mit Alexa ein Puppenhaus gekauft hatte, verstanden das die Alexas in den Zimmern der Fernsehzuschauer als Aufforderung, Puppenhäuser zu bestellen. Auf ähnliche Weise ließ Alexa beispielsweise schon ungewollt Katzenfutter oder mehrere Kilogramm Kekse nach Hause liefern. Ganz besonders für Aufsehen sorgte Ende letzten Jahres ein Datenleck bei Amazon in Deutschland, durch das ein Kunde an 1.700 fremde Sprachaufzeichnungen gelangte, nachdem er Auskunft über die von ihm bei Amazon gespeicherten Daten verlangte. Doch Vorsicht ist beim Thema Sprachassistenten auch wegen IT-Schwachstellen geboten. Deutschen Forschern gelang es nämlich, bei Amazon Alexa und Google Home heimlich mitzuhören.

Ganz grundlos ist es also nicht, wenn man nicht ganz so unbekümmert wie in den USA lauter Echos in Krankenhäusern und Arztpraxen aufstellt. Schließlich möchte man gerade als Arzt nicht dafür verantwortlich sein, dass Amazon oder andere sensible Daten der eigenen Patienten erhalten. Doch natürlich kann man die vielen Vorteile nicht einfach außer Acht lassen. Die Lautsprecher im Cedars-Sinai zeigen, wie sie Ärzten und ihren Assistenten viele einfache Aufgaben abnehmen und ihnen mehr Zeit für ihre eigentliche Arbeit mit den Patienten schenken. Es lohnt sich also, einen Blick auf die Gesetzeslage zu werfen, ob ein Einsatz von Sprachassistenten nicht doch auch hierzulande möglich ist, der gegen bestehende Regelungen nicht verstößt und der die Rechte der Patienten wahrt.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 6 und 5.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Wie sieht es aus, wenn Alexa so arbeitet, wie sie arbeiten sollte?

Ob nun bei Alexa oder den anderen Programmen, die sehr ähnlich funktionieren – bei aller Medienwirksamkeit der Datenpannen und „Unfälle“ mit den Geräten handelt es sich letztlich doch um Einzelfälle. Jedenfalls aber ist es empfehlenswert, sie als mögliches Risiko zu berücksichtigen, wenn es um die Implementierung von Sprachassistenten geht. Doch auch wenn man sich ansieht, wie Alexa im Idealfall arbeitet, ergibt sich eine Vielzahl von Sachverhalten, auf die ebenfalls Acht gegeben werden muss.

Die Lautsprecher hören jederzeit zu, um eines der Signalwörter erkennen zu können, mit denen man die Geräte in den Betriebsmodus versetzt. Das, was sie vorher hören, speichern sie laut Unternehmensangaben zwar nicht – doch wie die vielen Fälle zeigen, ist es schnell mal passiert, dass ein Alexander gerufen wird und stattdessen Alexa sich angesprochen fühlt. Einmal aktiviert, werden die an das Gerät gerichteten Fragen und sonstigen Äußerungen an die Cloud des Unternehmens übermittelt, gespeichert und verarbeitet. Das kann der Nutzer auch nicht vermeiden, da dort erst die Antworten von Alexa generiert werden und ohne Speicherung das Programm auch nicht lernen und sich auf den Nutzer individuell einstellen kann.

Datenschutz: Immer an die Einwilligung des Patienten denken

Möchte man es trotzdem versuchen, Sprachassistenten einzusetzen, muss besonders im Gesundheitswesen (datenschutz-) rechtlich eine Menge beachtet werden. Da personenbezogene Daten umfangreich verarbeitet werden, müssen die Patienten vorher über die Verarbeitungszwecke informiert werden. Das hängt jeweils von der Art der speziellen Anwendung ab und wird angesichts der vielen denkbaren Einsatzgebiete und der Lernfähigkeit der Programme zumeist nicht umfassend möglich sein. Es sollte aber deutlich werden, wozu die Geräte eingesetzt werden und was mit den erfassten Daten geschieht.

Vorzugsweise Beachtung gilt den sensiblen Daten, die die Kommunikation innerhalb eines Krankenhauses oder einer Arztpraxis mit sich bringt. Dabei kann es sich um Gesundheitsdaten nach Art. 9 DSGVO handeln, für deren Verarbeitung weitreichende Anforderungen zu erfüllen sind. Betrachtet man die Datenschutz-Grundverordnung (DSGVO) und die jeweiligen Landeskrankenhausgesetze, ist bei der Verarbeitung dieser Daten eine Einwilligung des Betroffenen zwingend einzuholen. Die muss den Anforderungen genügen, die dem Patienten im Voraus mitgeteilt werden müssen. Darunter fallen die Information über die Identität des Verantwortlichen, die bereits erwähnten Datenverarbeitungszwecke, das Widerrufsrecht und die möglichen Risiken bei einer Übermittlung in Drittländer.

Ärztliche Schweigepflicht beachten

Jeder niedergelassene und angestellte Arzt unterliegt darüber hinaus der Schweigepflicht, die alle Informationen umfasst, welche ihr oder ihm in der „Eigenschaft als Ärztin oder Arzt anvertraut oder sonst bekannt geworden ist“, § 9 Abs. 1 Muster-Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte (MBO-Ä). Und immerhin können solche Informationen an Amazon gehen, wenn Arzt und Patient sich vertraulich austauschen und Alexa im Zimmer steht. Auch von der Schweigepflicht kann der Patient die Ärzte mittels Einwilligung entbinden, doch muss sie auf der freien Entscheidung des Patienten beruhen. Es sollte also auf jeden Fall möglich sein, die jeweilige Behandlung auch ohne einen Sprachassistenten und ohne Nachteile für den Patienten durchführen zu können. Zudem bestehen besondere Anforderungen an ihre Bestimmtheit: es muss eindeutig sein, an wen die Behandlungsdaten übermittelt werden. Der Patient muss vollumfänglich darüber informiert werden, wer seine Daten erhält und was mit ihnen geschieht.

Eine Besonderheit gilt bei der Übermittlung von Informationen über verordnete Arzneimittel durch Kassenärzte, Apotheken, Krankenkassen, Großhandel oder Rechenzentren. Diese dürfen diesbezügliche Daten nur an Stellen übermitteln, die sich verpflichten, die Daten ausschließlich als Nachweis für die in einer Kassenärztlichen Vereinigung in Anspruch genommenen Leistung zu verarbeiten (vgl. § 305a SGB V). Und hier kommt man auch mit einer Einwilligung nicht weiter. Denn es geht im § 305a SGB V weniger um den Schutz des Patienten, dem schon umfassend in den anderen Gesetzen Rechnung getragen wurde, sondern darum, Arzneimittelherstellern Informationen darüber zu verwehren, welche Vertragsärzte welche Medikamente verordnen, die sie dann zu Werbezwecken verwenden könnten. Diese Norm sollte also im Auge behalten werden. Soll der Sprachassistent nämlich dafür benutzt werden, die Patienten an die Einnahme ihrer Medikamente zu erinnern, muss vorher sehr genau geprüft werden, welche Informationen dadurch an die Server des jeweiligen Unternehmens gesendet werden und wer für die Übermittlung verantwortlich ist.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

Möglichkeiten für einen sicheren Einsatz

Amazon selbst ist um Schutzmaßnahmen durchaus bemüht und lässt inzwischen einige unterschiedliche Einstellungen zu. So kann die Einkaufsfunktion einfach abgeschaltet werden, um ungewollte Einkäufe durch Alexa zu verhindern. Um überprüfen zu können, dass Audiodateien in die Cloud weitergeleitet werden, leuchtet je nach Modell ein Ring oder Balken blau auf. Wem das nicht reicht, der kann vor der Weiterleitung ein kurzes akustisches Signal abspielen lassen. Alle Dateien, die gespeichert wurden, kann man zudem einsehen und bei Bedarf einzeln oder auch vollständig löschen. Damit kann allerdings laut Amazon das Nutzererlebnis eingeschränkt werden, da Alexa die Lernfähigkeit für individuellere Antworten genommen wird. Ob man darauf auch verzichten kann, hängt mit der Vorhersehbarkeit der Anwendungen ab und müsste jeweils ausgetestet werden.

Alexa muss auch nicht in einen schallsicheren Raum verfrachtet werden, wenn seine Nutzer einmal ein vertrauliches Gespräch führen wollen. Bei jedem Gerät kann man mit einer eigenen Taste das Mikrofon ausschalten, um die Aufnahme von Audiodaten und ihre Weiterleitung in die Cloud auszuschließen. Wer gerade bei sensiblen Daten ganz sicher gehen möchte, sollte genau das auch machen.

Lassen sich die Medikamente und die Namen der Patienten verschlüsseln und kann ein Missbrauch sicher ausgeschlossen werden, kann ein Sprachassistent möglicherweise auch dafür eingesetzt werden, Patienten an ihre Einnahme zu erinnern. Ansonsten ist es aber sicherer, ihm „neutrale“ Aufgaben zu geben und ihn bei Gesprächen, die sensible Daten beinhalten, auszuschalten oder aus dem Zimmer zu schaffen.

Fazit

Wer also überlegt, Sprachassistenten einzusetzen, sollte vor allem im Gesundheitswesen die einschlägigen Anforderungen der DSGVO, der Landeskrankenhausgesetze oder auch Spezialnormen wie § 305a SGB V Aufmerksamkeit widmen. Man muss berücksichtigen, dass man für die Übermittlung der Daten schnell datenschutzrechtlich verantwortlich sein kann. Am sichersten ist es, gerade im Hinblick auf die nicht immer lückenlose Zuverlässigkeit der Geräte, den Assistenten keine Gesundheitsdaten anzuvertrauen. Es gibt einige Möglichkeiten, die das gewährleisten zu können. Am Ende bleibt es aber dabei, dass es sich um problematische Anwendungen handelt und man alle Voraussetzungen ganz genau prüfen sollte, um Rechtsverstöße zu vermeiden und den Schutz und das Vertrauen der Patienten nicht zu verspielen.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …