Der Verein der „E‑Rezept-Enthusiasten“ – die sich 2022 mit Mitgliedern aus der IT, Apotheken, Ärzteschaft und Privatpersonen gründeten – sieht in der ePA das Potenzial, die Koordination der Versorgung deutlich zu verbessern. Zwar wurden bereits über 70 Millionen elektronische Akten angelegt, dennoch nutzen erst rund 3,4 Millionen Versicherte die ePA aktiv.

Große Probleme sieht der Verein beim Identifikationsverfahren, das viele Patienten von der Nutzung abhält. Die Identifikation erfolgt über den Personalausweis, über PostIdent, „Video-Ident in Dritt-Anwendung (neuerdings möglich) oder Identifikation per eGK + PIN“, heißt es im Positionspapier. Diese Verfahren seien „technisch anspruchsvoll, unflexibel, nicht an den digitalen Alltag der Bevölkerung angepasst und abhängig von weiteren Tätigkeiten (wie Beantragen eines eGK-PINs)“.

Identifikation über Apotheken, Hausärzte und Co. gefordert

Daher wollen die Enthusiasten einfachere Zugangsmöglichkeiten – zunächst über den Hausarzt, beim Gesundheitsamt oder in der Apotheke. Eine entsprechende Möglichkeit, sich in den Apotheken zu identifizieren, sei „aus verschiedensten Gründen“ nicht umgesetzt worden. Später sollen die Möglichkeiten von einer staatlich getragenen digitalen Identitätsplattform abgelöst werden.

Wer über die PIN seines Personalausweises verfügt, kann sich schnell identifizieren. Künftig soll es möglich sein, die PIN online zurückzusetzen, ein entsprechender Verordnungsentwurf ist laut Bundesministerium des Inneren in Arbeit. Ebenso fordert der Verein eine stärkere Information und Einbindung der Versicherten. Mit einem verbesserten Berechtigungsmanagement sollten Versicherte steuern können, welcher Arzt wie lange ein Dokument sieht.

Zentral sei laut E-Rezept-Enthusiasten, die Patientenzentrierung konsequent in den Fokus zu rücken. Eine verpflichtende, automatische Befüllung mit relevanten Daten – etwa über Rezepte und Medikationslisten – sei dafür entscheidend. Besonderes Potenzial sehen die Enthusiasten in der neuen Architektur der ePA 3.x, die künftig nicht nur Datenspeicherung, sondern auch sichere Datenverarbeitung ermöglicht. So könnten im geschützten Bereich der Telematik-Infrastruktur KI-gestützte Analysen, Medikationsprüfungen oder intelligente Zusammenfassungen von Befunden entstehen – immer mit Zustimmung der Versicherten. Von der Gematik werden daher Spezifikationserweiterungen für sichere „Verarbeitungsdienste innerhalb der VAU [Anm. d. R. Vertrauenswürdige Ausführungsumgebung]“ gefordert.

ePA muss mehr sein als „digitaler Aktenschrank“

„Die ePA kann, soll und muss mehr sein als ein digitaler Aktenschrank. Sie muss komplexe und rechenintensive KI-gestützte Datenauswertung und Aufbereitung im sicheren Schutzraum in der vertrauenswürdigen Anwendungsumgebung ermöglichen“, fordert Christian Klose, Vorstandsmitglied der E-Rezept-Enthusiasten. Daher drängt der Verein auch auf „die Nutzung KI-basierter Algorithmen für Mustererkennung, Entscheidungshilfen und semantische Zusammenfassungen“. Laut Gematik ist die ePA bereits „KI-ready“, bei der Umsetzung scheint es aber noch Schwierigkeiten zu geben. Für die Zukunft ist viel geplant, wie einer aktuellen Roadmap und ePA-Erweiterungsplänen der Gematik-Gesellschafter zu entnehmen ist.

„Chaos Computer Club weist auf Defizite hin“

Cybersicherheit bei der ePA sehen die Enthusiasten nicht als „sicher“, sondern halten den Prozess für gut etabliert. Deshalb sehen sie keinen akuten Verbesserungsbedarf im Vergleich zu anderen Baustellen. „Da sehen wir in jedem Fall jetzt den geringsten Verbesserungsbedarf. […] es gibt ja nie die perfekte Sicherheit, das muss permanent nachgearbeitet werden. […] Im Zweifel weist der Chaos Computer Club auf Defizite hin […]. Letztendlich geht es ja immer darum, die Technik entsprechend auf den Stand der Bedrohungslage zu bringen. Und das ist aber aus unserer Sicht ein etablierter Prozess, wo jetzt kein Aufwand mehr ist“, so Klose. Jedoch hieße das nicht, dass sie sicher ist. Dabei handele es sich um einen kontinuierlichen Verbesserungsprozess.

Auf die Frage nach der aktuellen Sicherheit der ePA antwortete Bianca Kastl, die an beiden IT-Sicherheitsmeldungen bei der ePA mitgewirkt hat: „Die ePA benutzt zur Authentifizierung nach wie vor Methoden, die nicht den anerkannten Regeln der Technik entsprechen. Von sicher zu sprechen, ist also hier eher Glückssache“.

Es scheint, als ob der Datenschutz von manchen Vertretern der Gesundheitsbranche immer weniger ernst genommen wird. Christoph Straub, der Vorstandsvorsitzende der Barmer, bezeichnete den Datenschutz kürzlich als wesentliches Hemmnis. Für das BSI und den damaligen Bundesbeauftragten für Datenschutz und Informationsfreiheit sei „das höchste militärische Sicherheitsniveau gerade ausreichend“. Er hofft auf einen unkomplizierteren Umgang mit Gesundheitsdaten.

(mack)

Wie messen, testen und überwachen US-Datenkonzerne ihre öffentlichen KI-Chatbots auf deren negative Auswirkungen auf Kinder und Jugendliche? Dieser Frage geht die US-Bundesbehörde FTC (Federal Trade Commission). Dazu hat sie interne Unterlagen von Alphabet, Character Technologies, Meta Platforms (inklusive Instagram), OpenAI, Snap und X.Ai angefordert.

Besondere Sorge hat die FTC in Bezug auf Fälle, bei denen ein Chatbot nicht für ein einzelnes Anliegen kurz benutzt wird, sondern wenn er länger, als Bezugsperson (Companion), fungiert. Die behördliche Untersuchung soll laut Mitteilung ergründen, welche Schritte die Firmen gesetzt haben, um die Sicherheit ihrer Chatbots bei Einsatz als Bezugsperson zu evaluieren, die Nutzung durch Kinder und Jugendliche einzuschränken und potenzielle negative Effekte auf sie hintanzuhalten, und wie sie die Anwender und deren Eltern auf die von ihren Bots ausgehenden Gefahren hinweisen. Zudem will sie die Einhaltung des US-Kinderdatenschutzrechts (beruhend auf dem Gesetz COPPA) überprüfen und sich über die Geschäftsmodelle informieren.

Abstoßende Anlässe

Aktueller Anlass sind die Mitte August durchgesickerten internen Richtlinien Meta Platforms für Training wie Betrieb generativer KI (GenAI: Content Risk Standards). Sie erlauben Rassismus, falsche medizinische Behauptungen und anzügliche Chats mit Minderjährigen. Dass Metas KI-Chatbots mit Teenagern flirten oder sexuelle Rollenspiele durchführen, war bereits bekannt. Neu ist der Nachweis, dass dies kein Fehler war, sondern Metas expliziten Richtlinien entsprochen hat.

Nach einer Anfrage Reuters hat Meta den Abschnitt, der Flirts und romantische Chats mit Kindern erlaubt, entfernt. Das muss man Meta glauben: Die neuen Richtlinien hält der Datenkonzern unter Verschluss. Da ist es kein Wunder, dass Behörden genauer hinschauen. Ein US-Senator hat bereits eine Untersuchung Metas angeregt, ein anderer möchte amerikanische KI-Unternehmen hingegen ein Jahrzehnt lang ohne rechtliche Einschränkungen frei experimentieren lassen.

In den USA sind bereits mehrere Klagen hinterbliebener Eltern gegen Betreiber generativer KI-Chatbots anhängig, weil sie Kinder in den Suizid getrieben, dabei mit Anleitungen und Ermunterungen unterstützt und/oder keine Hilfe organisiert haben sollen. Im August haben die Justizminister aus 44 US-Staaten der KI-Branche die Rute ins Fenster gestellt. „Ihr werdet dafür verantwortlich gemacht, wenn Ihr wissentlich Kindern schadet“, heißt es in einem offenen Brief, den die National Association of Attorneys General an mehrere Datenkonzerne geschickt hat. Es gäbe bereits Hinweise auf strukturelle und systematische Gefahren, die von KI-Assistenten für Heranwachsende ausgehen.

(ds)

In Deutschland soll es zeitnah einen breiten Rahmen für Schadenersatzansprüche bei fehlerhaften Produkten auch im Bereich Soft- und Hardware geben. Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat dazu am Donnerstag einen Gesetzentwurf zur Modernisierung des Produkthaftungsrechts veröffentlicht. Die neuen Regeln betreffen insbesondere Schäden, die durch fehlerhafte Computerprogramme – einschließlich von Software im Bereich Künstliche Intelligenz (KI) – verursacht wurden. Ein relevantes Beispiel hierfür sind Unfälle mit autonom fahrenden Fahrzeugen.

Künftig sollen Geschädigte, die durch ein fehlerhaftes Produkt einen Sachschaden oder eine Körperverletzung erleiden, laut dem Referentenentwurf auch einfacher Schadensersatz vom Hersteller erhalten können. Das BMJV will mit der Initiative die Vorgaben der neuen, Ende 2024 in Kraft getretenen EU-Produkthaftungsrichtlinie „1:1“ in deutsches Recht umsetzen. Das muss bis Anfang Dezember 2026 erfolgen. Ziel der EU-Vorgaben ist es, das Produkthaftungsrecht an die Anforderungen der Digitalisierung, der Kreislaufwirtschaft und globaler Wertschöpfungsketten anzupassen.

Der Entwurf, der noch das Bundeskabinett sowie Bundestag und Bundesrat passieren muss, sieht mehrere wesentliche Änderungen vor. Künftig soll Software – unabhängig von der Art ihrer Bereitstellung und Nutzung – generell in die Produkthaftung einbezogen werden. Auch KI-Systeme fallen unter diese Bestimmung, gerade wenn sie „lernfähig“ sind.

Open Source und Updates

Ausgenommen bleibt Open-Source-Software, die jenseits einer Geschäftstätigkeit entwickelt oder bereitgestellt wird. Das BMJV erläutert dazu in der Begründung: Würden solche Programme mit frei verfügbarem Quellcode von einem Hersteller im Rahmen einer Geschäftstätigkeit als Komponente in ein Produkt integriert, hafte letzterer für Schäden, die durch Softwarefehler verursacht werden. Die Bereitstellung von Open Source durch Non-Profit-Organisationen erfolge grundsätzlich nicht im Rahmen einer Geschäftstätigkeit. Würden Programme jedoch entgeltlich oder gegen personenbezogene Daten bereitgestellt, die auf andere Weise als ausschließlich zur Verbesserung der Sicherheit, Kompatibilität oder Interoperabilität der Software verwendet werden, liege eine kommerzielle Tätigkeit vor.

Hersteller können laut dem Plan künftig auch für Fehler haften, die durch Updates oder Upgrades verursacht werden. Gleiches gilt für das Fehlen solcher Softwareflicken, die zum Aufrechterhalten der Sicherheit erforderlich wären. Ferner sollen künftig auch verbundene digitale Dienste berücksichtigt werden, wie etwa Verkehrsdaten für das Navigationssystem eines autonomen Fahrzeugs. Wenn diese Steuerhilfe plötzlich ausfällt und das Robo-Auto daraufhin einen Unfall verursacht, „haften sowohl der Fahrzeughersteller als auch der Anbieter des Navigationsdienstes“, ist dem Entwurf zu entnehmen.

Voraussetzung ist, dass der Dienst mit Einverständnis des Fahrzeugherstellers mit dem Auto verbunden wurde und einen folgenschweren Fehler verursacht. Ersatzfähig sind Schäden, die aus Körper- oder Gesundheitsverletzungen oder Defekten von Sachen resultieren, die nicht ausschließlich für berufliche Zwecke verwendet werden und bei denen es sich nicht um das fehlerhafte Produkt selbst handelt. In diesem Fall soll die Haftung des Herstellers des autonomen Fahrzeugs sowie des Anbieters des verbundenen Dienstes neben der des Fahrzeughalters und des Fahrers nach dem Straßenverkehrsgesetz greifen.

Plattform-Betreiber sind eingeschlossen

Zugunsten der Kreislaufwirtschaft sieht das BMJV vor: Wird ein Produkt nach dem Inverkehrbringen etwa durch Upcycling wesentlich umgestaltet, soll der die Änderungen durchführende Hersteller künftig als haftbar gelten. Befindet sich der Produzent außerhalb der EU in globalen Wertschöpfungsketten und ist nicht greifbar, sollen unter bestimmten Umständen auch Importeure, Fulfilment-Dienstleister, Lieferanten und Anbieter von Online-Plattformen haften. Letzteres gilt, wenn Verbraucher davon ausgehen können, dass das Produkt entweder von einem Portal selbst oder von einem unter ihrer Aufsicht stehenden Nutzer bereitgestellt wird.

Wenn ein Produktfehler feststeht und die erlittene Verletzung typischerweise darauf zurückzuführen ist, wird dem Vorhaben nach der ursächliche Zusammenhang zwischen dem Fehler und dem Schaden grundsätzlich vermutet. Zudem könnten Gerichte Unternehmen anweisen, Beweismittel offenzulegen. Der Schutz von Geschäftsgeheimnissen soll dabei gewährleistet bleiben. Diese Anpassungen sind eine Reaktion auf die zunehmende Komplexität moderner Produkte wie vernetzter Geräte und Software.

Den Entwurf hat das BMJV an Länder und Verbände versandt. Interessierte Kreise können bis zum 10. Oktober Stellung beziehen. Justizministerin Stefanie Hubig (SPD) betonte: „Ob eine fehlerhafte KI einen Schaden verursacht oder eine lockere Schraube – das darf für die Ansprüche von Verbraucherinnen und Verbrauchern keinen Unterschied machen.“ Von der Reform profitierten letztlich auch Unternehmen, „die sichere Produkte auf den Markt bringen“.

(mho)