Einsatz von KI-Systemen bei der Bekämpfung von Fehlverhalten im Gesundheitswesen
Der Digitalausschuss im BAS hat sich mit Vorhaben befasst, die den Einsatz von KI-Systemen im Rahmen der Bekämpfung und Verhinderung von Fehlverhalten im Gesundheitswesen zum Ziel haben. Genauer sollten statistische Modelle und sog. Machine-Learning-Algorithmen entwickelt und eingesetzt werden, um Unregelmäßigkeiten z. B. in Abrechnungsdaten erkennen und verfolgen zu können. Der folgende Beitrag stellt vorhabenübergreifend die dabei diskutierten Herausforderungen und die Grundsystematik der Problemstellung dar.
Gesetzliche Grundlage
§ 197a Absatz 1 SGB V gibt – etwas verkürzt – vor, dass Krankenkassen Fällen und Sachverhalten nachzugehen haben, die auf Unregelmäßigkeiten hindeuten. Diese Ermächtigungsgrundlage ist technikneutral formuliert. Aus Sicht des BAS ist daher unstrittig, dass auch bei der Bekämpfung von Fehlverhalten im Gesundheitswesen die jeweils vorhandenen technischen Möglichkeiten im zulässigen Rahmen eingesetzt werden können.
Was den Umfang der für diese Aufgabe herangezogenen Daten anbelangt, macht Satz 2 dieser Vorschrift mit einem Verweis auf die allgemeinen Kontrollbefugnisse gem. § 67c Abs. 3 SGB X deutlich, dass dieses Recht umfassend zu verstehen ist. Aus datenschutzrechtlicher Sicht handelt es sich insoweit auch nicht um eine Zweckänderung der gespeicherten Daten, die besonders legitimiert werden muss.
§ 197a Abs. 3a SGB V eröffnet den Krankenkassen sogar die Möglichkeit, personenbezogene Daten, die von Ihnen zur Bekämpfung von Fehlverhalten erhoben worden sind, untereinander (d. h. kassenübergreifend) auszutauschen, soweit dies für die Feststellung und Bekämpfung von Fehlverhalten beim Empfänger erforderlich ist.
Reichweite der Verarbeitungsgrundlage
Fraglich ist vor dem Hintergrund, ob die Verarbeitungserfordernisse des KI-gestützten Systems unter diese Verarbeitungsbefugnis subsumiert werden kann.
Die Verfahrensweise Stand heute ist zu einem Großteil geprägt von Anzeigen Dritter und der Verfolgung von Einzelfällen. Die KI-gestützte Verarbeitung soll zukünftig aus den kassenübergreifend zusammengeführten Datenbeständen (z. B. Abrechnungsdaten) Muster analysieren, die auf Fehlverhalten hindeuten können. Diese Muster werden dann kassenindividuell eingesetzt und führen zu Verdachtsfällen. Dieser neue Ansatz führt im Ergebnis zu einer neuen Qualität und Quantität der Fehlverhaltensbekämpfung. Die rechtssystematische Frage, ob hierfür die technikneutrale Verarbeitungsbefugnis ausreicht, kann unterschiedlich ausgelegt werden. In Anbetracht der diametral entgegenstehenden Ansätze – einerseits Kontrollen im Einzelfall nach Anzeigen Dritter, andererseits eine kassenübergreifende Analyse von Verdachtsmuster und Anwendung auf die eigenen Bestände – halten wir aus Gründen der Rechtssicherheit eine Erweiterung der Verarbeitungsgrundlage für vorteilhaft.
Wir schlagen daher einen neuen Absatz 3c vor, der wie folgt lauten könnte: „Einrichtungen nach Absatz 1 dürfen Datenbestände mit denen anderer Kassen zusammenführen, um Sachverhalte und Muster herauszuarbeiten, die auf Basis der eigenen Datenbestände nicht erkennbar sind. Der Versichertenbezug ist zuvor zu entfernen. Eine Anwendung der Muster ist nur auf die eigenen Datenbestände zulässig. Eine präventive Verwendung solcher Muster ist zulässig, soweit diese im Einzelfall überprüft werden. Artikel 22 DSGVO ist zu beachten.“
Weitere datenschutzrechtliche Grundsatzfragen
Im Folgenden werden einige datenschutzrechtliche Beurteilungen zu Einzelfragen dargestellt, die im Rahmen der Diskussionen im Digitalausschuss aufgetreten sind.
Übermittlungsbefugnis und Auftragsverarbeitung: In § 197a Absatz 3b SGB V sind eine Reihe von Übermittlungsbefugnissen aufgeführt. Davon unabhängig ist die Rolle eines Auftragsverarbeiters zu beurteilen. Im Rahmen einer Auftragsverarbeitung kommt es zu keiner Übermittlung im Rechtssinne. Verantwortlich für die Verarbeitung bleibt der Auftraggeber, also die Krankenkasse. Soweit sich mehrere Stellen eines Dienstleisters bedienen, so ist die Zusammenführung von kassenübergreifenden Daten nach den Befugnissen im § 197a SGB V zu beurteilen.
Betroffenenrechte nach der EU-Datenschutzgrundverordnung (DSGVO): Artikel 22 DSGVO schränkt die Möglichkeit einer automatisierten Verarbeitung im Einzelfall ein. Im SGB konkretisiert § 31a SGB X diese EU-Vorschrift für den Bereich des Sozialrechts. Da jedoch die Verarbeitung nicht gegen die betroffenen Versicherten selbst wirkt und nach den uns vorliegenden Informationen jeder Fall durch Mitarbeitende der Stelle zur Bekämpfung von Fehlverhalten überprüft wird, sehen wir hier keine grundsätzlichen Probleme.
Training des KI-Algorithmus mit Echtdaten: Nach der Entwicklung eines Modells mithilfe des sog. Machine-Learning-Ansatzes schließt sich das Training des Modells an. Hierfür werden Echtdaten benötigt, die mindestens drei Eigenschaften besitzen müssen: Relevanz, Qualität und Umfang. Der Einsatz eines KI-Modells „out of the box“ ist nur in sehr einfachen und stark begrenzten Teilbereichen möglich. Die Notwendigkeit, solche Modelle mit Echtdaten zu trainieren, ist also systemimmanent. Dieser Entwicklungsschritt ist nicht mit der herkömmlichen Testung von programmierten Verarbeitungsroutinen zu verwechseln. Im Rahmen der Qualitätssicherung werden dabei Verarbeitungsschritte anhand bestimmter Testfälle überprüft. Eine Verwendung von Echtdaten für Testzwecke in der Regel nicht erforderlich und daher problematisch.
Verwaltungsökonomische Sicht
Der Einsatz von KI-gestützten statistischen Modellen führt zu einer neuen Qualität und Quantität der Fehlverhaltensbekämpfung. Die Auswirkungen müssen auch aus Sicht der Verwaltung betrachtet werden. Bislang müssen Krankenkassen allen Hinweisen nachgehen.
Da bei einem Einsatz KI-gestützter System mit einer Vervielfachung der Verdachtsfälle zu rechnen ist, müssen die Grundsätze der Verhältnismäßigkeit und Wirtschaftlichkeit berücksichtigt werden. Danach sollte es den Krankenkassen freigestellt sein, nach pflichtgemäßem Ermessen den erzeugten Stichproben nachzugehen und z. B. Bagatellfälle von einer weiteren Einzelfallüberprüfung auszuschließen.
Das BAS schlägt daher zudem eine klarstellende Änderung des § 197a Absatz 1 SGB V vor. Die bisherige Regelung („Die Krankenkassen, …, richten organisatorische Einheiten ein, die Fällen und Sachverhalten nachzugehen haben, … .“) sollte ausdrücklich in das Ermessen der Krankenkasse gestellt werden (z. B.: „Die Krankenkassen, …, richten organisatorische Einheiten ein und können Fällen und Sachverhalten nachgehen, die auf Unregelmäßigkeiten … hindeuten.“).
Fazit und Empfehlung des BAS
Die Bekämpfung von Fehlverhalten kann durch den gezielten Einsatz von KI-Systemen und einem damit verbundenen kassenübergreifenden Austausch von Daten effektiver gestaltet werden. Die Verarbeitungsbefugnis des § 197a SGB V ist für diesen Zweck bereits relativ weit gefasst. Der Verarbeitungsansatz wird jedoch grundlegend verändert: von einer Kontrolle im Einzelfall nach Anzeigen Dritter hin zu einer Analyse der eigenen Bestände aufgrund von kassenübergreifend erstellten Verdachtsmustern. Dies eröffnet bei der Rechtsauslegung weite Beurteilungsspielräume. Aus Gründen der Rechtssicherheit sollte jedoch mit einer expliziten klarstellenden Erweiterung die gesetzliche Verarbeitungsgrundlage neu gestaltet werden.
(Stand: 10.12.2021)