5 wichtige Vertragsaspekte für digitale Gesundheitsunternehmen, die mit KI-Anbietern zusammenarbeiten

Künstliche Intelligenz (KI) verändert die digitale Gesundheitsbranche rasant – von der Patientenbindung bis hin zur klinischen Entscheidungsfindung sind die Veränderungen revolutionär. Verträge mit KI-Anbietern bergen neue rechtliche, betriebliche und Compliance-Risiken. CEOs und Rechtsteams im Bereich der digitalen Gesundheit müssen traditionelle Vertragsmodelle anpassen, um den Realitäten von KI-Systemen gerecht zu werden, die mit sensiblen und streng regulierten Gesundheitsdaten umgehen.

Um optimale Ergebnisse zu gewährleisten, sollten digitale Gesundheitsunternehmen bei Vertragsverhandlungen mit potenziellen KI-Anbietern fünf wichtige Bereiche berücksichtigen:

1. Definition der KI-Fähigkeiten, des Anwendungsbereichs und der Leistung

Ihr Vertrag sollte ausdrücklich Folgendes enthalten:

• Beschreiben Sie, was das KI-Tool leistet, seine Grenzen, Integrationspunkte und erwarteten Ergebnisse.
• Legen Sie messbare Leistungsstandards fest und integrieren Sie diese in Service Level Agreements.
• Beziehen Sie Benutzerakzeptanztests und Abhilfemaßnahmen wie Servicegutschriften oder Kündigung bei Nichteinhaltung der Leistungsstandards mit ein. Dies schützt Ihre Investition in KI-gesteuerte Dienste und stimmt die Verantwortlichkeit des Anbieters auf Ihre betrieblichen Ziele ab.

2. Klärung der Datenhoheit und der Nutzungsrechte

KI lebt von Daten, daher ist Klarheit hinsichtlich Dateneigentum, Zugriff und Lizenzierung unerlässlich. Der Vertrag sollte genau festlegen, auf welche Daten der Anbieter zugreifen und welche er verwenden darf – einschließlich der Angabe, ob diese Daten geschützte Gesundheitsdaten (PHI), andere personenbezogene Daten oder Betriebsdaten umfassen – und ob sie zum Trainieren oder Verbessern der Modelle des Anbieters verwendet werden dürfen. Wichtig ist, dass Ihr Vertrag sicherstellt, dass jede Nutzung der Daten durch den Anbieter mit dem HIPAA, den Datenschutzgesetzen des Bundesstaates und Ihren internen Richtlinien übereinstimmt, einschließlich der Beschränkung der Wiederverwendung von PHI oder anderen sensiblen Gesundheitsdaten für andere Zwecke als die Erbringung von Dienstleistungen für Ihr Unternehmen durch den Anbieter oder andere gesetzlich zulässige Zwecke. Es besteht eine viel größere Flexibilität bei der Lizenzierung des Zugriffs für den Anbieter, um Ihre anonymisierten Daten zum Trainieren oder Entwickeln von KI-Modellen zu verwenden, wenn das Unternehmen Interesse an einer solchen Datenlizenzierung hat. 

Sie sollten auch allgemeine Datenlizenzen genau prüfen. Achten Sie darauf, keine Haftung für die Weiterverwendung Ihrer Daten durch einen Anbieter zu übernehmen, es sei denn, die Verwendung ist im Vertrag eindeutig genehmigt.

3. Fordern Sie Transparenz und Erklärbarkeit

Regulierungsbehörden und Patienten erwarten Transparenz bei KI-gestützten Entscheidungen im Gesundheitswesen. Fordern Sie Unterlagen, die erklären, wie das KI-Modell funktioniert, welche Logik hinter den Ergebnissen steht und welche Sicherheitsvorkehrungen getroffen wurden, um Verzerrungen und Ungenauigkeiten zu minimieren.

Hüten Sie sich vor Anbietern, die KI-Tools von Drittanbietern ohne ausreichende Kenntnisse oder Weitergabeverpflichtungen weiterverkaufen oder einbinden. Der Anbieter sollte in der Lage sein, die von Drittanbietern lizenzierten Tools zu prüfen oder zu erklären, wenn diese KI-Tools sensible Gesundheitsdaten Ihres Unternehmens verarbeiten.

4. Haftung und Risikoverteilung

Die Haftung im Zusammenhang mit KI, insbesondere aufgrund von Fehlern, Halluzinationen oder Cybersicherheitsvorfällen, kann erhebliche Folgen haben. Stellen Sie sicher, dass der Vertrag maßgeschneiderte Entschädigungen und Risikoverteilungen enthält, die auf der Datenempfindlichkeit und Funktion des KI-Tools basieren.

Achten Sie auf Anbieter, die die Haftung für KI-generierte Inhalte ausschließen. Dies mag für interne Tools akzeptabel sein, nicht jedoch für Ergebnisse, die Patienten, Kostenträger oder Aufsichtsbehörden erreichen. Kostengünstige Tools mit hoher Datenexposition können ein unverhältnismäßig hohes Haftungsrisiko darstellen, insbesondere wenn die Haftungsgrenzen nur an die Vertragsgebühren gebunden sind. 

5. Plan für die Einhaltung gesetzlicher Vorschriften und Änderungen

Angesichts der sich ständig weiterentwickelnden Vorschriften der Datenschutzbehörden auf Bundes- und Landesebene müssen Anbieter sich zur kontinuierlichen Einhaltung aktueller und zukünftiger Anforderungen verpflichten. Verträge sollten Flexibilität für zukünftige Änderungen der Gesetze oder Best Practices zulassen. So kann besser sichergestellt werden, dass die KI-Tools, auf die sich Ihr Unternehmen stützt, nicht hinter den regulatorischen Anforderungen zurückbleiben – oder schlimmer noch, Ihr Unternehmen aufgrund von Nichtkonformität oder veraltetem Modellverhalten einem Durchsetzungsrisiko aussetzen.

Die Einbindung dieser Checkliste für Verträge mit KI-Anbietern in Ihren Lieferantenauswahlprozess hilft CEOs dabei, Risiken, Compliance und Innovationsmöglichkeiten bei der Zusammenarbeit mit KI-Anbietern systematisch zu verwalten.

Checkliste für Verträge mit KI-Anbietern:

• Definieren Sie den Umfang, die Fähigkeiten und die Leistungserwartungen der KI.
• Klärung der Datenhoheit, des Zugriffs und der Datenschutzverpflichtungen.
• Transparenz und Erklärbarkeit von KI-Prozessen fordern.
• Legen Sie klare Verantwortlichkeiten in Bezug auf Haftung, Risiken und Compliance fest.
• Legen Sie Bedingungen für Aktualisierungen, Anpassungsfähigkeit und Ausstiegsstrategien fest.

KI-Lösungen im Gesundheitswesen entwickeln sich weiterhin rasant weiter. Daher sollten Unternehmen im Bereich der digitalen Gesundheit alle neuen Entwicklungen genau beobachten und weiterhin die notwendigen Schritte unternehmen, um sich während des Vertragsabschlussprozesses zu schützen. Wenn Sie Fragen zu KI und zur Einführung neuer KI-Lösungen haben, wenden Sie sich bitte an einen der Autoren oder einen der Partner oder Senior Counselder Cybersecurity and Data Privacy Groupoderder Health Care Practice Group von Foley.