KI-Verträge im Gesundheitswesen: Den Datenmüllcontainerbrand vermeiden

Für KI-Unternehmen im Gesundheitswesen sind Daten alles. Sie sind der Motor für die Leistungsfähigkeit von Modellen, treiben die Produktdifferenzierung voran und können über die Skalierbarkeit entscheiden. Dennoch werden Datenrechte in kommerziellen Vereinbarungen allzu oft nur vage definiert oder völlig übersehen. Das ist ein schwerwiegender Fehler.

Unabhängig davon, ob Sie einen Vertrag mit einem Gesundheitssystem abschließen, sich in eine digitale Gesundheitsplattform integrieren oder eine Partnerschaft mit einem Unternehmensanbieter eingehen, muss Ihre Datenstrategie klar und präzise in Ihren Verträgen zum Ausdruck kommen. Ist dies nicht der Fall, könnten Sie von genau den Ressourcen ausgeschlossen werden, die Sie für Ihr Wachstum benötigen – oder schlimmer noch, für unerwartete Verstöße gegen gesetzliche Vorschriften haftbar gemacht werden.

Dieser Artikel beschreibt drei Bereiche, in denen Gesundheits-KI-Unternehmen unserer Meinung nach den größten Risiken ausgesetzt sind: Schulungsrechte, Widerrufs- und Aufbewahrungsfristen sowie gemeinsame Haftung. Dabei handelt es sich nicht nur um technische Vertragspunkte. Sie sind grundlegend für Ihre Bewertung, Ihre Compliance-Position und Ihre langfristige Verteidigungsfähigkeit.

1. Ausbildungsrechte: Präzise definieren

Die meisten Anbieter von KI-Lösungen im Gesundheitswesen möchten ein Recht auf die Nutzung von Kundendaten erhalten, um ihre Modelle zu verbessern oder zu trainieren. Das ist zu erwarten. Das Problem besteht darin, dass viele Vereinbarungen ungenaue Formulierungen wie „Verbesserung der Dienstleistungen“ oder „Analysezwecke“ verwenden, um zu beschreiben, was der Anbieter tatsächlich mit den Daten tun darf. Im Gesundheitswesen kann dies rechtlich problematisch sein.

Gemäß HIPAA erfordert die Verwendung geschützter Gesundheitsdaten (PHI) für Zwecke, die über die Patientenbehandlung durch eine betroffene Einrichtung, die Zahlung oder die Gesundheitsversorgung hinausgehen, in der Regel die Zustimmung des Patienten. Daher müssen Anwendungsfälle wie Modelltraining oder Produktverbesserung eindeutig als Gesundheitsversorgungstätigkeiten der betroffenen Einrichtung qualifiziert sein – andernfalls ist die Zustimmung des Patienten erforderlich. Selbst sogenannte „anonymisierte” oder „deidentifizierte” Daten sind nicht immer sicher, wenn sie nicht ordnungsgemäß und vollständig gemäß dem HIPAA-Standard für die Deidentifizierung deidentifiziert wurden.

Wenn Ihr Geschäftsmodell auf der Verwendung von Kundendaten für allgemeines Modelltraining basiert, müssen Sie dies in Ihrem Vertrag ausdrücklich angeben. Dazu gehört auch, dass Sie klarstellen, ob die Daten identifizierbar oder anonymisiert sind, welche Anonymisierungsmethode verwendet wird und ob die Ergebnisse dieses Trainings auf das Modell des jeweiligen Kunden beschränkt sind oder auf Ihrer gesamten Plattform verwendet werden können.

Auf der anderen Seite sollten Sie, wenn Sie ein Modell als Dienstleistung anbieten, das auf jeden Kunden individuell zugeschnitten ist und nicht auf gepoolten Trainingsdaten basiert, dies klar kommunizieren und sicherstellen, dass der Vertrag diese Struktur unterstützt. Andernfalls riskieren Sie später Streitigkeiten darüber, wie Daten verwendet werden dürfen oder ob Ergebnisse unzulässig zwischen Kunden ausgetauscht wurden.

Es ist auch wichtig, diese Bestimmung mit Ihrer Geschäftspartnervereinbarung (BAA) abzustimmen, wenn Sie PHI verarbeiten. Eine Diskrepanz zwischen den Geschäftsbedingungen und der BAA kann zu Compliance-Problemen führen und Warnsignale auslösen, insbesondere während der Due Diligence. Denken Sie daran, dass in den meisten Fällen, wenn Ihr Handelsvertrag vorsieht, dass Sie Daten anonymisieren dürfen, Ihr BAA jedoch die Anonymisierung verbietet, das BAA aufgrund der typischen Konfliktklausel im BAA, die das BAA bei Fragen zu PHI begünstigt, wahrscheinlich Vorrang hat. 

2. Kündigung und Aufbewahrung: Was passiert, wenn der Vertrag endet?

Zu viele KI-Verträge enthalten keine Angaben dazu, was nach Vertragsende mit Daten, Modellen und Ergebnissen geschieht. Diese Lücke birgt Risiken für beide Seiten.

Aus Sicht des Kunden kann es unter HIPAA problematisch sein, wenn ein Anbieter nach Beendigung des Vertrags die Daten des Kunden weiterhin für das Training zukünftiger Modelle verwenden darf, und sogar als Vertrauensbruch empfunden werden. Aus Sicht des Anbieters kann der Verlust der Rechte an zuvor abgerufenen Daten oder trainierten Ergebnissen die Produktkontinuität oder zukünftige Verkäufe beeinträchtigen.

Der Schlüssel liegt darin, zu definieren, ob die Rechte zur Nutzung von Daten oder Modell-Outputs nach Beendigung bestehen bleiben und unter welchen Bedingungen. Wenn Sie die Möglichkeit behalten möchten, Daten oder trainierte Modelle nach Beendigung weiter zu nutzen, sollte dies ein ausdrücklich ausgehandeltes Recht sein. Ist dies nicht der Fall, müssen Sie darauf vorbereitet sein, diesen Zugriff aufzuheben, alle gespeicherten Daten zu vernichten und Modelle möglicherweise von Grund auf neu zu trainieren.

Dies ist besonders wichtig, wenn es um Derivatemodelle geht. Eine häufige Falle besteht darin, dass der Anbieter behauptet, dass das Modell, sobald die Daten zum Trainieren des Modells verwendet wurden, nicht mehr an die zugrunde liegenden Daten gebunden ist. Gerichte und Aufsichtsbehörden sind möglicherweise nicht damit einverstanden, wenn dieses Modell weiterhin sensible Patientendaten widerspiegelt.

Ihre Vereinbarung sollte mindestens drei Fragen beantworten:

1. Kann der Anbieter die während der Vertragslaufzeit abgerufenen Daten speichern und weiterhin verwenden?
2. Bleiben Rechte an trainierten Modellen oder Outputs nach der Kündigung bestehen?
3. Besteht die Verpflichtung, Daten nach Beendigung der Beziehung zu vernichten, zu anonymisieren oder zurückzugeben?

Bei höherwertigen Beziehungen sollten Sie eine Lizenz aushandeln, die auch nach Beendigung der Zusammenarbeit gültig bleibt, verbunden mit einer angemessenen Vergütung und Vertraulichkeitsverpflichtungen. Im Gesundheitswesen umfasst diese Lizenz nach Beendigung der Zusammenarbeit in der Regel nur anonymisierte Daten. Andernfalls sollten Sie eine Klausel zur Rückgabe oder Vernichtung von Daten einbauen, in der festgelegt ist, wie und wann Daten zurückgegeben oder vernichtet werden müssen.

3. Geteilte Haftung: Klärung der Verantwortung für nachgelagerte Schäden

Eines der am häufigsten übersehenen Themen bei Verträgen im Bereich Gesundheits-KI ist die Haftungszuweisung. Von KI generierte Empfehlungen können medizinische Entscheidungen, Abrechnungspraktiken und die Kommunikation mit Patienten beeinflussen. Wenn etwas schiefgeht, stellt sich die Frage: Wer ist verantwortlich?

AI-Anbieter positionieren sich in der Regel nur als Werkzeug für Gesundheitsdienstleister und versuchen, die Haftung für jede nachgelagerte Nutzung auszuschließen. Gesundheitsdienstleister hingegen erwarten zunehmend, dass Anbieter hinter ihren Produkten stehen. Dies gilt insbesondere dann, wenn diese Produkte klinische Notizen, Diagnosevorschläge oder andere regulierte Ergebnisse generieren.

Die Realität ist, dass beide Seiten Risiken tragen, und Ihr Vertrag muss dies widerspiegeln. Haftungsausschlüsse sind wichtig, ersetzen jedoch keine durchdachte Strategie zur Risikoverteilung.

Zunächst sollten Anbieter von ihren Kunden verlangen, dass diese erklären, dass sie über die entsprechenden Genehmigungen oder Einwilligungen gemäß den geltenden Gesetzen, einschließlich HIPAA, FTC Act und den Datenschutzgesetzen der Bundesstaaten, für die gesamte im Vertrag vorgesehene Datenverarbeitung durch den Anbieter verfügen. Die Verwendung von Kundendaten für Schulungs- und Verarbeitungszwecke oder anderweitig sollte in der Vereinbarung klar formuliert sein. Dies schützt Sie, falls ein Kunde später behauptet, er habe nicht gewusst, wie seine Daten verwendet wurden, oder dass sie unsachgemäß verwendet wurden.

Zweitens sollten Sie Entschädigungsklauseln berücksichtigen, die sich auf den Missbrauch von geistigem Eigentum Dritter, die Verletzung der Privatsphäre von Patienten oder behördliche Durchsetzungsmaßnahmen beziehen. Wenn Ihr Modell beispielsweise auf PHI basiert, die nicht ordnungsgemäß gemäß HIPAA autorisiert oder anonymisiert wurde, und dies eine Untersuchung durch das Office for Civil Rights auslöst, könnten Sie in Schwierigkeiten geraten.

Drittens sollten Sie sich Gedanken über Haftungsbeschränkungen machen. Viele Software-as-a-Service-Verträge (SaaS) verwenden eine Standardobergrenze, die an die in den letzten 12 Monaten gezahlten Gebühren gekoppelt ist. Dies kann im Kontext der Gesundheits-KI unzureichend sein, insbesondere wenn das Modell in einer klinischen Umgebung eingesetzt wird. Eine gestaffelte Obergrenze basierend auf dem Anwendungsfall (z. B. Dokumentation vs. Unterstützung klinischer Entscheidungen) könnte angemessener sein.

Das Fazit

Datenbedingungen sind in Verträgen über KI im Gesundheitswesen keine Standardklauseln. Sie sind ein zentraler Bestandteil Ihres Geschäftsmodells, Ihrer Compliance-Strategie und Ihrer Verteidigungsfähigkeit auf dem Markt. Wenn Sie Ihre Rechte in Bezug auf Schulungen, Widerruf und Haftung nicht definieren, wird dies jemand anderes tun, in der Regel im Rahmen eines Gerichtsverfahrens oder einer behördlichen Maßnahme.

Für KI-Anbieter sollte das Ziel darin bestehen, durch Transparenz Vertrauen aufzubauen. Das bedeutet eine klare Sprache, angemessene Einschränkungen und vertretbare Anwendungsfälle. Die Unternehmen, die in diesem Bereich erfolgreich sind, werden nicht nur gute Modelle entwickeln, sondern auch gute Verträge rund um diese Modelle abschließen.

Wenn Sie diese Strategie umsetzen möchten, überprüfen Sie in diesem Quartal Ihre fünf wichtigsten Verträge. Markieren Sie alle unklaren Datenrechte, nicht übereinstimmende BAAs oder Lücken bei der Kündigung. Und wenn nötig, verhandeln Sie neu, bevor Ihre Modellleistung, das Vertrauen Ihrer Kunden oder Ihr rechtliches Risiko auf die Probe gestellt werden.

Weitere Informationen zu KI, Telemedizin, Telegesundheit, digitaler Gesundheit und anderen Innovationen im Gesundheitswesen, einschließlich des Teams, der Veröffentlichungen und repräsentativer Erfahrungen, erhalten Sie von Aaron Maguregui oderJennifer Hennessy oder einem der Partner oder Senior Counselder Cybersecurity and Data Privacy Groupoderder Health Care Practice Group von Foley.