Seit dem 1. April 2026 gehört die Früherkennung von Lungenkrebs mittels Niedrigdosis-Computertomographie zum Leistungskatalog der gesetzlichen Krankenversicherung. Der Gemeinsame Bundesausschuss hat dafür die Krebsfrüherkennungs-Richtlinie (KFE-RL) um einen eigenen Abschnitt zur Lungenkrebsfrüherkennung ergänzt. Anspruchsberechtigt sind unter den dort geregelten Voraussetzungen vor allem starke Raucher beziehungsweise ehemalige starke Raucher zwischen 50 und 75 Jahren.
Bemerkenswert ist nicht nur die neue Kassenleistung selbst. Bemerkenswert ist vor allem, dass die softwaregestützte Befundung hier kein bloßes technisches Zusatzangebot ist. Die KFE-RL verweist für die Anforderungen an Untersuchung und Qualitätssicherung ausdrücklich auf die LuKrFrühErkV. Die KBV beschreibt den Ablauf dahin gehend, dass die radiologischen Bilder zunächst ohne und anschließend mit Unterstützung einer geeigneten computerassistierten Befundungssoftware befundet werden. Im Ergebnis ist die Softwareunterstützung damit regulatorisch in den Leistungserbringungsprozess eingebaut.
Für die Datenschutzpraxis ist das keine Randnotiz.
Verarbeitet werden besonders sensible Gesundheitsdaten. Zugleich sieht das Programm nicht nur die CT-Untersuchung selbst vor, sondern auch ein vorgelagertes Informationsgespräch, die Prüfung der Teilnahmevoraussetzungen, die radiologische Befundung, gegebenenfalls eine unabhängige Zweitbefundung, die Übermittlung strukturierter Befundberichte, die Dokumentation in der Patientenakte und quartalsbezogene Berichte an die Kassenärztliche Vereinigung. Diese Quartalsberichte werden von dort einrichtungspseudonymisiert an den G-BA weitergegeben und sind Voraussetzung für die Abrechnung der Niedrigdosis-Computertomographien.
Was bedeutet das datenschutzrechtlich?
Die Einführung oder Erweiterung eines solchen Screening-Prozesses darf nicht bei der bloßen Beschaffung der Software stehen bleiben. Zu prüfen sind insbesondere das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), die Informationspflichten (Artt. 12 ff. DSGVO) gegenüber den betroffenen Personen, die Rollen- und Berechtigungskonzepte, die technische und organisatorische Absicherung der Datenflüsse (Art. 32 DSGVO Sicherheit der Verarbeitung), die Einbindung externer Anbieter sowie die Frage, ob eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) neu zu erstellen oder fortzuschreiben ist.
Gerade weil hier Gesundheitsdaten verarbeitet werden, neue Technologien eingesetzt werden und zusätzliche Schnittstellen sowie Dokumentationspflichten entstehen, ist die Datenschutz-Governance frühzeitig mitzudenken. Rechtsrahmen hierfür sind insbesondere Artt. 13, 28, 30 und 35 DSGVO.
Die Frage nach der KI-Governance.
Wer eine KI-gestützte Befundungssoftware in der Praxis einsetzt, bewegt sich jedenfalls im Anwendungsbereich der KI-VO, sofern die eingesetzte Lösung tatsächlich ein KI-System im Sinne der Verordnung ist. Verifiziert ist, dass die KI-VO „Betreiber“ (Deployer) als die Stelle definiert, die ein KI-System unter ihrer Autorität nutzt, und dass die Pflicht zur Sicherstellung eines ausreichenden Maßes an KI-Kompetenz für Anbieter und Betreiber bereits seit dem 2. Februar 2025 gilt. Ebenso verifiziert ist, dass die besonderen Regeln für Hochrisiko-KI nach Art. 6 Abs. 1 und die entsprechenden Pflichten nach Art. 113 erst ab dem 2. August 2027 greifen. Ob die konkret eingesetzte Medizinprodukte-Software im Einzelfall als Hochrisiko-KI einzuordnen ist, hängt von ihrer regulatorischen Einordnung und der erforderlichen Konformitätsbewertung ab.
Fazit
Einrichtungen – Verantwortliche wie auch Dienstleister – sollten Datenschutz- und KI-Compliance nicht nacheinander, sondern gemeinsam betrachten. Es geht nicht nur um Beschaffung und Abrechnung. Es geht um belastbare Prozesse, klare Verantwortlichkeiten, dokumentierte Aufsicht, saubere Verträge und eine Umsetzung, die sowohl medizinisch als auch regulatorisch trägt. Genau an dieser Stelle ist die frühzeitige Einbindung der Datenschutzbeauftragten sinnvoll.
Richtlinie des Gemeinsamen Bundesausschusses über die Früherkennung von Krebserkrankungen (Krebsfrüherkennungs-Richtlinie/KFE-RL) https://www.g-ba.de/downloads/62-492-4074/KFE-RL_2025-12-18_iK-2026-03-12.pdf
Sie haben Fragen zur Umsetzung in Ihrem Unternehmen oder suchen praxisnahe Unterstützung im Datenschutz und Compliance-Management? Wir stehen Ihnen mit Erfahrung und Expertise zur Seite – sprechen Sie uns gerne an: consulting@AdOrgaSolutions.de.
