Artificial Intelligence (AI) has become paramount in many areas over the last decade. It has proven to be a valuable addition to medical workflows, where it can assist doctors in precise evaluations of patient conditions. However, highly performant AI models crucially depend on large and diverse datasets. While these datasets are continuously generated in hospitals and medical institutions, they are inaccessible due to the risks of privacy infringements. The term Privacy-enhancing technologies (PETs) summarises the field of technical approaches and algorithms, which aim to reunite AI training and the protection of its training data from unintended leakage. In this dissertation, we investigate the use of PETs in the context of medical AI approaches. Specifically, we demonstrate a holistic workflow comprised of various PETs that provides protection from attackers while yielding highly performant AI models, even outperforming expert radiologists. The most important PET in this thesis, Differential Privacy (DP), provides mathematical bounds on the risks of information leakage. We analyse the computational overhead DP implementations impose on the training of AI models and provide an alternative which is competitive in runtime and generically compatible with most AI network architectures. Furthermore, we investigate the impact of using DP for medical AI training on the fairness and non-discrimination of subgroups. Here, in contrast to prior work, we find that not the representation of subgroups in the training data is driving fairness impacts, but rather the difficulty of predicting the respective subgroup. In particular, we see that groups with a lower prediction performance in non-private AI models suffer further performance losses with increasing privacy guarantees. This may impact the way of assembling datasets for the training of privacy-preserving fair AI models. Lastly, we analyse how an appropriate level of protection can be determined and find that, for many scenarios, typical privacy budgets are overly pessimistic. We show that by adapting the privacy budget to a concrete threat model, the negative impact of DP on the performance of AI models can be largely mitigated. With these contributions, we hope to advance the widespread breakthrough of technical and mathematical approaches to protecting patient privacy when training medical AI models.     «

Artificial Intelligence (AI) has become paramount in many areas over the last decade. It has proven to be a valuable addition to medical workflows, where it can assist doctors in precise evaluations of patient conditions. However, highly performant AI models crucially depend on large and diverse datasets. While these datasets are continuously generated in hospitals and medical institutions, they are inaccessible due to the risks of privacy infringements. The term Privacy-enhancing technol...     »

Künstliche Intelligenz (KI) hat im letzten Jahrzehnt Einzug in viele Bereiche gehalten. Es hat sich als wertvolle Ergänzung für medizinische Arbeitsabläufe erwiesen, in dem es Ärzten hilft medizinische Fragestellungen präzise zu beantworten. Allerdings basieren leistungsfähige KI Modelle entscheidend auf der Verfügbarkeit von umfangreichen und vielfältigen Datensätzen. Diese Datensätze werden zwar fortlaufend in Kliniken und Arztpraxen generiert, allerdings sind sie bedingt durch Datenschutzregeln nicht verfügbar für das Training von KI-Modellen. Privatsphärenwahrende Techniken (Privacy-enhancing Technologies, PETs) beschreiben dabei die Vielfalt an technischen Ansätzen, die darauf abzielen das Training von KI-Modellen und Datenschutz zusammenzubringen. In dieser Dissertation untersuchen wir den Einsatz von PETs im Kontext von medizinischer KI. Insbesondere zeigen wir einen ganzheitlichen Ansatz bei dem mehrere PETs in Kombination zum Einsatz kommen um dabei Schutz vor datenschutzverletzenden Angriffen zu bieten und gleichzeitig hochperformante KI-Modelle hervorzubringen, die sogar Fachärzten in der Diagnose überlegen sind. Die wichtigste privatsphärenwahrende Technik in dieser Dissertation ist Differential Privacy (DP), welches Grenzen über das Risiko von ungewollten Informationsflüssen mathematisch garantiert. Wir analysieren den zusätzlichen Rechenaufwand den DP für das Training von KI-Modellen impliziert und präsentieren eine Alternative, die vom Rechenaufwand mit vorherigen Ansätzen mithalten kann, gleichzeitig aber nativ kompatibel mit allen zulässigen KI-Netzwerkarchitekturen. Desweiteren untersuchen wir das Zusammenspiel von DP und der Fairness und Nicht-Diskriminierung bei medizinischer KI. Konträr zu vorherigen Arbeiten zeigt sich bei uns, dass nicht die Repräsentation einer Gruppe im Datensatz die Fairness beeinflusst, sondern die Schwierigkeit der jeweiligen Prädiktion. Insbesondere sehen wir, dass Gruppen, die bereits bei nicht-privatsphärenwahrenden KI-Modellen schlechter prädiziert werden, zusätzliche Einbußen erfahren je stärker der Privatsphärenschutz ist. Dies könnte beeinflussen wie in Zukunft Datensätze für das Training von fairen und privatsphärenwahrenden KI-Modellen zusammengestellt werden. Zuletzt analyisieren wir wie angemessen Datenschutzlevel festgelegt werden können und stellen fest, dass in vielen Szenarien typische Privatsphärenbudgets sehr pessimistisch sind. Wir zeigen, dass durch die Anpassung dieser Budgets an eine konkrete Gefährdungslage der negative Einfluss von DP auf die Leistung von KI-Modellen weitgehend abgeschwächt werden kann. Mit diesen Beiträgen hoffen wir, den breiten Durchbruch technischer und mathematischer Ansätze zum Schutz der Privatsphäre von Patienten beim Training medizinischer KI-Modelle voranzutreiben.     «

Künstliche Intelligenz (KI) hat im letzten Jahrzehnt Einzug in viele Bereiche gehalten. Es hat sich als wertvolle Ergänzung für medizinische Arbeitsabläufe erwiesen, in dem es Ärzten hilft medizinische Fragestellungen präzise zu beantworten. Allerdings basieren leistungsfähige KI Modelle entscheidend auf der Verfügbarkeit von umfangreichen und vielfältigen Datensätzen. Diese Datensätze werden zwar fortlaufend in Kliniken und Arztpraxen generiert, allerdings sind sie bedingt durch Datenschu...     »