Heliamed
Zurück zum Blog
DATENSCHUTZ10. Dezember 202410 Min. Lesezeit

DSGVO-konforme KI in der Medizin: Was Praxen wissen müssen

Der Einsatz von KI im Gesundheitswesen wirft wichtige Datenschutzfragen auf. Ein umfassender Leitfaden für rechtssichere Implementierung in Ihrer Praxis.

DSGVO & KI in der Medizin

Die Herausforderung: KI und Datenschutz im Gesundheitswesen

Künstliche Intelligenz bietet enormes Potenzial für die medizinische Versorgung – von präziseren Diagnosen über effizientere Arbeitsabläufe bis hin zu besserer Patientenbetreuung. Doch gerade im Gesundheitswesen, wo besonders sensible Daten verarbeitet werden, müssen höchste Datenschutzstandards eingehalten werden.

Viele Praxen zögern beim Einsatz von KI-Tools aus Unsicherheit über rechtliche Anforderungen. Dieser Artikel schafft Klarheit und zeigt, worauf Sie achten müssen.

⚠️ Wichtig zu wissen

Gesundheitsdaten gelten nach Art. 9 DSGVO als "besondere Kategorien personenbezogener Daten" und unterliegen besonders strengen Schutzvorschriften. Verstöße können zu Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes führen.

1. Rechtsgrundlage: Wann darf KI Patientendaten verarbeiten?

Für die Verarbeitung von Gesundheitsdaten durch KI-Systeme benötigen Sie eine klare Rechtsgrundlage. Im medizinischen Kontext kommen hauptsächlich in Frage:

Mögliche Rechtsgrundlagen:

1.

Einwilligung (Art. 9 Abs. 2 lit. a DSGVO)

Die ausdrückliche, informierte Einwilligung des Patienten zur Datenverarbeitung durch KI-Systeme. Diese muss freiwillig, spezifisch und widerrufbar sein.

2.

Erforderlichkeit für Gesundheitsversorgung (Art. 9 Abs. 2 lit. h DSGVO)

Wenn die KI-Verarbeitung für die Gesundheitsversorgung erforderlich ist und von medizinischem Fachpersonal durchgeführt oder verantwortet wird.

3.

Vertragliche Erforderlichkeit (Art. 6 Abs. 1 lit. b DSGVO)

Wenn die Datenverarbeitung zur Erfüllung eines Behandlungsvertrags notwendig ist.

💡 Praxistipp

Die meisten Praxen kombinieren mehrere Rechtsgrundlagen: Eine generelle Einwilligung für nicht zwingend erforderliche KI-Funktionen und die gesetzliche Grundlage (Art. 9 Abs. 2 lit. h) für medizinisch notwendige Verarbeitungen. Lassen Sie dies von einem Fachanwalt für Medizinrecht prüfen.

2. Transparenz: Informationspflichten gegenüber Patienten

Patienten haben ein Recht zu erfahren, dass und wie ihre Daten durch KI verarbeitet werden. Sie müssen klar informiert werden über:

  • Welche KI-Systeme eingesetzt werden (z.B. "KI-gestützte Anamnese-Erfassung")
  • Welche Daten verarbeitet werden (z.B. Symptome, Vorerkrankungen, Medikation)
  • Zu welchem Zweck (z.B. Terminvorbereitung, Dokumentationsunterstützung)
  • Wo die Daten gespeichert werden (Serverstandort, Drittland-Transfer)
  • Wie lange Daten gespeichert werden und wann sie gelöscht werden
  • Ob automatisierte Entscheidungen getroffen werden (Art. 22 DSGVO)

Diese Informationen sollten sowohl in Ihrer Datenschutzerklärung als auch in einem separaten Informationsblatt für Patienten enthalten sein – in verständlicher Sprache.

3. Auftragsverarbeitungsvertrag (AVV): Unverzichtbar bei externen KI-Anbietern

Wenn Sie einen externen KI-Anbieter nutzen (was meist der Fall ist), bleiben Sie als Praxis der datenschutzrechtlich Verantwortliche. Der KI-Anbieter ist Ihr Auftragsverarbeiter im Sinne der DSGVO. Das erfordert zwingend:

Checkliste: Das muss Ihr AVV enthalten

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Datenverarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen (Patienten)
Pflichten des Auftragsverarbeiters (technische und organisatorische Maßnahmen)
Regelungen zur Weitergabe an Unterauftragnehmer
Weisungsrechte des Verantwortlichen (der Praxis)
Kontrollrechte (Prüfung durch Datenschutzbeauftragten)
Löschpflichten nach Vertragsende

⚠️ Achtung

Ohne gültigen AVV ist die Nutzung eines externen KI-Dienstes für Patientendaten nicht DSGVO-konform. Prüfen Sie vor Vertragsschluss, ob der Anbieter einen rechtssicheren AVV bereitstellt.

4. Technische und organisatorische Maßnahmen (TOMs)

Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen zum Schutz der Daten. Bei KI-Systemen im Gesundheitswesen sollten Sie auf folgende Sicherheitsstandards achten:

Verschlüsselung

  • • TLS 1.3 für Datenübertragung
  • • AES-256 für gespeicherte Daten
  • • Ende-zu-Ende-Verschlüsselung wo möglich

Zugriffskontrolle

  • • Zwei-Faktor-Authentifizierung
  • • Rollenbasierte Zugriffsrechte
  • • Protokollierung aller Zugriffe

Serverstandort

  • • Server in der EU (idealerweise Deutschland)
  • • Keine Drittland-Transfers
  • • ISO 27001 Zertifizierung

Datensicherung

  • • Automatische Backups
  • • Verschlüsselte Backup-Speicherung
  • • Regelmäßige Wiederherstellungstests

5. Datensparsamkeit: Nur verarbeiten, was wirklich nötig ist

Ein zentraler DSGVO-Grundsatz ist die Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur die Daten erhoben werden, die für den spezifischen Zweck erforderlich sind.

Beispiele für Datenminimierung bei KI-Anamnese:

Zweckgebundene Erfassung

Nur Fragen stellen, die für die konkrete Terminvorbereitung relevant sind

Automatische Löschung

Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen automatisch löschen

Pseudonymisierung

Wo möglich, mit pseudonymisierten Daten arbeiten (z.B. bei Analysen)

6. Patientenrechte: Was Patienten verlangen können

Auch bei KI-gestützter Verarbeitung behalten Patienten alle DSGVO-Rechte. Sie müssen in der Lage sein, folgende Anfragen zu bearbeiten:

Auskunftsrecht (Art. 15 DSGVO)

Patienten können verlangen zu erfahren, welche ihrer Daten durch die KI verarbeitet wurden und zu welchem Zweck.

Recht auf Berichtigung (Art. 16 DSGVO)

Falsch erfasste Daten müssen korrigiert werden können.

Recht auf Löschung (Art. 17 DSGVO)

Patienten können unter bestimmten Voraussetzungen die Löschung ihrer Daten verlangen (soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen).

Widerspruchsrecht (Art. 21 DSGVO)

Patienten können der Verarbeitung durch KI widersprechen – dann müssen Sie alternative Verfahren anbieten.

Recht auf menschliche Entscheidung (Art. 22 DSGVO)

Bei automatisierten Entscheidungen mit rechtlicher Wirkung können Patienten verlangen, dass ein Mensch die Entscheidung überprüft.

💡 Praxistipp

Erstellen Sie standardisierte Prozesse für den Umgang mit Patientenanfragen. Ihr KI-Anbieter sollte Sie dabei unterstützen und die technischen Voraussetzungen schaffen (z.B. Exportfunktion für Auskunftsersuchen).

7. Datenschutz-Folgenabschätzung: Wann ist sie nötig?

Bei "hohem Risiko" für die Rechte und Freiheiten der Betroffenen müssen Sie vor Einführung eines KI-Systems eine Datenschutz-Folgenabschätzung (DSFA) durchführen (Art. 35 DSGVO).

Ein hohes Risiko liegt typischerweise vor bei:

  • Systematischer umfangreicher Verarbeitung besonderer Datenkategorien (Gesundheitsdaten)
  • Automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung
  • Systematischer Überwachung öffentlich zugänglicher Bereiche

In vielen Fällen fällt KI-gestützte Anamnese unter diese Kriterien. Lassen Sie sich beraten, ob eine DSFA in Ihrem Fall erforderlich ist.

8. Worauf Sie bei der Anbieterwahl achten sollten

Die Wahl des richtigen KI-Anbieters ist entscheidend für die Datenschutzkonformität. Stellen Sie vor Vertragsschluss sicher:

Checkliste: DSGVO-konformer KI-Anbieter

Serverstandort EU: Daten werden ausschließlich auf EU-Servern verarbeitet
AVV wird bereitgestellt: Rechtssicherer Auftragsverarbeitungsvertrag vorhanden
Transparente Dokumentation: TOMs sind dokumentiert und einsehbar
Zertifizierungen: ISO 27001 oder vergleichbare Sicherheitszertifikate
Medizinprodukt-Zulassung: Als Medizinprodukt (MDR) klassifiziert und zugelassen
Datenschutzbeauftragter: Anbieter hat eigenen DSB benannt
Support bei Betroffenenanfragen: Unterstützung bei Auskunfts-, Lösch- und Korrekturanfragen
Klare Löschkonzepte: Dokumentierte Prozesse für Datenlöschung nach Vertragsende

9. Die Rolle Ihres Datenschutzbeauftragten

Wenn Ihre Praxis einen Datenschutzbeauftragten (DSB) hat – was bei Praxen ab 20 Mitarbeitenden oder bei besonders umfangreicher Datenverarbeitung verpflichtend ist – sollten Sie diesen frühzeitig einbinden:

  • Vor Auswahl des KI-Anbieters: Prüfung der Datenschutzkonformität
  • Bei Vertragsverhandlungen: Prüfung des AVV
  • Bei Erstellung der Datenschutzerklärung und Patienteninformation
  • Bei Durchführung einer eventuellen DSFA
  • Bei Bearbeitung von Patientenanfragen zu ihren Rechten

Fazit: DSGVO-konforme KI ist machbar – mit den richtigen Partnern

Der Einsatz von KI im Gesundheitswesen ist datenschutzrechtlich anspruchsvoll, aber keinesfalls unmöglich. Mit dem richtigen Anbieter, klaren Prozessen und professioneller Beratung können Sie die Vorteile von KI nutzen und gleichzeitig höchste Datenschutzstandards wahren.

Die wichtigsten Erfolgsfaktoren sind:

  • Frühzeitige Beratung: Holen Sie datenschutzrechtliche Expertise ein, bevor Sie ein KI-System einführen
  • Sorgfältige Anbieterwahl: Prüfen Sie Datenschutzkonformität des Anbieters gründlich
  • Klare Dokumentation: AVV, Datenschutzerklärung, TOMs vollständig dokumentieren
  • Transparenz gegenüber Patienten: Offen kommunizieren über KI-Einsatz
  • Fortlaufende Prüfung: Datenschutzkonformität regelmäßig überprüfen

Heliamed: DSGVO-Konformität von Grund auf

Bei Heliamed haben wir Datenschutz von Anfang an mitgedacht. Unsere Lösung ist als Medizinprodukt Klasse 1 zertifiziert, alle Daten verbleiben in Deutschland, und wir unterstützen Sie umfassend bei allen datenschutzrechtlichen Anforderungen.

Server ausschließlich in Deutschland (Frankfurt)
Rechtssicherer AVV inklusive
ISO 27001 zertifiziert
Unterstützung bei DSFA und Patientenanfragen
Vollständige Dokumentation aller TOMs
Jetzt kostenlos beraten lassen

📚 Weiterführende Ressourcen

Zurück zum Blog