DSGVO und KI in der Medizin: Was wirklich erlaubt ist
KI verspricht enorme Entlastung im medizinischen Alltag – aber Gesundheitsdaten genießen unter der DSGVO besonderen Schutz. Dieser Ratgeber fasst zusammen, was Ärzt:innen, MVZ und Kliniken konkret prüfen müssen, bevor sie ein KI-Tool einsetzen.
Welche Datenkategorien sind betroffen?
Sobald Diagnosen, Befunde, Anamnesen oder auch nur Versichertennummern verarbeitet werden, handelt es sich um Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO – eine besondere Kategorie personenbezogener Daten. Für deren Verarbeitung ist die Schwelle deutlich höher als für „normale“ personenbezogene Daten.
Welche Rechtsgrundlage trägt die Verarbeitung?
Art. 9 Abs. 2 DSGVO listet abschließend auf, wann Gesundheitsdaten verarbeitet werden dürfen. Praxisrelevant sind vor allem:
• Buchstabe h: Verarbeitung zu Zwecken der Gesundheitsvorsorge, Diagnostik und Behandlung – das deckt den eigentlichen Behandlungsvertrag ab.
• Buchstabe a: ausdrückliche Einwilligung der Betroffenen – relevant, wenn Daten den engeren Behandlungszweck verlassen.
Die Nutzung eines KI-Schreibassistenten für die Erstellung von Arztbriefen lässt sich in der Regel über Buchstabe h begründen, weil die KI Teil der Behandlungsdokumentation ist – aber nur, solange die KI als Auftragsverarbeiter sauber eingebunden ist.
AVV-Pflicht nach Art. 28 DSGVO
Jeder externe Dienstleister, der Patientendaten verarbeitet, ist Auftragsverarbeiter und braucht einen AVV mit der verantwortlichen Stelle (Praxis, MVZ, Klinik). Im AVV werden u.a. Zweck, Dauer, Art der Daten, technisch-organisatorische Maßnahmen, Subunternehmer und Löschpflichten geregelt.
Ohne AVV ist die Verarbeitung formell rechtswidrig – auch dann, wenn der Dienst technisch tadellos arbeitet.
Drittlandtransfer: Schrems II und das EU-US-DPF
Werden Daten in die USA oder andere Drittländer übertragen, greift Kapitel V der DSGVO. Seit Schrems II (2020) reicht der bloße Vertrag nicht mehr; es braucht zusätzliche Garantien (Standardvertragsklauseln plus Risikoabwägung) oder eine Zertifizierung nach EU-US-Data-Privacy-Framework.
Bei Gesundheitsdaten erhöht sich die Schwelle erheblich. Praktisch bedeutet das: Wer einen US-basierten KI-Anbieter ohne EU-Datengrenze einsetzt, hat ein dauerhaftes Compliance-Risiko – auch wenn die Server „zufällig“ in Europa stehen, solange der Mutterkonzern US-Behörden-Zugriffspflichten unterliegt.
DSGVO-konform dokumentieren – ohne juristisches Bauchweh
Scribamed liefert AVV, TOM-Konzept und Ende-zu-Ende-Verschlüsselung – damit Sie sich auf Patient:innen statt auf Compliance konzentrieren können.
Jetzt kostenlos testenCheckliste: Wann ist ein KI-Tool DSGVO-konform?
Vor dem Einsatz sollten Sie folgende Punkte schriftlich beantwortet bekommen:
• Existiert ein AVV nach Art. 28 DSGVO?
• Wo werden die Daten verarbeitet (Land, Rechenzentrum, Subunternehmer)?
• Werden Eingaben für KI-Training genutzt? (Antwort sollte „nein“ sein.)
• Welche technisch-organisatorischen Maßnahmen sind dokumentiert (Verschlüsselung in transit / at rest, idealerweise Ende-zu-Ende)?
• Wie sieht das Löschkonzept aus, und wie schnell werden Daten nach Auftragsende gelöscht?
• Liegt eine Datenschutz-Folgenabschätzung (DSFA) vor oder hilft der Anbieter dabei?
• Wer haftet bei Datenpannen, und gibt es eine Cyber-Versicherung?
Datenschutz-Folgenabschätzung (DSFA)
Bei automatisierter Verarbeitung großer Mengen besonderer Datenkategorien ist nach Art. 35 DSGVO eine DSFA Pflicht. Das gilt typischerweise auch für KI-gestützte Dokumentationssysteme. Seriöse Anbieter stellen Bausteine für die DSFA bereit oder leisten dazu Hilfestellung.
Häufige Fragen
Dieser Beitrag ist eine allgemeine Information und ersetzt keine individuelle Rechtsberatung. Bei konkreten Fragen wenden Sie sich an Ihre:n Datenschutzbeauftragte:n.
Bereit, Stunden pro Woche zu sparen?
Scribamed: Ende-zu-Ende-verschlüsselt, in der EU gehostet, ohne Trainingsnutzung.