KI und Datenschutz

Navigate the intersection of the EU AI Act and GDPR when deploying AI systems that process personal data.

Was ist KI und Datenschutz?

EU-KI-Verordnung und DSGVO sind eigenständige, aber überlappende Rechtsrahmen. Sobald ein KI-System personenbezogene Daten verarbeitet, müssen Organisationen beide gleichzeitig einhalten. In dieser Übung arbeiten Sie mit einem KI-Triage-System im Gesundheitsbereich, das Patiententermine anhand einer Symptomanalyse priorisiert. Sie wenden die Rechte aus Artikel 22 DSGVO gegen automatisierte Entscheidungen an, lösen Konflikte zwischen Datenminimierung und Forderungen des Anbieters nach mehr Daten, behandeln doppelte Transparenzpflichten und unterscheiden zwischen einer DSFA und einer FRIA. Eine Patientenbeschwerde in Echtzeit prüft, ob Ihre Compliance-Maßnahmen in der Praxis tragen.

Was Sie lernen in KI und Datenschutz

KI und Datenschutz — Trainingsschritte

  1. Zwei Rechtsrahmen, ein KI-System

    Sobald KI-Systeme personenbezogene Daten verarbeiten, überschneiden sich EU-KI-Verordnung und DSGVO erheblich. Jedes KI-System, das personenbezogene Daten verarbeitet, muss beide Rechtsrahmen gleichzeitig einhalten. DSGVO-Rechtsgrundlage – für die Verarbeitung personenbezogener Daten ist eine gültige Rechtsgrundlage erforderlich. DSGVO Artikel 22 – Personen haben das Recht, keiner ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung mit erheblichen Auswirkungen unterworfen zu werden. DSFA-Pflichten – nach DSGVO kann eine Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen erforderlich sein. Datenminimierung – es dürfen nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Es handelt sich um eigenständige Rechtsrahmen mit jeweils eigenen Durchsetzungs­mechanismen, die jedoch überlappende Pflichten für KI-Systeme begründen, die personenbezogene Daten verarbeiten.

  2. Überblick über das KI-Triage-System

    Wellspring Health Services has developed an AI triage system to help manage patient appointments more efficiently. Alice signs in to the clinical portal and opens the system overview page to review how it works before conducting her compliance assessment.

  3. DSGVO Artikel 22: Automatisierte Entscheidungsfindung

    GDPR Article 22 gives individuals the right not to be subject to purely automated decisions with significant effects. EU AI Act Article 14 separately requires human oversight for high-risk AI. The two are complementary: GDPR creates a patient right, the EU AI Act creates a design obligation. Both must be satisfied independently.

  4. Rechtsgrundlage für Gesundheitsdaten

    Das Triage-System verarbeitet Gesundheitsdaten, eine besondere Kategorie nach Artikel 9 DSGVO. Übliche Verarbeitungsgründe wie das berechtigte Interesse reichen für Gesundheitsdaten nicht aus. Die in Frage kommenden Rechtsgrundlagen sind: Ausdrückliche Einwilligung (DSGVO Art. 9 Abs. 2 lit. a) – die Patientin oder der Patient willigt ausdrücklich und informiert in die Verarbeitung der Gesundheitsdaten durch das KI-System ein. Erforderlich für medizinische Behandlung oder Diagnose (DSGVO Art. 9 Abs. 2 lit. h) – die Verarbeitung ist für gesundheitliche Zwecke erforderlich und erfolgt durch medizinisches Fachpersonal oder Personen, die einer beruflichen Schweigepflicht unterliegen. Das berechtigte Interesse allein genügt nie für die Verarbeitung von Gesundheitsdaten nach DSGVO. Organisationen müssen zusätzlich zur Rechtsgrundlage nach Artikel 6 eine gültige Ausnahme nach Artikel 9 vorweisen.

  5. Zwischenstand

    Bevor Sie fortfahren, überlegen Sie, was Sie über das Zusammenspiel von DSGVO und EU-KI-Verordnung gelernt haben.

  6. Datenminimierung vs. KI-Leistung

    Der KI-Anbieter hat Zugriff auf die vollständigen Patientenakten verlangt und argumentiert, dass eine breitere Datenbasis die Triage-Genauigkeit verbessern würde. Der Grundsatz der Datenminimierung (Artikel 5 Abs. 1 lit. c DSGVO) verlangt jedoch, dass nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Für eine symptombasierte Triage benötigt das System aktuelle Symptombeschreibungen und grundlegende demografische Patientendaten. Die vollständige Krankengeschichte, Medikationsdaten und frühere Behandlungshistorien sind für die Festlegung der Terminpriorität überschießend . Mehr Daten zu verarbeiten als nötig verstößt gegen die DSGVO — auch wenn es die Leistung der KI verbessern würde.

  7. Prüfung der Patienten-Datenschutzhinweise

    Alice opens the patient-facing privacy notice from the clinical portal. A single notice can satisfy both GDPR and EU AI Act, but only if it covers every required disclosure.

  8. DSFA vs. FRIA

    Für dieses KI-System im Gesundheitsbereich können zwei getrennte Folgenabschätzungen erforderlich sein: DSFA (Datenschutz-Folgenabschätzung) – nach DSGVO erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen mit sich bringt. Fokus liegt speziell auf Datenschutzrisiken : wie personenbezogene Daten erhoben, gespeichert, verarbeitet und geschützt werden. FRIA (Grundrechte-Folgenabschätzung) – nach Artikel 27 der EU-KI-Verordnung erforderlich für Betreiber von Hochrisiko-KI-Systemen. Deckt alle Grundrechte umfassender ab: Diskriminierungs­verbot, Würde, Zugang zur Gesundheitsversorgung, Freiheit und das Recht auf wirksamen Rechtsbehelf. Diese Abschätzungen verfolgen unterschiedliche rechtliche Zwecke und haben unterschiedliche Geltungsbereiche. Sie können gemeinsam in einem kombinierten Verfahren durchgeführt werden, doch jede muss die Anforderungen der jeweiligen Vorschrift erfüllen.

  9. Eine Patientenbeschwerde

    Dr. Sarah Park pings Alice on Telegram about a patient who is unhappy with her AI-assigned priority. Alice needs to advise Dr. Park on how to respond within the bounds of GDPR Article 22 and EU AI Act human-oversight obligations.

  10. Die wichtigsten Punkte

    Das ist zu beachten, wenn KI-Systeme personenbezogene Daten verarbeiten: Doppelte Compliance ist Pflicht: KI-Systeme, die personenbezogene Daten verarbeiten, müssen sowohl die DSGVO als auch die EU-KI-Verordnung einhalten. Es handelt sich um eigenständige Rechtsrahmen mit getrennten Durchsetzungsmechanismen. Menschliche Aufsicht erfüllt beide Rahmen: Sowohl Artikel 22 DSGVO als auch Artikel 14 der EU-KI-Verordnung verlangen menschliche Aufsicht über automatisierte Entscheidungen — aus unterschiedlichen rechtlichen Gründen. Sie ergänzen einander, ersetzen sich aber nicht. Datenminimierung gilt selbst, wenn mehr Daten helfen würden: Mehr Daten zu verarbeiten als nötig verstößt gegen die DSGVO, unabhängig davon, ob es die Leistung der KI verbessert. Datenschutzhinweise müssen beide Rahmen abdecken: Die DSGVO verlangt Transparenz über die Datenverarbeitung; die EU-KI-Verordnung verlangt Transparenz über den Einsatz des KI-Systems. Beides kann in einem einzigen Hinweisdokument behandelt werden. Sowohl DSFA als auch FRIA können erforderlich sein: Eine DSFA legt den Fokus auf Datenschutzrisiken; eine FRIA umfasst alle Grundrechte. Sie dienen unterschiedlichen Zwecken, auch wenn sie gemeinsam durchgeführt werden. Patientinnen und Patienten haben doppelte Rechte: Das Recht auf Erläuterung und menschliche Überprüfung besteht sowohl nach DSGVO als auch nach EU-KI-Verordnung und gewährt Personen einander ergänzende Schutzrechte.