KI und Datenschutz

What Is KI und Datenschutz?

Das EU-KI-Gesetz und die DSGVO sind unabhängige, sich aber überschneidende Rechtsrahmen. Wenn ein KI-System personenbezogene Daten verarbeitet, müssen Unternehmen beides gleichzeitig einhalten. In dieser Übung arbeiten Sie mit einem KI-Triage-System für das Gesundheitswesen, das Patiententermine auf der Grundlage einer Symptomanalyse priorisiert. Sie navigieren zu den Rechten von DSGVO Artikel 22 gegen automatisierte Entscheidungen, Datenminimierungskonflikten mit Anbieterforderungen nach mehr Daten, doppelten Transparenzanforderungen und dem Unterschied zwischen einer DSFA und einer FRIA. Eine Patientenbeschwerde prüft in Echtzeit, ob Ihre Compliance-Maßnahmen in der Praxis funktionieren.

What You'll Learn in KI und Datenschutz

• Verstehen Sie, wie das EU-KI-Gesetz und die DSGVO überlappende, aber unabhängige Verpflichtungen schaffen
• Wenden Sie die Rechte aus Artikel 22 der DSGVO auf KI-gesteuerte Entscheidungen mit erheblichen Auswirkungen an
• Erzwingen Sie die Datenminimierung, selbst wenn mehr Daten die KI-Leistung verbessern würden
• Erstellen Sie Datenschutzhinweise, die sowohl den Transparenzanforderungen der DSGVO als auch des EU-KI-Gesetzes genügen
• Unterscheiden Sie zwischen DPIA und FRIA und verstehen Sie, wann beide erforderlich sind

KI und Datenschutz — Training Steps

1. Zwei Frameworks, ein KI-System

   Das EU-KI-Gesetz und die DSGVO überschneiden sich erheblich, wenn KI-Systeme personenbezogene Daten verarbeiten. Jedes KI-System, das personenbezogene Daten verarbeitet, muss beide Rahmenwerke gleichzeitig einhalten. Rechtsgrundlage der DSGVO – Für die Verarbeitung personenbezogener Daten ist eine gültige Rechtsgrundlage erforderlich. Artikel 22 der DSGVO – Einzelpersonen haben das Recht, nicht rein automatisierten Entscheidungen mit erheblichen Auswirkungen unterworfen zu werden. DPIA-Anforderungen – Gemäß der DSGVO kann für die Verarbeitung mit hohem Risiko eine Datenschutz-Folgenabschätzung erforderlich sein. Daten Minimierung – Es dürfen nur Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Es handelt sich dabei um unabhängige Rechtsrahmen mit eigenen Durchsetzungsmechanismen, die jedoch überschneidende Verpflichtungen für KI-Systeme mit sich bringen, die personenbezogene Daten verarbeiten.

2. Übersicht über das AI-Triage-System

   Wellspring Health Services hat ein KI-Triagesystem entwickelt, um Patiententermine effizienter zu verwalten. Alice meldet sich beim klinischen Portal an und öffnet die Systemübersichtsseite, um die Funktionsweise zu überprüfen, bevor sie ihre Compliance-Bewertung durchführt.

3. DSGVO Artikel 22: Automatisierte Entscheidungsfindung

   Artikel 22 der DSGVO gibt Einzelpersonen das Recht, nicht rein automatisierten Entscheidungen mit erheblichen Auswirkungen unterworfen zu werden. Artikel 14 des EU-KI-Gesetzes schreibt gesondert eine menschliche Aufsicht für Hochrisiko-KI vor. Beide ergänzen sich: Die DSGVO schafft ein Patientenrecht, das EU-KI-Gesetz schafft eine Designpflicht. Beide müssen unabhängig voneinander erfüllt werden.

4. Rechtsgrundlage für Gesundheitsdaten

   Das Triage-System verarbeitet Gesundheitsdaten, die eine Sonderkategorie gemäß Artikel 9 DSGVO darstellen. Standardverarbeitungsgründe wie berechtigtes Interesse reichen für Gesundheitsdaten nicht aus. Die richtigen Rechtsgrundlagen sind: Ausdrückliche Einwilligung (Art. 9(2)(a) DSGVO) – der Patient gibt der Verarbeitung seiner Gesundheitsdaten durch das KI-System eine ausdrückliche und informierte Einwilligung. Erforderlich für eine medizinische Behandlung oder Diagnose (Art. 9(2)(h) DSGVO) – die Verarbeitung ist für Gesundheitszwecke erforderlich und wird von einer medizinischen Fachkraft oder einer Person durchgeführt, die der Schweigepflicht unterliegt Verpflichtungen. Berechtigtes Interesse allein reicht niemals aus für die Verarbeitung von Gesundheitsdaten im Rahmen der DSGVO. Organisationen müssen zusätzlich zu einer Rechtsgrundlage gemäß Artikel 6 eine gültige Ausnahme gemäß Artikel 9 angeben.

5. Überprüfung während der Übung

   Bevor Sie fortfahren, überlegen Sie, was Sie über das Zusammenspiel von DSGVO und EU-KI-Gesetz gelernt haben.

6. Datenminimierung vs. KI-Leistung

   Der KI-Anbieter hat Zugriff auf die vollständigen Krankenakten der Patienten beantragt und argumentiert, dass umfassendere Daten die Genauigkeit der Triage verbessern würden. Das Datensparsamkeitsprinzip der DSGVO (Art. 5 Abs. 1 lit. c) verlangt jedoch, dass nur Daten verarbeitet werden, die für den konkreten Zweck erforderlich sind. Für die symptombasierte Triage benötigt das System aktuelle Symptombeschreibungen und grundlegende demografische Daten des Patienten. Die vollständige Krankengeschichte, Medikamentenunterlagen und die bisherige Behandlungshistorie sind für die Festlegung der Terminpriorität überflüssig . Die Verarbeitung von mehr Daten als nötig verstößt gegen die DSGVO – auch wenn dadurch die KI-Leistung verbessert würde.

7. Überprüfung der Datenschutzerklärung für Patienten

   Alice öffnet die patientenbezogene Datenschutzerklärung im klinischen Portal. Eine einzige Mitteilung kann sowohl der DSGVO als auch dem EU-KI-Gesetz genügen, allerdings nur, wenn sie alle erforderlichen Offenlegungen abdeckt.

8. DPIA vs. FRIA

   Für dieses KI-System im Gesundheitswesen sind möglicherweise zwei separate Folgenabschätzungen erforderlich: DPIA (Data Protection Impact Assessment) – gemäß DSGVO erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte des Einzelnen mit sich bringt. Konzentriert sich speziell auf Datenschutzrisiken : wie personenbezogene Daten erfasst, gespeichert, verarbeitet und geschützt werden. FRIA (Folgenabschätzung zu Grundrechten) – gemäß Artikel 27 des EU-KI-Gesetzes für Betreiber von Hochrisiko-KI-Systemen erforderlich. Deckt alle Grundrechte im weiteren Sinne ab: Nichtdiskriminierung, Würde, Zugang zur Gesundheitsversorgung, Freiheit und das Recht auf einen wirksamen Rechtsbehelf. Diese Bewertungen dienen unterschiedlichen rechtlichen Zwecken und haben unterschiedliche Geltungsbereiche. Sie können gemeinsam als kombinierte Übung durchgeführt werden, müssen jedoch jeweils den Anforderungen der jeweiligen Verordnung genügen.

9. Eine Patientenbeschwerde

   Dr. Sarah Park pingt Alice per Telegram über eine Patientin, die mit der ihr von der KI zugewiesenen Priorität unzufrieden ist. Alice muss Dr. Park beraten, wie er im Rahmen von Artikel 22 der DSGVO und den Verpflichtungen zur menschlichen Aufsicht im EU-KI-Gesetz reagieren soll.

10. Wichtige Erkenntnisse

    Folgendes sollten Sie beachten, wenn KI-Systeme personenbezogene Daten verarbeiten: Doppelte Compliance ist zwingend erforderlich: KI-Systeme, die personenbezogene Daten verarbeiten, müssen sowohl der DSGVO als auch dem EU-KI-Gesetz entsprechen. Hierbei handelt es sich um unabhängige Rahmenwerke mit getrennter Durchsetzung. Die menschliche Aufsicht dient beiden Rahmenwerken: Artikel 22 der DSGVO und Artikel 14 des EU-KI-Gesetzes verlangen beide eine menschliche Aufsicht über automatisierte Entscheidungen, jedoch aus unterschiedlichen rechtlichen Gründen. Sie ergänzen sich, sind kein Ersatz. Datenminimierung gilt auch dann, wenn mehr Daten helfen würden: Die Verarbeitung von mehr Daten als nötig verstößt gegen die DSGVO, unabhängig davon, ob dadurch die KI-Leistung verbessert wird. Datenschutzhinweise müssen beiden Rahmenwerken genügen: Die DSGVO erfordert Transparenz über die Datenverarbeitung; Das EU-KI-Gesetz fordert Transparenz über die Nutzung von KI-Systemen. Beides kann in einer einzigen Mitteilung behandelt werden. Es können sowohl DPIA als auch FRIA erforderlich sein: Eine DPIA konzentriert sich auf Datenschutzrisiken; Ein FRIA deckt alle Grundrechte ab. Sie dienen unterschiedlichen Zwecken, auch wenn sie gemeinsam durchgeführt werden. Patienten haben doppelte Rechte: Das Recht auf Erklärung und menschliche Überprüfung besteht sowohl nach der DSGVO als auch nach dem EU-KI-Gesetz und bietet Einzelpersonen ergänzenden Schutz.