KI-Dokumentation erfordert nach der DSGVO zwei Dinge. Eine Verarbeitungsgrundlage nach Artikel 6 in Kombination mit der Ausnahme in Artikel 9 Absatz 2 Buchstabe h. Und einen schriftlichen Auftragsverarbeitungsvertrag nach Artikel 28 mit dem Anbieter, der die Patientendaten verarbeitet. Beides muss vorliegen, bevor das Werkzeug in Betrieb genommen wird. Die Klinik ist Verantwortliche und trägt die Verantwortung.
Was ist die Rechtsgrundlage für KI-Dokumentation nach der DSGVO?
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten nach Artikel 9. Die Verarbeitung erfordert zwei Ebenen gleichzeitig: eine Grundlage in Artikel 6 und eine Ausnahme vom Verbot in Artikel 9. Für den Gesundheitssektor ist die Ausnahme Artikel 9 Absatz 2 Buchstabe h: Verarbeitung zum Zweck der Gesundheitsvorsorge, Diagnose und Behandlung. Es ist dieselbe Grundlage, auf der die Patientenakte ohnehin beruht. Das KI-Werkzeug erweitert den Zweck nicht. Es unterstützt die Dokumentation, für die die Klinik bereits eine Rechtsgrundlage hat.
Datenminimierung nach Artikel 5 bedeutet, dass das Werkzeug nur die Daten verarbeiten darf, die die Aufgabe erfordert. Ein Diktat während der Konsultation soll zu einer Notiz werden - nicht zu einer Datenquelle, die der Anbieter für anderes nutzt. Die Zweckbindung gilt durchgängig. Zur Dokumentation erhobene Daten dürfen ohne eigenständige Grundlage nicht für Produktentwicklung oder Modelltraining wiederverwendet werden. Dieser Punkt sollte schwarz auf weiß im Auftragsverarbeitungsvertrag stehen.
Die Dokumentationspflicht folgt aus dem Berufsrecht und den dazugehörigen Vorschriften, nicht aus der DSGVO. Die zugelassene Fachkraft trägt die Verantwortung für die Akte und kann sie nicht an ein Werkzeug delegieren. Das KI-Werkzeug erstellt einen Entwurf. Die Notiz muss gelesen und freigegeben werden, bevor sie als Akteneintrag gilt.
Was ist ein Auftragsverarbeitungsvertrag, und wann brauche ich einen?
Ein Auftragsverarbeitungsvertrag ist der schriftliche Vertrag, den die DSGVO in Artikel 28 Absatz 3 zwischen einer Verantwortlichen und einer Auftragsverarbeiterin verlangt. Verarbeitet ein externer KI-Anbieter Patientendaten im Auftrag der Klinik, ist der Anbieter Auftragsverarbeiter, und die Klinik ist Verantwortliche. Der Vertrag muss geschlossen sein, bevor die Verarbeitung beginnt. Er bindet den Anbieter daran, Daten nur nach der dokumentierten Weisung der Klinik zu verarbeiten.
Es ist diese Bindung, die einen Auftragsverarbeiter von einem gewöhnlichen Anbieter unterscheidet. Ohne den Vertrag könnte der Anbieter im Prinzip Daten zu eigenen Zwecken verarbeiten, und die Klinik kann gegenüber dem Datenschutz nicht belegen, dass die Verarbeitung unter Kontrolle erfolgt. Die Verantwortung dafür, den Vertrag vorzuhalten, liegt bei der Klinik als Verantwortliche - nicht beim Anbieter. Fehlt der Vertrag, haftet die Klinik.
Was muss der Auftragsverarbeitungsvertrag enthalten?
Artikel 28 Absatz 3 legt die Punkte fest, die der Vertrag abdecken muss. Nutze die Liste als Checkliste, bevor du unterschreibst:
- Zweck und Dauer - wozu Daten verarbeitet werden und wie lange die Verarbeitung läuft.
- Art der Daten und Kategorien betroffener Personen - hier: Gesundheitsdaten von Patienten.
- Weisungsbindung - der Anbieter handelt nur nach der dokumentierten Weisung der Klinik.
- Sicherheit - technische und organisatorische Maßnahmen nach Artikel 32, darunter Verschlüsselung und Zugriffssteuerung.
- Unterauftragsverarbeiter - wen der Anbieter einsetzt, und das Recht der Klinik, bei Änderungen informiert zu werden.
- Unterstützung - die Pflicht des Anbieters, bei Auskunftsersuchen, Löschung und Verletzungen zu helfen.
- Löschung oder Rückgabe bei Vertragsende, und Nachweis darüber.
- Prüfung - das Recht der Klinik auf Kontrolle, etwa per Audit oder Prüfbericht.
Der Vertrag sollte auch die Frist festlegen, innerhalb derer der Anbieter die Klinik über eine Datenpanne informieren muss. Das ist eine Voraussetzung dafür, dass die Klinik ihre eigene 72-Stunden-Frist gegenüber dem Datenschutz nach Artikel 33 einhalten kann.
Bei People's Clinic ist ein Auftragsverarbeitungsvertrag Teil der Einrichtung. Die Transkription wird nach bis zu 90 Tagen gelöscht, während die fertige Notiz im Aktensystem der Klinik unter der Kontrolle der Klinik verbleibt. Mehr dazu unter Daten und Sicherheit.
Wo dürfen Patientendaten geografisch verarbeitet werden?
Sensible Patientendaten werden innerhalb der EU/des EWR verarbeitet, wo die DSGVO unmittelbar gilt. Der Auftragsverarbeitungsvertrag muss festlegen, in welchen Ländern die Verarbeitung erfolgt, und Unterauftragsverarbeiter benennen. Erfolgt eine Übermittlung in ein Drittland, erfordert das eine eigene Übermittlungsgrundlage nach Kapitel V - etwa die Standardvertragsklauseln der EU-Kommission - und eine Bewertung, ob das Schutzniveau im Empfängerland dem EU-Niveau tatsächlich entspricht.
People's Clinic verarbeitet Daten innerhalb der EU (Frankfurt) und übermittelt nicht in ein Drittland. Das berührt die Unsicherheit über US-Anbieter, die das Schrems-II-Urteil aufwarf, als der EuGH 2020 den Privacy Shield kippte und die Anforderungen an die Übermittlung in die USA verschärfte.
Wenn du verstehen willst, wann KI-Dokumentation überhaupt zulässig ist, dann lies die vollständige Übersicht unter ist KI-Dokumentation zulässig.
Dieser Leitfaden ist eine allgemeine Orientierung über die Regeln - keine Rechtsberatung. Bestehen Zweifel über die Situation deiner Klinik, dann hole konkrete Beratung ein. Relevante Behörden sind Datatilsynet und Styrelsen for Patientsikkerhed.