Datenschutzaufsicht prüft KI‑Einsatz im Gesundheitswesen
Ärzte, Kliniken, Pflegeinrichtungen sollten sich jetzt vorbereiten.
Der Einsatz von KI im Gesundheitswesen rückt zunehmend in den Fokus der Datenschutzaufsichtsbehörden. Aktuell erhalten Unternehmen Informationsersuchen nach Art. 58 Abs. 1 lit. a DSGVO – u. a. vom LfDI Rheinland‑Pfalz. Ziel ist ein aktuelles Lagebild darüber, wie KI in Unternehmensprozessen eingesetzt wird – weit über das klassische Umfeld hinaus.
Das Schreiben zeigt: Die Behörden schauen genau hin. Unternehmen sollten sich frühzeitig darauf einstellen, umfassend und belastbar auskunftsfähig zu sein – insbesondere dort, wo KI‑Systeme medizinische personenbezogene Daten verarbeiten oder Entscheidungen unterstützen. Neben der technischen Dokumentation rücken damit auch organisatorische Pflichten, interne Verantwortlichkeiten und die Einhaltung der Mitwirkungspflichten in den Mittelpunkt.
Was fragen die Aufsichtsbehörden konkret ab?
Gefordert werden u. a.:
▪️ eine Übersicht über alle eingesetzten Software‑ und IT‑Tools, deren Funktionen und verarbeitete Datenkategorien,
▪️ die einschlägigen Verarbeitungsverzeichnisse nach Art. 30 DSGVO,
▪️ etwaige Datenschutz‑Folgenabschätzungen,
▪️ detaillierte Angaben zum Einsatz von KI‑gestützten Tools, inkl. Einsatzzweck, Funktionsweise und zugrunde liegenden Modellen,
▪️ Informationen darüber, ob die Tools von Beschäftigten genutzt werden und dabei personenbezogene Daten verarbeiten.
Auffällig: Gefordert werden sämtliche KI‑basierten Tools – also auch KI-Telefonanlage, Internetseite und KI-Dokumentenmanagement.
Warum Sie jetzt handeln sollten:
➡️ KI‑Einsatz wird (nicht nur) für die Datenschutzaufsicht ein strategischer Prüfbereich.
➡️ Unternehmen müssen künftig transparent nachweisen, wie KI‑Systeme funktionieren, welche Daten verarbeitet werden und ob Kontroll‑ und Risikomanagementprozesse etabliert sind.
➡️ Fehlende oder unvollständige Dokumentation kann als Verstoß gegen die Rechenschaftspflicht gewertet werden.
Damit rücken auch Haftungs‑ und Bußgeldrisiken in den Fokus:
Unklare Zuständigkeiten, fehlende DSFA oder nicht dokumentierte KI‑Prozesse können als Organisationsverschulden ausgelegt werden.
Quelle: pwc
Wir freuen uns auf den fachlichen Austausch – gern auch mit Blick auf die Rolle der pharmazeutischen Industrie im KI-gestützten Versorgungsprozess.
Haben Sie Fragen?
Dann kontaktieren Sie uns einfach.