Datenschutz bei KI im Gesundheitswesen: Wie Sie Gesundheitsdaten rechtssicher fürs Training nutzen

Warum ist der Datenschutz die erste Hürde für KI im Gesundheitswesen?

Das Datenschutzrecht entscheidet nicht erst über die Ausgestaltung eines KI-Projekts, sondern bereits darüber, ob es überhaupt rechtmäßig umgesetzt werden darf. Das gilt selbst dann, wenn das fertige Modell später keine personenbezogenen Daten mehr verarbeiten soll – denn entscheidend ist die Datennutzung im Training.

Die DSGVO-Grundsätze kollidieren mit dem KI-Training

Der Grund liegt in den Grundsätzen der Datenverarbeitung nach Art. 5 Abs. 1 DSGVO. Danach müssen Sie personenbezogene Daten:

• rechtmäßig, nach Treu und Glauben und nachvollziehbar verarbeiten,
• für festgelegte, eindeutige und legitime Zwecke erheben und
• dürfen sie nicht in einer damit unvereinbaren Weise weiterverarbeiten.

Genau hier entsteht der Konflikt: Trainingsdaten werden oft für Zwecke verwendet, die bei der ursprünglichen Erhebung noch nicht feststanden.

Die KI-Verordnung ändert daran wenig

Die KI-Verordnung regelt die Verarbeitung personenbezogener Daten nur punktuell – in Art. 10 Abs. 5 und Art. 59 KI-VO – und lässt die DSGVO im Übrigen unberührt. Die Erlaubnistatbestände und Ausnahmen der DSGVO bleiben damit auch für KI-Projekte der zentrale Maßstab.

Ein Beispiel: Eine Klinik möchte aus Behandlungsdaten ein Diagnosemodell trainieren. Bevor sie über Architektur oder Anbieter nachdenkt, muss sie klären, auf welche Rechtsgrundlage sie die Nutzung der Patientendaten stützt. Fehlt diese, ist das Projekt unabhängig von seiner technischen Qualität nicht zulässig.

Datenschutzkonforme KI im Gesundheitswesen beginnt also nicht beim Modell, sondern bei der Frage, ob Sie die Trainingsdaten überhaupt verwenden dürfen.

Welche Rechtsgrundlage erlaubt die Nutzung eigener Gesundheitsdaten?

Gesundheitsdaten, die Ihnen bereits vorliegen, dürfen Sie zu Forschungszwecken weiterverarbeiten – gestützt auf eine Einwilligung („Broad Consent"), § 27 BDSG oder § 6 GDNG. Das ist der erste von zwei Wegen, Gesundheitsdaten für KI zu nutzen:

• Eigene Daten weiterverarbeiten: vorhandene Gesundheitsdaten auf Grundlage von Broad Consent, § 27 BDSG oder § 6 GDNG.
• Externen Zugang nutzen: anonymisierte oder pseudonymisierte Daten über Stellen wie das Forschungsdatenzentrum Gesundheit beantragen (dazu der nächste Abschnitt).

Beim ersten Weg trägt das sogenannte Forschungsprivileg. Es umfasst mehrere Erleichterungen für die Verarbeitung zu Forschungszwecken: eine breite Forschungseinwilligung, Ausnahmen von Zweckbindung und Speicherbegrenzung, abgeschwächte Informationspflichten – und im engeren Sinne die Erlaubnis, besondere Datenkategorien wie Gesundheitsdaten überhaupt zu verarbeiten.

Maßgeblich ist Art. 9 Abs. 2 Buchst. j DSGVO. Er erlaubt die Verarbeitung jedoch nicht voraussetzungslos: Sie muss für wissenschaftliche Forschungszwecke erforderlich sein und auf einer Grundlage im Unions- oder Mitgliedstaatsrecht beruhen. Diese Grundlage muss verhältnismäßig sein, den Wesensgehalt des Datenschutzrechts wahren und spezifische Schutzmaßnahmen vorsehen.

Was ist der Unterschied zwischen § 27 BDSG und § 6 GDNG?

In Deutschland kommen zwei Normen in Betracht. Beide verlangen, dass die Verarbeitung wissenschaftlichen Forschungszwecken dient, und beide fordern technische und organisatorische Maßnahmen wie ein Rechte- und Rollenkonzept oder die Pseudonymisierung. Der Unterschied liegt im Anwendungsbereich und in den Pflichten:

Kriterium	§ 27 BDSG	§ 6 GDNG
Anwendungsbereich	grundsätzlich alle Stellen	nur datenverarbeitende Gesundheitseinrichtungen (z. B. Apotheken, Krankenhäuser)
Zusätzliche Schwelle	erheblich überwiegendes Forschungsinteresse	–
Zusätzliche Pflichten	–	nachgelagerte Registrierungs- und Veröffentlichungspflichten

Welche Norm greift, hängt davon ab, wer Sie sind: § 27 BDSG verlangt eine höhere Interessenabwägung, § 6 GDNG steht nur Gesundheitseinrichtungen offen, dafür ohne die Schwelle des überwiegenden Interesses.

Wie erhalten Sie über GDNG und EHDS Zugang zu Gesundheitsdaten?

Anonymisierte oder pseudonymisierte Gesundheitsdaten können Sie über externe Zugangsstellen wie das Forschungsdatenzentrum Gesundheit beantragen und so Gesundheitsdaten für KI nutzen. Das ist der zweite Weg – und er kommt häufig ohne eigene datenschutzrechtliche Rechtsgrundlage aus.

Zugang über das Forschungsdatenzentrum Gesundheit

Möglich macht das vor allem das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GDNG). Es eröffnet unter anderem, Daten aus Krebsregistern mit anderen Datensätzen zu verknüpfen und über das Forschungsdatenzentrum Gesundheit auf Bestände zuzugreifen.

Wenn der Verantwortliche die Betroffenen anhand der übermittelten Informationen nicht identifizieren kann, ist eine datenschutzrechtliche Rechtsgrundlage im Regelfall nicht erforderlich. Die Pflichten verschwinden damit aber nicht: Zu beachten bleiben die Anforderungen aus § 4 GDNG und § 303e SGB V, die das Verfahren und die Zugangsbedingungen regeln.

Das GDNG als Brücke zum EHDS

Das GDNG ist als Brückengesetz angelegt. Es schlägt eine Brücke zum Europäischen Gesundheitsdatenraum (European Health Data Space, EHDS) – dem EU-Rahmen für die grenzüberschreitende Nutzung digitaler Gesundheitsdaten.

Die EHDS-Verordnung ist bereits in Kraft getreten, wird aber erst schrittweise anwendbar. Mittelfristig sollen sich Gesundheitsdaten dadurch unionsweit auffinden und unter regulierten Bedingungen nutzen lassen.

Der externe Weg ersetzt die Suche nach einer eigenen Rechtsgrundlage durch die Pflicht, ein vorgegebenes Verfahren einzuhalten.

Vom Verbot zur Governance: Was ändert sich für Ihre Praxis?

Der Gesundheitsdatenschutz wandelt sich von einem verbotsorientierten Schutzregime zu einem komplexen Steuerungsrahmen. Für die Praxis bedeutet das eine andere Prüfungslogik: Im Vordergrund steht nicht mehr nur, ob eine einzelne Verarbeitung zulässig ist, sondern wie Sie Governance-Strukturen für die Sekundärdatennutzung rechtssicher ausgestalten.

Neue Pflichten für datenhaltende Stellen

Die Kehrseite der regulierten Infrastruktur sind erhebliche Pflichten. Datenhaltende Stellen müssen ihre Bestände strukturieren, katalogisieren und in den vorgesehenen Verfahren bereitstellen. Die Frage verschiebt sich: Es geht zunehmend darum, welche Stellen Zugang vermitteln, welche Verfahren einzuhalten sind und welche Maßnahmen Sie treffen müssen.

Konkret heißt das: Ein Krankenhaus, das künftig Forschungsanfragen bedienen will, muss seine Daten nicht nur schützen, sondern auch zugänglich und auffindbar machen – zwei Ziele, die sich früher widersprachen.

Ob ein KI-Projekt mit Gesundheitsdaten realisierbar ist, entscheidet sich damit immer stärker an der Frage, wie Sie es umsetzen.

Fazit: Bei KI im Gesundheitswesen entscheidet das Wie

Datenschutz ist bei KI im Gesundheitswesen keine nachgelagerte Compliance-Aufgabe, sondern bestimmt von Beginn an, was möglich ist. Die DSGVO bleibt auch unter der KI-Verordnung der zentrale Maßstab, und das Forschungsprivileg ist Ihr wichtigster Hebel, um Gesundheitsdaten für KI zu nutzen.

Für die Nutzung stehen zwei Wege offen: die Weiterverarbeitung eigener Daten über Broad Consent, § 27 BDSG oder § 6 GDNG – oder der externe Zugang über das Forschungsdatenzentrum Gesundheit und perspektivisch den EHDS. Beide verlangen weniger eine einmalige Zulässigkeitsprüfung als eine durchdachte Governance. Die entscheidende Frage lautet künftig nicht mehr „ob", sondern „wie".

Häufig gestellte Fragen

Darf ich Patientendaten ohne Einwilligung für KI-Training nutzen?

Unter bestimmten Voraussetzungen ja. Zu wissenschaftlichen Forschungszwecken erlauben § 27 BDSG und § 6 GDNG die Verarbeitung von Gesundheitsdaten auch ohne Einwilligung der Betroffenen. § 27 BDSG setzt dafür ein erheblich überwiegendes Forschungsinteresse voraus, § 6 GDNG gilt nur für Gesundheitseinrichtungen; beide verlangen technische und organisatorische Schutzmaßnahmen wie Pseudonymisierung.

Brauche ich für anonymisierte Gesundheitsdaten eine datenschutzrechtliche Rechtsgrundlage?

Im Regelfall nicht. Wenn der Verantwortliche die betroffenen Personen anhand der übermittelten Informationen nicht identifizieren kann, ist eine datenschutzrechtliche Rechtsgrundlage normalerweise nicht erforderlich. Zu beachten bleiben aber die Anforderungen aus § 4 GDNG und § 303e SGB V.

Was bedeutet „Broad Consent" bei der Verarbeitung von Gesundheitsdaten?

Broad Consent ist eine breit gefasste Forschungseinwilligung, mit der betroffene Personen der Verarbeitung ihrer Daten für künftige, noch nicht abschließend festgelegte Forschungszwecke zustimmen. Sie ist Teil des Forschungsprivilegs und eine der möglichen Grundlagen, um vorhandene Gesundheitsdaten weiterzuverarbeiten.

Was ist das Forschungsdatenzentrum Gesundheit?

Das Forschungsdatenzentrum Gesundheit ist eine externe Zugangsstelle, über die sich anonymisierte oder pseudonymisierte Gesundheitsdaten für Forschungs- und Entwicklungszwecke beantragen lassen. Es ist einer der beiden Wege, Gesundheitsdaten für KI-Projekte nutzbar zu machen.

Was ist der European Health Data Space (EHDS)?

Der European Health Data Space ist der EU-Rahmen, der digitale Gesundheitsdaten künftig grenzüberschreitend für Forschung und Versorgung nutzbar machen soll. Die zugehörige Verordnung ist bereits in Kraft getreten, wird aber erst schrittweise anwendbar.