Datenschutz-Folgeabschätzung reloaded – Cloud und KI im Visier der DSGVO
Der Einsatz von künstlicher Intelligenz in Krankenhäusern verschiebt das Risikoprofil bei der Verarbeitung sensibler Patientendaten erheblich. Laut Experten wird die Datenschutz-Folgeabschätzung dadurch vom bürokratischen Pflichtdokument zum unverzichtbaren Steuerungsinstrument.
Künstliche Intelligenz (KI) zieht in den Klinikalltag ein: von der Radiologie über das Patientenportal bis zur automatisierten Dokumentation. Gleichzeitig wandern immer mehr Systeme in die Cloud. Was für mehr Effizienz sorgen soll, stellt IT-Leitungen vor neue Fragen – vor allem beim Thema Datenschutz-Folgeabschätzung (DSFA). Sie wird heute zum zentralen Werkzeug, um die Risiken moderner Datenverarbeitung zu verstehen und zu beherrschen. Der oft übersehene Punkt dabei: Die DSFA ist weniger ein juristisches Pflichtdokument als ein strukturiertes Risikomanagementverfahren – und genau das macht sie im KI-Zeitalter unverzichtbar.
Wie verbindlich dieses Risikomanagement inzwischen ist, zeigt ein Blick auf die gesetzlichen Vorgaben. Die DSGVO verlangt eine DSFA immer dann, wenn eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Gesundheitsdaten zählen ohnehin zu den besonders schützenswerten Informationen. Durch den Einsatz von KI verschiebt sich das Risikoprofil jedoch deutlich: Entscheidungen werden automatisierter, Datenflüsse komplexer, Modelle weniger vorhersehbar. Kliniken können sich nicht mehr darauf verlassen, dass klassische technische Maßnahmen allein ausreichen. Sie müssen verstehen, wie eine KI zu ihren Ergebnissen kommt, welche Daten sie dafür verarbeitet und welche Fehlerwirkungen entstehen können.
Praxisfall offenbart systematische Fehlbewertungen durch verzerrte Trainingsdaten
Ein Praxisfall verdeutlicht diese Problematik: In einer großen Klinikgruppe wurde ein KI-System zur Priorisierung radiologischer Befunde eingeführt. Die Software sollte kritische Fälle schneller markieren. Die durchgeführte DSFA deckte jedoch auf, dass das Modell mit Datensätzen aus einer sehr spezifischen Patientengruppe trainiert worden war und systematische Fehlbewertungen bei jüngeren Patienten auftraten – ein Risiko, das ohne die Folgeabschätzung unentdeckt geblieben wäre.
Die zunehmende Regulierung trägt dieser Art von Risiken Rechnung. KI-Systeme im Gesundheitswesen gelten nach dem EU AI Act als Hochrisiko-Anwendungen. Damit steigen die Anforderungen an Transparenz, Datenqualität und Modellüberwachung. Eine DSFA muss heute mehrere neue Aspekte bewerten: ob Trainingsdaten Verzerrungen enthalten, ob Entscheidungen nachvollziehbar dokumentiert werden, wie die Klinik mit Fehlentscheidungen umgeht, ob Daten für Training, Fine-Tuning oder Monitoring verarbeitet werden und welche Drittsysteme eingebunden sind.
Cloud-Infrastruktur bleibt eigenständiger Risikofaktor
Doch auch wenn KI im Mittelpunkt steht, bleibt die Cloud ein relevanter Teil der DSFA. Fehlkonfigurationen, komplexe Subunternehmerketten und unklare Verantwortlichkeiten sind weiterhin zentrale Risikotreiber. Die DSFA hilft dabei, diese Risiken systematisch zu erfassen – besonders wenn ein KI-Dienst als SaaS-Lösung angebunden ist oder Patientendaten in verteilten Cloud-Architekturen verarbeitet werden. Kliniken, die ihre Cloud-DSFA bereits gut beherrschen, haben es bei KI-DSFAs wesentlich leichter.
Internationale Normen sollen dabei helfen, diese Komplexität zu strukturieren. Neue Standards wie ISO/IEC 42001 (KI-Managementsystem), ISO/IEC 23894 (KI-Risikomanagement) und ISO/IEC 27701 (Datenschutzmanagement) schaffen erstmals einen strukturierten Rahmen für verantwortungsvollen KI-Einsatz. Sie bieten klare Leitlinien für Governance, Dokumentation, Modellüberwachung und Risikominderung – ersetzen jedoch nicht die konkrete klinische Bewertung der Risiken im jeweiligen Kontext.
Interdisziplinäre Zusammenarbeit und kontinuierliches Monitoring als Kernempfehlungen
Für den konkreten Klinikalltag lassen sich daraus folgende Empfehlungen ableiten: Die DSFA sollte als Risikomanagement verstanden werden, bei dem Technik, Datenschutz und Medizin gemeinsam arbeiten. Datenflüsse sollten visualisiert werden – dabei reicht schon ein Whiteboard, Hauptsache verständlich und vollständig. Besonders bei Triage-, Befundungs- und Entscheidungsunterstützungssystemen müssten Modellgrenzen und Fehlerrisiken geprüft werden.
Zudem sind Bias-Checks vor Einführung anzuraten sowie regelmäßig im Betrieb zu etablieren. Cloud-Dienstleister sollten transparent gemacht werden, indem Subprozessoren dokumentiert, Verträge geprüft und Verantwortlichkeiten geklärt werden. Schließlich ist ein Monitoring erforderlich, da KI-Systeme sich verändern und damit auch die Risiken.
Diese Maßnahmen bilden die Grundlage, um die DSFA als fortlaufenden Prozess zu verankern. Die Datenschutz-Folgeabschätzung erlebt durch KI eine Renaissance. Sie hilft Kliniken nicht nur, regulatorische Pflichten zu erfüllen, sondern vor allem, Risiken frühzeitig zu erkennen, bevor sie Versorgung, Patientensicherheit oder Reputation gefährden. Wer KI, Datenflüsse und Modellgrenzen versteht und sauber dokumentiert, schafft die Grundlage für einen verantwortungsvollen und sicheren KI-Einsatz im Gesundheitswesen.
Dieser Text stammt aus dem kostenlosen <kes> Briefing: Healthcare Security Insights. Anmeldung unter: https://www.kes-informationssicherheit.de/newsletter/