Die Digitalisierung im Gesundheitswesen schreitet voran, und immer mehr medizinische Einrichtungen entdecken die Vorteile von KI-Anwendungen wie ChatGPT. Ob zur Unterstützung bei der Dokumentation, für administrative Aufgaben oder zur Recherche – die Einsatzmöglichkeiten sind vielfältig. Doch gerade im sensiblen Bereich des Gesundheitswesens stellt sich die zentrale Frage: Wie lassen sich ChatGPT und Co. datenschutzkonform nutzen?
Im medizinischen Alltag ist die Versuchung groß, ChatGPT für verschiedene Aufgaben zu nutzen. Schnell werden Patientenanfragen formuliert, Diagnoseoptionen recherchiert oder administrative Texte verfasst. Dabei kann es leicht passieren, dass unbeabsichtigt personenbezogene oder gar Gesundheitsdaten in die Prompts eingegeben werden.
Wichtig zu verstehen: Rechtlich liegt bei jeder Nutzung von ChatGPT eine Datenverarbeitung vor. Verantwortlich ist dabei nicht die KI selbst, sondern das dahinterstehende US-Unternehmen OpenAI. Für Gesundheitseinrichtungen bedeutet dies: Die strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) greifen vollumfänglich – auch bei einem amerikanischen Dienstleister.
Bei der Nutzung von ChatGPT werden Daten an OpenAI übermittelt, ein Unternehmen mit Sitz in den USA. Dies stellt aus datenschutzrechtlicher Sicht eine besondere Herausforderung dar, denn die USA gelten als Drittland ohne angemessenes Datenschutzniveau im Sinne der DSGVO.
Für medizinische Einrichtungen bedeutet dies zusätzliche rechtliche Anforderungen: Die Übermittlung von Gesundheitsdaten in die USA muss durch geeignete Garantien abgesichert werden, etwa durch Standardvertragsklauseln (Standard Contractual Clauses). Zudem müssen Sie als Gesundheitsdienstleister prüfen, ob durch die Datenübermittlung besondere Risiken für die Rechte und Freiheiten Ihrer Patienten entstehen.
Eine der größten Datenschutzfallen bei ChatGPT ist die standardmäßig aktivierte Trainingsnutzung. Bei kostenlosen Accounts und der Plus-Version können Ihre Eingaben zur Weiterentwicklung der KI-Modelle verwendet werden. Für Arztpraxen, Krankenhäuser und andere Gesundheitseinrichtungen ist dies absolut inakzeptabel.
Unsere dringende Empfehlung: Deaktivieren Sie diese Funktion umgehend in den Einstellungen Ihres Accounts. Nur so verhindern Sie, dass vertrauliche Patientendaten, Diagnosen oder andere sensible Gesundheitsinformationen ungewollt in den Trainingsprozess der KI einfließen und möglicherweise später in Antworten an andere Nutzer auftauchen könnten.
Ab dem „Team"-Account bietet OpenAI einen entscheidenden Vorteil: Die Trainingsnutzung ist hier standardmäßig deaktiviert. Für medizinische Einrichtungen, die ChatGPT professionell einsetzen möchten, ist ein Team- oder Enterprise-Account daher praktisch unverzichtbar. Die höheren Kosten sind im Vergleich zu möglichen Datenschutzverstößen und Bußgeldern eine sinnvolle Investition.
Der vielleicht wichtigste Punkt für datenschutzkonforme KI-Nutzung im Gesundheitswesen: Ein Auftragsverarbeitungsvertrag (AVV) wird bei OpenAI nicht automatisch abgeschlossen. Gemäß Art. 28 DSGVO ist ein solcher Vertrag jedoch zwingend erforderlich, wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet.
Ohne AVV handeln Sie als Gesundheitseinrichtung datenschutzrechtlich fahrlässig – mit potenziell gravierenden Folgen, von Abmahnungen durch Datenschutzbehörden bis zu empfindlichen Bußgeldern, die im Gesundheitsbereich besonders hoch ausfallen können.
Um einen Auftragsverarbeitungsvertrag mit OpenAI abzuschließen, benötigen Sie mindestens einen „Team"-Account oder einen API-Account. Kostenlose oder Plus-Accounts reichen hierfür nicht aus. Dies unterstreicht, dass die professionelle, datenschutzkonforme Nutzung von ChatGPT im medizinischen Bereich mit Investitionen verbunden ist.
Für medizinische Einrichtungen haben wir eine detaillierte Anleitung zusammengestellt:
1. Data Processing Addendum öffnen: Besuchen Sie die offizielle DPA-Seite von OpenAI unter: openai.com/enterprise-privacy
2. Vertrag initiieren: Scrollen Sie zum Ende der Seite und klicken Sie auf den Link „Execute Data Processing Agreement"
3. Organisation identifizieren: Halten Sie Ihre Organization ID bereit. Diese finden Sie in Ihren Account-Einstellungen im OpenAI-Dashboard
4. Daten eingeben: Tragen Sie alle geforderten Unternehmensdaten Ihrer Praxis oder Klinik ein
5. E-Mail-Verifizierung: Bestätigen Sie Ihre E-Mail-Adresse mit dem zugesandten Verifizierungscode
6. Vertrag abschließen: Schließen Sie den Vertrag elektronisch ab und laden Sie das PDF-Dokument herunter
7. Dokumentation: Bewahren Sie das unterzeichnete DPA in Ihren Datenschutz-Unterlagen auf – es ist Teil Ihres Verarbeitungsverzeichnisses
Ein AVV allein reicht nicht aus. Ergänzend sollten Sie:
Gesundheitsdaten zählen gemäß Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen einem erhöhten Schutzniveau. Die Verarbeitung solcher Daten durch US-Dienstleister erfordert besondere Rechtfertigungsgründe und zusätzliche Schutzmaßnahmen.
Grundsätzlich gilt: Vermeiden Sie die Eingabe von identifizierbaren Patientendaten in ChatGPT weitestgehend. Nutzen Sie die KI bevorzugt für allgemeine medizinische Recherchen, administrative Texte oder anonymisierte Fallbeispiele.
ChatGPT und andere KI-Dienste bieten enormes Potenzial für das Gesundheitswesen – vorausgesetzt, der Datenschutz wird von Anfang an mitgedacht. Die Nutzung eines US-Dienstleisters bringt zusätzliche rechtliche Herausforderungen mit sich, die nicht unterschätzt werden sollten. Mit den richtigen Vorkehrungen, einem gültigen AVV und einer kritischen Prüfung jeder Datenübermittlung können Arztpraxen, Krankenhäuser und andere medizinische Einrichtungen die Vorteile der KI nutzen.
Sie haben Fragen zur datenschutzkonformen Implementierung von KI-Tools in Ihrer Gesundheitseinrichtung? Als spezialisierte Datenschutzberater unterstützen wir Sie gerne bei der rechtssicheren Integration von ChatGPT und anderen digitalen Anwendungen in Ihren medizinischen Alltag.
DSGVO-konforme Videoüberwachung in Arztpraxen und Kliniken: Aktuelle Anforderungen an Hinweisschilder, rechtliche Grundlagen und praktische Umsetzungstipps für Gesundheitseinrichtungen.
In der Pflegebranche sind sensible Patientendaten alltäglich – doch DSGVO-Verstöße können teure Bußgelder nach sich ziehen. Erfahren Sie in diesem Beitrag, wie Sie Datenschutz in Ihrer Pflegeeinrichtung effektiv umsetzen, Risiken minimieren und Ihr Team schulen. Praktische Tipps für mehr Sicherheit und Compliance.
Datenschutz-Schulungen sind in der Pflege essenziell, um Bußgelder zu vermeiden und Patientendaten zu schützen. Entdecken Sie in diesem Guide praktische Tipps, wie Sie Ihr Team effektiv schulen, gängige Fehler umgehen und DSGVO-Konformität im Pflegealltag sicherstellen. Ideal für Leiter von Pflegeeinrichtungen.
Mit unserem kostenlosen DSGVO-Check erhalten Sie eine erste Einschätzung Ihrer aktuellen Situation und konkrete Handlungsempfehlungen.
