Ob die automatisierte Pflegedokumentation per Spracherkennung. Der KI-gestützte Dienstplan, der Personalengpässe vorhersagt. Oder Chatbots für die Erstberatung von Angehörigen. Künstliche Intelligenz (KI) bietet enorme Chancen, um dem Fachkräftemangel und der Bürokratielast in der Pflege und Sozialarbeit wirksam zu begegnen.
Doch pünktlich zum Europäischen Datenschutztag am 28. Januar rückt neben den Chancen auch die Regulierung in den Fokus. Zentrales Element ist der neue „AI Act“ (KI-Verordnung). Dabei handelt es sich um das weltweit erste umfassende Gesetzgebungswerk, das künstliche Intelligenz in Risikoklassen einteilt und klare Regeln für Transparenz und Sicherheit vorgibt.
Gerade in der Sozial- und Gesundheitswirtschaft sind die Daten besonders sensibel. André Weinert, Experte für Datenschutz, erläutert im Gespräch, wie Einrichtungen die KI-Verordnung rechtssicher umsetzen und wo im Umgang mit Gesundheitsdaten die roten Linien verlaufen.
Zur Person
André Weinert ist Experte für Datenschutz in der Sozial- und Gesundheitswirtschaft. Er begleitet Träger und Einrichtungen bei der digitalen Transformation und der Umsetzung gesetzlicher Vorgaben. Sein aktueller Schwerpunkt liegt auf der Schnittstelle von DSGVO und Künstlicher Intelligenz (AI Act), insbesondere im Hinblick auf die Sicherheit sensibler Gesundheitsdaten und die Schulung von Mitarbeitenden.
Herr Weinert, die Digitalisierung in der Pflege nimmt Fahrt auf. Nun hält die KI Einzug in die Dokumentation und Verwaltung. Was ist die dringlichste Frage, die sich Einrichtungsleitungen und Pflegekräfte stellen müssen?
André Weinert: Die Technologie entwickelt sich rasant, und der Datenschutz muss Schritt halten. Die zentrale Herausforderung im Pflegealltag ist die Unsicherheit: „Was darf ich nutzen und was nicht?“ Wir müssen verstehen: Eine KI löst Aufgaben mathematisch. Sie greift auf das „Wissen der Welt“ zurück, erkennt Muster und erstellt Prognosen. Aber sie benötigt dafür Trainingsdaten. Und genau hier liegt in unserer Branche das Risiko: Wir arbeiten mit hochsensiblen Gesundheits- und Sozialdaten. Hier gelten strengere Regeln als im privaten Bereich.
Viele Mitarbeitende nutzen bereits private Accounts gängiger KI-Tools, um Berichte zu formulieren oder E-Mails zu schreiben. Wo liegt die Gefahr bei diesen „kostenlosen“ Lösungen?
Die Gefahr ist der Verlust der Datenhoheit. Vergleichen wir das Volumen der Trainingsdaten: Das Wissen eines Modells wie ChatGPT-4 aus dem Jahr 2024 gleicht einem Kirschkern. Das Nachfolgemodell ist im Vergleich dazu bereits so groß wie eine Melone. Woher kommt dieser Zuwachs? Auch von den Nutzenden der kostenlosen Versionen. Wenn eine Pflegekraft Daten von Klientinnen und Klienten in eine kostenlose KI eingibt, „bezahlt“ sie mit diesen Daten. Diese Informationen fließen in das globale Training ein. Das ist ein potenzieller Bruch der Schweigepflicht.
Heißt das, KI ist für die Pflegedokumentation oder Sozialberichte tabu?
Nein, keinesfalls. Aber wir müssen unterscheiden. In der kostenlosen Version sind personen- und gesundheitsbezogene Daten absolut tabu. Wenn Sie die KI hier nutzen wollen, müssen Sie die Daten so stark verfremden, dass kein Rückschluss auf Patient:innen oder Klient:innen möglich ist. Die sichere Alternative für Träger sind Bezahlversionen (Enterprise-Lösungen). Hier versichert in der Regel der Anbietende vertraglich, dass die Eingaben nicht zu Trainingszwecken genutzt werden. Das KI-Modell ist nur der Motor, aber das System drumherum ist eine geschützte Umgebung.
Datenschutzkonformer KI-Einsatz in der Praxis
- Rechtsgrundlage prüfen: Gibt es einen Auftragsverarbeitungsvertrag mit dem KI-Anbieter? (Keine Nutzung von Gratis-Tools für Echtdaten).
- Transparenz wahren: Klienten/Patienten müssen wissen, wenn KI in Entscheidungsprozessen (z. B. Diagnostik-Support) genutzt wird.
- TOMs anpassen: Protokollierung der KI-Nutzung und Anpassung der IT-Sicherheitskonzepte (Art. 32 DSGVO).
- Schulung: Sensibilisierung der Teams auf das Verbot der Eingabe von Klarnamen und Diagnosen in offene Systeme.
Mit dem „AI Act“ hat die EU nun einen rechtlichen Rahmen geschaffen. Was bedeutet das konkret für den Schutz der uns anvertrauten Menschen?
Die EU-KI-Verordnung ist für unsere Branche ein Segen, auch wenn sie bürokratisch wirkt. Im Gegensatz zu den USA oder China steht in Europa der Schutz der natürlichen Person im Mittelpunkt – also der Schutz von Patient:innen und Klient:innen vor Risiken für Gesundheit und Grundrechte. Ein Beispiel ist das Verbot der Emotionserkennung am Arbeitsplatz oder in der Schule, was in den USA teilweise erlaubt ist. Zudem schafft die Verordnung Transparenz: Eine KI muss sich „vorstellen“. Wenn ein Chatbot mit Angehörigen kommuniziert oder eine KI Pflegegrade vorab einschätzt, muss dies offengelegt werden.
Welche technischen und organisatorischen Maßnahmen (TOMs) müssen Einrichtungen jetzt ergreifen?
Es reicht nicht, die Software nur zu installieren. Wir müssen die klassischen Datenschutzprinzipien auf die KI übertragen:
- Zweckbindung und Datenminimierung: Nur die Daten verarbeiten, die für das konkrete Ergebnis nötig sind.
- Zugriffskonzepte: Wer darf welche KI mit welchen Daten füttern? Es braucht klare Rollenkonzepte.
- Menschliche Kontrolle: Das ist der wichtigste Punkt. Eine KI darf in der Sozialwirtschaft Entscheidungen vorbereiten, aber niemals autonom treffen – etwa bei der Vergabe von Hilfsmitteln oder Therapieplätzen.
Wie nehmen wir die Mitarbeitenden auf diesem Weg mit?
Das Problem ist meist nicht die KI selbst, sondern das, was die Nutzenden hineingeben. Daher ist Schulung das A und O. Die KI-Verordnung fordert explizit KI-Kompetenz. Pflege- und Verwaltungskräfte müssen wissen, wie das System funktioniert, dass es „halluzinieren“ (also Fehler machen) kann und wie sie die Ergebnisse kontrollieren. Wir müssen den Einsatz dokumentieren und regelmäßig auf Risiken prüfen. Am Ende bleibt es dabei: KI ist ein mächtiges Werkzeug zur Entlastung, aber die Verantwortung für den Menschen bleibt beim Menschen.
