Datenschutz und Ethik
DSGVO in der Pflege, Bewohnerrechte und ethische Grenzen von KI: Was erlaubt ist, was nicht — und warum es so wichtig ist.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
🔄 Kurzer Rueckblick: In Lektion 6 hast du gesehen, wie KI bei der Pflegegrad-Einstufung und MDK-Vorbereitung hilft — mit einem finanziellen Potenzial von ueber 130.000 EUR/Jahr. Aber all das funktioniert nur, wenn der Datenschutz stimmt. Und der ist in der Pflege besonders streng.
Pflegedaten gehoeren zu den sensibelsten Daten ueberhaupt: Diagnosen, Medikamente, Wundbilder, psychische Zutaende, Sterbeprozesse. Wenn diese Daten in die falschen Haende geraten, ist der Schaden irreparabel. Deshalb gelten fuer KI in der Pflege besonders strenge Regeln.
Gesundheitsdaten: Hoechstes Schutzniveau
| DSGVO-Artikel | Was geregelt ist | Bedeutung fuer die Pflege |
|---|---|---|
| Art. 9 | Besondere Datenkategorien | Gesundheitsdaten = hoechstes Schutzniveau |
| Art. 25 | Privacy by Design | KI-Tools muessen Datenschutz eingebaut haben |
| Art. 28 | Auftragsverarbeitung | AVV mit jedem KI-Anbieter Pflicht |
| Art. 35 | Datenschutz-Folgenabschaetzung | DSFA bei neuen KI-Tools Pflicht |
| Art. 15-20 | Betroffenenrechte | Bewohner haben Auskunfts- und Loeschrecht |
Was erlaubt ist — und was nicht
| Erlaubt | Nicht erlaubt |
|---|---|
| KI-Textgenerierung mit anonymisierten Stichpunkten | Bewohnerdaten an externe KI ohne AVV senden |
| Lokale KI-Loesung auf Einrichtungsserver | Cloud-KI ohne EU-Server nutzen |
| KI-gestuetzte Wunddokumentation (intern) | Wundfotos in oeffentliche KI-Dienste hochladen |
| Sprachnotizen lokal in Text umwandeln | Sprachnotizen extern speichern |
| KI-Analyse anonymisierter Qualitaetsdaten | Bewohner-Klarnamen an KI-Anbieter uebermitteln |
| KI-Vorschlaege fuer Pflegeplanung | KI allein entscheidet ueber Pflegemassnahmen |
Die 3 Pflichtschritte vor KI-Einfuehrung
1. Datenschutz-Folgenabschaetzung (DSFA)
| DSFA-Element | Inhalt |
|---|---|
| Zweck | Warum wird KI eingesetzt? (z.B. Dokumentationseffizienz) |
| Datenarten | Welche Daten verarbeitet die KI? (z.B. Pflegeberichte, Vitalwerte) |
| Risiken | Was kann schiefgehen? (z.B. Datenleck, falsche KI-Empfehlung) |
| Schutzmassnahmen | Wie werden Risiken minimiert? (z.B. Verschluesselung, Zugriffskontrolle) |
| Restrisiko | Welches Risiko bleibt? Ist es akzeptabel? |
2. Auftragsverarbeitungsvertrag (AVV)
| AVV-Inhalt | Worauf achten |
|---|---|
| Verarbeitungszweck | Nur Pflegedokumentation, nicht Marketing |
| Serverstandort | EU-Server (besser: Deutschland) |
| Loeschfristen | Daten nach Verarbeitung loeschen |
| Unterauftragnehmer | Wer hat noch Zugriff? |
| Sicherheitsmassnahmen | Verschluesselung, Zugriffskontrolle |
| Weisungsrecht | Einrichtung bestimmt, was mit Daten passiert |
3. Einwilligung der Bewohner
| Situation | Einwilligung durch |
|---|---|
| Geschaeftsfaehiger Bewohner | Bewohner selbst |
| Gesetzlicher Betreuer | Betreuer (mit Betreuungsurkunde) |
| Bevollmaechtigter | Bevollmaechtigter (mit Vorsorgevollmacht) |
Die Einwilligung muss informiert sein: Bewohner oder Betreuer muessen verstehen, was KI mit den Pflegedaten macht — in einfacher Sprache, nicht in Juristendeutsch.
✅ Quick Check: Warum reicht es nicht, nur den AVV abzuschliessen? (Tipp: Der AVV regelt das Verhaeltnis zum KI-Anbieter. Aber die DSFA dokumentiert die Risiken, und die Einwilligung stellt sicher, dass Bewohner zustimmen. Alle drei sind Pflicht.)
Technische Sicherheitsmassnahmen
| Massnahme | Zweck | Umsetzung |
|---|---|---|
| Ende-zu-Ende-Verschluesselung | Daten auf dem Transportweg schuetzen | TLS 1.3 fuer alle Verbindungen |
| Verschluesselung at rest | Daten auf dem Server schuetzen | AES-256 fuer gespeicherte Daten |
| Zugriffskontrolle | Nur Berechtigte sehen Daten | Rollenbasiert (Pflegefachkraft, PDL, Arzt) |
| Audit-Trail | Wer hat wann was gesehen/geaendert? | Automatische Protokollierung |
| Anonymisierung | Daten vor KI-Verarbeitung entpersonalisieren | Namen, Geburtsdaten, Adressen entfernen |
| Loeschkonzept | Daten nicht laenger als noetig speichern | Automatische Loeschung nach Frist |
Ethische Grundsaetze fuer KI in der Pflege
Die 5 Prinzipien
| Prinzip | Bedeutung | Praxisbeispiel |
|---|---|---|
| 1. Menschenwuerde | Bewohner sind Menschen, keine Datensaetze | KI darf Bewohner nie auf Risikoscores reduzieren |
| 2. Autonomie | Bewohner entscheiden ueber ihre Daten | Opt-out muss jederzeit moeglich sein |
| 3. Transparenz | Erklaerbar, was KI tut | „Die KI hat diesen Bericht vorgeschlagen, weil…" |
| 4. Verantwortung | Pflegefachkraft entscheidet, nicht KI | KI-Vorschlag ≠ Pflegeentscheidung |
| 5. Gerechtigkeit | Keine Benachteiligung durch KI | KI darf nicht nach Pflegeaufwand priorisieren |
Wo KI helfen darf — und wo nicht
| KI darf | KI darf nicht |
|---|---|
| Dokumentation formulieren | Pflegerische Entscheidungen treffen |
| Risiken identifizieren | Bewohner nach „Wert" sortieren |
| Muster in Daten erkennen | Menschlichen Kontakt ersetzen |
| Vorschlaege machen | Eigenstaendig handeln |
| Qualitaet ueberwachen | Pflegefachkraefte bewerten oder ueberwachen |
✅ Quick Check: Warum darf KI Pflegekraefte nicht bewerten oder ueberwachen? (Tipp: KI soll die Arbeit erleichtern, nicht kontrollieren. Wenn Pflegekraefte das Gefuehl haben, dass KI sie ueberwacht, sinkt die Akzeptanz — und damit der Nutzen.)
KI-Anbieter auswählen: Die Checkliste
| Kriterium | Muss | Soll |
|---|---|---|
| EU-Server (besser: Deutschland) | ✅ | — |
| AVV vorhanden und unterzeichnet | ✅ | — |
| Ende-zu-Ende-Verschluesselung | ✅ | — |
| Zertifizierung (ISO 27001, BSI) | — | ✅ |
| DSGVO-Konformitaet nachgewiesen | ✅ | — |
| Daten werden nicht fuer KI-Training verwendet | ✅ | — |
| Loeschkonzept dokumentiert | ✅ | — |
| Support auf Deutsch | — | ✅ |
| Integration in bestehende Pflegesoftware | — | ✅ |
| Referenzen aus der Pflege | — | ✅ |
Haeufige Bedenken und Antworten
| Bedenken | Antwort |
|---|---|
| „KI ist nicht sicher genug" | Mit den richtigen Massnahmen (EU-Server, AVV, Verschluesselung) ist KI sicherer als Papierakten |
| „Bewohner wollen keine KI" | KI verarbeitet nur Dokumentation — der Pflegealltag aendert sich fuer Bewohner nicht |
| „Das Team lehnt KI ab" | KI nimmt Arbeit ab, nicht weg. 40-60% weniger Dokumentationszeit = mehr Zeit am Bewohner |
| „Der Datenschutzbeauftragte blockiert" | DSB frueh einbinden, DSFA gemeinsam durchfuehren |
| „Was passiert bei einem Datenleck?" | Meldepflicht innerhalb von 72 Stunden, Bewohner informieren, Massnahmen ergreifen |
Key Takeaways
- Gesundheitsdaten unterliegen dem hoechsten DSGVO-Schutzniveau (Art. 9) — Verstoesse koennen Bussgelder bis zu 20 Mio. EUR nach sich ziehen
- Drei Pflichtschritte vor KI-Einfuehrung: DSFA, AVV mit KI-Anbieter, Einwilligung der Bewohner
- Nur KI-Loesungen mit EU-Servern, Verschluesselung und nachgewiesener DSGVO-Konformitaet einsetzen
- Ethische Grenze: KI analysiert und schlaegt vor, Menschen entscheiden und pflegen — die Pflegefachkraft traegt die Verantwortung
- Datenschutz ist kein Hindernis, sondern Qualitaetsmerkmal: Richtig umgesetzt schuetzt er Bewohner UND Einrichtung
Up Next
In der letzten Lektion baust du deinen persoenlichen KI-Plan fuer die Pflege — mit konkretem Fahrplan, Budget und Prioritaeten fuer deine Einrichtung.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!