Der private Gesundheitssektor in Spanien steht 2025 vor einer beispiellosen regulatorischen Konvergenz: Auf der einen Seite die bereits bestehenden Pflichten der Verordnung (EU) 2016/679 (DSGVO) und des Organischen Gesetzes 3/2018 (LOPD-GDD, das spanische Datenschutzgesetz) zum Schutz von Gesundheitsdaten; auf der anderen Seite die neuen Pflichten der Verordnung (EU) 2024/1689 über Künstliche Intelligenz (KI-Gesetz), deren Bestimmungen schrittweise bis August 2026 in Kraft treten. Die Schnittstelle dieser beiden Regulierungsrahmen erfordert ein integriertes rechtliches Risikomanagement, das Compliance-Dienste und Datenschutzbeauftragte im Sektor koordiniert angehen müssen.
Gesundheitsdaten: Besonderer Schutz nach DSGVO und LOPD-GDD
Artikel 9 der DSGVO stuft gesundheitsbezogene Daten als besondere Kategorien personenbezogener Daten ein und untersagt deren Verarbeitung, sofern keine der in Artikel 9.2 vorgesehenen Ausnahmen greift. Im Gesundheitskontext sind die häufigsten Rechtsgrundlagen:
Ausdrückliche Einwilligung (Artikel 9.2.a DSGVO): gültig für Verarbeitungen, die nicht direkt mit der Erbringung von Versorgungsleistungen zusammenhängen, wie das Versenden kommerzieller Mitteilungen zu ergänzenden Gesundheitsleistungen, die Teilnahme an epidemiologischen Studien zu privaten Forschungszwecken oder die Verarbeitung von Daten zur Verbesserung klinischer KI-Systeme. Die Einwilligung muss spezifisch für jeden Zweck, informiert und freiwillig erteilt werden. Im Gesundheitskontext kann das Abhängigkeitsverhältnis zwischen Patient und Anbieter die Freiwilligkeit der Einwilligung beeinträchtigen, sodass die Qualitätsstandards besonders anspruchsvoll sind.
Notwendigkeit für präventivmedizinische oder Diagnosezwecke (Artikel 9.2.h DSGVO): umfasst Verarbeitungen durch Angehörige der Gesundheitsberufe oder unter deren Verantwortung für die Verwaltung von Gesundheitssystemen und -diensten. Diese Rechtsgrundlage deckt nicht die anschließende Verarbeitung der Daten für Zwecke ab, die nicht mit der direkten Patientenversorgung zusammenhängen, wie kommerzielle Analysen oder das Training von KI-Modellen Dritter.
Öffentliches Interesse im Bereich der öffentlichen Gesundheit (Artikel 9.2.i DSGVO): Vorbehalten für öffentliche Stellen oder Einrichtungen mit einem öffentlichen Serviceauftrag; deckt nicht die Verarbeitung durch private Einheiten ab, sofern diese nicht ausdrücklich im Auftrag der Gesundheitsbehörde handeln.
Das spanische LOPD-GDD präzisiert in Artikel 9, dass Gesundheitseinrichtungen die Daten ihrer Patienten zur Krankheitsvorbeugung, zur Erbringung von Gesundheitsversorgung und zur Verwaltung von Gesundheitssystemdiensten sowie zur Erfüllung von Sozialversicherungsfinanzierungspflichten verarbeiten dürfen. Die spanische Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) hat sektorspezifische Leitlinien herausgegeben — darunter ihren Leitfaden zur Datenverarbeitung im Gesundheitssektor (2021) —, der die praktische Referenz für Compliance-Entscheidungen darstellt.
Das KI-Gesetz und KI-Systeme im Gesundheitswesen
Die Verordnung (EU) 2024/1689, veröffentlicht im Amtsblatt der EU am 12. August 2024 und seit dem 1. August 2024 in Kraft, schafft einen schrittweisen Pflichtrahmen basierend auf dem Risikoniveau von KI-Systemen. Für den Gesundheitssektor sind die relevantesten Aspekte:
Verbotene KI-Systeme (anwendbar ab dem 2. Februar 2025, Artikel 5): Es gibt keine KI-Systeme, die besonders relevant für den allgemeinen Gesundheitsbereich in dieser Kategorie wären, obwohl subliminale Manipulationstechniken oder die Ausnutzung von Vulnerabilitäten in Kontexten der psychischen Gesundheit oder Sucht anwendbar sein könnten.
Hochrisiko-KI-Systeme (Anhang III, Punkt 5): Das KI-Gesetz stuft ausdrücklich als hochriskant ein: KI-Systeme, die als Medizinprodukte — die der Medizinprodukteverordnung, Verordnung (EU) 2017/745 unterliegen — oder als Ergänzung zu Medizinprodukten verwendet werden sollen. Ebenfalls eingeschlossen sind Systeme für die Triage oder Priorisierung von Notfallversorgung, die Differenzialdiagnose schwerwiegender Erkrankungen oder die Interpretation medizinischer Bilder (Radiologie, Pathologie).
Pflichten für Betreiber von Hochrisikosystemen umfassen nach den Artikeln 9 bis 15 des KI-Gesetzes: die Einrichtung eines Risikomanagementsystems, die Verwendung repräsentativer und vorurteilsfreier Trainingsdaten, die Pflege aktualisierter technischer Dokumentation, die Aufbewahrung von Aktivitätsprotokollen zur Rückverfolgbarkeit des Systembetriebs, die Sicherstellung menschlicher Aufsicht über das System und die Einholung einer Konformitätsbewertung vor der Inbetriebnahme.
DSGVO–KI-Gesetz-Interaktion: Erwägungsgrund 97 des KI-Gesetzes erkennt ausdrücklich die Beziehung zwischen KI-Gesetz und DSGVO an. Wenn ein KI-System Gesundheitsdaten verarbeitet, müssen sowohl der KI-Gesetz-Rahmen als auch die DSGVO-Pflichten gleichzeitig erfüllt werden. Die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO ist verpflichtend, wenn eine Verarbeitung in großem Umfang oder mit hohen Risiken für die Rechte von Personen durchgeführt wird. In der Praxis sollte jedes KI-System, das klinische Daten von mehr als 5.000 Patienten verarbeitet, einer DSFA unterzogen werden.
Regulatorische Durchsetzung: Präzedenzfälle aus Europa
Die AEPD sanktionierte 2022 eine Privatklinik mit €150.000 für unbefugten Zugang zu klinischen Akten durch nicht-klinisches Personal und untersuchte 2023 mehrere Telemedizin-Dienstleister wegen Mängeln bei der Identitätsprüfung und dem Einwilligungsmanagement. In Italien verhängte der Garante Bußgelder von bis zu €4,5 Millionen gegen klinische Analyselabore für die umfangreiche Verarbeitung von Gesundheitsdaten ohne angemessene Rechtsgrundlage.
Diese Durchsetzungsmaßnahmen unterstreichen, dass der Gesundheitssektor in Datenschutzfragen aktiver Regulierungsaufsicht unterliegt und dass die KI-Gesetz-Durchsetzung ab 2026 eine neue Schicht der Aufsichtsexposition hinzufügen wird.
Praktische Empfehlungen für Gesundheitsorganisationen
Einheiten im Gesundheitssektor sollten im unmittelbaren Horizont:
- Ein Inventar aller KI-Systeme im Einsatz oder in der Evaluierung erstellen und diese gegen Anhang III des KI-Gesetzes klassifizieren.
- Verträge mit KI-gestützten Diagnostiksoftware-Anbietern prüfen, um sicherzustellen, dass der Anbieter als Hersteller nach dem KI-Gesetz agiert und eine Konformitätsbewertung erhalten hat oder sich zur Einholung verpflichtet.
- Verarbeitungsverzeichnisse (Artikel 30 DSGVO) aktualisieren, um KI-Systeme als spezifische Verarbeitungstätigkeiten aufzunehmen.
- Datenschutzhinweise aktualisieren, um klare Informationen über KI-Systeme einzuschließen, die Entscheidungen mit Auswirkungen auf den Patienten treffen oder unterstützen.
- Den Datenschutzbeauftragten und das Compliance-Team vor August 2026 zu den Anforderungen des KI-Gesetzes schulen.
Bei BMC berät unser Rechtsteam Gesundheitsorganisationen zur DSGVO-Compliance, KI-Gesetz-Bereitschaft und integrierten Datenschutz-Governance. Erfahren Sie mehr über unsere Rechtsdienstleistungen.
