Der private Gesundheitssektor in Spanien steht 2025 vor einer beispiellosen regulatorischen Konvergenz: Auf der einen Seite die bereits bestehenden Pflichten der Verordnung (EU) 2016/679 (DSGVO) und des Organischen Gesetzes 3/2018 (LOPD-GDD, das spanische Datenschutzgesetz) zum Schutz von Gesundheitsdaten; auf der anderen Seite die neuen Pflichten der Verordnung (EU) 2024/1689 über Künstliche Intelligenz (KI-Gesetz), deren Bestimmungen schrittweise bis August 2026 in Kraft treten. Die Schnittstelle dieser beiden Regulierungsrahmen erfordert ein integriertes rechtliches Risikomanagement, das Compliance-Dienste und Datenschutzbeauftragte im Sektor koordiniert angehen müssen.
Gesundheitsdaten: Besonderer Schutz nach DSGVO und LOPD-GDD
Artikel 9 der DSGVO stuft gesundheitsbezogene Daten als besondere Kategorien personenbezogener Daten ein und untersagt deren Verarbeitung, sofern keine der in Artikel 9.2 vorgesehenen Ausnahmen greift. Im Gesundheitskontext sind die häufigsten Rechtsgrundlagen:
Ausdrückliche Einwilligung (Artikel 9.2.a DSGVO): gültig für Verarbeitungen, die nicht direkt mit der Erbringung von Versorgungsleistungen zusammenhängen, wie das Versenden kommerzieller Mitteilungen zu ergänzenden Gesundheitsleistungen, die Teilnahme an epidemiologischen Studien zu privaten Forschungszwecken oder die Verarbeitung von Daten zur Verbesserung klinischer KI-Systeme. Die Einwilligung muss spezifisch für jeden Zweck, informiert und freiwillig erteilt werden. Im Gesundheitskontext kann das Abhängigkeitsverhältnis zwischen Patient und Anbieter die Freiwilligkeit der Einwilligung beeinträchtigen, sodass die Qualitätsstandards besonders anspruchsvoll sind.
Notwendigkeit für präventivmedizinische oder Diagnosezwecke (Artikel 9.2.h DSGVO): umfasst Verarbeitungen durch Angehörige der Gesundheitsberufe oder unter deren Verantwortung für die Verwaltung von Gesundheitssystemen und -diensten. Diese Rechtsgrundlage deckt nicht die anschließende Verarbeitung der Daten für Zwecke ab, die nicht mit der direkten Patientenversorgung zusammenhängen, wie kommerzielle Analysen oder das Training von KI-Modellen Dritter.
Öffentliches Interesse im Bereich der öffentlichen Gesundheit (Artikel 9.2.i DSGVO): Vorbehalten für öffentliche Stellen oder Einrichtungen mit einem öffentlichen Serviceauftrag; deckt nicht die Verarbeitung durch private Einheiten ab, sofern diese nicht ausdrücklich im Auftrag der Gesundheitsbehörde handeln.
Das spanische LOPD-GDD präzisiert in Artikel 9, dass Gesundheitseinrichtungen die Daten ihrer Patienten zur Krankheitsvorbeugung, zur Erbringung von Gesundheitsversorgung und zur Verwaltung von Gesundheitssystemdiensten sowie zur Erfüllung von Sozialversicherungsfinanzierungspflichten verarbeiten dürfen. Die spanische Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) hat sektorspezifische Leitlinien herausgegeben — darunter ihren Leitfaden zur Datenverarbeitung im Gesundheitssektor (2021) —, der die praktische Referenz für Compliance-Entscheidungen darstellt.
Das KI-Gesetz und KI-Systeme im Gesundheitswesen
Die Verordnung (EU) 2024/1689, veröffentlicht im Amtsblatt der EU am 12. August 2024 und seit dem 1. August 2024 in Kraft, schafft einen schrittweisen Pflichtrahmen basierend auf dem Risikoniveau von KI-Systemen. Für den Gesundheitssektor sind die relevantesten Aspekte:
Verbotene KI-Systeme (anwendbar ab dem 2. Februar 2025, Artikel 5): Es gibt keine KI-Systeme, die besonders relevant für den allgemeinen Gesundheitsbereich in dieser Kategorie wären, obwohl subliminale Manipulationstechniken oder die Ausnutzung von Vulnerabilitäten in Kontexten der psychischen Gesundheit oder Sucht anwendbar sein könnten.
Hochrisiko-KI-Systeme (Anhang III, Punkt 5): Das KI-Gesetz stuft ausdrücklich als hochriskant ein: KI-Systeme, die als Medizinprodukte — die der Medizinprodukteverordnung, Verordnung (EU) 2017/745 unterliegen — oder als Ergänzung zu Medizinprodukten verwendet werden sollen. Ebenfalls eingeschlossen sind Systeme für die Triage oder Priorisierung von Notfallversorgung, die Differenzialdiagnose schwerwiegender Erkrankungen oder die Interpretation medizinischer Bilder (Radiologie, Pathologie).
Pflichten für Betreiber von Hochrisikosystemen umfassen nach den Artikeln 9 bis 15 des KI-Gesetzes: die Einrichtung eines Risikomanagementsystems, die Verwendung repräsentativer und vorurteilsfreier Trainingsdaten, die Pflege aktualisierter technischer Dokumentation, die Aufbewahrung von Aktivitätsprotokollen zur Rückverfolgbarkeit des Systembetriebs, die Sicherstellung menschlicher Aufsicht über das System und die Einholung einer Konformitätsbewertung vor der Inbetriebnahme.
DSGVO–KI-Gesetz-Interaktion: Erwägungsgrund 97 des KI-Gesetzes erkennt ausdrücklich die Beziehung zwischen KI-Gesetz und DSGVO an. Wenn ein KI-System Gesundheitsdaten verarbeitet, müssen sowohl der KI-Gesetz-Rahmen als auch die DSGVO-Pflichten gleichzeitig erfüllt werden. Die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO ist verpflichtend, wenn eine Verarbeitung in großem Umfang oder mit hohen Risiken für die Rechte von Personen durchgeführt wird. In der Praxis sollte jedes KI-System, das klinische Daten von mehr als 5.000 Patienten verarbeitet, einer DSFA unterzogen werden.
Regulatorische Durchsetzung: Präzedenzfälle aus Europa
Die AEPD sanktionierte 2022 eine Privatklinik mit €150.000 für unbefugten Zugang zu klinischen Akten durch nicht-klinisches Personal und untersuchte 2023 mehrere Telemedizin-Dienstleister wegen Mängeln bei der Identitätsprüfung und dem Einwilligungsmanagement. In Italien verhängte der Garante Bußgelder von bis zu €4,5 Millionen gegen klinische Analyselabore für die umfangreiche Verarbeitung von Gesundheitsdaten ohne angemessene Rechtsgrundlage.
Diese Durchsetzungsmaßnahmen unterstreichen, dass der Gesundheitssektor in Datenschutzfragen aktiver Regulierungsaufsicht unterliegt und dass die KI-Gesetz-Durchsetzung ab 2026 eine neue Schicht der Aufsichtsexposition hinzufügen wird.
Praktische Empfehlungen für Gesundheitsorganisationen
Einheiten im Gesundheitssektor sollten im unmittelbaren Horizont:
- Ein Inventar aller KI-Systeme im Einsatz oder in der Evaluierung erstellen und diese gegen Anhang III des KI-Gesetzes klassifizieren.
- Verträge mit KI-gestützten Diagnostiksoftware-Anbietern prüfen, um sicherzustellen, dass der Anbieter als Hersteller nach dem KI-Gesetz agiert und eine Konformitätsbewertung erhalten hat oder sich zur Einholung verpflichtet.
- Verarbeitungsverzeichnisse (Artikel 30 DSGVO) aktualisieren, um KI-Systeme als spezifische Verarbeitungstätigkeiten aufzunehmen.
- Datenschutzhinweise aktualisieren, um klare Informationen über KI-Systeme einzuschließen, die Entscheidungen mit Auswirkungen auf den Patienten treffen oder unterstützen.
- Den Datenschutzbeauftragten und das Compliance-Team vor August 2026 zu den Anforderungen des KI-Gesetzes schulen.
Bei BMC berät unser Rechtsteam Gesundheitsorganisationen zur DSGVO-Compliance, KI-Gesetz-Bereitschaft und integrierten Datenschutz-Governance. Erfahren Sie mehr über unsere Rechtsdienstleistungen.
Häufige Fehler im Gesundheitssektor bei DSGVO und KI-Gesetz-Compliance
Gesundheitsorganisationen, die KI-Systeme einsetzen oder evaluieren, begehen typische Fehler, die bei Datenschutzbehörden und — ab 2026 — auch bei KI-Aufsichtsbehörden zu Sanktionen führen können.
Fehler 1: Einwilligungsmanagement nicht an die spezifischen Anforderungen für Gesundheitsdaten anpassen. Die DSGVO klassifiziert Gesundheitsdaten als besondere Kategorie (Art. 9), die grundsätzlich nicht verarbeitet werden dürfen, es sei denn, eine der in Art. 9 Abs. 2 aufgeführten Ausnahmen greift. Die häufigste Ausnahme im klinischen Kontext ist die ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a) oder die Notwendigkeit zur medizinischen Diagnose und Behandlung (Art. 9 Abs. 2 lit. h). Der Fehler liegt darin, generische Einwilligungsformulare zu verwenden, die weder den spezifischen Verarbeitungszweck noch die KI-Systeme nennen, die diese Daten verarbeiten. Wenn das KI-System für Diagnoseunterstützung genutzt wird, muss die Einwilligung dies ausdrücklich benennen.
Fehler 2: KI-Systeme, die Diagnoseempfehlungen generieren, nicht als Hochrisikosysteme nach Anhang III des KI-Gesetzes klassifizieren. Anhang III listet den Einsatz von KI in medizinischen Geräten sowie in der Medizindiagnostik explizit als Hochrisikoanwendung auf. Dies bedeutet, dass solche Systeme vor dem Einsatz eine vollständige Konformitätsbewertung bestehen müssen, was technische Dokumentation, Registrierung in der EU-Datenbank und die Implementierung menschlicher Aufsichtsmechanismen einschließt. Viele Krankenhäuser und Kliniken, die KI-gestützte Diagnose-Software von Drittanbietern erwerben, gehen irrtümlich davon aus, dass der Softwareanbieter alle Konformitätspflichten trägt — tatsächlich teilen sie diese als Betreiber mit.
Fehler 3: Verträge mit KI-Anbietern nicht auf die neuen Anforderungen beider Rechtsakte anpassen. Verträge mit Anbietern von KI-gestützten klinischen Systemen müssen seit der DSGVO eine Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 enthalten. Mit dem KI-Gesetz kommen neue vertragliche Anforderungen hinzu: Der Vertrag muss sicherstellen, dass der Anbieter als Hersteller des KI-Systems die Konformitätsbewertung erhalten hat, technische Dokumentation und Protokolle bereithält und Störungsmeldungen nach Art. 73 KI-Gesetz ermöglicht. Bestehende Verträge sollten systematisch überprüft und angepasst werden.
Gesundheitsorganisationen befinden sich in einer besonderen Situation: Der regulatorische Druck aus DSGVO, Medizinprodukteregulierung (MDR/IVDR) und KI-Gesetz trifft gleichzeitig auf digitale Transformationsprogramme, die auf KI angewiesen sind. Die strategische Antwort ist kein regulatorischer Rückzug, sondern ein frühzeitiger Aufbau von Compliance-Kapazitäten, der die Nutzung dieser Systeme ermöglicht — mit dokumentierten Rechtsgrundlagen, validierten Konformitätsbewertungen und vertraglich abgesicherten Lieferantenverantwortlichkeiten. Organisationen, die diese Infrastruktur frühzeitig aufbauen, erlangen auch einen Wettbewerbsvorteil gegenüber solchen, die die Anpassung auf den letzten Moment verschieben. Für Gesundheitseinrichtungen, die auf öffentliche Ausschreibungen angewiesen sind, können zukünftige Vergabekriterien auch DSGVO- und KI-Gesetz-Compliance als nachzuweisende Anforderung einschließen — ein weiterer praktischer Grund, die Konformitätsarbeit jetzt zu beginnen.
