KI-Nutzung mit anymize – Einordnung für den Datenschutzbeauftragten

• anymize anonymisiert personenbezogene Daten, BEVOR sie ein KI-Modell erreichen. Verarbeitung und Hosting erfolgen in Deutschland.
• Auf vollständig anonymisierte Daten ist die DSGVO nicht anwendbar (Erwägungsgrund 26 DSGVO).
• Es findet kein Drittlandtransfer personenbezogener Daten statt (kein US-CLOUD-Act-Zugriff, kein Schrems-II-Risiko).
• Im optionalen Klartext-Betrieb (ohne Anonymisierung) greifen AVV (Art. 28) und die TOMs (Art. 32); die Datenhaltung bleibt in Deutschland.

• § 203 Abs. 1 Nr. 1 StGB — Strafbare Verletzung der ärztlichen Schweigepflicht.
• § 203 Abs. 4 StGB — Mitwirkende Personen (z. B. IT-/KI-Dienstleister) sind zu verpflichten – sonst Strafbarkeit auch des Behandlers.
• Art. 9 DSGVO — Gesundheitsdaten sind besondere Kategorien; Verarbeitung nur über Art. 9 Abs. 2 (lit. h Behandlung / lit. a Einwilligung).
• § 9 MBO-Ä · § 22 BDSG — Berufsrechtliche Schweigepflicht und nationale Schutzmaßnahmen für Art.-9-Daten.

Ohne Anonymisierung würden Patientengeheimnisse offenbart. KI-Dienste mit US-Cloud sind für Gesundheitsdaten ohne zusätzliche Garantien regelmäßig problematisch – § 203 StGB und Art. 9 DSGVO setzen hier sehr enge Grenzen.

Namen, Diagnosen und Befunde werden anonymisiert, bevor sie eine KI erreichen – Hosting in Deutschland. Es wird kein Geheimnis offenbart (§ 203 entschärft), und die DSGVO greift mangels Personenbezug nicht (ErwG 26).

• ☐AVV nach Art. 28 DSGVO liegt vor (Muster wird bereitgestellt).
• ☐Eintrag im Verzeichnis von Verarbeitungstätigkeiten ergänzt (Art. 30).
• ☐DSFA-Schwelle geprüft und dokumentiert (Art. 35).
• ☐TOMs gemäß Art. 32 inkl. Anonymisierung umgesetzt.
• ☐KI-Kompetenz der Mitarbeitenden sichergestellt (Art. 4 EU AI Act, seit 02.02.2025).

Manuel Langeheinecke
digitalNORD GmbH, Kiel, Schleswig-Holstein
Kontakt: datenschutz@anymize.ai