KI-Nutzung mit anymize – Einordnung für den Datenschutzbeauftragten

• anymize anonymisiert personenbezogene Daten, BEVOR sie ein KI-Modell erreichen. Verarbeitung und Hosting erfolgen in Deutschland.
• Auf vollständig anonymisierte Daten ist die DSGVO nicht anwendbar (Erwägungsgrund 26 DSGVO).
• Es findet kein Drittlandtransfer personenbezogener Daten statt (kein US-CLOUD-Act-Zugriff, kein Schrems-II-Risiko).
• Im optionalen Klartext-Betrieb (ohne Anonymisierung) greifen AVV (Art. 28) und die TOMs (Art. 32); die Datenhaltung bleibt in Deutschland.

• VO (EU) 536/2014 (CTR) — Klinische Prüfungen über CTIS; u. a. 25-jährige Aufbewahrung des Master Files.
• § 40b AMG — Zwingende schriftliche/elektronische Einwilligung der Probanden; Pseudonymisierung Pflicht.
• Art. 9 · Art. 89 DSGVO — Gesundheits-/genetische Daten als besondere Kategorien; Forschungsprivileg.
• GCP / GxP — Datenintegrität und -qualität in klinischen Prüfungen.

Ohne Anonymisierung verarbeitet die KI Probanden- und Gesundheitsdaten im Klartext. US-Cloud-Dienste kollidieren mit Art. 9 DSGVO, dem Studienrecht und der EU-Datensouveränität.

Für KI-gestützte Auswertung werden direkte Identifikatoren anonymisiert, bevor sie ein Modell erreichen – kein Personenbezug, kein US-Transfer, EU-Datensouveränität gewahrt. Ergänzt das pflichtige Pseudonymisierungs-Setup.

• ☐AVV nach Art. 28 DSGVO liegt vor (Muster wird bereitgestellt).
• ☐Eintrag im Verzeichnis von Verarbeitungstätigkeiten ergänzt (Art. 30).
• ☐DSFA-Schwelle geprüft und dokumentiert (Art. 35).
• ☐TOMs gemäß Art. 32 inkl. Anonymisierung umgesetzt.
• ☐KI-Kompetenz der Mitarbeitenden sichergestellt (Art. 4 EU AI Act, seit 02.02.2025).

Manuel Langeheinecke
digitalNORD GmbH, Kiel, Schleswig-Holstein
Kontakt: datenschutz@anymize.ai