Warum Datenschutz kein Hindernis, sondern der Kern unseres Erfolgs ist | Eine Gründergeschichte

Verfasst von Joshua Quattek

Datenschutz & KI: Herausforderungen meistern und DSGVO-konform skalieren

Künstliche Intelligenz (KI) benötigt Daten, doch Datenschutzrichtlinien wie die DSGVO und §630f BGB stellen hohe Anforderungen an deren Speicherung und Verarbeitung. In diesem Beitrag zeigen wir, wie Unternehmen KI-Modelle DSGVO-konform implementieren und gleichzeitig global skalieren können.


Datenschutz und KI – ein Widerspruch?

Datenhoheit vs. globale Skalierbarkeit

Problem: KI-Systeme benötigen große Datenmengen, aber die DSGVO verbietet die Speicherung personenbezogener Daten außerhalb der EU.

Lösung:

  • Patientendaten werden in EU-Rechenzentren (z. B. AWS Frankfurt) gespeichert.

  • KI-Modelle laufen in US-Regionen (HIPAA-konform) ohne personenbezogene Daten.

  • Technischer Clou: Anonymisierte Metadaten fließen via AWS Comprehend Medical in NLP-Pipelines – ohne Rückverfolgbarkeit und damit DSGVO-konform.

Pseudonymisierung vs. KI-Performance

Problem: Vollständige Anonymisierung macht KI unbrauchbar, Pseudonymisierung reicht für die DSGVO nicht aus.

Unsere Strategie:

  • Dreistufiges Datenmodell:

    • Vollidentifizierte Daten: Nur lokal auf Endgeräten der Therapeut:innen (Zero-Knowledge-Prinzip).

    • Pseudonymisierte Daten: In der Datenbank (getrennte Speicherung von ID-Mapping).

    • Anonymisierte Daten: Für das KI-Training (SHA-3-Hashing + synthetische Datenanreicherung).

  • Tool-Tipp: PostgreSQL mit pg_crypto zur Feldverschlüsselung.

"Recht auf Vergessenwerden" vs. KI-Stabilität

Problem: Patient:innen dürfen ihre Daten löschen, aber die KI darf nicht "vergessen", wie Krankheiten therapiert werden.

Lösung: Modulare KI-Architektur mit LoRA-Adapter-Technik:

  • Basis-Modell lernt allgemeine therapeutische Interaktionen ohne Patientendaten.

  • Feintuning via LoRA-Adapter pro Störungsbild – bei Datenlöschung wird nur der betroffene Adapter entfernt.

Effekt: Selbst wenn alle Traumadaten gelöscht werden, bleibt das Depressionsmodell intakt.

Unsere Sicherheitsstrategie – 3 entscheidende Säulen

1. Security-by-Design

  • Ende-zu-Ende-Verschlüsselung (E2EE): Selbst KI-Prompts werden lokal verschlüsselt.

  • Zero-Trust-Modell: API-Anfragen prüfen OAuth2-Token + Geolocation.

2. Nachhaltigkeit durch effiziente KI

  • LoRA-Adapter sparen 80 % Rechenleistung → geringerer CO₂-Fußabdruck.

  • Cloud-Optimierung: Spot-Instances sparen Energie und Kosten.

3. Interoperabilität für die Praxis

  • HL7/FHIR-Schnittstellen verbinden Kliniksysteme mit unserer Plattform.

  • PDF/XML-Export mit digitaler Signatur gemäß §630f BGB.


KI & der EU AI Act – Was müssen Unternehmen beachten?

1. Risikomanagement

  • Hochrisiko-KI erfordert ein Risikomanagementsystem.

  • Dokumentierte Qualitätssicherung ist Pflicht.

  • Technische Dokumentation sollte auch für Externe verständlich sein.

2. Transparenzanforderungen

  • Modellkarten erklären Datenquellen, Trainingsmethoden und Leistungsmessungen.

  • KI-Erklärbarkeit für Therapeut:innen.

3. Menschliche Kontrolle & Compliance

  • Therapeutenkontrolle: Jede Empfehlung muss überprüfbar sein.

  • Override-Mechanismus: Ermöglicht manuelles Überschreiben.

  • Feedback-Systeme verbessern das Modell durch Praxisdaten.


Best Practices & Learnings – Fehler vermeiden

Drei Fehler, die ihr vermeiden solltet:

❌ DSGVO erst "später" umsetzen – Compliance muss ab Tag 1 im Code stehen.

❌ Cloud-Provider blind vertrauen – eigenes Key-Management ist Pflicht.

Was wir heute anders machen würden:

✅ Mehr On-Premise-Optionen: Viele Kliniken lehnen reine Cloud-Lösungen ab.

✅ Frühzeitig Ethik-Experten einbinden: Psychotherapeut:innen sollten in der KI-Entwicklung mitwirken.

Fazit: So bleibt eure Medizintechnik sicher & skalierbar

Unser größter Hebel? Transparenz. Wenn Therapeut:innen live sehen, welche Daten verarbeitet werden, schafft das Vertrauen.

Drei abschließende Security-Tipps:

  • Blockchain für Audit-Logs: Für unveränderbare Zugriffshistorien.

  • Quantum-Safe-Kryptografie: Schon heute mit Post-Quantum-Algorithmen experimentieren.

  • Dezentrale Identitäten (SSI): Patienten kontrollieren ihre eigenen Zugriffsrechte.


Gemeinsam die Zukunft gestalten

Die Digitalisierung der Medizin braucht innovative Ideen – aber mit Sicherheit und Nachhaltigkeit im Kern.

Lasst uns austauschen: [Kontakt-E-Mail] oder kommentiert unten!

🔒 duktus.ai – Weil Vertrauen der beste Algorithmus ist.

Key Takeaways für Eilige:

✅ DSGVO macht KI nicht unmöglich – sie verbessert Architektur und Effizienz.

✅ Modulare Systeme schützen vor Datenverlust und skalieren besser.

✅ Transparenz schafft Vertrauen – dokumentiert jede Zeile Code, die Patientendaten berührt.

Hat euch dieser Einblick geholfen? Teilt den Artikel mit anderen Gründer:innen – Sicherheit geht uns alle an! 🚀

Joshua Quattek
Zurück

Datenschutz in der Psychotherapie: Die ultimative Checkliste zur DSGVO-Umsetzung
Weiter

Digitalisierung in der Psychotherapie: Tools, Trends und Praxis-Tipps