Jetzt loslegen
Praxisleitfaden für Pflegeheime: rechtliche Anforderungen zur Einwilligung bei KI-gestützter Pflegedokumentation, Dokumentation, Widerruf und MDK-Prüfung.
Pflegeheime in Deutschland müssen beim Einsatz von KI-gestützten Dokumentationssystemen strenge Datenschutzvorgaben der DSGVO und die Anforderungen des SGB XI beachten. Gesundheitsdaten gelten als besonders sensibel, und ihre Verarbeitung ist nur unter bestimmten Bedingungen erlaubt. Die wichtigsten Punkte:
Pflegeheime sollten klare Prozesse für Einwilligungen schaffen, diese sicher dokumentieren und Bewohner transparent informieren, um rechtliche Risiken zu vermeiden.
Im Folgenden wird erläutert, welche Bedingungen erfüllt sein müssen, damit eine Einwilligung rechtlich gültig und DSGVO-konform ist.
Eine Einwilligung nach der DSGVO muss auf Freiwilligkeit und vollständiger Aufklärung basieren. Das bedeutet, sie darf nicht unter Druck erteilt werden und muss auf einer umfassenden Informationsbasis erfolgen [2][4]. Besonders wichtig ist, dass keine Drucksituationen entstehen, beispielsweise indem die Einwilligung an die Aufnahme oder Fortsetzung der Pflege gekoppelt wird [2].
Informiertheit bedeutet, dass die betroffene Person vor der Einwilligung in klar verständlicher Sprache über alle relevanten Aspekte aufgeklärt wird [4]. Dazu gehören Angaben wie die Identität des Verantwortlichen, die genauen Zwecke der Datenverarbeitung, die verwendeten Datenkategorien sowie das Recht auf Widerruf. Bei KI-Systemen empfiehlt sich eine detaillierte Darstellung der einzelnen Schritte – von der Datenerfassung über das Modelltraining bis hin zur Nutzung [7].
Für die Gültigkeit der Einwilligung ist es entscheidend, dass sie spezifisch und granular erfolgt. Allgemeine Formulierungen, wie sie oft in AGBs vorkommen, reichen nicht aus [2]. Jede Funktion eines KI-Systems sollte separat erklärt und die Zustimmung dafür einzeln eingeholt werden. Zudem muss die Einwilligung durch eine eindeutige bestätigende Handlung erfolgen – beispielsweise durch das aktive Ankreuzen eines Feldes oder eine Unterschrift. Vorangekreuzte Kästchen oder stillschweigendes Verhalten gelten nicht [4].
„Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen… Der Widerruf der Einwilligung muss so einfach wie die Erteilung sein." – DSGVO Artikel 7 [7]
Das Widerrufsrecht ist ein zentraler Punkt und muss klar kommuniziert werden. Der Prozess für den Widerruf darf nicht komplizierter sein als die ursprüngliche Zustimmung [4].
Ein Pflegeheim muss jederzeit in der Lage sein, eine gültige Einwilligung nachzuweisen [4]. Dabei sollte dokumentiert werden, wann die Einwilligung erteilt wurde, wie sie eingeholt wurde (z. B. schriftlich oder elektronisch) und welche Informationen der Person zu diesem Zeitpunkt vorlagen.
Elektronische Dokumentationen mit fälschungssicheren Verfahren, wie Zeitstempeln oder Versionierungen, sind besonders empfehlenswert [4].
„Der Verantwortliche muss nachweisen können, dass die betroffene Person ihre Einwilligung gegeben hat. Dies erfordert eine angemessene Dokumentation, die festhält, wann und wie die Einwilligung erteilt wurde und welche Informationen zur Verfügung gestellt wurden." – Globeria Consulting GmbH [4]
Nach der ordnungsgemäßen Dokumentation ist es ebenso wichtig, die Verarbeitung durch KI-Systeme transparent zu machen.
Transparenz bei KI-Systemen ist essenziell. Bewohner und deren Angehörige müssen nachvollziehen können, wie ihre Daten verarbeitet werden [4]. Ein mehrschichtiger Ansatz ist dabei hilfreich: Eine kurze, leicht verständliche Zusammenfassung für die Bewohner kann durch detailliertere technische Informationen für Interessierte ergänzt werden [7].
Für automatisierte Entscheidungen, die erhebliche Auswirkungen auf die Bewohner haben, schreibt Artikel 22 DSGVO vor, „aussagekräftige Informationen über die involvierte Logik" bereitzustellen [7]. Es sollte außerdem eine dokumentierte menschliche Überprüfung der Vorschläge des KI-Systems erfolgen. Konkrete Beispiele erleichtern das Verständnis erheblich. Statt abstrakter Beschreibungen wie „KI-gestützte Sprachverarbeitung zur Dokumentationsoptimierung" könnte man erklären: „Die KI wandelt Ihre gesprochenen Pflegenotizen in Text um, der in Ihrer elektronischen Akte gespeichert wird." Solche Formulierungen machen den Prozess greifbarer und verständlicher.
Ein rechtssicherer Einwilligungsprozess ist entscheidend, um die DSGVO-Vorgaben einzuhalten und das Vertrauen der Bewohner sowie ihrer Angehörigen zu stärken. Mit den folgenden drei Schritten können Pflegeheime die Anforderungen erfüllen und gleichzeitig Transparenz schaffen.
Bevor eine Einwilligung eingeholt wird, ist es wichtig, die Bewohner und ihre Angehörigen umfassend über die Funktionen und den Zweck der KI zu informieren. Dazu gehört, verständlich zu erklären, warum das KI-Tool verwendet wird – etwa zur Sprachdokumentation, als Unterstützung im Strukturmodell (SIS) oder für die Pflegeplanung.
Verwenden Sie einfache Sprache, um den Nutzen der KI klar darzulegen. Für Bewohner mit kognitiven Einschränkungen können Vorlagen in leichter Sprache hilfreich sein. Ein zentraler Punkt ist, den Mehrwert der KI zu erläutern: Sie reduziert Schreibarbeit und gibt Pflegekräften mehr Zeit für die Betreuung.
„Bevor die Einwilligung eingeholt wird, müssen die betroffenen Personen über den Zweck der Datenverarbeitung und ihre Rechte in Bezug auf ihre Daten informiert werden. Dies sollte in klarer und einfacher Sprache geschehen." – Lexdata
Darüber hinaus sollten die Bewohner genau wissen, welche Daten erfasst werden (z. B. Gesundheitszustand, Tagesabläufe, Sprachaufnahmen) und wie diese verarbeitet werden, etwa durch Pseudonymisierung. Wichtig: Die Einwilligung ist freiwillig, und eine Ablehnung hat keine Auswirkungen auf die Pflegequalität. Falls ein Bewohner aufgrund von Demenz oder anderen Einschränkungen nicht selbst einwilligen kann, müssen die gleichen Informationen an den gesetzlichen Betreuer oder bevollmächtigte Angehörige weitergegeben werden.
Nach der umfassenden Information sollte die Zustimmung schriftlich in einem klar strukturierten Formular dokumentiert werden.
Ein Einwilligungsformular muss spezifisch und modular aufgebaut sein. Jede Funktion der KI – wie die Sprach-zu-Text-Aufzeichnung oder die Integration ins SIS – sollte einzeln erklärt und mit einem separaten Ankreuzfeld versehen werden. Allgemeine Formulierungen oder vorab markierte Kästchen sind nicht zulässig.
Ein gutes Beispiel liefert die Medizininformatik-Initiative (MII), die am 15. April 2020 ein bundesweit abgestimmtes Musterformular für Patienteneinwilligungen veröffentlicht hat. Dieses bietet modulare Optionen für verschiedene Datenarten und ist in mehreren Sprachen sowie in leichter Sprache verfügbar.
Pflegeheime sollten auch Widerrufsvorlagen bereitstellen – sowohl für eine teilweise als auch für eine vollständige Rücknahme der Einwilligung. Das Formular muss klar darauf hinweisen, dass die Zustimmung jederzeit und ohne Angabe von Gründen widerrufen werden kann. Der Widerrufsprozess sollte genauso einfach gestaltet sein wie die ursprüngliche Einwilligung.
„Die Einwilligung sollte nicht an andere Bedingungen geknüpft werden, z. B. an die Nutzungsbedingungen eines Dienstes. Sie sollte separat eingeholt werden." – lexdata.de
Abschließend ist es wichtig, die erteilten Einwilligungen sicher zu archivieren.
Nach dem Wohn- und Betreuungsvertragsgesetz (WBVG) müssen Verträge und wesentliche Änderungen in Papierform mit Originalunterschriften vorliegen. Elektronische Formen wie E-Mails sind für diese Hauptverträge nicht zulässig. Pflegeheime sind verpflichtet, den Bewohnern oder ihren Vertretern eine Kopie des unterschriebenen Dokuments auszuhändigen.
Die Einwilligungsdokumente sollten zentral und sicher aufbewahrt werden – entweder physisch in einem abschließbaren, feuerfesten Schrank oder digital in einem verschlüsselten Archiv. Eine Indexierung nach Bewohnernamen erleichtert den Zugriff, beispielsweise bei MDK-Prüfungen oder Datenschutzaudits. Es ist außerdem wichtig, den Zeitpunkt und die Art der Einwilligung zu dokumentieren, etwa durch Zeitstempel oder Versionierung.
Falls Angehörige stellvertretend unterschreiben, sollte dies klar vermerkt werden, um Haftungsfragen zu klären. Darüber hinaus ist ein internes Verfahren notwendig, das sicherstellt, dass bei einem Widerruf die Datenverarbeitung durch die KI für den betreffenden Bewohner sofort gestoppt wird.
Wie KI-gestützte Dokumentationssysteme im Pflegealltag datenschutzkonform arbeiten und welche Anforderungen bei Prüfungen durch den Medizinischen Dienst (MDK) erfüllt werden müssen, erfahren Sie hier.
KI-Systeme in der Pflegedokumentation verarbeiten hochsensible Gesundheitsdaten gemäß Art. 9 DSGVO. Dabei setzen moderne Lösungen auf sogenannte Privacy‑Preserving Learning-Techniken. Ein Beispiel ist Federated Learning, bei dem Modelle lokal in den Einrichtungen trainiert werden, ohne dass Rohdaten das Pflegeheim verlassen. Zusätzlich sorgt Differential Privacy dafür, dass das Risiko einer Re‑Identifizierung von Bewohnern minimiert wird[9][1].
Die Datenschutzkonferenz (DSK) hat sieben zentrale Schutzziele definiert: Transparenz, Datenminimierung, Verfügbarkeit, Vertraulichkeit, Integrität, Intervenierbarkeit und Nicht‑Verkettbarkeit[9]. Besonders wichtig ist die Intervenierbarkeit: Pflegekräfte müssen jederzeit in der Lage sein, KI-generierte Einträge manuell zu korrigieren oder zu löschen. Sollte eine Einwilligung widerrufen werden, kommt Machine Unlearning zum Einsatz. Diese Methode ermöglicht es, spezifische Bewohnerdaten aus bereits trainierten Modellen zu entfernen, ohne das gesamte System neu trainieren zu müssen[9][1].
„Privacy-compliant AI development is not an either-or between innovation and regulation - it should represent a standard of quality that fosters long-term trust, security, and acceptance."
– Peter Lotz, Partner, MAYRFELD Rechtsanwälte[9]
Um vor gezielten Angriffen wie Membership Inference Attacks oder Model Inversion Attacks geschützt zu sein, müssen KI-Systeme strenge Sicherheitsstandards erfüllen. Anbieter sollten regelmäßige Sicherheitsaudits, kryptografische Maßnahmen und rollenbasierte Zugriffskontrollen garantieren.
Diese Maßnahmen sind nicht nur für den Datenschutz essenziell, sondern auch, um die hohen Anforderungen der MDK-Prüfungen zu erfüllen.
Bei MDK-Prüfungen steht die Nachvollziehbarkeit, Korrektheit und Vollständigkeit der Dokumentation im Fokus. KI-generierte Pflegeberichte müssen denselben Standards entsprechen wie manuell erstellte Einträge. Art. 5 Abs. 1 lit. d DSGVO schreibt vor, dass personenbezogene Daten sachlich korrekt sein müssen – fehlerhafte KI-Ausgaben könnten nicht nur Prüfungen gefährden, sondern auch medizinische Risiken mit sich bringen[6].
Klaus Meffert, Experte für IT und Datenschutz, betont die Bedeutung von Testfällen:
„Test cases are an excellent means of documenting the quality of AI systems. They can also make such systems more transparent and highlight their remaining weaknesses." [6]
Pflegeheime sollten reale Eingaben und ihre Zielausgaben dokumentieren, um die Zuverlässigkeit der Systeme gegenüber Prüfern zu belegen. Eine menschliche Aufsicht bleibt dabei unverzichtbar: Manuelle Überprüfungen und Indikatoren für Ergebnisunsicherheit sollten fest etabliert sein. Zudem müssen Modellparameter und Systemupdates lückenlos dokumentiert werden[9].
Da Pflegeheime nach dem KI-Gesetz meist als „Betreiber“ und nicht als Entwickler der Systeme gelten, tragen sie die Verantwortung für den korrekten Einsatz der KI[6].
DSGVO-konforme Einwilligung in Pflegeheimen: Häufige Fehler vs. Best Practices
Ein häufiger Stolperstein: Die Verknüpfung der Einwilligung mit dem Pflegevertrag. Einige Einrichtungen machen die Aufnahme davon abhängig, dass Bewohner der KI-gestützten Dokumentation zustimmen. Das verstößt gegen das Koppelungsverbot der DSGVO – eine Einwilligung muss immer freiwillig und ohne Nachteile widerrufbar sein[3][12].
Ein weiterer Punkt ist die ungenaue Zweckbeschreibung. Aussagen wie „Daten werden zur Verbesserung der Pflege genutzt“ sind zu allgemein. Die DSGVO verlangt eine klar definierte Zweckbindung[3]. Ebenso problematisch ist das Fehlen einer einfachen Möglichkeit, die Einwilligung zu widerrufen. Dr. Klaus Meffert bringt es auf den Punkt:
„Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein"[5].
Neben formalen Aspekten gibt es auch technische und personelle Herausforderungen beim Datenschutz in der Pflegedokumentation. Ein gravierender Fehler ist der Einsatz frei zugänglicher KI-Tools wie ChatGPT für personenbezogene Gesundheitsdaten. Dazu heißt es auf ppm-online.org:
„Nicht erlaubt ist die Verarbeitung personenbezogener Daten von Bewohnerinnen und Bewohnern in frei zugänglichen KI-Tools wie ChatGPT oder Copilot"[11].
Besonders sensibel ist die Situation bei Bewohnern mit kognitiven Einschränkungen. Hier sollte die Einwilligungsfähigkeit sorgfältig geprüft und, falls nötig, ein rechtlicher Vertreter einbezogen werden[12].
Mit getrennten, freiwilligen Einwilligungen lassen sich diese Probleme vermeiden.
Um Fehler zu vermeiden, können Sie auf erprobte Vorgehensweisen setzen:
Diese Maßnahmen ergänzen die bereits bekannten Prozesse und sorgen für eine sichere und rechtskonforme Verwaltung der Einwilligungen.
| Häufiger Fehler | Korrekte Praxis (Best Practice) |
|---|---|
| Kopplung: Einwilligung ist Pflichtbestandteil des Pflegevertrags | Trennung: Einwilligung ist optional und vom Hauptvertrag getrennt[3] |
| Vager Zweck: „Daten werden zur Verbesserung der Pflege via KI genutzt" | Spezifischer Zweck: „Sprachdaten werden verarbeitet, um strukturierte Pflegeberichte in der EPA zu erstellen"[3][10] |
| Datenleck: Namen/Diagnosen werden in öffentliche KI-Bots eingegeben | Anonymisierung: Neutrale Beschreibungen oder spezialisierte, sichere medizinische KI-Schnittstellen[11] |
| Statische Einwilligung: Einwilligung wird einmalig bei Einzug eingeholt und nie aktualisiert | Dynamisches Management: Regelmäßige Überprüfungen und Updates bei Änderungen der KI-Funktionen[3] |
| Widerruf ignoriert: Kein klarer Weg für Bewohner, später zu widersprechen | Einfacher Widerruf: Klare Anleitung, wie die Einwilligung ohne negative Folgen widerrufen werden kann[3] |
Die Nutzung von KI in Pflegeheimen setzt einen klaren und transparenten Einwilligungsprozess voraus. Nur wenn Bewohner und ihre Angehörigen genau wissen, wie ihre Daten verarbeitet werden, entsteht die notwendige Vertrauensbasis für eine langfristige Zusammenarbeit. Wie die Medizininformatik-Initiative hervorhebt:
„The German federal and state data protection conference has approved a standardised template document for patient consent... a milestone for Germany as a centre of science and research“[8].
Dabei ist Freiwilligkeit entscheidend. Die Einwilligung muss vom Pflegevertrag getrennt sein, damit Bewohner sie ohne Nachteile ablehnen können. Dieser Grundsatz ist zentral für den respektvollen Umgang mit sensiblen Gesundheitsdaten.
Mit klaren und standardisierten Formularen sowie einer lückenlosen Dokumentation schaffen Sie nicht nur eine rechtlich sichere Grundlage für die KI-Integration, sondern stärken auch das Vertrauen in Ihre Einrichtung. Nutzen Sie einfache, verständliche Sprache und ergänzen Sie schriftliche Dokumente durch Videos oder Materialien in Leichter Sprache. Das hilft besonders Bewohnern mit kognitiven Einschränkungen, eine informierte Entscheidung zu treffen. Zusätzlich sollte das Widerrufsrecht jederzeit klar kommuniziert werden, und der Widerruf sollte genauso unkompliziert möglich sein wie die ursprüngliche Zustimmung.
Ein rechtssicheres Einwilligungsmanagement schützt nicht nur vor Verstößen gegen die DSGVO und möglichen Bußgeldern, sondern sichert auch den Ruf Ihrer Einrichtung. Eine hohe Dokumentationsqualität durch KI ist hierbei ein entscheidender Faktor. Vertrauen ist in der Pflege unverzichtbar – und eine transparente, rechtssichere Einwilligung ist der Schlüssel dazu.
Die Verarbeitung personenbezogener Daten erfordert eine Einwilligung, insbesondere wenn es sich um sensible Daten handelt oder keine gesetzliche Grundlage besteht. Dies stellt sicher, dass die Datenschutzvorgaben der DSGVO eingehalten werden.
Wenn ein Bewohner nicht in der Lage ist, eine Einwilligung zu geben, kann eine bevollmächtigte Person die Unterschrift übernehmen. Dazu gehören gesetzliche Vertreter oder Vorsorgebevollmächtigte, die über eine passende Vollmacht verfügen. Es ist wichtig, sicherzustellen, dass die Bevollmächtigung rechtlich wirksam ist.
Widerruft ein Bewohner seine Einwilligung, bleibt die Verarbeitung der bis zu diesem Zeitpunkt erhobenen Daten weiterhin rechtmäßig. Es müssen jedoch sofort technische und organisatorische Maßnahmen ergriffen werden, um die Datenverarbeitung umgehend zu stoppen. Dabei ist sicherzustellen, dass der Datenschutz vollständig gewahrt bleibt.
