12/2025 – Fachartikel Swiss Infosec AG
Einsatz von LLMs
Künstliche Intelligenz (KI) wird im Berufsalltag immer mehr eingesetzt. Dazu gehört auch der Einsatz von Textgenerierungs-KI (Large Language Models, LLMs), die in der Lage sind, komplexe Inhalte aufzubereiten und sprachlich zu verfeinern. Dieser Beitrag richtet sein Augenmerk auf den datenschutzkonformen Einsatz von LLMs bei der Bearbeitung von besonders schützenswerten Daten im HR und im Gesundheitswesen am Beispiel der Gesundheitsdaten.
Im HR-Bereich verspricht der Einsatz von LLMs erhebliche Effizienzgewinne: Texte für internes Absenzenmanagement, Wiedereingliederungsmassnahmen oder Schreiben an Versicherungen lassen sich mit LLMs wesentlich schneller erstellen. Im Gesundheitswesen werden LLMs zunehmend etwa bei der Erstellung medizinischer Berichte, der sprachlichen Bearbeitung von Anamnesen oder bei Anträgen für Kostengutsprachen eingesetzt.
Gesundheitsdaten als besonders schützenswerte Daten
Solche Datenbearbeitungen enthalten Gesundheitsangaben über Mitarbeitende oder Patientinnen und Patienten. Dies stellt die betroffene Organisation vor erhebliche datenschutzrechtliche Herausforderungen: Gesundheitsdaten gehören zu den besonders schützenswerten Personendaten nach Art. 5 lit. c DSG sowie auch nach den jeweils einschlägigen kantonalen Datenschutzgesetzen. Diese Daten weisen einen besonders hohen Schutzbedarf auf, insbesondere in Bezug auf die Weitergabe an Dritte und den Einsatz adäquater Auftragsbearbeiter.
Risiken beim Einsatz von LLMs und Lösungsansätze
Gerade beim Einsatz externer KI-Anbieter besteht das Risiko, dass die eingegebenen Daten vom LLM zu eigenen Trainingszwecken verwendet werden. Dies kann zu schwerwiegenden Konflikten mit dem Berufs- oder Amtsgeheimnis sowie mit kantonalen Gesundheitsgesetzen führen: Eine Übermittlung an Drittanbieter kann eine unzulässige Geheimnisentbindung darstellen. Auch Gesundheitsdaten ohne Patientenbezug, wie etwa im HR, dürfen nicht ohne hinreichende Rechtsgrundlage oder Einwilligung der Betroffenen an Dritte übermittelt werden.
Infolgedessen ist die Nutzung von LLMs durch externe Anbieter regelmässig als Auftragsbearbeitung auszugestalten: In einer Auftragsbearbeitungskonstellation liegt nämlich keine Weitergabe an Dritte vor; ein Auftragsbearbeiter bearbeitet Personendaten ausschliesslich im Auftrag und im Interesse des Verantwortlichen und ist rechtlich an dessen Weisungen gebunden. Dafür bedarf es eines rechtskonformen Auftragsbearbeitungsvertrags, was allerdings von kostenfreien KI-Diensten in der Regel nicht angeboten wird, sondern oft Bezahlversionen vorbehalten ist.
Gleichwohl genügt ein Abschluss eines Auftragsbearbeitungsvertrages alleine noch nicht. Entscheidend bleibt die tatsächliche Ausgestaltung der Datenbearbeitung. Bei besonders schützenswerten Daten gelten zudem erhöhte Sicherheitsanforderungen mit klar geregelten Speicherorten, technischen und organisatorischen Massnahmen und Ausschluss der Verwendung der Daten für eigene (Trainings-)Zwecke. Unter Umständen kann auch eine Datenschutz-Folgenabschätzung erforderlich sein, insbesondere, wenn die Organisation dem kantonalen Datenschutzrecht untersteht.
Gegenüber den Mitarbeitenden sind zudem klare Vorgaben zu machen. Bei der Verwendung von LLMs besteht oft die Versuchung – wenn auch unbewusst –, zu viele Informationen preiszugeben, indem vertrauliche Angaben ungefiltert in das KI-Tool kopiert werden. Organisationen sollten deshalb interne Weisungen aufstellen, welche KI-Tools für welche Situationen mit Eingabe welcher Datenarten erlaubt sind. Ebenso zentral ist eine kontinuierliche Sensibilisierung der Mitarbeitenden, damit sie die Risiken kennen und die internen Vorgaben zuverlässig anwenden.
Die Spezialisten von der Swiss Infosec AG helfen Ihnen gerne weiter beim korrekten Einsatz von KI in Ihrer Organisation. In Bezug auf den Umgang mit Gesundheitsdaten finden Sie zudem in unserer Health & Privacy-Reihe weitere Informationen und Weiterbildungsmöglichkeiten.
Swiss Infosec AG; 3.12.2025
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch