FMH – Berufsverband
 

Rechtliche Überlegungen

Autor - Dr. Iur. Iris Herzog-Zwitter und Dr. Iur. Bruno Baeriswyl

Datenschutzrechtliche Aspekte der Verwendung von Large Language Models

Das Datenschutzrecht ist anwendbar, sobald Personendaten bearbeitet werden. Personendaten sind dabei alle Informationen und Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Sobald Personendaten bearbeitet werden, sind die gesetzlichen Vorgaben des Datenschutzrechts1 zu beachten.

Soweit bei der Entwicklung und Weiterentwicklung sowie der Verwendung von grossen Sprachmodellen auf Personendaten verzichtet werden kann, vereinfacht dies die Anwendung in der Praxis. Ist der vollständige Verzicht auf Personendaten nicht möglich, kann mit technischen und organisatorischen Massnahmen das Risiko einer Persönlichkeitsverletzung minimiert werden, indem Personendaten anonymisiert oder soweit wie möglich gar nicht erhoben werden («Privacy by design»).

Aus datenschutzrechtlicher Sicht sind drei spezifische Situationen zu unterscheiden:

  • die Entwicklung des grossen Sprachmodells,
  • die Nutzung des grossen Sprachmodells,
  • die Weiterentwicklung des grossen Sprachmodells.

Entwicklung des grossen Sprachmodells

Die Entwicklung eines grossen Sprachmodells basiert auf der Analyse von Texten. Die Texte enthalten in vielen Fällen Personendaten. Die Verwendung dieser Personendaten hat datenschutzkonform zu erfolgen. Wenn ein Sprachmodell beschafft wird, sollte deshalb vom Anbieter versichert werden, dass dieses rechtskonform entstanden ist, insbesondere in Bezug auf das Datenschutzrecht und das Urheberrecht.

Das Sprachmodell selbst enthält aufgrund der Tokenisierung keine Personendaten mehr. Allerdings gibt es spezifische Sprachmodelle, die auf eine Personifizierung hinauslaufen und deshalb nicht als anonym gelten können (z. B. die Synthetisierung der Sprache einer bestimmten Person).

Nutzung des grossen Sprachmodells

Die Nutzung des Sprachmodells ist Teil eines KI-Systems und kann in mannigfacher Weise Personendaten aufweisen. Die Nutzereingaben («Prompts») können Personendaten enthalten oder es kann gezielt nach personenbezogenen Informationen gefragt werden, die das Sprachmodell u. U. liefern kann.

In einem ersten Schritt ist deshalb zu klären, wie das Sprachmodell verwendet werden soll. Schliesst man die Verwendung von Personendaten in den Prompts aus, ist zu regeln, wie mit Output umgegangen wird, der personenbezogen ist. Dessen weitere Verwendung braucht die Zustimmung der betroffenen Person. Ohne Zustimmung ist er zu anonymisieren oder zu löschen.

Sollen in der Verwendung des Sprachmodells keine Einschränkungen erfolgen und personenbezogene Daten beispielsweise aus der Krankengeschichte verwendet werden, sind die datenschutzrechtlichen Rahmenbedingungen2 zu beachten. So ist u. U. die «Einwilligungserklärung / Patientenformular» (vgl. www.fmh.ch) anzupassen.

Sofern ein Entscheid ausschliesslich von der KI gefällt wird und die Patientinnen oder der Patienten erheblich betroffen sind, sind diese aktiv zu informieren (Art. 21 DSG; «automatisierte Einzelentscheidung»). Die betroffene Person muss hierzu Stellung nehmen können oder sie kann ausdrücklich einwilligen, dass die Entscheidung automatisiert erfolgt.

Soweit sich die Outputs der KI auf eine einzelne Patientin oder einen einzelnen Patienten beziehen und relevant sind, sind sie in der Krankengeschichte zu dokumentieren. Die betroffene Person hat einen Anspruch auf Auskunft über ihre Personendaten, weshalb auch die Datenbearbeitungen transparent sein müssen (Art. 25 DSG; «Auskunftsrecht»).

Weiterentwicklung des Sprachmodells

Werden Personendaten, die in einen Prompt eingegeben werden, zur Weiterentwicklung des Sprachmodells verwendet, handelt es sich um eine Zweckänderung der ursprünglichen Datenbearbeitung, weshalb die Einwilligung der betroffenen Person hierfür notwendig ist. Sie kann auch mit einer Anpassung der «Einwilligungserklärung / Patientenformular» (vgl. www.fmh.ch) erreicht werden. 

Wird auch das Verhalten des Nutzenden (Ärztin, Arzt) ausgewertet und steht dieser in einem Anstellungsverhältnis, ist dessen Einwilligung ebenfalls erforderlich.

Zu beachten gilt auch, dass Sprachmodelle vielfach von Dritten zur Verfügung gestellt, weiterentwickelt und betrieben werden. Im Einzelfall ist zu prüfen, ob einerseits eine Datenbekanntgabe an den Dritten erfolgt, wofür es auch unter dem Aspekt des Berufsgeheimnisses die Einwilligung der betroffenen Person braucht, oder ob es sich andererseits um ein Auftragsverhältnis handelt, in welchem die Datenbearbeitungen im Einzelnen zu regeln sind3.

Es empfiehlt sich deshalb generell, bei einer intensiven Nutzung von Sprachmodellen im Behandlungskontext die Einwilligung der Patientinnen und Patienten einzuholen. Eine spezifische Regulierung von KI, die auch das Datenschutzrecht betreffen würde, ist in der Schweiz zurzeit nicht vorgesehen.

KI-Regulierung in der Schweiz

Am 12. Februar 2025 hat sich der Bundesrat in seiner Sitzung für folgenden Ansatz zur Regulierung von KI ausgesprochen: «Die Schweiz soll die Konvention des Europarats zu künstlicher Intelligenz (KI4) ratifizieren und die dafür notwendigen Anpassungen im Schweizer Recht vornehmen. Zudem sind die Aktivitäten zur Regulierung von KI in einzelnen Bereichen wie z. B. dem Gesundheitswesen oder dem Verkehr weiterzuführen.».5 Wo notwendig, erfolgen Gesetzesanpassungen künftig sektorbezogen.

Die Regulierung im Bereich der KI orientiert sich an drei Zielen: «Der Stärkung des Innovationsstandorts Schweiz, der Wahrung des Grundrechtsschutzes inklusive der Wirtschaftsfreiheit sowie der Stärkung des Vertrauens der Bevölkerung in KI». 

Auf internationaler Ebene wurde zusätzlich zur KI-Konvention des Europarates der AI Act der EU6 ausgearbeitet.  In der Schweiz gibt es aktuell keine spezifischen Gesetze, die die Haftung für künstliche Intelligenz (KI) regeln. Bestehende Rechtsnormen, insbesondere Gesetzesbestimmungen aus dem Obligationenrecht (OR), dem Strafrecht und dem Produkthaftungsrecht finden analog Anwendung, um die Verantwortlichkeiten für Schäden durch KI zu regeln. 

Ärztliche Sorgfaltspflicht
Die zivilrechtliche Haftung bei der Anwendung von KI im Rahmen einer medizinischen Behandlung wird derzeit entsprechend den Verantwortungsbereichen des behandelnden Arztes und des Herstellers bzw. der sonstigen Verantwortlichen des KI-Systems aufgeteilt. Als Verantwortliche kommen somit bei einer Verletzung der Sorgfaltspflicht je nach Fallkonstellation die die Ärzteschaft, das Pflegepersonal, das Spital (die Organisation), der Hersteller und unter Umständen die Programmier-Fachkräfte von KI Systemen in Betracht. Ebenso ist im Einzelfall die strafrechtliche Verantwortlichkeit zu prüfen, falls beim Einsatz von KI eine vorsätzliche oder fahrlässige Verletzung der Sorgfaltspflicht durch die Ärztin, den Arzt zu einer Schädigung des Patienten, der Patientin geführt hat.

Ein Arzt oder eine Ärztin ist im Rahmen der ärztlichen Sorgfaltspflicht für die Diagnosestellung verantwortlich, auch wenn eine KI-Software als Unterstützung zur Diagnosestellung eingesetzt wird. Die ärztliche Sorgfaltspflicht erfordert, dass alle medizinischen Entscheidungen geprüft werden und dem aktuellen medizinischen Wissensstand zum Zeitpunkt der Behandlung entsprechen. Ebenso könnte ein Spital im Rahmen der Geschäftsherrenhaftung ein potenzielles Haftungssubjekt für den Einsatz einer fehlerhaften KI sein.

LLM-Systeme können als sogenannte «Hilfsmittel» zum Einsatz kommen. sei es im Rahmen der Diagnosestellung oder zur Erfüllung der ärztlichen Dokumentationspflicht. Im Rahmen der ärztlichen Aufklärungspflicht ist dann die Patientin über den Einsatz einer KI aufzuklären, wenn die Diagnosestellung wesentlich durch den Einsatz der KI beeinflusst wurde. Letztendlich geht es um die Transparenz und Nachvollziehbarkeit der medizinischen Diagnosestellung durch die Patientin bzw. den Patienten. Grundsätzlich haben Patientinnen und Patienten im Rahmen ihres Selbstbestimmungsrechts und der Patientenautonomie das Recht, darüber aufgeklärt zu werden, ob KI-basierte Verfahren bei der Diagnosestellung eingesetzt wurden. Das Bundesgericht hat zur Aufklärungspflicht beim Einsatz von KI noch kein Urteil publiziert. Somit sind die allgemeinen Grundsätze zur Aufklärungspflicht im Rahmen der ärztlichen Sorgfaltspflicht analog beim Einsatz von KI auszulegen.

Die grosse Herausforderung ist somit die Abgrenzung der Verantwortungsbereiche im Einzelfall, insbesondere die Zurechnung von durch KI beeinflussten Entscheidungen7. Ärztinnen und Ärzte können für diejenigen Handlungen und Unterlassungen haftbar gemacht werden, die sie erkennen müssen, beeinflussen können und auf Grund ihrer Fachkompetenz zu verantworten haben. Dazu gehört auch der Entscheid, KI-Systeme bei der Diagnose und Behandlung einzusetzen, bzw. auf den Einsatz von KI bei einer Behandlung zu verzichten, obwohl diese zum medizinischen Standard gehört.

1

Insbesondere Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) vom 25. September 2020 (SR 235.1)

2

Siehe zu den datenschutzrechtlichen Rahmenbedingungen: https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm

3

Siehe «Vereinbarung für eine Auftragsbearbeitung»: https://www.fmh.ch/themen/ehealth/datenschutz/neues-datenschutzgesetz-dsg.cfm

7

Das Landgericht (LG) Kiel hat mit Urteil vom 15.11.2024 (Az. 6 O 151/23) eine der ersten Entscheidungen in Deutschland zur Haftung für KI-generierte Inhalte publiziert/kein Arzthaftungsurteil.

Kontakt

FMH Generalsekretariat
Elfenstrasse 18, Postfach
3000 Bern 16

Tel. 031 359 11 11
info

Kontaktformular
Lageplan

Folgen Sie uns auf Social Media

       

Social-Media-Netiquette

© 2026, FMH Swiss Medical Association