PHI aus LLM-Prompts heraushalten unter PHIPA und Bill C-27
Eine Nurse Practitioner hängt mit der Dokumentation hinterher. Sie öffnet ChatGPT und fügt eine unstrukturierte klinische Notiz ein – Patientenname, Geburtsdatum, eine vermutete Diagnose, eine Medikamentenliste – und bittet um den Entwurf eines sauberen Überweisungsschreibens. Der Brief kommt in Sekunden zurück, und er ist gut. Was sie nicht sieht: Die identifizierbaren Gesundheitsdaten, die sie gerade eingefügt hat, unterliegen nun den Nutzungsbedingungen eines Dritten – möglicherweise gespeichert, anderswo verarbeitet oder zum Training der Modelle des Anbieters genutzt. Es gibt keinen Rückgängig-Knopf. Sobald PHI an ein öffentliches KI-Tool übermittelt wurde, hat sie den Kontrollbereich der Organisation verlassen, und PHIPA erkennt "ich habe es nicht so gemeint" nicht als Verteidigung an.
Das ist die stille Realität in Healthtech und Life Sciences: Die Menschen, die den sensibelsten Daten am nächsten sind, arbeiten den ganzen Tag in browserbasierten SaaS-Anwendungen – EMRs, Studienplattformen, Terminplanungs-Tools – und das KI-Prompt-Feld ist nur einen Tab entfernt. Es ist schneller als eine Vorlage, nachsichtiger als ein Formular und für die meisten Kontrollen, die ein Datenschutzbeauftragter für vorhanden hält, völlig unsichtbar.
Warum PHI die am schwersten zu schützende Kategorie ist
Gesundheitsdaten tragen eine Kombination in sich, die fast kein anderer Datentyp aufweist: extreme Sensibilität, dichte Regulierung und rasche KI-Adoption durch genau jene Menschen, die damit umgehen. Nach Ontarios PHIPA ist ein Verwalter von Gesundheitsinformationen (health information custodian) für die Daten verantwortlich, unabhängig davon, ob eine Offenlegung autorisiert war – und Quebecs Law 25 (mit Strafen bis zu 25 Mio. C$ oder 4 % des weltweiten Umsatzes) sowie das vorgeschlagene Rahmenwerk Bill C-27 / CPPA verankern dasselbe Prinzip landesweit: Sie sind für personenbezogene Daten in dem Moment verantwortlich, in dem sie Ihren Kontrollbereich verlassen.
Die Verantwortlichkeit pausiert nicht, weil ein Mitarbeiter ein privates ChatGPT-Konto für ein dienstliches Problem genutzt hat. Und das ist der Normalfall, nicht der Ausnahmefall. Die Untersuchung von LayerX aus 2025 ergab, dass 77 % der KI-Nutzer Daten in Prompts einfügen und 82 % dieses Einfügens über nicht verwaltete private Konten geschieht. Die Daten von Cyberhaven aus 2025 zeigen, dass rund 40 % der KI-Interaktionen sensible Daten betreffen. Legt man diese Zahlen über eine Praxis oder ein Forschungsteam, lautet die Frage nicht mehr "könnte PHI in einem Prompt landen", sondern "wie viel davon ist bereits dort gelandet".
Einwilligung und Anonymisierung überstehen das Einfügen nicht
Gesundheitsorganisationen stützen sich stark auf zwei Schutzmaßnahmen: die Patienteneinwilligung für definierte Zwecke und die Anonymisierung für Sekundärnutzungen wie Forschung. Beide setzen eine kontrollierte Pipeline voraus. Ein öffentlicher KI-Prompt ist keine solche.
Eine Einwilligung zur Behandlung erstreckt sich nicht darauf, die Akte eines Patienten an einen KI-Anbieter offenzulegen, von dem der Patient nie gehört hat. Und Anonymisierung ist in Freitext fragil – eine Notiz, die den Namen entfernt, aber die seltene Diagnose, den überweisenden Arzt und das Termindatum belässt, kann oft re-identifiziert werden. Wenn eine Forscherin eine "bereinigte" Fallzusammenfassung in ein LLM einfügt, um sie umzuformulieren, führt sie möglicherweise Identifikatoren wieder ein, die sie für entfernt hielt, oder übergibt eine Kombination, die spezifisch genug ist, um auf eine einzelne Person zurückzuweisen.
Das tiefer liegende Problem ist, dass diese Schutzmaßnahmen auf der Ebene von Richtlinie und Absicht wirken, während das Leck auf der Ebene eines Tastendrucks entsteht. Ein Einwilligungsformular kann nicht in das Prompt-Feld hineinreichen. Genau das beschreibt der Netskope-Befund aus 2025 – durchschnittlich rund 223 Richtlinienverstöße bei sensiblen Daten pro Monat und Organisation, wobei regulierte Daten 54 % davon ausmachen: die Lücke zwischen dem, was die Richtlinie erlaubt, und dem, was Menschen unter Zeitdruck tun.
Verbote drängen das Problem ins Dunkle
Der Instinkt ist, die Tools zu blockieren. Das funktioniert selten. Gartners Umfrage aus 2026 ergab, dass 88 % der Mitarbeiter mit Zugang zu Unternehmens-KI auch private KI-Tools für die Arbeit nutzen und 69 % der Organisationen unerlaubte Nutzung öffentlicher GenAI vermuten oder Belege dafür haben. Sperren Sie das autorisierte Tool, und eine Klinikerin wechselt zum Smartphone. Nun verlässt die PHI weiterhin das Haus, und Sie haben zusätzlich jede Sichtbarkeit darüber verloren.
Governance funktioniert besser als Verbot, und die Zahlen belegen es: IBMs Cost of a Data Breach Report 2025 stellte fest, dass 97 % der Organisationen mit einem KI-bezogenen Vorfall keine angemessenen KI-Zugangskontrollen hatten, 63 % überhaupt keine KI-Governance-Richtlinie besaßen und nur 17 % über technische Kontrollen verfügten, um sensible Daten am Eingabepunkt zu redigieren oder zu blockieren. Das Gesundheitswesen trägt bereits die höchsten durchschnittlichen Vorfallkosten aller Branchen mit 7,42 Mio. $. Die Organisationen, die besser abschneiden, sind nicht jene mit dem strengsten Verbot – es sind jene mit einer Kontrolle, die vor der Übermittlung wirkt, denn nach der Übermittlung gibt es nichts mehr zu kontrollieren.
Vor dem Absenden handeln und im Moment schulen
Der einzige Ort, an dem sich PHI schützen lässt, ist vor dem Erreichen des KI-Tools. Eine Kontrolle, die einen Patientenidentifikator, eine Gesundheitskartennummer oder eine Diagnose in einem Prompt erkennt – und sie redigiert, bevor der Prompt gesendet wird, wobei realistische Platzhalterwerte eingesetzt werden, sodass die KI das Überweisungsschreiben trotzdem entwerfen kann – erhält die nützliche Arbeit und stoppt zugleich die Offenlegung. Die Klinikerin bekommt ihren Brief; die Akte des Patienten verlässt nie das Haus.
Ebenso wichtig ist, was im Moment des Beinahe-Vorfalls geschieht. Wird ein Prompt gestoppt, verwandelt eine Erklärung in klarer Sprache – was markiert wurde und warum – ein einzelnes riskantes Einfügen in ein kleines Stück Schulung, an das sich die Person tatsächlich erinnert – weit wirksamer als das jährliche Richtlinienmodul, das niemand liest. Mit der Zeit entsteht daraus eine Belegschaft, die messbar besser im sicheren KI-Einsatz wird, und ein Nachweis, der das belegt. Das ist das Prinzip, auf dem Sanitized AI aufgebaut ist: sensible Daten erkennen, bevor sie übermittelt werden, und jeden Stopp zum Schulen nutzen.
Stellen Sie sich in diesem Quartal eine konkrete Frage zu Ihrer eigenen Umgebung: Wenn ein Mitglied Ihres klinischen oder Forschungspersonals heute Morgen eine identifizierbare Patientenakte in ein öffentliches KI-Tool eingefügt hätte – würden Sie es wissen, und hätten Sie es stoppen können, bevor sie das Haus verließ? Lautet die ehrliche Antwort nein, dann ist das die Lücke, die zu schließen ist, bevor eine Aufsichtsbehörde Sie bittet, sie zu beschreiben. Wenn Sie sehen möchten, wie das Handeln am Prompt in der Praxis aussieht, fordern Sie eine Demo an.