Das Problem mit KI in der Klinik
Ärzte und Medizinstudenten nutzen ChatGPT und Claude täglich. Sie prüfen Dosierungen. Sie suchen nach Diagnosen. Sie werten Behandlungspläne aus. Diese Tools sind nützlich.
Das Einfügen echter Patientendaten ist jedoch ein HIPAA-Risiko. Der Text geht an die Server des KI-Anbieters. Ohne einen unterzeichneten Business Associate Agreement (BAA) für diesen Dienst verstößt das gegen HIPAA. Standard-Konten bei ChatGPT und Claude enthalten keine BAAs für den klinischen Einsatz.
Die verfügbaren Optionen sind schlecht. KI mit echten Daten nutzen und ein Risiko eingehen. Oder jede Notiz von Hand bereinigen — ein langsamer Schritt, den beschäftigte Kliniker oft überspringen. Das Überspringen verursacht genau den Verstoß, den der Prozess verhindern sollte.
Warum manuelle Prüfung versagt
HIPAA Safe Harbor verlangt das Entfernen von 18 Identifikatortypen. Ein Arzt erkennt einen Namen und ein Datum. Aber manche Identifikatoren sind leicht zu übersehen.
Geografische Teilidentifikatoren sind ein Beispiel. Alter in Kombination mit einem Aufnahmedatum ist ein weiteres — zusammen können sie ein nach HIPAA geschütztes Identifikatorpaar bilden. Diese Muster sind unter Zeitdruck nicht offensichtlich.
Forschungen von Menlo Security aus 2025 zeigen: Echtzeit-Browser-PHI-Abfangung reduziert Datenlecks um 94 %. Diese Lücke zeigt, was Kliniker übersehen, verglichen mit dem, was Tools erkennen. Cyberhaven-Daten bestätigen das Ausmaß: 77 % der Mitarbeiter teilen mindestens wöchentlich sensible Arbeitsdaten mit KI-Tools.
Wie eine Browser-Erweiterung hilft
Eine Chrome-Erweiterung prüft Text im Moment der Eingabe. Sie läuft, bevor die Eingabe die KI erreicht. Der Kliniker sieht eine kurze Vorschau. Sie zeigt, welche PHI gefunden wurden und was verdeckt wird.
Das ist keine harte Sperre. Der Arzt kann fortfahren, bearbeiten oder stoppen. Es fügt eine kurze Prüfung in eine sonst schnelle Handlung ein.
Nehmen wir eine Lehrerin in der Inneren Medizin, die Claude für fallbasiertes Lernen nutzt. Sie fügt eine Fallnotiz ein, die sie bereits geprüft hat. Die Erweiterung führt eine zweite Prüfung durch. Wenn die Notiz sauber war, erscheinen keine Warnungen und die Sitzung geht weiter. Wenn ein Detail durchgerutscht ist — ein Datumspaar oder ein kleiner Ortsname — fängt das Tool es zuerst ab.
Dieses Modell passt gut in den klinischen Alltag. Es lässt den Arzt in der Kontrolle. Es fügt ein Sicherheitsnetz für die Muster hinzu, die Menschen oft übersehen.
Siehe unseren PHI-Erkennungsgenauigkeitsvergleich für Tool-Benchmarks. Unser HIPAA-Cloud-Zero-Knowledge-Leitfaden erklärt BAA-Anforderungen. Der Browser-DLP-Leitfaden enthält Einrichtungsdetails.