Medizinische KI-Systeme bergen erhebliche Datenschutzrisiken, die in einer kürzlich in Nature veröffentlichten Studie aufgedeckt wurden. Forschende weltweit führen den ersten patientenebenen Privacy-Audit durch, um die Anfälligkeit individueller Krankendaten für sogenannte Membership Inference Attacks (MIAs) zu untersuchen. Während KI-Modelle in der Diagnostik, etwa bei der Auswertung von Röntgenbildern oder Hautläsionen, zunehmend an Bedeutung gewinnen, offenbaren die Ergebnisse, dass aktuelle Privatsphärenmaße gravierende Ungleichgewichte verdecken. Die Untersuchung basierte auf sieben großen, realen klinischen Datensätzen, die bildgebende Verfahren, EKGs, MRT-Scans und elektronische Krankenakten umfassten. Anstelle einzelner Modelle trainierten die Wissenschaftlerinnen und Wissenschaftler 200 separate Versionen, die jeweils unterschiedliche Patientengruppen verarbeiteten. Durch den Abgleich der Modellausgaben ließen sich für jede einzelne Person die Datenschutzrisiken präzise quantifizieren. Die Methodik zeigt, dass selbst bei reinen Nutzerinteraktionen mit dem KI-System, ohne Zugang zum Quellcode, Angreifer durch die Analyse von Vorhersagesicherheiten feststellen können, ob spezifische Patientendaten zum Training verwendet wurden. Die Ergebnisse offenbaren eine deutliche Diskrepanz im Schutzniveau. Während aggregierte Durchschnittswerte einen scheinbar soliden Datenschutz suggerieren, sind individuelle Risikoscores für vulnerable Gruppen extrem hoch. Ethnische Minderheiten, Medicaid-Versicherte und Patientinnen und Patienten mit seltenen Erkrankungen werden von Angriffen nahezu lückenlos identifiziert. Zudem wurde ein fundamentaler Zielkonflikt zwischen Leistungsfähigkeit und Sicherheit aufgedeckt: Je präziser ein KI-Modell bei der Krankheitserkennung wird, desto stärker steigt die Angriffsfläche für Datenschutzverletzungen. Herkömmliche Anonymisierungsverfahren wie das Entfernen von Namen oder die Pseudonymisierung bieten angesichts moderner KI-Angriffe keinen ausreichenden Schutz. Die Implikationen für die digitale Gesundheitsversorgung sind erheblich. Wenn schutzbedürftige Gruppen das Vertrauen in die Datensicherheit verlieren, wird die freiwillige Datenbereitstellung zurückgehen. Dies würde langfristig zu verzerrten Modellen führen, die besonders diese Bevölkerungsgruppen schlechter diagnostizieren könnten. Als Gegenmaßnahme empfehlen die Autorinnen und Autoren die konsequente Einführung von differenzieller Privatsphäre auf Patientenebene. Durch das gezielte Hinzufügen mathematisch abgesicherter Rauschsignale zu den Daten oder Modellausgaben lässt sich die Identität jeder einzelnen Person schützen, ohne die diagnostische Qualität der KI nennenswert zu beeinträchtigen. Die Studie unterstreicht die dringende Notwendigkeit regulativer Standards, die den Datenschutz nicht auf statistische Mittelwerte, sondern auf den individuellen Schutz jedes Menschen ausrichten.