DSGVO Art. 9 in der Arztpraxis: Anbietervergleich für KI-Automation ohne Haftungsblindflug

TL;DR: Gesundheitsdaten gehören zur sensibelsten Datenkategorie nach DSGVO Art. 9 – wer als Arzt KI-Automatisierung einsetzt, ohne Anbieter rechtssicher zu prüfen, riskiert Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Dieser Artikel zeigt Ihnen, worauf es beim Anbietervergleich konkret ankommt und wie Sie Ihre Praxis zukunftssicher aufstellen.

---

Was DSGVO Art. 9 für Ihre Arztpraxis wirklich bedeutet

Artikel 9 der Datenschutz-Grundverordnung ist für Arztpraxen kein theoretisches Konstrukt – er ist tägliche Realität. Gesundheitsdaten, genetische Daten und Daten zur körperlichen oder geistigen Gesundheit einer Person fallen unter die sogenannten besonderen Kategorien personenbezogener Daten und genießen den höchsten Schutzstatus der DSGVO.

Was bedeutet das praktisch? Jedes Mal, wenn Ihre Praxissoftware eine Diagnose speichert, ein KI-Tool eine Anamnese automatisiert oder ein Chatbot einen Terminwunsch mit Symptomangabe entgegennimmt, bewegen Sie sich im Anwendungsbereich von Art. 9 DSGVO. Die Verarbeitung ist grundsätzlich verboten – es sei denn, einer der engen Ausnahmetatbestände nach Art. 9 Abs. 2 DSGVO greift.

Für Arztpraxen sind insbesondere drei Ausnahmen relevant:

• Art. 9 Abs. 2 lit. a: Ausdrückliche Einwilligung der betroffenen Person
• Art. 9 Abs. 2 lit. h: Medizinische Diagnose, Gesundheitsversorgung, Behandlung – durch Fachpersonal mit Berufsgeheimnis
• Art. 9 Abs. 2 lit. i: Öffentliches Interesse im Bereich öffentliche Gesundheit

Das klingt zunächst beruhigend. Doch mit dem Einzug von KI-Tools, Automationslösungen und Cloud-Diensten in die Praxis entstehen neue Komplexitätsstufen – und damit neue Haftungsrisiken, die viele Praxen schlicht nicht auf dem Schirm haben.

---

Der KI-Boom in der Arztpraxis: Chancen und blinde Flecken

Die Zahlen sprechen für sich: Laut einer Umfrage des Digitalverbands Bitkom aus dem Jahr 2024 nutzen bereits 42 % der deutschen Arztpraxen mindestens ein KI-gestütztes Tool – sei es für Terminplanung, Abrechnungsoptimierung, Dokumentation oder Patientenkommunikation. Für 2026 prognostizieren Branchenexperten eine Verdoppelung auf über 80 %.

Die Effizienzgewinne sind real: Eine Hausarztpraxis mit 800 Fällen pro Quartal kann durch automatisierte Terminerinnerungen, KI-gestützte Vorbefundung und automatisierte Abrechnungsprüfung bis zu 12 Stunden Verwaltungsarbeit pro Woche einsparen – das entspricht bei einem durchschnittlichen MFA-Stundensatz von 18 Euro etwa 11.000 Euro jährlich.

Aber: Dieselbe Praxis, die einen ungeprüften Anbieter für KI-gestützte Patientenkommunikation einsetzt, kann innerhalb weniger Monate mit einem Bußgeldverfahren konfrontiert werden. Die Datenschutzkonferenz der Aufsichtsbehörden hat 2024 explizit darauf hingewiesen, dass KI-Anwendungen in Gesundheitsberufen verstärkt in den Fokus der Aufsicht rücken.

Praxisbeispiel: Eine Gemeinschaftspraxis in München setzte 2023 einen US-amerikanischen KI-Chatbot zur Erstanamnese ein – ohne Auftragsverarbeitungsvertrag, ohne Prüfung des Serverstandorts und ohne Kenntnis davon, dass der Anbieter Trainingsdaten aus anonymisierten Patientendaten generierte. Das Ergebnis: Ein Bußgeld von 85.000 Euro und ein erzwungener Datenmigrationsprozess über 6 Monate.

---

Die sechs kritischen Prüfkriterien beim Anbietervergleich

Wenn Sie als Arzt oder Praxismanager KI-Automationstools evaluieren, müssen Sie jeden Anbieter anhand von mindestens sechs Kernkriterien prüfen. Ein Marketingversprechen wie „DSGVO-konform" auf der Website des Anbieters ist dabei kein ausreichendes Kriterium – es ist nicht mehr als ein Selbstauskunft ohne rechtliche Bindungswirkung.

1. Serverstandort und Datenverarbeitungsort Alle personenbezogenen Gesundheitsdaten müssen innerhalb des EWR verarbeitet werden oder es muss ein adäquates Schutzniveau nach Art. 45 oder 46 DSGVO vorliegen. Fragen Sie explizit: Wo stehen die Server? Wo werden Daten für KI-Training genutzt? Gibt es Subunternehmer in Drittstaaten?

2. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Ohne einen rechtssicheren AVV dürfen Sie keinem externen Anbieter Gesundheitsdaten übergeben – Punkt. Der AVV muss die Mindestanforderungen des Art. 28 Abs. 3 DSGVO erfüllen und spezifische Regelungen für besondere Kategorien nach Art. 9 enthalten.

3. Technische und organisatorische Maßnahmen (TOMs) Verlangen Sie eine detaillierte TOM-Dokumentation. Für Gesundheitsdaten sind Mindestanforderungen wie End-to-End-Verschlüsselung (AES-256 oder höher), Zugriffsprotokollierung, Pseudonymisierung und regelmäßige Penetrationstests nicht verhandelbar.

4. Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO Bei der Verarbeitung besonderer Kategorien gemäß Art. 9 in Kombination mit neuen Technologien – also KI – ist eine DSFA in der Regel Pflicht. Fragen Sie den Anbieter, ob er Ihnen eine vorausgefüllte DSFA-Vorlage bereitstellt und ob er Sie im Prozess unterstützt.

5. Zertifizierungen und Audits ISO 27001-Zertifizierung ist ein gutes Zeichen, aber für Gesundheitsdaten empfiehlt sich zusätzlich die Prüfung nach BSI C5 (Cloud Computing Compliance Criteria Catalogue) oder vergleichbaren Standards. Ab 2026 werden im Rahmen des European Health Data Space (EHDS) neue Zertifizierungsanforderungen für Gesundheits-KI-Anbieter verbindlich.

6. Transparenz über KI-Training und Modellnutzung Ein kritischer, oft übersehener Punkt: Werden Ihre Patientendaten genutzt, um das KI-Modell zu trainieren oder zu verbessern? Dies wäre nach Art. 9 DSGVO nur mit expliziter Einwilligung jedes betroffenen Patienten zulässig. Seriöse Anbieter schließen dies vertraglich aus und dokumentieren es nachvollziehbar.

---

Anbietervergleich: Worauf kommt es 2025/2026 konkret an?

Der Markt für KI-Automationstools in der Gesundheitsversorgung ist in den letzten zwei Jahren explodiert. Allein in Deutschland sind zwischen 2023 und 2025 über 150 neue Anbieter mit Lösungen für Arztpraxen auf den Markt getreten – von Terminplanungstools über KI-gestützte Dokumentationshilfen bis hin zu vollautomatisierten Kommunikationsplattformen.

Die Komplexität für Praxisinhaber steigt damit dramatisch. Hier sind die wichtigsten Unterscheidungsmerkmale für einen strukturierten Vergleich:

Kategorie Datensouveränität: Europäische Anbieter mit ausschließlicher EU-Datenverarbeitung sind US-Anbietern vorzuziehen, da der CLOUD Act potenziell US-Behörden Zugriff auf Daten europäischer Nutzer ermöglichen kann – ein Risiko, das mit Gesundheitsdaten inakzeptabel ist.

Kategorie Integrationsfähigkeit: Kann der Anbieter sauber in Ihre bestehende Praxissoftware (z. B. Medistar, Turbomed, Dampsoft) integriert werden, ohne dass Gesundheitsdaten über unsichere Schnittstellen ausgetauscht werden?

Kategorie Support und Haftungsübernahme: Übernimmt der Anbieter vertraglich Mitverantwortung bei Datenpannen, die auf seinen Systemen entstehen? Oder versucht er, sämtliche Haftung auf die Praxis abzuwälzen? Letzteres ist ein klares Warnsignal.

Kategorie Transparenz und Erklärbarkeit: Kann das KI-System nachvollziehbare Entscheidungen dokumentieren? Dies ist nicht nur für Art. 22 DSGVO (automatisierte Einzelentscheidungen) relevant, sondern auch für Ihre eigene ärztliche Haftung.

Ein reales Vergleichsszenario aus der Praxis: Zwei Hausarztpraxen mit ähnlicher Patientenstruktur implementierten 2024 KI-gestützte Recall-Systeme für Vorsorgeuntersuchungen. Praxis A wählte einen günstigen US-Anbieter mit monatlich 49 Euro – ohne AVV, ohne DSFA, mit Serverstandort in Virginia. Praxis B investierte 180 Euro monatlich in einen deutschen Anbieter mit vollständiger Compliance-Dokumentation. Zwölf Monate später: Praxis A erhielt eine Abmahnung nach einer Patientenbeschwerde; Praxis B war im Rahmen einer Routineprüfung problemlos. Der Kostenunterschied von 1.572 Euro pro Jahr hatte eine potenziell existenzbedrohende Haftungslücke verhindert.

---

Häufige Fehler und wie Sie sie vermeiden

In der Beratungspraxis zeigen sich immer wieder dieselben Fehlerquellen, wenn Arztpraxen KI-Tools einführen:

Fehler 1: Vertrauen in "DSGVO-Badge" ohne Prüfung Nahezu jeder Anbieter wirbt mit DSGVO-Konformität. Das ist kein Gütesiegel, sondern eine Selbstauskunft. Verlangen Sie immer das originale AVV-Dokument, die TOM-Anlage und – bei KI-Systemen – eine Erklärung zur Datennutzung für Trainingszwecke.

Fehler 2: Fehlende DSFA bei hochriskanten Verarbeitungen Die Kombination aus Art. 9-Daten, KI-Technologie und automatisierten Entscheidungen löst nach Art. 35 DSGVO fast immer die Pflicht zur Datenschutz-Folgenabschätzung aus. Viele Praxen überspringen diesen Schritt – und haften dafür.

Fehler 3: Kein Verzeichnis von Verarbeitungstätigkeiten aktualisiert Jede neue KI-Anwendung muss ins Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO aufgenommen werden. Bei einer Prüfung ist dies einer der ersten Punkte, die Aufsichtsbehörden kontrollieren.

Fehler 4: Mitarbeiterschulung vergessen Selbst das beste Compliance-Konzept versagt, wenn MFAs nicht wissen, welche Daten sie in ein KI-Tool eingeben dürfen. Regelmäßige Schulungen – mindestens einmal jährlich – sind Pflicht und sollten dokumentiert werden.

Fehler 5: Keine Exit-Strategie Was passiert mit den Patientendaten, wenn Sie den Anbieter wechseln oder der Anbieter insolvent geht? Dieser Punkt wird in vielen Verträgen bewusst unklar formuliert. Bestehen Sie auf klare Löschfristen und Datenportabilität.

---

European Health Data Space: Was 2026 auf Sie zukommt

Mit der Verordnung zum European Health Data Space (EHDS), die 2025 in Kraft getreten ist und 2026/2027 schrittweise angewendet wird, kommen weitere regulatorische Anforderungen auf Arztpraxen zu. Der EHDS ergänzt die DSGVO – er ersetzt sie nicht, sondern schafft einen sektorspezifischen Rahmen für Gesundheitsdaten in Europa.

Für Praxen bedeutet das konkret:

• Patienten erhalten erweiterte Datenzugangsrechte (Art. 3 EHDS)
• Elektronische Patientenakten müssen interoperabel und portierbar sein
• Für KI-Systeme in der Primärversorgung gelten ab 2026 verschärfte Transparenzpflichten
• Drittanbieter, die Sekundärnutzung von Gesundheitsdaten anbieten, müssen bei nationalen Gesundheitsdatenzugangsstellen registriert sein

Arztpraxen, die heute bereits auf rechtssichere und transparente KI-Automation setzen, werden diesen Übergang deutlich einfacher meistern als solche, die erst bei regulatorischem Druck nachsteuern.

---

FAQ: Die häufigsten Fragen zum Thema DSGVO Art. 9 und KI in der Praxis

Frage 1: Brauche ich für jeden KI-Anbieter einen eigenen Auftragsverarbeitungsvertrag?

Ja, grundsätzlich benötigen Sie für jeden externen Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, einen AVV nach Art. 28 DSGVO. Bei Gesundheitsdaten ist dies keine Option, sondern rechtliche Pflicht. Achten Sie darauf, dass der AVV explizit die Verarbeitung besonderer Kategorien nach Art. 9 adressiert und die technischen und organisatorischen Maßnahmen als Anlage enthält.

Frage 2: Darf ein KI-Tool Diagnosedaten verarbeiten, wenn der Patient zugestimmt hat?

Die Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO muss ausdrücklich, informiert, freiwillig und widerrufbar sein. Das bedeutet: Sie müssen dem Patienten erklären, welches KI-System seine Daten verarbeitet, zu welchem Zweck, auf welcher Basis und mit welchen Konsequenzen. Eine pauschale Zustimmung in den allgemeinen Behandlungsbedingungen reicht nicht aus. Zudem gilt: Im Behandlungskontext ist Art. 9 Abs. 2 lit. h oft die solidere Rechtsgrundlage – setzen Sie das in Absprache mit Ihrem Datenschutzbeauftragten um.

Frage 3: Was passiert, wenn ein KI-Anbieter Datenpanne meldet – haftet dann die Praxis oder der Anbieter?

Beide können haften – das ist das Unangenehme an der geteilten Verantwortlichkeit nach DSGVO. Als Verantwortliche nach Art. 4 Nr. 7 DSGVO sind Sie als Praxisinhaber gegenüber den betroffenen Patienten und der Aufsichtsbehörde primär verantwortlich. Der Auftragsverarbeiter (Ihr KI-Anbieter) haftet für Verstöße gegen seine eigenen Pflichten nach Art. 28 und 82 DSGVO. Im Streitfall entscheidet, was vertraglich geregelt ist – ein weiteres Argument dafür, AVV und Haftungsklauseln sorgfältig zu prüfen, bevor Sie einen Anbieter beauftragen.

---

Fazit: Kein Haftungsblindflug mit dem richtigen Partner

DSGVO Art. 9 ist für Arztpraxen kein bürokratisches Hindernis – es ist der rechtliche Rahmen, der das Vertrauen Ihrer Patienten schützt und Ihre Praxis vor existenzbedrohenden Haftungsrisiken bewahrt. KI-Automation hat enormes Potenzial: Effizienzgewinne, bessere Patientenversorgung, entlastete Teams. Aber nur dann, wenn sie rechtssicher implementiert wird.

Der Schlüssel liegt im strukturierten Anbietervergleich: AVV prüfen, Serverstandorte verifizieren, DSFA durchführen, TOMs einfordern – und einen Partner wählen, der diese Anforderungen nicht als lästige Pflicht betrachtet, sondern als Qualitätsmerkmal.

Velo Automation hat sich genau auf diesen Punkt spezialisiert: KI-gestützte Praxisautomation, die von Anfang an DSGVO-konform konzipiert ist – mit vollständiger Compliance-Dokumentation, rechtssicheren AVVs, europäischem Datenhospitality und einem Onboarding-Prozess, der Ihre Datenschutzpflichten nach Art. 9 und Art. 35 DSGVO systematisch abdeckt.

Schluss mit dem Haftungsblindflug. Wenn Sie wissen möchten, wie Velo Automation Ihre Praxis effizient und rechtssicher in die KI-Zukunft begleitet, vereinbaren Sie jetzt ein kostenloses Anfrage per E-Mail. Ihre Patienten – und Ihre Haftungsversicherung – werden es Ihnen danken.

[Jetzt kostenloses Anfrage per E-Mail mit Velo Automation vereinbaren →]

---

Stand: 2025 | Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechts- oder Datenschutzberatung.