KI in der Arztpraxis: Zwischen Effizienz und Haftung – was Ärzte wissen müssen

Es gibt eine Frage, die in Arztpraxen gerade häufiger gestellt wird als jede andere: Darf ich das eigentlich?

Gemeint ist nicht der Einsatz von KI grundsätzlich. Gemeint ist: Darf ich als Arzt ein KI-Tool nutzen, das Patientendaten verarbeitet – ohne Einwilligung jedes einzelnen Patienten, ohne einen Datenschutzbeauftragten im Haus, ohne IT-Abteilung, die das prüft?

Die ehrliche Antwort: Es kommt darauf an. Aber auf weniger als die meisten denken.

Warum Patientendaten besonders sind

Patientendaten sind Gesundheitsdaten im Sinne von DSGVO Art. 9 – das sind besondere Kategorien personenbezogener Daten, die den höchsten Schutz der gesamten Datenschutzverordnung genießen. Gleichzeitig unterliegen Ärzte §203 StGB, der das Berufsgeheimnis schützt.

Das bedeutet doppelten Schutz – und doppelte Pflichten.

Für jede Verarbeitung von Gesundheitsdaten durch Dritte braucht es eine Rechtsgrundlage. In der Praxis: entweder explizite Einwilligung des Patienten oder ein Vertrag nach Art. 9 Abs. 2 DSGVO, der die Verarbeitung für medizinische Zwecke durch einen entsprechend qualifizierten Dienstleister erlaubt.

Hinzu kommt §203 StGB: Jeder externe Dienstleister, der mit Patientendaten in Berührung kommt – auch ein KI-System –, muss in Textform zur Verschwiegenheit verpflichtet sein. Wer das nicht hat, riskiert eine Strafanzeige – unabhängig davon ob ein Datenleck stattgefunden hat.

Was konkret verboten ist

Eindeutig nicht erlaubt für Arztpraxen:

Öffentliche ChatGPT- oder Copilot-Versionen mit Patientendaten nutzen. Diese Systeme trainieren ihre Modelle standardmäßig mit Eingaben. Selbst wenn Sie das in den Einstellungen deaktivieren – es fehlt an jedem Fall die §203-Verpflichtung.

Praxissoftware mit aktivierter Cloud-Synchronisierung zu US-Anbietern, ohne dass der Enterprise-Vertrag einen Cloud-Act-Schutz enthält. Viele Praxissoftware-Anbieter haben in den letzten 18 Monaten Cloud-Features aktiviert. Wenn Sie den Vertrag seit 2023 nicht aktualisiert haben, sollten Sie prüfen.

KI-Diktat-Tools von US-Anbietern ohne ISO-27001-Zertifizierung und §203-Verpflichtung. Die Aufnahme von Patientengesprächen ist eine der sensitivsten Datenkategorien überhaupt.

Was konkret erlaubt ist

Erlaubt – wenn die vertragliche Grundlage stimmt:

KI-Terminbuchung und Recall-Systeme über EU-Anbieter, die explizit für das Gesundheitswesen entwickelt wurden, mit AVV nach Art. 28 DSGVO und §203-Klausel. Das reduziert No-Shows messbar und verletzt bei korrekter Implementierung keine Vorschrift.

Lokale KI-Modelle, die auf dem Praxis-Server laufen und keine Daten nach außen senden. Technisch aufwändiger, aber vollständig unter ärztlicher Kontrolle.

KI-Features in DSGVO-zertifizierter Praxissoftware, wenn der Anbieter nachweisen kann, dass die Daten nicht für Training genutzt werden und die §203-Voraussetzungen erfüllt sind.

Anonymisierte oder pseudonymisierte Daten für administrative Zwecke – Terminstatistiken, Recall-Auswertungen, Auslastungsplanung – können ohne Einschränkungen KI-unterstützt ausgewertet werden, solange kein Personenbezug rekonstruierbar ist.

Das Sprachdiktat-Problem

Ein konkretes Beispiel, das viele betrifft: Sprachdiktat-Software für Arztbriefe.

Wenn Sie ein Diktat-Tool nutzen, das Sprachaufnahmen in Text umwandelt und diese Aufnahmen auf US-Servern verarbeitet: Das ist für deutsche Arztpraxen strukturell problematisch. Selbst wenn DSGVO-konformer Datentransfer per Standardvertragsklauseln geregelt ist – §203 StGB verlangt eine Verpflichtung, die über DSGVO hinausgeht.

Es gibt europäische Alternativen für medizinisches Sprachdiktat. Sie sind oft teurer, aber rechtssicher. Wenn Sie wissen möchten welche das sind: Dieser Guide gibt Ihnen den Überblick.

Der kostenlose Praxis-Guide

Wir haben die sieben häufigsten KI-Szenarien in Arztpraxen aufgeschlüsselt und für jedes eine klare Einordnung gegeben: erlaubt, bedingt erlaubt, nicht erlaubt – mit Begründung und Alternativorschlag.

Der Guide ist kostenlos und speziell für Heilberufe geschrieben – kein Juristendeutsch, keine abstrakte Theorie.