Kuenstliche Intelligenz veraendert die aerztliche Dokumentation grundlegend. Automatische Gespraechsprotokollierung, KI-gestuetzte Arztbriefe, intelligente ICD-10-Codierung: Was vor wenigen Jahren noch Zukunftsmusik war, ist heute Praxisalltag. Doch mit der neuen Technologie kommt eine berechtigte Frage, die jeder verantwortungsvolle Arzt stellen sollte: Ist das DSGVO-konform?
Diese Frage ist nicht nur berechtigt, sie ist notwendig. Patientendaten gehoeren zu den sensibelsten Informationen ueberhaupt. Wenn eine KI-Software waehrend der Sprechstunde zuhoert, muessen Sie als Arzt sicher sein, dass diese Daten geschuetzt sind. Nicht ungefaehr, nicht wahrscheinlich, sondern nachweislich.
Dieser Artikel gibt Ihnen klare Antworten. Kein Juristendeutsch, keine vagen Formulierungen. Stattdessen: konkrete Anforderungen, die richtigen Fragen an Ihren KI-Anbieter und eine Checkliste, die Sie sofort nutzen koennen.
DSGVO-Grundlagen fuer KI in der Medizin
Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Fuer aerztliche KI-Anwendungen sind drei Artikel besonders relevant.
Art. 9: Besondere Kategorien personenbezogener Daten
Gesundheitsdaten fallen unter die sogenannten besonderen Kategorien. Ihre Verarbeitung ist grundsaetzlich untersagt, es sei denn, es liegt eine ausdrueckliche Rechtsgrundlage vor. In der Arztpraxis ist das in der Regel die Einwilligung des Patienten oder die Notwendigkeit zur Gesundheitsvorsorge bzw. medizinischen Diagnostik. Entscheidend: Wenn eine KI-Software Patientendaten verarbeitet, gelten dieselben strengen Anforderungen wie fuer jede andere Datenverarbeitung in Ihrer Praxis. Es gibt keinen Sonderstatus fuer KI.
Art. 28: Auftragsverarbeitung
Sobald ein externer Dienstleister Patientendaten in Ihrem Auftrag verarbeitet, benoetigen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag). Das gilt ausdruecklich auch fuer KI-Anbieter. Dieser Vertrag regelt, was der Dienstleister mit den Daten tun darf, wie er sie schuetzt und was bei Datenpannen passiert. Ohne AV-Vertrag ist die Nutzung eines KI-Tools in der Praxis ein Verstoss gegen die DSGVO. Ohne Ausnahme.
Art. 32: Sicherheit der Verarbeitung
Der Verantwortliche muss technische und organisatorische Massnahmen treffen, die dem Risiko angemessen sind. Bei Gesundheitsdaten ist dieses Risiko hoch. Das bedeutet: Verschluesselung, Zugriffskontrollen, regelmaessige Sicherheitspruefungen und dokumentierte Prozesse. Ein KI-Anbieter, der diese Massnahmen nicht nachweisen kann, ist fuer den Einsatz in der Arztpraxis nicht geeignet.
Wichtig zu verstehen: Als Arzt sind Sie der datenschutzrechtlich Verantwortliche. Auch wenn der KI-Anbieter die Daten technisch verarbeitet, tragen Sie die Verantwortung fuer die korrekte Auswahl des Dienstleisters. Die DSGVO verlangt, dass Sie pruefen, ob Ihr Anbieter die Anforderungen erfuellt.
7 Fragen, die jeder Arzt seinem KI-Anbieter stellen sollte
Nicht jeder KI-Anbieter, der mit DSGVO-Konformitaet wirbt, haelt auch, was er verspricht. Die folgenden sieben Fragen helfen Ihnen, die Spreu vom Weizen zu trennen.
- Wo stehen die Server? Werden Patientendaten auf Servern in Deutschland verarbeitet? Oder in der EU? Oder gar in den USA? Der Standort bestimmt massgeblich, welchem Rechtsrahmen Ihre Daten unterliegen. Fragen Sie nach konkreten Rechenzentrumsstandorten, nicht nach vagen Zusicherungen.
- Wird Audio gespeichert oder nach der Verarbeitung geloescht? Wenn eine KI Sprechstunden-Gespraeche transkribiert, entsteht eine Audioaufnahme. Was passiert mit dieser Aufnahme? Wird sie dauerhaft gespeichert, temporaer zwischengespeichert oder in Echtzeit verarbeitet und sofort geloescht? Dauerhafte Audiospeicherung ist bei Patientengespraechen aeusserst kritisch.
- Werden Patientendaten fuer das Training von KI-Modellen verwendet? Manche Anbieter nutzen eingehende Daten, um ihre Modelle zu verbessern. Bei Patientendaten ist das ein klarer Verstoss gegen die Zweckbindung der DSGVO. Ihr Anbieter muss verbindlich zusichern, dass Patientendaten niemals ins Modelltraining einfliessen.
- Gibt es einen ordnungsgemaessen AV-Vertrag? Ein AV-Vertrag ist keine optionale Nettikeit. Er ist gesetzliche Pflicht. Pruefen Sie, ob der Vertrag alle Anforderungen aus Art. 28 DSGVO erfuellt und ob er konkret auf die Verarbeitung von Gesundheitsdaten eingeht. Ein generischer Mustervertrag reicht nicht.
- Ist der Anbieter ISO 27001 zertifiziert? Die ISO 27001 ist der internationale Standard fuer Informationssicherheits-Managementsysteme. Die Zertifizierung belegt, dass der Anbieter systematisch und nachweisbar mit Informationssicherheit umgeht. Fuer den Umgang mit Gesundheitsdaten sollte diese Zertifizierung Standard sein.
- Wird Ende-zu-Ende-Verschluesselung eingesetzt? Daten muessen sowohl bei der Uebertragung (in transit) als auch bei der Speicherung (at rest) verschluesselt sein. Ende-zu-Ende-Verschluesselung stellt sicher, dass selbst der Anbieter keinen Zugriff auf die Inhalte hat. Das ist bei Patientendaten der einzig akzeptable Standard.
- Gibt es einen benannten Datenschutzbeauftragten? Jeder Anbieter, der Gesundheitsdaten verarbeitet, muss einen Datenschutzbeauftragten benennen. Fragen Sie nach Name und Kontaktdaten. Wenn der Anbieter keinen benennen kann, fehlt eine grundlegende Voraussetzung fuer die Zusammenarbeit.
Wenn ein Anbieter bei einer dieser Fragen ausweichend reagiert, ist das ein deutliches Warnsignal. Serioeser Datenschutz zeigt sich in klaren Antworten, nicht in Marketingfloskeln.
Warum der Serverstandort entscheidend ist
Der Standort, an dem Ihre Patientendaten verarbeitet werden, ist keine technische Nebensache. Er bestimmt, welches Recht gilt und welche Behoerden Zugriff verlangen koennen.
Das Problem mit US-Servern
Der US Cloud Act von 2018 verpflichtet amerikanische Unternehmen, Daten auf Anfrage von US-Behoerden herauszugeben. Das gilt auch dann, wenn die Server physisch in Europa stehen, solange das Unternehmen seinen Hauptsitz in den USA hat. Fuer Patientendaten ist das inakzeptabel. Deutsche Aerzte koennen nicht garantieren, dass Gesundheitsdaten ihrer Patienten nicht an US-Behoerden weitergegeben werden, wenn sie einen US-Anbieter nutzen.
EU-Server: besser, aber nicht ausreichend
Server in der EU unterliegen der DSGVO. Das ist ein deutlicher Vorteil gegenueber Drittlaendern. Allerdings gibt es Unterschiede in der Aufsichtspraxis zwischen den EU-Mitgliedstaaten. Ein Server in Irland unterliegt einer anderen Aufsichtsbehoerde als ein Server in Deutschland. Die deutschen Datenschutzbehoerden gelten als die strengsten in der EU.
Deutsche Server: der Gold-Standard fuer Gesundheitsdaten
Fuer die Verarbeitung von Gesundheitsdaten sind Server in Deutschland die beste Wahl. Sie unterliegen deutschem Datenschutzrecht, der deutschen Aufsicht und dem deutschen Strafrecht. Aerztliche Schweigepflicht und technische Infrastruktur befinden sich im selben Rechtsraum. Das eliminiert Unsicherheiten und schafft maximale Rechtsklarheit fuer Sie und Ihre Patienten.
Praxistipp: Fragen Sie nicht nur, wo die Server stehen. Fragen Sie auch, wo das Unternehmen seinen Sitz hat. Ein deutsches Rechenzentrum nuetzt wenig, wenn der Betreiber ein US-Unternehmen ist, das dem Cloud Act unterliegt.
Wie KLAR den Datenschutz umsetzt
KLAR wurde von Anfang an fuer den deutschen Praxisalltag entwickelt. Datenschutz ist kein nachtraegliches Feature, sondern die Grundlage, auf der alles aufgebaut ist.
Datenschutz bei KLAR im Ueberblick
Ausschliesslich deutsche Server. Alle Datenverarbeitung findet auf Servern in Deutschland statt. Kein US Cloud Act, keine Unsicherheiten ueber Rechtsraeume. Ihre Patientendaten verlassen Deutschland nicht.
Kein Audio wird gespeichert. KLAR verarbeitet Audio in Echtzeit. Sobald das Gespraech transkribiert und die Dokumentation erstellt ist, wird die Audioaufnahme sofort geloescht. Es existiert zu keinem Zeitpunkt ein dauerhaftes Audio-Archiv.
Kein Training mit Ihren Patientendaten. Patientendaten werden ausschliesslich fuer den von Ihnen beauftragten Zweck verarbeitet: die Erstellung der medizinischen Dokumentation. Kein Byte fliesst in das Training von KI-Modellen.
Ende-zu-Ende-Verschluesselung. Daten sind sowohl waehrend der Uebertragung als auch bei der Speicherung vollstaendig verschluesselt. Das gilt fuer Audio, Text und alle Metadaten.
ISO 27001 zertifiziert. KLARs Informationssicherheits-Managementsystem ist nach ISO 27001 zertifiziert. Das bedeutet: dokumentierte Prozesse, regelmaessige Audits und kontinuierliche Verbesserung der Sicherheitsmassnahmen.
AV-Vertrag ab Tag 1. Jeder KLAR-Nutzer erhaelt automatisch einen vollstaendigen Auftragsverarbeitungsvertrag, der alle Anforderungen der DSGVO fuer Gesundheitsdaten erfuellt. Kein Kleingedrucktes, keine Zusatzkosten.
Benannter Datenschutzbeauftragter. KLAR hat einen namentlich benannten Datenschutzbeauftragten, der fuer alle Anfragen zur Verfuegung steht. Transparenz ist keine Option, sondern Standard.
Ihre Checkliste: KI-Anbieter datenschutzkonform bewerten
Nutzen Sie diese Checkliste, um jeden KI-Anbieter fuer Ihre Praxis zu bewerten. Jeder Punkt sollte mit Ja beantwortet werden koennen.
- Serverstandort Deutschland: Datenverarbeitung und -speicherung finden ausschliesslich auf Servern in Deutschland statt.
- Audio wird nicht dauerhaft gespeichert: Audioaufnahmen werden nach der Verarbeitung sofort und unwiderruflich geloescht.
- Kein Training mit Patientendaten: Der Anbieter sichert schriftlich zu, dass keine Patientendaten fuer KI-Modelltraining verwendet werden.
- AV-Vertrag vorhanden: Ein vollstaendiger Auftragsverarbeitungsvertrag gemaess Art. 28 DSGVO ist verfuegbar und unterzeichnet.
- ISO 27001 Zertifizierung: Der Anbieter ist nach ISO 27001 zertifiziert und kann das aktuelle Zertifikat vorweisen.
- Ende-zu-Ende-Verschluesselung: Daten sind bei Uebertragung und Speicherung vollstaendig verschluesselt.
- Benannter Datenschutzbeauftragter: Der Anbieter hat einen namentlich benannten DSB mit Kontaktdaten.
- Kein US Cloud Act: Das Unternehmen hat seinen Sitz in der EU und unterliegt nicht dem US Cloud Act.
Wenn ein Anbieter nicht alle Punkte erfuellt, sollten Sie genau hinterfragen, warum. Bei Gesundheitsdaten gibt es keinen Spielraum fuer Kompromisse.