Ein Leitfaden für Ärzte und Zahnärzte nach neuer Rechtslage 2026
Künstliche Intelligenz (KI) ist aus dem Praxisalltag nicht mehr wegzudenken. Von digitalen Assistenzen über automatisierte Patientenverwaltung bis hin zur Textgenerierung: KI-Tools werden vielfältig genutzt und bieten viele Chancen. Doch der Umgang mit sensiblen (Gesundheits-)Daten wirft rechtliche Fragen auf. Denn Datenschutz, Schweigepflicht und ethische Anforderungen gelten auch im digitalen Zeitalter uneingeschränkt. Seit 2025 bringen die EU-KI-Verordnung (AI Act) und verschärfte Aufsicht durch Datenschutzbehörden weitere Pflichten für Praxen. Zeit also, das Thema wieder einmal aufzugreifen.
Strenge Maßstäbe: Datenschutz und Schweigepflicht im Umgang mit KI
Gesundheitsdaten zählen zu den sensibelsten personenbezogenen Informationen – ihre Verarbeitung ist nach der DSGVO nur unter engen Voraussetzungen gestattet. Ärztinnen und Ärzte als Verantwortliche tragen die volle rechtliche Verantwortung dafür, dass entsprechende Daten sicher, zweckgebunden und datensparsam behandelt werden. Übermittlungen in Drittländer – etwa bei Nutzung cloudbasierter KI-Angebote mit Serverstandorten außerhalb der EU – sind nur im Ausnahmefall zulässig, sofern ein angemessenes Datenschutzniveau garantiert werden kann. Fehlen entsprechende Garantien (wie Standardvertragsklauseln und Transfer-Folgenabschätzung), ist das Hochladen von Gesundheitsdaten an einen solchen Anbieter rechtlich unzulässig
Die ärztliche Schweigepflicht (§ 203 StGB) untersagt jede Weitergabe von Patientengeheimnissen an nicht ausdrücklich eingebundene Dritte. KI-Anbieter gelten rechtlich als „Dritte“ – wird z. B. eine personenbezogene Falldarstellung an ChatGPT oder ähnliche Dienste gesendet, ist dies in aller Regel ein strafbarer Geheimnisverrat. Damit gilt: Alles, was Sie nicht im Wartezimmer vorlesen würden, sollte auch nicht in einen KI-Prompt gelangen.
Neuer Rechtsrahmen: KI-VO, DSGVO und die Rolle der Aufsichtsbehörden
Mit der seit 2024 geltenden EU-KI-Verordnung (AI Act) wurden die Pflichten für medizinische Einrichtungen noch einmal verschärft: KI-Systeme im Gesundheitssektor gelten meist als „hochriskant“ und unterliegen daher umfangreichen Compliance-Anforderungen. Dazu gehören u.a. eine sogenannte „KI“-Schulungspflicht für alle, die KI-Systeme bedienen, eine laufende Überwachung und Dokumentation des KI-Einsatzes, regelmäßige Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DSGVO sowie die Erstellung und Einhaltung eines Auftragsverarbeitungsvertrags (AVV) mit externen Anbietern.
Praxisinhaber sind verpflichtet:
- ein datenschutzkonformes Gesamtkonzept zum KI-Einsatz zu erarbeiten (inkl. Regelungen zur Anonymisierung und technischen Zugriffsbeschränkungen)
- Mitarbeiter regelmäßig über Risiken und Grenzen von KI zu schulen (Stichwort: KI-Kompetenz)
- zu prüfen, welche Rechtsgrundlagen für den jeweiligen KI-Einsatz einschlägig sind (Einwilligung vs. gesetzliche Erlaubnis)
- Transparenz über genutzte KI-Anwendungen gegenüber Patienten zu schaffen und diese über ihre Informationsrechte aufzuklären
- jede Datenverarbeitung (insb. mit Gesundheitsdaten) auf Datenminimierung, Zweckbindung und die Einhaltung der Schweigepflicht zu prüfen
Wer haftet, wenn was schiefgeht?
Der ärztliche Sorgfaltsmaßstab bleibt durch den Einsatz von KI unverändert: Die Letztverantwortung für Diagnostik, Therapieentscheidungen und Kommunikation liegt immer beim Arzt/bei der Ärztin. Gleiches gilt für die Organisationsverantwortung innerhalb der Praxis. Ein unkritisches Übernehmen von KI-Ergebnissen oder die nicht-autorisierte Nutzung personenbezogener Daten können haftungs- und strafrechtliche Konsequenzen sowie empfindliche Bußgelder nach sich ziehen.
Praktische Dos & Don’ts
Bevor KI-Systeme eingesetzt werden, sollten daher folgende Maßnahmen beachtet werden:
- Keine Übermittlung von Patientendaten oder identifizierbaren Angaben an offene KI-Dienste (egal ob Name, Termindetails, Rechnungsangaben, radiologische Bilder usw.)
- Nutzung nur solcher KI, die nachweislich DSGVO-konform (idealerweise in der EU gehostet), mit AVV ausgestattet und ein sicheres Nutzen ohne dauerhafte Speicherung der Eingaben oder mit lokaler Speicherung ermöglicht
- Klar geregelte interne Zuständigkeiten und jährlich dokumentierte Schulungen zu Datenschutz und KI-Handhabung
- Vor jeder neuen relevanten KI-Anwendung: Durchführung einer Datenschutz-Folgenabschätzung und Einbeziehung des Datenschutzbeauftragten
- Strikte Kontrolle und Dokumentation aller KI-basierten Entscheidungen in der Patientenversorgung
Fazit: Was heißt das für die ärztliche Praxis?
KI kann Ihnen Zeit ersparen und neue Möglichkeiten eröffnen – und setzt fundierte Datenschutz- und Compliance-Kompetenz voraus. Ein strukturierter, rechtskonformer KI-Einsatz ist möglich, wenn folgende Grundregeln beachtet werden:
Patientengeheimnisse bleiben tabu für KI, solange eine Re-Identifikation nicht völlig ausgeschlossen ist. Der KI-Einsatz bedarf klarer Regelungen, sorgfältig ausgewählter Tools, dokumentierter Abläufe, transparenter Patienteninformation und regelmäßiger Compliance-Prüfung. Die Verantwortung verbleibt beim Menschen: KI ist Assistent, aber kein Autopilot.
Tipp: Orientieren Sie sich an den jeweils aktuellen Leitfäden Ihrer ärztlichen Berufsvertretung, der Datenschutzaufsicht und nutzen Sie die Checklisten zum KI-Einsatz in der Praxis. Gerne unterstützen wir Sie bei allen rechtlichen Fragen rund um den KI-Einsatz für Ihre Praxis.
