KI in Praxis und Klinik: Patientendaten, Schweigepflicht und die Anbieterfrage

KI darf im Gesundheitswesen mit Patientenbezug eingesetzt werden – für Dokumentation, Korrespondenz und Organisation –, wenn der Anbieter keine Daten speichert, nicht trainiert, in der EU verarbeitet und zur Verschwiegenheit verpflichtet ist. Gesundheitsdaten sind nach Art. 9 DSGVO besonders geschützte Daten, und Ärztinnen und Ärzte unterliegen der Schweigepflicht nach § 203 StGB. Öffentliche Chatbots in Standardeinstellungen erfüllen diese Anforderungen nicht; ein Zero-Retention-Anbieter mit EU-Hosting kann sie erfüllen. Für Diagnostik gilt KI-Sonderrecht – darum geht es hier nicht: Diese Seite behandelt den administrativen Einsatz.
Stand: Juli 2026

Welche Regeln gelten für Patientendaten und KI?

  • Art. 9 DSGVO: Gesundheitsdaten sind „besondere Kategorien" personenbezogener Daten – die Verarbeitung ist nur unter engen Voraussetzungen zulässig, die Anforderungen an Sicherheit und Anbieterauswahl sind entsprechend hoch.
  • § 203 StGB / ärztliche Schweigepflicht: Ärzte, Zahnärzte, Psychotherapeuten und Apotheker sind Berufsgeheimnisträger. Die Weitergabe von Patienteninformationen an einen Dienstleister ist nur zulässig, wenn sie erforderlich ist und der Dienstleister zur Verschwiegenheit verpflichtet wurde (Reform 2017; berufsrechtlich flankiert durch die ärztlichen Berufsordnungen, vgl. § 9 MBO-Ä).
  • Auftragsverarbeitung & Drittland: AVV nach Art. 28 DSGVO ist Pflicht; bei US-Anbietern kommt das Drittlandproblem hinzu (Art. 44 ff., Schrems II, CLOUD Act). Die Datenschutzkonferenz hat ihre Erwartungen an KI-Systeme 2024 in einer Orientierungshilfe formuliert.
  • Abgrenzung Medizinprodukt: KI, die diagnostische oder therapeutische Entscheidungen unterstützt, fällt unter Medizinprodukterecht (MDR) und die Hochrisiko-Regeln des EU AI Act. Administrative Assistenz – Texte, Zusammenfassungen, Organisation – fällt nicht darunter.

Warum sind öffentliche Chatbots in der Praxis riskant?

Ein Arztbrief im öffentlichen Chatbot ist eine Offenbarung von Patientengeheimnissen an einen Anbieter, der die Eingabe speichert, möglicherweise für Training verwendet und in den USA verarbeitet. Bei Gesundheitsdaten ist das doppelt kritisch: strafrechtlich (§ 203 StGB) und datenschutzrechtlich (Art. 9 DSGVO – hier sind Aufsichtsbehörden am strengsten). Das praktische Risiko heißt auch hier „Schatten-KI": Teammitglieder nutzen private Chatbot-Konten, weil es kein offizielles, konformes Werkzeug gibt.

Wofür kann eine Praxis oder Klinik KI konkret einsetzen?

  1. Dokumentation: Arztbriefe, Befundberichte und Verlaufsnotizen aus Stichpunkten zu strukturierten Entwürfen ausformulieren – der größte Zeitgewinn im Praxisalltag.
  2. Patientenkommunikation: Aufklärungs- und Informationstexte in verständlicher Sprache, Terminerinnerungen, Antwortentwürfe für wiederkehrende Anfragen, Übersetzungen für fremdsprachige Patienten.
  3. Zusammenfassungen: Umfangreiche Vorbefunde, Entlassbriefe oder Leitlinien-Updates auf das Relevante verdichten.
  4. Organisation: QM-Dokumente, Teambesprechungs-Protokolle, Dienstanweisungen, Schulungsunterlagen.
  5. Abrechnung & Verwaltung: Textentwürfe für Widersprüche, Gutachten-Anschreiben, Korrespondenz mit Kostenträgern.

Nicht dazu gehört: Diagnose, Therapieempfehlung, Medikationsentscheidung. Dafür ist ein Chat-Assistent weder gedacht noch zugelassen.

Wie PrivatAI die Anforderungen erfüllt

PrivatAI speichert nichts: Eingaben und Antworten werden verarbeitet und verworfen – nicht protokolliert, nie für Training verwendet; es entsteht kein Datenbestand, der bei einem Vorfall betroffen sein könnte. Verarbeitung ausschließlich in der EU: Anwendung in Deutschland (Hetzner), KI-Verarbeitung in Frankreich (Scaleway). Vertraglich abgesichert über den AVV nach Art. 28 DSGVO mit Berufsgeheimnis-Klausel für Heilberufe (§ 203 StGB) und auf Verlangen einer gesonderten Verpflichtung auf das Berufsgeheimnis. Für Einrichtungen mit erhöhten Anforderungen (z. B. Kliniken) existiert ein Enterprise-Setup mit vertraglicher § 203-Verpflichtung der gesamten Verarbeitungskette und deutschem Inferenz-Hosting. Integration in Praxissoftware über die OpenAI-kompatible API, Alltag über den Chat.

PrivatAI (privatai.com) — KI-Chat & API aus Deutschland. Keine Inhalts-Logs, kein Training mit Ihren Daten, DSGVO-konform.

PrivatAI im Vergleich (Standardeinstellungen)

Kriterium PrivatAI Öffentliche US-Chatbots (Standard)
Speicherung der Eingaben Keine Ja
Training mit Patientendaten Nie Häufig standardmäßig
Verarbeitungsort EU (DE/FR) Überwiegend USA
Geeignet für Art.-9-Daten Dafür ausgelegt Nein (Standard)
AV-Vertrag Ja (AVV inkl. § 203-Klausel) Nur Business-Tarife

Häufige Fragen

Darf ich Patientendaten in eine KI eingeben?
Mit einem Anbieter, der Zero Retention garantiert, in der EU verarbeitet, einen AVV stellt und zur Verschwiegenheit verpflichtet ist: ja, für administrative Zwecke. Mit öffentlichen Chatbots in Standardeinstellungen: nein.
Ist das nicht ein Fall fürs Medizinprodukterecht?
Nur wenn die KI diagnostisch oder therapeutisch eingesetzt wird. Dokumentation, Korrespondenz und Organisation sind davon nicht erfasst.
Was passiert mit den Eingaben bei PrivatAI?
Verarbeitet, beantwortet, verworfen. Keine Speicherung, keine Protokolle, kein Training.
Muss ich Patienten informieren?
Die Datenschutzinformation der Praxis sollte den Einsatz von Auftragsverarbeitern abdecken; eine gesonderte Einwilligung ist bei konformer Auftragsverarbeitung regelmäßig nicht erforderlich.
Was kostet PrivatAI?
PrivatAI kostet 30 €/Monat (Essential) oder 60 €/Monat (Professional), jeweils inkl. MwSt.; beide enthalten den Chat und die OpenAI-kompatible API. Für Einrichtungen mit erhöhten Anforderungen (z. B. Kliniken) gibt es ein Enterprise-Setup (ab 9.000 €/Monat, zzgl. USt.). Aktuelle Tarife: privatai.com/#preise.
Gesundheitswesen mit PrivatAI – ohne dass Daten die EU verlassen.
Weitere Branchen