KI in der Arztpraxis: Der vollständige Leitfaden zu Recht, Datenschutz und Compliance

Künstliche Intelligenz verändert die ambulante Versorgung grundlegend. Von der automatisierten Telefonassistenz über KI-gestützte Dokumentation bis hin zur diagnostischen Bildanalyse – die Einsatzmöglichkeiten in der Arztpraxis sind vielfältig. Doch mit den Chancen kommen auch rechtliche Pflichten. Dieser Leitfaden gibt Ihnen einen umfassenden Überblick über den Einsatz von KI in der Arztpraxis, die regulatorischen Anforderungen und konkrete Handlungsempfehlungen für die Praxis.

1. Was ist KI in der Arztpraxis? Definition und Abgrenzung

Der Begriff "Künstliche Intelligenz" wird im Gesundheitswesen häufig unpräzise verwendet. Nicht jede Software, die in einer Arztpraxis eingesetzt wird, ist automatisch ein KI-System. Die EU hat mit dem EU AI Act erstmals eine verbindliche Definition geschaffen:

Ein KI-System im Sinne des EU AI Act (Art. 3 Nr. 1) ist ein maschinenbasiertes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeiten kann, nach der Bereitstellung Anpassungsfähigkeit zeigt und aus den erhaltenen Eingaben für explizite oder implizite Ziele Ausgaben wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte erzeugt, die physische oder virtuelle Umgebungen beeinflussen können.

Abgrenzung: Was ist KI – und was nicht?

• KI-System: ChatGPT-basierte Arztbriefgenerierung, KI-gestützte Bildanalyse in der Dermatologie, prädiktive Diagnostik, autonome Telefonassistenz mit natürlicher Sprachverarbeitung
• Kein KI-System: Regelbasierte Terminvergabe, einfache Textbausteine in der Praxissoftware, statische Entscheidungsbäume, klassische Laborwert-Referenzbereiche

Die Abgrenzung ist entscheidend, denn nur für KI-Systeme gelten die spezifischen Pflichten des EU AI Act. Eine Fehleinordnung – in beide Richtungen – kann erhebliche rechtliche Konsequenzen haben.

2. Anwendungsbereiche: Wo KI in der Arztpraxis bereits Realität ist

Telefonassistenz und Patientenkommunikation

KI-gestützte Telefonassistenten wie Aaron.ai, Doctolib Phone oder vergleichbare Systeme nehmen Anrufe entgegen, klassifizieren Anliegen und vergeben Termine – ohne menschliches Zutun. Für die Praxis bedeutet das eine erhebliche Entlastung, gerade angesichts des Fachkräftemangels in der Gesundheitsbranche. Rechtlich ist jedoch zu beachten: Sobald Gesundheitsdaten verarbeitet werden (z. B. Symptomabfrage am Telefon), greifen strenge datenschutzrechtliche Anforderungen.

Dokumentation und Arztbriefgenerierung

Tools wie ChatGPT zur Arztbrieferstellung oder spezialisierte Medizindokumentations-KI versprechen enorme Zeitersparnis. Große Sprachmodelle (LLMs) können aus Stichpunkten vollständige Arztbriefe generieren, Befunde zusammenfassen oder ICD-10-Codes vorschlagen. Das Risiko: Halluzinationen, fehlerhafte Kodierung und die Frage, ob die ärztliche Schweigepflicht gewahrt bleibt, wenn Patientendaten an Cloud-Dienste übermittelt werden. Mehr dazu in unserem Beitrag zu § 203 StGB und Cloud-KI.

Diagnostische Unterstützung

In der Radiologie, Dermatologie und Pathologie werden KI-Systeme zur Bildanalyse eingesetzt. Diese Systeme fallen regelmäßig in die Kategorie Hochrisiko-KI nach dem EU AI Act, da sie diagnostische Entscheidungen beeinflussen. Viele dieser Systeme sind zudem als Medizinprodukte einzustufen und unterliegen zusätzlich der Medical Device Regulation (MDR).

Praxismanagement und Workflow-Optimierung

KI kann Patientenströme optimieren, No-Show-Wahrscheinlichkeiten berechnen oder bei der Personalplanung unterstützen. Diese Anwendungen sind regulatorisch in der Regel weniger kritisch, können aber datenschutzrechtlich relevant sein, wenn personenbezogene Daten der Patienten oder Mitarbeitenden verarbeitet werden.

3. Rechtlicher Rahmen: Die drei Säulen der KI-Regulierung in der Arztpraxis

Wer KI in der Arztpraxis einsetzt, bewegt sich im Spannungsfeld von drei zentralen Regelwerken. Diese greifen ineinander und dürfen nicht isoliert betrachtet werden.

Säule 1: Der EU AI Act

Der EU AI Act ist seit dem 1. August 2024 in Kraft und wird schrittweise anwendbar. Für Arztpraxen als Betreiber (Deployer) von KI-Systemen gelten insbesondere die Pflichten aus Art. 26. Die meisten KI-Systeme im medizinischen Bereich werden als Hochrisiko-KI eingestuft – mit entsprechend strengen Anforderungen.

Säule 2: Die DSGVO

Die Datenschutz-Grundverordnung bleibt das zentrale Instrument für den Schutz von Patientendaten. Art. 9 DSGVO stellt besondere Anforderungen an die Verarbeitung von Gesundheitsdaten. Art. 22 DSGVO regelt automatisierte Einzelentscheidungen. Und Art. 35 DSGVO verlangt in vielen Fällen eine Datenschutz-Folgenabschätzung (DSFA) vor dem Einsatz von KI-Systemen.

Säule 3: Berufsrecht und Strafrecht

Die ärztliche Schweigepflicht nach § 203 StGB gilt auch beim Einsatz von KI. Die Übermittlung von Patientendaten an KI-Anbieter kann eine strafbare Offenbarung darstellen, wenn keine wirksame Rechtsgrundlage vorliegt. Daneben sind die Musterberufsordnung der Ärzte (MBO-Ä) und das Fernbehandlungsverbot zu beachten.

4. Betreiberpflichten nach Art. 26 EU AI Act: Ihre Checkliste

Als Betreiber eines Hochrisiko-KI-Systems treffen die Arztpraxis konkrete Pflichten. Art. 26 EU AI Act nennt sechs Kernpflichten, die wir hier für den Praxisalltag übersetzen:

Checkliste für Praxisinhaber

• Bestimmungsgemäße Verwendung sicherstellen (Art. 26 Abs. 1): Setzen Sie das KI-System nur im Rahmen der vom Anbieter definierten Zweckbestimmung ein. Dokumentieren Sie die Einsatzszenarien.
• Menschliche Aufsicht gewährleisten (Art. 26 Abs. 2): Benennen Sie eine verantwortliche Person (z. B. den Praxisinhaber oder einen qualifizierten Mitarbeitenden), die KI-Ergebnisse überprüft. Ein KI-System darf keine ärztliche Entscheidung autonom treffen.
• Eingabedatenqualität sicherstellen (Art. 26 Abs. 4): Stellen Sie sicher, dass die Daten, die Sie in das KI-System eingeben, korrekt und vollständig sind. Fehlerhafte Eingaben führen zu fehlerhaften Ausgaben.
• Überwachung des Betriebs (Art. 26 Abs. 5): Beobachten Sie den laufenden Betrieb des KI-Systems. Treten Auffälligkeiten oder Fehlfunktionen auf, müssen Sie den Anbieter und ggf. die Aufsichtsbehörde informieren.
• Protokollierung (Art. 26 Abs. 6): Bewahren Sie automatisch generierte Protokolle (Logs) auf. Die Aufbewahrungsfrist beträgt mindestens sechs Monate.
• Informationspflichten (Art. 26 Abs. 7-8): Informieren Sie Ihre Patienten darüber, dass KI-Systeme eingesetzt werden. Arbeitnehmervertreter sind ebenfalls zu informieren.

5. Haftung beim KI-Einsatz in der Arztpraxis

Die Haftungsfrage gehört zu den drängendsten Themen beim Einsatz von KI in der Medizin. Wer haftet, wenn ein KI-System eine falsche Diagnose unterstützt? Die kurze Antwort: In der Regel der behandelnde Arzt.

Die ärztliche Sorgfaltspflicht bleibt durch den Einsatz von KI unverändert bestehen. Der Arzt schuldet nach § 630a BGB eine Behandlung nach dem fachärztlichen Standard. KI ist ein Werkzeug – die Verantwortung für die Behandlungsentscheidung verbleibt beim Arzt. Ein blindes Vertrauen auf KI-Ergebnisse kann einen Behandlungsfehler begründen; das Ignorieren einer nachweislich überlegenen KI-Empfehlung perspektivisch ebenfalls.

Daneben kommen Haftungsansprüche gegen den KI-Anbieter (Produkthaftung, vertragliche Haftung) und gegen den Praxisinhaber (Organisationsverschulden) in Betracht. Eine umfassende Analyse finden Sie in unserem Beitrag zur Haftung beim Einsatz von KI im Gesundheitswesen.

Entscheidend für die Praxis: Führen Sie eine sorgfältige Due-Diligence-Prüfung vor der Beschaffung durch und dokumentieren Sie Ihre Entscheidungsprozesse. Im Streitfall ist die Dokumentation Ihre wichtigste Verteidigungslinie.

6. Datenschutz-Anforderungen: DSFA, AVV und Einwilligung

Datenschutz-Folgenabschätzung (DSFA)

Gemäß Art. 35 DSGVO ist eine DSFA immer dann erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Beim Einsatz von KI in der Arztpraxis ist dies regelmäßig der Fall, denn es werden Gesundheitsdaten (Art. 9 DSGVO) in großem Umfang verarbeitet, neue Technologien eingesetzt und häufig Profiling oder automatisierte Entscheidungsfindung betrieben.

Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden und ist regelmäßig zu aktualisieren. Sie umfasst eine systematische Beschreibung der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Betroffenen und die geplanten Abhilfemaßnahmen.

Auftragsverarbeitungsvertrag (AVV)

Wenn ein externer KI-Anbieter Patientendaten verarbeitet, ist in aller Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Achten Sie dabei besonders auf die Regelung zu Unterauftragsverarbeitern (Sub-Processors), den Ort der Datenverarbeitung (Drittlandtransfer), die technischen und organisatorischen Maßnahmen (TOMs) und die Löschung bzw. Rückgabe der Daten nach Vertragsende. Bei Cloud-Diensten mit Sitz außerhalb der EU/EWR sind zusätzlich die Anforderungen aus Kapitel V DSGVO (Drittlandtransfer) zu beachten.

Einwilligung oder gesetzliche Grundlage?

Für die Verarbeitung von Gesundheitsdaten durch KI-Systeme benötigen Sie eine Rechtsgrundlage. In Betracht kommen die ausdrückliche Einwilligung des Patienten nach Art. 9 Abs. 2 lit. a DSGVO, die Verarbeitung zum Zwecke der Gesundheitsvorsorge oder Behandlung nach Art. 9 Abs. 2 lit. h DSGVO (i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG) sowie berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO (bei nicht-sensiblen Daten). Welche Rechtsgrundlage einschlägig ist, hängt vom konkreten Einsatzszenario ab. Eine pauschale Einwilligung "für alle KI-Anwendungen" genügt nicht.

7. Praxistipps: So starten Sie richtig mit KI in der Arztpraxis

Der Einstieg in den KI-Einsatz sollte strukturiert erfolgen. Wir empfehlen einen Sieben-Schritte-Plan:

Schritt 1: Bedarfsanalyse

Identifizieren Sie die größten Engpässe in Ihrer Praxis. Wo verbringen Sie und Ihr Team die meiste Zeit mit Routineaufgaben? Typische Startpunkte sind die Telefonanlage, die Dokumentation oder die Terminvergabe.

Schritt 2: Anbieterauswahl und Due Diligence

Prüfen Sie potenzielle KI-Anbieter gründlich. Unsere Due-Diligence-Checkliste hilft Ihnen, die relevanten Fragen zu stellen: Wo werden Daten verarbeitet? Ist das System als Medizinprodukt zugelassen? Welche Zertifizierungen liegen vor?

Schritt 3: Datenschutz-Folgenabschätzung durchführen

Führen Sie vor dem Go-Live eine DSFA durch. Beziehen Sie Ihren Datenschutzbeauftragten ein. Dokumentieren Sie die Risikobewertung und die ergriffenen Maßnahmen.

Schritt 4: Vertragswerk aufsetzen

Schließen Sie einen Auftragsverarbeitungsvertrag (AVV) ab. Prüfen Sie, ob ein Vertrag zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) erforderlich ist. Achten Sie auf SLA-Regelungen und Haftungsklauseln.

Schritt 5: Team schulen

Schulen Sie alle Mitarbeitenden, die mit dem KI-System arbeiten. Die menschliche Aufsicht nach Art. 26 EU AI Act setzt voraus, dass die zuständigen Personen das System verstehen und Fehlausgaben erkennen können.

Schritt 6: Pilotphase

Starten Sie mit einem begrenzten Einsatzbereich. Testen Sie das System unter realen Bedingungen, aber mit erhöhter menschlicher Kontrolle. Sammeln Sie Erfahrungen und passen Sie Prozesse an.

Schritt 7: Laufende Überwachung und Dokumentation

Etablieren Sie Prozesse für die laufende Überwachung: Regelmäßige Qualitätskontrollen, Incident-Reporting, Aktualisierung der DSFA bei wesentlichen Änderungen und Dokumentation aller relevanten Vorgänge.

8. Häufig gestellte Fragen (FAQ)

Darf ich ChatGPT für Arztbriefe verwenden?

Grundsätzlich ja, aber unter strengen Voraussetzungen. Sie müssen sicherstellen, dass keine identifizierenden Patientendaten an OpenAI übermittelt werden, oder eine wirksame Rechtsgrundlage und einen AVV vorweisen können. Zudem müssen Sie jeden generierten Brief inhaltlich prüfen. Details lesen Sie in unserem Beitrag ChatGPT und der Arztbrief.

Brauche ich eine Einwilligung meiner Patienten für den KI-Einsatz?

Das hängt vom konkreten Einsatzszenario und der gewählten Rechtsgrundlage ab. Für diagnostische KI im Rahmen der Behandlung kann Art. 9 Abs. 2 lit. h DSGVO als Rechtsgrundlage dienen. Für die Übermittlung von Daten an Drittanbieter (Cloud-KI) ist in vielen Fällen eine Einwilligung erforderlich. Unabhängig von der Rechtsgrundlage besteht eine Informationspflicht nach Art. 13/14 DSGVO und Art. 26 Abs. 7 EU AI Act.

Bin ich als Einzelpraxis vom EU AI Act betroffen?

Ja. Der EU AI Act gilt unabhängig von der Praxisgröße. Entscheidend ist, ob Sie ein KI-System im Sinne der Verordnung einsetzen. Auch eine Einzelpraxis, die eine KI-gestützte Telefonassistenz nutzt, ist Betreiber im Sinne des Art. 26 EU AI Act. Allerdings gelten für KMU teilweise erleichterte Anforderungen, insbesondere bei den Dokumentationspflichten.

Wer haftet, wenn die KI einen Fehler macht?

Die ärztliche Verantwortung für die Behandlungsentscheidung bleibt bei Ihnen. KI-Systeme sind Hilfsmittel; die Letztentscheidung muss immer beim Arzt liegen. Bei Produktfehlern kann daneben der Hersteller haften. Die Details zur Haftungsverteilung finden Sie in unserem ausführlichen Beitrag zur Haftung.

Ab wann gelten die neuen Regeln des EU AI Act für meine Praxis?

Der EU AI Act tritt stufenweise in Kraft. Die Verbote für bestimmte KI-Praktiken gelten seit Februar 2025. Die Pflichten für Hochrisiko-KI – und damit die Betreiberpflichten für die meisten medizinischen KI-Systeme – gelten ab August 2026. Wir empfehlen jedoch, bereits jetzt mit den Vorbereitungen zu beginnen, da die Umsetzung der Compliance-Anforderungen Zeit benötigt.

Muss ich meinen Datenschutzbeauftragten einbeziehen?

Ja, unbedingt. Die DSGVO verlangt, dass der Datenschutzbeauftragte bei der Datenschutz-Folgenabschätzung konsultiert wird (Art. 35 Abs. 2 DSGVO). Darüber hinaus sollte der DSB in die gesamte Planung und Umsetzung des KI-Einsatzes eingebunden werden. Praxen mit weniger als 20 Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten, benötigen nach § 38 BDSG keinen DSB – die Pflichten gelten dennoch.