KI in der Arztpraxis: Der vollständige Leitfaden zu Recht, Datenschutz und Compliance

Künstliche Intelligenz verändert die ambulante Versorgung grundlegend. Von der automatisierten Telefonassistenz über KI-gestützte Dokumentation bis hin zur diagnostischen Bildanalyse sind die Einsatzmöglichkeiten in der Arztpraxis vielfältig. Doch mit den Chancen kommen auch rechtliche Pflichten. Dieser Leitfaden gibt Ihnen einen umfassenden Überblick über den Einsatz von KI in der Arztpraxis, die regulatorischen Anforderungen und konkrete Handlungsempfehlungen für die Praxis.

1. Was ist KI in der Arztpraxis? Definition und Abgrenzung

Der Begriff "Künstliche Intelligenz" wird im Gesundheitswesen häufig unpräzise verwendet. Nicht jede Software, die in einer Arztpraxis eingesetzt wird, ist automatisch ein KI-System. Die EU hat mit dem EU AI Act erstmals eine verbindliche Definition geschaffen:

Ein KI-System im Sinne des EU AI Act (Art. 3 Nr. 1) ist ein maschinenbasiertes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeiten kann, nach der Bereitstellung Anpassungsfähigkeit zeigt und aus den erhaltenen Eingaben für explizite oder implizite Ziele Ausgaben wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte erzeugt, die physische oder virtuelle Umgebungen beeinflussen können.

Die Abgrenzung ist entscheidend, denn nur für KI-Systeme gelten die spezifischen Pflichten des EU AI Act. Eine Fehleinordnung, in beide Richtungen, kann erhebliche rechtliche Konsequenzen haben.

2. Anwendungsbereiche: Wo KI in der Arztpraxis bereits Realität ist

Telefonassistenz und Patientenkommunikation

KI-gestützte Telefonassistenten wie Aaron.ai, Doctolib Phone oder vergleichbare Systeme nehmen Anrufe entgegen, klassifizieren Anliegen und vergeben Termine, ohne menschliches Zutun. Für die Praxis bedeutet das eine erhebliche Entlastung, gerade angesichts des Fachkräftemangels in der Gesundheitsbranche. Rechtlich ist jedoch zu beachten: Sobald Gesundheitsdaten verarbeitet werden (z. B. Symptomabfrage am Telefon), greifen strenge datenschutzrechtliche Anforderungen.

Dokumentation und Arztbriefgenerierung

Tools wie ChatGPT zur Arztbrieferstellung oder spezialisierte Medizindokumentations-KI versprechen enorme Zeitersparnis. Große Sprachmodelle (LLMs) können aus Stichpunkten vollständige Arztbriefe generieren, Befunde zusammenfassen oder ICD-10-Codes vorschlagen. Das Risiko: Halluzinationen, fehlerhafte Kodierung und die Frage, ob die ärztliche Schweigepflicht gewahrt bleibt, wenn Patientendaten an Cloud-Dienste übermittelt werden. Mehr dazu in unserem Beitrag zu § 203 StGB und Cloud-KI.

Diagnostische Unterstützung

In der Radiologie, Dermatologie und Pathologie werden KI-Systeme zur Bildanalyse eingesetzt. Diese Systeme fallen regelmäßig in die Kategorie Hochrisiko-KI nach dem EU AI Act, da sie diagnostische Entscheidungen beeinflussen. Viele dieser Systeme sind zudem als Medizinprodukte einzustufen und unterliegen zusätzlich der Medical Device Regulation (MDR).

Praxismanagement und Workflow-Optimierung

KI kann Patientenströme optimieren, No-Show-Wahrscheinlichkeiten berechnen oder bei der Personalplanung unterstützen. Diese Anwendungen sind regulatorisch in der Regel weniger kritisch, können aber datenschutzrechtlich relevant sein, wenn personenbezogene Daten der Patienten oder Mitarbeitenden verarbeitet werden.

3. Rechtlicher Rahmen: Die drei Säulen der KI-Regulierung in der Arztpraxis

Wer KI in der Arztpraxis einsetzt, bewegt sich im Spannungsfeld von drei zentralen Regelwerken. Diese greifen ineinander und dürfen nicht isoliert betrachtet werden.

4. Betreiberpflichten nach Art. 26 EU AI Act: Ihre Checkliste

Als Betreiber eines Hochrisiko-KI-Systems treffen die Arztpraxis konkrete Pflichten. Art. 26 EU AI Act nennt sechs Kernpflichten, die wir hier für den Praxisalltag übersetzen:

5. Haftung beim KI-Einsatz in der Arztpraxis

Die Haftungsfrage gehört zu den drängendsten Themen beim Einsatz von KI in der Medizin. Wer haftet, wenn ein KI-System eine falsche Diagnose unterstützt? Die kurze Antwort: In der Regel der behandelnde Arzt.

Die ärztliche Sorgfaltspflicht bleibt durch den Einsatz von KI unverändert bestehen. Der Arzt schuldet nach § 630a BGB eine Behandlung nach dem fachärztlichen Standard. KI ist ein Werkzeug; die Verantwortung für die Behandlungsentscheidung verbleibt beim Arzt. Ein blindes Vertrauen auf KI-Ergebnisse kann einen Behandlungsfehler begründen; das Ignorieren einer nachweislich überlegenen KI-Empfehlung perspektivisch ebenfalls.

Daneben kommen Haftungsansprüche gegen den KI-Anbieter (Produkthaftung, vertragliche Haftung) und gegen den Praxisinhaber (Organisationsverschulden) in Betracht. Eine umfassende Analyse finden Sie in unserem Beitrag zur Haftung beim Einsatz von KI im Gesundheitswesen.

Entscheidend für die Praxis: Führen Sie eine sorgfältige Due-Diligence-Prüfung vor der Beschaffung durch und dokumentieren Sie Ihre Entscheidungsprozesse. Im Streitfall ist die Dokumentation Ihre wichtigste Verteidigungslinie.

6. Datenschutz-Anforderungen: DSFA, AVV und Einwilligung

Datenschutz-Folgenabschätzung (DSFA)

Gemäß Art. 35 DSGVO ist eine DSFA immer dann erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Beim Einsatz von KI in der Arztpraxis ist dies regelmäßig der Fall, denn es werden Gesundheitsdaten (Art. 9 DSGVO) in großem Umfang verarbeitet, neue Technologien eingesetzt und häufig Profiling oder automatisierte Entscheidungsfindung betrieben.

Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden und ist regelmäßig zu aktualisieren. Sie umfasst eine systematische Beschreibung der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Betroffenen und die geplanten Abhilfemaßnahmen.

Auftragsverarbeitungsvertrag (AVV)

Wenn ein externer KI-Anbieter Patientendaten verarbeitet, ist in aller Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Achten Sie dabei besonders auf die Regelung zu Unterauftragsverarbeitern (Sub-Processors), den Ort der Datenverarbeitung (Drittlandtransfer), die technischen und organisatorischen Maßnahmen (TOMs) und die Löschung bzw. Rückgabe der Daten nach Vertragsende. Bei Cloud-Diensten mit Sitz außerhalb der EU/EWR sind zusätzlich die Anforderungen aus Kapitel V DSGVO (Drittlandtransfer) zu beachten.

Einwilligung oder gesetzliche Grundlage?

Für die Verarbeitung von Gesundheitsdaten durch KI-Systeme benötigen Sie eine Rechtsgrundlage. In Betracht kommen die ausdrückliche Einwilligung des Patienten nach Art. 9 Abs. 2 lit. a DSGVO, die Verarbeitung zum Zwecke der Gesundheitsvorsorge oder Behandlung nach Art. 9 Abs. 2 lit. h DSGVO (i.V.m. § 22 Abs. 1 Nr. 1 lit. b BDSG) sowie berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO (bei nicht-sensiblen Daten). Welche Rechtsgrundlage einschlägig ist, hängt vom konkreten Einsatzszenario ab. Eine pauschale Einwilligung "für alle KI-Anwendungen" genügt nicht.

7. Praxistipps: So starten Sie richtig mit KI in der Arztpraxis

Der Einstieg in den KI-Einsatz sollte strukturiert erfolgen. Wir empfehlen einen Sieben-Schritte-Plan:

8. Häufig gestellte Fragen (FAQ)

Darf ich ChatGPT für Arztbriefe verwenden?

Grundsätzlich ja, aber unter strengen Voraussetzungen. Sie müssen sicherstellen, dass keine identifizierenden Patientendaten an OpenAI übermittelt werden, oder eine wirksame Rechtsgrundlage und einen AVV vorweisen können. Zudem müssen Sie jeden generierten Brief inhaltlich prüfen. Details lesen Sie in unserem Beitrag ChatGPT und der Arztbrief.

Brauche ich eine Einwilligung meiner Patienten für den KI-Einsatz?

Das hängt vom konkreten Einsatzszenario und der gewählten Rechtsgrundlage ab. Für diagnostische KI im Rahmen der Behandlung kann Art. 9 Abs. 2 lit. h DSGVO als Rechtsgrundlage dienen. Für die Übermittlung von Daten an Drittanbieter (Cloud-KI) ist in vielen Fällen eine Einwilligung erforderlich. Unabhängig von der Rechtsgrundlage besteht eine Informationspflicht nach Art. 13/14 DSGVO und Art. 26 Abs. 7 EU AI Act.

Bin ich als Einzelpraxis vom EU AI Act betroffen?

Ja. Der EU AI Act gilt unabhängig von der Praxisgröße. Entscheidend ist, ob Sie ein KI-System im Sinne der Verordnung einsetzen. Auch eine Einzelpraxis, die eine KI-gestützte Telefonassistenz nutzt, ist Betreiber im Sinne des Art. 26 EU AI Act. Allerdings gelten für KMU teilweise erleichterte Anforderungen, insbesondere bei den Dokumentationspflichten.

Wer haftet, wenn die KI einen Fehler macht?

Die ärztliche Verantwortung für die Behandlungsentscheidung bleibt bei Ihnen. KI-Systeme sind Hilfsmittel; die Letztentscheidung muss immer beim Arzt liegen. Bei Produktfehlern kann daneben der Hersteller haften. Die Details zur Haftungsverteilung finden Sie in unserem ausführlichen Beitrag zur Haftung.

Ab wann gelten die neuen Regeln des EU AI Act für meine Praxis?

Der EU AI Act tritt stufenweise in Kraft. Die Verbote für bestimmte KI-Praktiken gelten seit Februar 2025. Die Pflichten für Hochrisiko-KI, und damit die Betreiberpflichten für die meisten medizinischen KI-Systeme, greifen nach aktuellem Stand des Digital Omnibus voraussichtlich ab Dezember 2027 (Anhang III) bzw. August 2028 (MDR-Route). Wir empfehlen jedoch, bereits jetzt mit den Vorbereitungen zu beginnen, da die Umsetzung der Compliance-Anforderungen Zeit benötigt.

Muss ich meinen Datenschutzbeauftragten einbeziehen?

Ja, unbedingt. Die DSGVO verlangt, dass der Datenschutzbeauftragte bei der Datenschutz-Folgenabschätzung konsultiert wird (Art. 35 Abs. 2 DSGVO). Darüber hinaus sollte der DSB in die gesamte Planung und Umsetzung des KI-Einsatzes eingebunden werden. Praxen mit weniger als 20 Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten, benötigen nach § 38 BDSG keinen DSB; die Pflichten gelten dennoch.