Darf ich ChatGPTin der Praxis nutzen?
Kurzantwort
Für Patientendaten: nein. Die Standard-Version (chat.openai.com mit Privatkonto) verletzt § 203 StGB und die DSGVO. Für anonyme Fachfragen oder patientenfreie Verwaltungstexte ist sie dagegen unproblematisch.
Zulässige Wege für Patientenbezug: ChatGPT Enterprise mit AV-Vertrag und Pseudonymisierung, Azure OpenAI mit EU-Residenz oder ein lokales LLM (Sovereign AI). Welcher Weg passt, hängt von Schutzbedarf, Volumen und Fachrichtung ab — nicht pauschal.
Die Frage ist in der Praxis gestellt, nicht theoretisch. ChatGPT läuft in vielen Praxen längst — häufig auf Privatkonten, mit Patientenbezug, ohne dass jemand die Schweigepflicht oder den Drittlandstransfer mitgedacht hat. Das ist vermeidbar. Aber nur, wenn vor dem nächsten Prompt klar ist, was überhaupt zulässig ist.
Drei Anwendungen, bei denen ChatGPT
kein Problem ist.
Nicht jede Nutzung ist riskant. Wo kein Patientenbezug besteht oder die Pseudonymisierung robust ist, greift die Schweigepflicht nicht — und die DSGVO hat keinen Anknüpfungspunkt.
Anonyme Fachfragen
Fragen zu Leitlinien, Studienlage, Differenzialdiagnosen ohne jeden Patientenbezug sind unproblematisch. Die Nutzung als medizinische Literaturrecherche oder Formulierungshilfe für allgemeine Texte ist zulässig — solange keine Rückschlüsse auf konkrete Patienten möglich sind.
Verwaltung ohne Patientenbezug
Praxisinterne Kommunikation ohne Patientenbezug (Stellenausschreibung, Website-Texte, interne Schulungsunterlagen) ist unbedenklich. Auch Marketing- und Organisationsaufgaben sind ein legitimer Anwendungsfall — das ist nicht das Thema, das haftet.
Pseudonymisierte Fallbesprechung
In ausgeprägt pseudonymisierter Form (keine Namen, kein Geburtsdatum, kein Standort, keine Seltenheitskombination) sind Fallbesprechungen ein Grenzbereich. Die Pseudonymisierung muss so robust sein, dass auch der Kombinationsangriff scheitert — das ist bei seltenen Konstellationen praktisch unmöglich.
Drei typische Fehler —
die schnell strafbar werden.
Die meisten Probleme entstehen nicht aus Böswilligkeit, sondern aus dem Reflex, ChatGPT wie ein Kollegium zu nutzen. Das funktioniert — bis ein Patientenname, ein Geburtsdatum oder eine Diagnose im Prompt landet.
Patientendaten in der Standard-Oberfläche
Klartext-Patientendaten (Namen, Geburtsdaten, Diagnosen, Medikationen) in chat.openai.com mit Privatkonto sind ein Verstoß gegen § 203 StGB und die DSGVO — unabhängig davon, ob die Eingabe anschließend wieder gelöscht wird. Die Offenbarung ist mit dem Absenden vollzogen.
Diagnose- oder Therapieempfehlung ohne Einordnung
Wer ChatGPT nach einer Diagnose oder Therapieempfehlung fragt und das Ergebnis ohne eigene fachliche Würdigung übernimmt, verletzt Behandlungsstandard und Haftungsregeln. § 630a BGB verlangt medizinisch indiziertes Handeln — ein LLM liefert statistisch plausible Formulierungen, keine fachliche Bewertung.
Dauerbetrieb ohne Rechtsgrundlage
Auch wenn einzelne Eingaben ohne Patientenbezug laufen: Der systematische Einsatz im Praxisalltag ohne DSFA, Betreiberdokumentation nach Art. 26 AI Act und Art. 4 KI-Literacy-Nachweis ist spätestens ab August 2026 ein Verstoß. Das betrifft auch die vermeintlich harmlosen Anwendungen.
Vier Alternativen, die rechtssicher
funktionieren.
ChatGPT für die Praxis funktioniert — aber nicht in der Standard-Oberfläche. Je nach Schutzbedarf, Volumen und Fachrichtung passt eine andere Variante. Das ist keine ideologische Frage, sondern eine Architektur-Entscheidung.
ChatGPT Enterprise oder Team
Mit AV-Vertrag, Zero Data Retention und Enterprise-Administration ist OpenAI direkt als Auftragsverarbeiter nutzbar. Achtung: OpenAI ist US-Anbieter, die Drittlandsübermittlung bleibt ein Risikofaktor. Für § 203 StGB ist eine dokumentierte Abwägung plus Pseudonymisierung vor Upload empfehlenswert.
Azure OpenAI mit EU-Residenz
Das identische GPT-Modell über Microsofts Cloud mit EU-Datenresidenz (West/North Europe), AV-Vertrag, Audit-Logging, keiner Trainingsnutzung. Für die meisten Praxen die pragmatischste Variante — DSGVO-Konformität belastbar, § 203 StGB-Lage deutlich besser.
Sovereign AI / On-Premise-LLM
Llama, Mistral oder DeepSeek auf eigener Hardware. Die Daten verlassen das Praxisnetz nicht — § 203 StGB wird nicht berührt, DSGVO ist trivial. Investition liegt je nach Größenordnung bei 15.000–50.000 €, der Betrieb bei moderaten Wartungsaufwänden. Für Praxen mit hohem Schutzbedarf die sauberste Antwort.
Europäische Spezialanbieter
Aleph Alpha (Heidelberg), Mistral (Paris), DeepL Write — EU-basierte Modelle mit voller DSGVO-Konformität und ohne Drittlandsthematik. Teilweise medizinisch spezialisiert (noteey, medflux für Dokumentation). Leistungsmäßig nicht überall auf GPT-4-Niveau, aber für Praxisanforderungen meist ausreichend.
Was Ärzte zu ChatGPT fragen.
Darf ich ChatGPT in meiner Arztpraxis nutzen?
+
Für identifizierbare Patientendaten ist die Standard-Version nicht zulässig: kein AV-Vertrag, Datenübermittlung in die USA, Training auf Eingaben. Das verletzt § 203 StGB und DSGVO. Für vollständig anonymisierte Fachfragen ohne Patientenbezug ist die Nutzung unproblematisch.
Ist ChatGPT Enterprise oder Team zulässig?
+
ChatGPT Enterprise bietet AV-Vertrag, Zero Data Retention und Administration. DSGVO-Anforderungen sind formal erfüllbar. Für § 203 StGB bleibt die Frage, ob die Auslagerung an einen US-Anbieter als befugte Offenbarung gilt. Die herrschende Auffassung verlangt: dokumentierte Abwägung, Pseudonymisierung vor Upload, vertragliche Garantien. Azure OpenAI mit EU-Residenz oder ein On-Premise-LLM sind die saubereren Wege.
Was ist der Unterschied zwischen ChatGPT und Azure OpenAI?
+
Azure OpenAI ist das identische Modell über Microsofts Enterprise-Cloud — mit AV-Vertrag, EU-Datenresidenz (West/North Europe), keiner Trainingsnutzung, Audit-Logging. Für Praxen und MVZ ist das die rechtssicherere Variante gegenüber dem direkten OpenAI-Zugang.
Wann lohnt sich Sovereign AI / ein lokales LLM?
+
Lokale LLMs (Llama, Mistral, DeepSeek) auf eigener Infrastruktur umgehen die Schweigepflichts- und Drittlandsproblematik vollständig. Sinnvoll bei hohem Volumen, besonders sensiblen Fachrichtungen (Psychotherapie, Onkologie, Gynäkologie) oder klaren § 203 StGB-Anforderungen. Investition: 15.000–50.000 € je nach Größenordnung.
Was droht mir, wenn ich ChatGPT trotzdem nutze?
+
Drei Verfahren parallel möglich: Strafverfahren nach § 203 StGB (bis 1 Jahr Freiheitsstrafe), DSGVO-Bußgeld der Landesdatenschutzbehörde, berufsrechtliches Verfahren der Ärztekammer (bis Approbationsentzug). Ab August 2026 zusätzlich AI-Act-Bußgeld für fehlende Betreiberdokumentation nach Art. 26.
Reicht es, die Namen im Prompt wegzulassen?
+
Nur selten. Eine Pseudonymisierung ist erst belastbar, wenn auch Geburtsdatum, Standort, seltene Diagnosen, ungewöhnliche Kombinationen entfernt oder robust ersetzt sind. Der Kombinationsangriff ist bei medizinischen Daten oft erfolgreich — eine 73-jährige Patientin mit seltener Erkrankung in einer Kleinstadt ist identifizierbar. Im Zweifel: lokales LLM oder pseudonymisierungsresistente Lösung.
Vertiefung zu einzelnen Fragen.
§ 203 StGB trifft Cloud-KI
Warum der Arztbrief in ChatGPT zum Straftatbestand werden kann — und wie weit die Pseudonymisierung wirklich trägt.
Lesen Sovereign AISovereign AI in der Medizin: Datensouveränität als Pflicht
Wann lokale LLMs auf eigener Infrastruktur der einzige saubere Weg sind — und wie eine Implementation konkret aussieht.
Lesen ArztbriefChatGPT schreibt Ihren Arztbrief: Wer trägt die Verantwortung?
Was konkret passiert, wenn Patientendaten in die Standard-Oberfläche fließen — und wo das Haftungsproblem sitzt.
LesenChatGPT in Ihrer Praxis —
aber rechtssicher.
Im kostenlosen Erstgespräch klären wir in 20 Minuten, welche Variante zu Ihrem Schutzbedarf passt (Enterprise, Azure OpenAI, Sovereign AI), welche Betreiberpflichten dadurch entstehen und wie Sie die Nutzung so aufsetzen, dass sie Ihr Team entlastet statt haftbar macht.