Datenschutz und KI-Telefonie in der Arztpraxis: Was DSGVO und AI Act für Ihre Ordination bedeuten

Der Einsatz von Künstlicher Intelligenz in der Arztpraxis wirft bei vielen Praxisinhabern eine zentrale Frage auf: Ist das datenschutzkonform? Die Antwort lautet: Ja – wenn bestimmte Rahmenbedingungen eingehalten werden. In diesem Artikel erklären wir die rechtlichen Grundlagen, die für den Einsatz von KI-Telefonassistenten relevant sind, und geben konkrete Hinweise, worauf Sie bei der Auswahl und Konfiguration achten sollten.

Die rechtliche Ausgangslage: DSGVO im Gesundheitswesen

Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonders schützenswerten Datenkategorien. Ihre Verarbeitung ist grundsätzlich untersagt – es sei denn, es liegt eine der definierten Ausnahmen vor. Für Arztpraxen sind das typischerweise die Einwilligung des Patienten (Art. 9 Abs. 2 lit. a) oder die Verarbeitung zum Zwecke der Gesundheitsvorsorge (Art. 9 Abs. 2 lit. h).

Wichtig ist die Unterscheidung: Ein KI-Telefonassistent, der rein administrative Daten erfasst (Name, Geburtsdatum, Terminwunsch), verarbeitet in der Regel keine Gesundheitsdaten im engeren Sinne. Ein Rezeptwunsch mit Medikamentenname hingegen kann durchaus als Gesundheitsdatum gelten. Die korrekte Einordnung hängt vom konkreten Einsatzszenario ab.

Auftragsverarbeitung: Die vertragliche Grundlage

Jeder Anbieter eines KI-Telefonsystems, der personenbezogene Daten im Auftrag der Praxis verarbeitet, ist ein Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Das bedeutet:

• Ein Auftragsverarbeitungsvertrag (AVV) ist zwingend erforderlich – achten Sie darauf, dass der Anbieter diesen proaktiv bereitstellt.
• Technische und organisatorische Maßnahmen (TOM) müssen dokumentiert sein: Verschlüsselung, Zugriffskontrollen, Löschkonzepte.
• Serverstandort und Datenverarbeitung sollten innerhalb der EU erfolgen, um Probleme mit Drittlandtransfers zu vermeiden.
• Subauftragnehmer (z. B. Cloud-Provider) müssen transparent benannt sein.

Der EU AI Act: Was kommt auf Praxen zu?

Seit August 2024 gilt der EU AI Act, der KI-Systeme nach Risikostufen klassifiziert. Für KI-Anwendungen im Gesundheitsbereich gilt grundsätzlich eine erhöhte Aufmerksamkeit, jedoch ist die Einstufung differenziert zu betrachten:

• Hochrisiko-KI (Anhang III): Systeme, die medizinische Entscheidungen treffen oder beeinflussen, unterliegen strengen Anforderungen wie Risikomanagementsystemen, Datentransparenz und menschlicher Aufsicht.
• KI mit begrenztem Risiko: Systeme, die rein administrative Aufgaben ausführen (Terminbuchung, Datenerfassung), fallen in der Regel nicht unter die Hochrisiko-Kategorie, müssen aber Transparenzpflichten erfüllen.

Konkret bedeutet das: Ein Telefonassistent, der Termine bucht und Rezeptwünsche aufnimmt, muss den Anrufer darüber informieren, dass er mit einem KI-System spricht. Eine medizinische Triage oder Symptombewertung durch das System würde hingegen in die Hochrisiko-Kategorie fallen.

Praxisleitfaden: 6 Kriterien für die Anbieterauswahl

1. AVV vorhanden? Der Anbieter muss einen DSGVO-konformen Auftragsverarbeitungsvertrag bereitstellen.
2. Serverstandort in der EU? Datenverarbeitung und -speicherung sollten ausschließlich auf Servern in der Europäischen Union erfolgen.
3. Verschlüsselung? Sowohl bei der Übertragung (TLS) als auch bei der Speicherung (AES-256) müssen Daten verschlüsselt sein.
4. Löschkonzept? Es muss klar definiert sein, wann und wie Gesprächsdaten gelöscht werden.
5. Transparenzpflicht erfüllt? Der Assistent muss sich zu Beginn des Gesprächs als KI-System identifizieren.
6. Keine medizinische Bewertung? Das System darf keine Symptome bewerten oder Diagnosen stellen – es bleibt strikt administrativ.

Häufige Missverständnisse

„KI darf keine Patientendaten verarbeiten"

Das ist so pauschal nicht richtig. KI darf Patientendaten verarbeiten, wenn die rechtliche Grundlage stimmt und die technischen Schutzmaßnahmen angemessen sind. Ein korrekt implementiertes System mit AVV, EU-Serverstandort und Verschlüsselung erfüllt die DSGVO-Anforderungen.

„Ich brauche für jeden Anrufer eine Einwilligung"

Nicht unbedingt. Wenn der Assistent rein administrative Daten erfasst, kann die Verarbeitung auf dem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) basieren. Bei gesundheitsbezogenen Daten wird eine Information und ggf. Einwilligung jedoch empfohlen.

Fazit

Datenschutz ist kein Hinderungsgrund für den Einsatz von KI-Telefonassistenten in der Arztpraxis – vorausgesetzt, Anbieter und Praxis halten sich an die bestehenden Regelwerke. Die DSGVO bietet einen klaren Rahmen, der AI Act ergänzt diesen um KI-spezifische Transparenzpflichten. Praxen, die einen seriösen Anbieter mit EU-Hosting, AVV und klarer administrativer Abgrenzung wählen, sind auf der sicheren Seite.