AIXAIGENTICX
Zurück zur Guide-Übersicht

Medizin

ChatGPT in der Arztpraxis: Was die DSGVO und § 203 StGB wirklich sagen

9 Min. Lesezeit

Eine Hausärztin diktiert nach der Sprechstunde Arztbriefe. Ein Anästhesist sucht in ChatGPT nach aktuellen Studien zu einem Medikament. Eine MFA tippt eine Patientenanfrage ab, lässt sie von einer KI in eine freundliche Antwort umschreiben. Klingt nach Produktivitätsgewinn – und ist in vielen Fällen schlicht rechtswidrig. Wir erklären, was 2026 wirklich gilt und welche Praxis-Use-Cases ohne Bauchschmerzen funktionieren.

Warum diese Frage gerade jetzt zählt

ChatGPT, Claude und Gemini sind in vielen deutschen Praxen längst im Alltag – meist inoffiziell und ohne Datenschutz-Folgenabschätzung. Bei Routine-Texten ist das harmlos. Sobald aber Patientendaten ins Spiel kommen – Namen, Diagnosen, Befunde, Laborwerte, Anschriften – greifen zwei strenge Regelwerke gleichzeitig: die DSGVO und § 203 StGB. Beide Verstöße sind teuer. Der gegen § 203 StGB ist sogar strafbar.

Wer als Praxisinhaber heute nicht klar regelt, wo KI eingesetzt werden darf, riskiert Bußgelder von bis zu 20 Millionen Euro oder 4 % Jahresumsatz (DSGVO) und eine Anzeige wegen Verletzung von Privatgeheimnissen. In der Praxis passieren die ersten echten Aufsichtsverfahren bereits seit 2024.

Was sagt die DSGVO konkret?

Gesundheitsdaten gelten nach Artikel 9 DSGVO als besondere Kategorie personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich verboten – mit eng definierten Ausnahmen, etwa zur medizinischen Versorgung. Die wichtigste Folge: für jede Verarbeitung außerhalb des Behandlungsverhältnisses brauchst du eine zusätzliche Rechtsgrundlage (z. B. Einwilligung) und musst die Verarbeiter dokumentieren.

Drei DSGVO-Probleme von Cloud-KI

  1. Auftragsverarbeitung fehlt oder ist unzureichend. OpenAI und Anthropic bieten zwar AVVs an, oft aber erst in Business-/Enterprise-Tarifen. Der private „ChatGPT Plus"-Account deiner MFA ist eindeutig kein AVV-fähiges Verarbeitungsverhältnis.
  2. Drittlandtransfer in die USA. Auch nach dem EU-US-Data Privacy Framework bleibt die Risikoabwägung in der Verantwortung der Praxis. Bei Gesundheitsdaten ist die Latte hoch.
  3. Training auf eingegebenen Inhalten. Selbst wenn das im Account abgeschaltet ist – beweisen kannst du es nicht, und der Anbieter behält Logs für Compliance-Zwecke. Für besondere Datenkategorien problematisch.

§ 203 StGB: Wenn ein Klick zur Straftat wird

Ärzte gehören zu den Berufsgeheimnisträgern nach § 203 StGB. Wer unbefugt ein „fremdes Geheimnis" offenbart, das ihm in seiner Eigenschaft als Arzt anvertraut wurde, macht sich strafbar. „Offenbaren" ist die Weitergabe an Dritte – und ein US-Cloud-Anbieter ist ein Dritter. Auch wenn er die Daten nur „technisch verarbeitet".

Wichtig

Seit der Reform 2017 ist die Einbindung externer Dienstleister ausdrücklich erlaubt – aber nur, wenn der Dienstleister vertraglich auf die Schweigepflicht verpflichtet wird (§ 203 Abs. 3 StGB). Bei einem klassischen ChatGPT-Account ist das nicht der Fall. Das macht den Eingabe-Klick selbst zur potenziellen Straftat.

Was passiert bei Verstößen?

  • DSGVO-Bußgeld: bis zu 20 Mio. € oder 4 % Jahresumsatz. Aufsichtsbehörden verhängen in der Praxis meist niedrigere fünf- bis sechsstellige Bußgelder, aber jeder Bescheid muss bezahlt werden.
  • Berufsrecht: Verweis, Geldbuße oder schlimmstenfalls Approbations-Entzug durch die Ärztekammer.
  • Strafrecht (§ 203): Geldstrafe oder Freiheitsstrafe bis zu einem Jahr. Bei kommerziellem Hintergrund bis zu zwei Jahren.
  • Zivilrechtliche Ansprüche: Schadenersatz und Schmerzensgeld für betroffene Patienten.

Was ist mit KI denn überhaupt erlaubt?

Drei Wege, mit denen Praxen 2026 sauber arbeiten:

1. Anonymisierte Eingaben

Wenn keine identifizierenden Merkmale enthalten sind („54-jährige Patientin mit Hb 8,2"), ist das technisch kein Personenbezug mehr. Klingt einfach, ist in der Praxis schwer – allein die Kombination aus Diagnose + Postleitzahl + Geschlecht kann eine Re-Identifikation ermöglichen.

2. AVV-fähige Enterprise-KI

OpenAI Enterprise, Microsoft Azure OpenAI mit deutschem Hosting und einige andere Anbieter bieten echte AVVs an. Das löst die DSGVO-Hürde, schließt aber § 203 StGB nicht automatisch ein. Hier muss separat eine Verpflichtung zur Verschwiegenheit dokumentiert werden – und die Anbieter selbst weigern sich häufig.

3. Lokale KI auf eigener Hardware

Wenn das KI-Modell direkt in der Praxis läuft – auf einem Mac mini, einer eigenen Workstation oder einem Praxis-Server – verlassen die Daten den eigenen Verantwortungsbereich nie. Es findet kein „Offenbaren" im Sinne von § 203 statt, kein Drittlandtransfer, kein externer Auftragsverarbeiter. Strukturell die einzige saubere Variante, die mit beliebigen Patientendaten funktioniert.

Was lokale KI 2026 wirklich kann

Aktuelle Open-Source-Modelle (Llama 3.3, Mistral, Qwen 2.5) erreichen bei vielen Aufgaben ein Qualitätsniveau, das dicht an GPT-4o liegt. Für Arztbriefe, Befund-Strukturierung und Recherche reicht das mehr als aus.

Konkrete Use-Cases für Praxen

Arztbriefe & Entlassbriefe

Aus drei bis vier Stichworten oder einem kurzen Diktat erzeugt die lokale KI einen strukturierten Brief im gewohnten Stil der Praxis. Realer Zeitgewinn: ein Arzt schreibt nicht mehr 30–45 Minuten pro Brief, sondern korrigiert 3–5 Minuten lang einen Entwurf.

Befund-Zusammenfassungen

Lange Untersuchungsprotokolle, Laborbefunde oder OP-Berichte werden auf das Wesentliche reduziert – inklusive Hervorhebung kritischer Werte. Besonders nützlich für die fachärztliche Übergabe.

Wissenschaftliches Arbeiten

Studien zu einer klinischen Frage sichten, Kernaussagen extrahieren, Quellenangaben strukturieren. Lokal heißt: die Fragestellung bleibt bei dir – auch wenn sie sensibel ist (z. B. eine seltene Differentialdiagnose, die Patientenidentität verraten könnte).

Patienten-Kommunikation

Rückfragen freundlich und korrekt beantworten, Termin-Erinnerungen, Informationsmaterial. Wenn die KI lokal läuft, dürfen auch identifizierende Informationen rein – sie verlassen die Praxis nicht.

Sprachsteuerung & Diktat

Mit lokalem Whisper-Modell auf der gleichen Workstation: Diktate werden in Text transkribiert, ohne dass ein Audio-Stream an einen Cloud-Dienst geht. Auch hier bleibt § 203 unproblematisch.

Checkliste: Was deine Praxis 2026 tun sollte

  1. Bestandsaufnahme: Welche KI-Tools nutzen Mitarbeiter aktuell – auch inoffiziell? Eine ehrliche Umfrage deckt mehr auf als ein Verbot.
  2. Klare Regel im Team: Keine identifizierbaren Patientendaten in Cloud-KI. Punkt. Anonymisierte Recherche-Fragen sind ok.
  3. Schreibarbeit lokal lösen: Arztbriefe, Befunde, Korrespondenz – das sind die größten Zeitfresser. Genau hier bringt lokale KI sofort spürbaren Effekt, ohne Compliance-Risiko.
  4. Datenschutz-Folgenabschätzung dokumentieren – bei lokal laufender KI fällt sie deutlich kürzer aus, ist aber Pflicht.
  5. Mitarbeiter schulen: 30 Minuten am Anfang sparen später 30 Stunden Aufräumen nach einem Datenschutzvorfall.

Fazit

ChatGPT im Browser gehört in einer Arztpraxis 2026 nicht auf die Patientenakte. Das ist keine Bremserei – das ist Berufsrecht. Die gute Nachricht: aktuelle lokale Modelle erreichen genau das Qualitätsniveau, das du für 80 % der Praxis-Use-Cases brauchst. Die Workstation läuft auf einem kompakten Mac mini neben dem Empfang, und der Workflow fühlt sich an wie ChatGPT – nur dass nichts das Haus verlässt.