muunai LogoLogin
Book a demoTry for free
Datenschutz

DSGVO-konforme KI in der Arztpraxis

28. Mai 2026

Warum Praxen genau hinsehen sollten

KI kann Praxen bei der Dokumentation, Organisation und Kommunikation entlasten. Gleichzeitig werden im medizinischen Alltag besonders sensible Daten verarbeitet. Für Ärzt:innen und Praxisteams zählt deshalb nicht nur, ob eine Lösung gut funktioniert, sondern auch, wie sie Daten verarbeitet, speichert und schützt.

Warum Datenschutz bei medizinischer KI entscheidend ist

Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und unterliegen einem erhöhten Schutzniveau. Jede Verarbeitung, auch durch KI-Systeme, muss daher auf einer klaren Rechtsgrundlage beruhen, zweckgebunden erfolgen und durch geeignete technische und organisatorische Maßnahmen abgesichert sein.

Worauf Praxen achten sollten

Rechtsgrundlage und Zweckbindung

Die Verarbeitung von Patientendaten durch KI muss einem konkreten, legitimen Zweck dienen, etwa der Behandlungsdokumentation. Eine Weiterverwendung zu anderen Zwecken, beispielsweise zum unkontrollierten Training von Modellen, ist ohne gesonderte Grundlage unzulässig.

Auftragsverarbeitung (AVV)

Wird ein externer KI-Dienst genutzt, ist in der Regel ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO erforderlich. Dieser regelt, wie der Anbieter mit den Daten umgeht, und verpflichtet ihn auf das Schutzniveau der DSGVO.

Datenminimierung und Lokalität

Je weniger Daten verarbeitet und je näher diese am Entstehungsort bleiben, desto geringer ist das Risiko. Lösungen, die Daten lokal oder innerhalb der EU verarbeiten, können Datenschutzrisiken reduzieren und die Prüfung der DSGVO-Anforderungen erleichtern.

Transparenz und Patientenrechte

Patient:innen müssen über die Verarbeitung ihrer Daten informiert werden. Auskunfts-, Berichtigungs- und Löschrechte müssen jederzeit gewahrt bleiben, auch wenn KI im Spiel ist.

Was für die Auswahl zählt

KI und Datenschutz schließen sich nicht aus. Praxen sollten aber prüfen, ob Rechtsgrundlage, AVV, Datenminimierung, Speicherort und Sicherheitskonzept nachvollziehbar dokumentiert sind.