KI für Arztpraxen & Kliniken: § 203 StGB, Patientendaten, Art. 9 DSGVO | meinGPT
Wie Arztpraxen, Zahnarztpraxen, Psychotherapie und Kliniken KI unter Wahrung der Schweigepflicht (§ 203 StGB) und beim Umgang mit Gesundheitsdaten (Art. 9 DSGVO) einsetzen: Arztbrief-Entwürfe, Patienten-Kommunikation, medizinische Recherche mit Quellen, Praxis-Wissensmanagement — mit echten Workflows, Beispiel-Prompt und strengen Prüf-Grenzen.
Für Ärzt:innen, Zahnärzt:innen, Psychotherapeut:innen, Praxisinhaber:innen, Praxis- und Klinikmanagement sowie MFA/Praxisteams.
- Für wen
- Ärzt:innen, Zahnärzt:innen, Psychotherapeut:innen, Praxisinhaber:innen, Praxis- und Klinikmanagement sowie MFA/Praxisteams
- Wirkung
- Weniger Zeit in Dokumentation und Korrespondenz — jede medizinisch relevante Aussage bleibt vom Arzt geprüft und verantwortet; keine Diagnose oder Therapieentscheidung durch die KI
- Aufgabe
- Arztbriefe entwerfen und medizinisch recherchieren — Schweigepflicht (§ 203 StGB), Gesundheitsdaten (Art. 9 DSGVO)
KI im Gesundheitswesen bedeutet, generative KI für die vorbereitenden, wiederkehrenden Aufgaben einer Praxis oder Klinik einzusetzen — Arztbrief- und Befund-Entwürfe aus geprüften Angaben formulieren, Patienten-Kommunikation entwerfen, medizinisch mit Quellen recherchieren und internes Praxis-Wissen zugänglich machen. Zwei Rahmen sind dabei entscheidend. Erstens die Schweigepflicht: Ärzt:innen, Zahnärzt:innen und Psychotherapeut:innen sind Berufsgeheimnisträger nach § 203 Abs. 1 Nr. 1 StGB und dürfen Patientendaten nur dann an externe IT- oder KI-Dienstleister geben, wenn diese als „mitwirkende Person“ im Sinne von § 203 Abs. 3 StGB schriftlich zur Verschwiegenheit verpflichtet werden. Zweitens der besondere Datenschutz: Gesundheitsdaten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO und dürfen nur auf einer gesonderten Rechtsgrundlage (Art. 9 Abs. 2 DSGVO) und mit strenger Sorgfalt — in der Regel pseudonymisiert — verarbeitet werden. meinGPT bietet Praxen und Kliniken für den ersten Rahmen genau diese gesonderte Verschwiegenheitsverpflichtung gemäß § 203 StGB an: SelectCode verpflichtet sich darin als mitwirkende Person nach § 203 Abs. 3 S. 2 StGB schriftlich zur Verschwiegenheit. Die KI übernimmt die vorbereitende Zuarbeit — jede medizinisch relevante Aussage, Diagnose und Therapieentscheidung prüft und verantwortet der Arzt selbst.
Von der Aufgabe zur produktiven KI-Nutzung
Für Praxen und Kliniken ist die Kernfrage nicht „kann KI das?“, sondern „darf ich Patientendaten hineingeben?“ — und die Antwort hängt an zwei Dingen. Erstens der Schweigepflicht: § 203 StGB erlaubt Berufsgeheimnisträgern ausdrücklich, sich zur Ausübung ihrer Tätigkeit „mitwirkender Personen“ zu bedienen — etwa externer IT- und KI-Dienstleister — sofern deren Einbindung erforderlich ist und sie zur Geheimhaltung verpflichtet werden. Genau diese Konstruktion bildet meinGPT in einer gesonderten Verschwiegenheitsverpflichtung gemäß § 203 StGB ab — einem eigenen, unterzeichenbaren Vertrag, nicht Teil der Standard-AGB: SelectCode verpflichtet sich darin als mitwirkende Person nach § 203 Abs. 3 S. 2 StGB schriftlich zur Verschwiegenheit, hält anvertraute fremde Geheimnisse geheim (fortdauernd über das Vertragsende hinaus), verschafft sich nur die zur Vertragserfüllung erforderliche Kenntnis und verpflichtet alle eingesetzten Mitarbeiter sowie etwaige Unterauftragnehmer (und deren Mitarbeiter) vorab ebenfalls schriftlich zur Verschwiegenheit; die Verpflichtungserklärungen sind dem Berufsträger auf Verlangen vorzulegen. Zweitens dem besonderen Datenschutz: Gesundheitsdaten sind besondere Kategorien nach Art. 9 DSGVO — ihre Verarbeitung braucht eine gesonderte Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO und besondere Sorgfalt; wo möglich sollten Patientenangaben pseudonymisiert werden, bevor sie verarbeitet werden. Technisch läuft das auf einer Plattform, die mehrere Modelle hinter einer Oberfläche mit zentraler Rechteverwaltung bündelt, in der EU betrieben wird, einen AVV vorsieht und Eingaben nicht zum Training nutzt. So bleibt der Arzt Herr des Geheimnisses und der Daten: Die KI bereitet Arztbriefe, Patientenschreiben und Recherchen vor; die medizinische Bewertung, Diagnose, Therapieentscheidung und Freigabe bleiben bei ihm.
- Für wen
- Ärzt:innen, Zahnärzt:innen, Psychotherapeut:innen, Praxisinhaber:innen, Praxis- und Klinikmanagement sowie MFA/Praxisteams
- Wirkung
- Weniger Zeit in Dokumentation und Korrespondenz — jede medizinisch relevante Aussage bleibt vom Arzt geprüft und verantwortet; keine Diagnose oder Therapieentscheidung durch die KI
- Aufgabe
- Arztbriefe entwerfen und medizinisch recherchieren — Schweigepflicht (§ 203 StGB), Gesundheitsdaten (Art. 9 DSGVO)
Was Gesundheitswesen / Arztpraxen & Kliniken mit KI erledigt
Konkrete, wiederholbare Abläufe — vom ersten Prompt bis zum verlässlichen Ergebnis.
Arztbrief- und Befund-Entwürfe formulieren
Aus geprüften, vom Arzt bereitgestellten Angaben formuliert der Assistent einen strukturierten Entwurf für einen Arztbrief oder eine Befund-Zusammenfassung in der gewünschten Form und Tonalität. Der Arzt prüft jede medizinische Aussage und gibt frei — die KI nimmt das Formulieren ab, nicht die medizinische Bewertung. Es entsteht kein Befund und keine Diagnose durch die KI; besondere Kategorien nach Art. 9 DSGVO werden nur auf gesonderter Rechtsgrundlage und, wo möglich, pseudonymisiert verarbeitet.
Patienten-Kommunikation entwerfen
Aus Stichpunkten formuliert der Assistent sachliche Entwürfe für wiederkehrende Patienten-Kommunikation — Terminerinnerungen, organisatorische Hinweise, allgemeine Aufklärungs-Informationen. Der Arzt bzw. das Praxisteam prüft Inhalt und Richtigkeit vor dem Versand; die KI liefert den Entwurf, nicht die verbindliche medizinische Aussage gegenüber der Patientin oder dem Patienten.
Medizinische Recherche mit Quellen als Vorbereitung
Zur Vorbereitung recherchiert der Assistent öffentlich verfügbare Fachinformationen und fasst sie mit Quellenangabe zusammen. Das Ergebnis ist eine Arbeitsgrundlage, keine Diagnose und keine Therapieempfehlung durch die KI — die medizinische Bewertung, Diagnose und Entscheidung trifft und verantwortet der Arzt. Modelle können Fundstellen falsch wiedergeben oder erfinden, deshalb ist jede Quelle gegen die Primärliteratur zu prüfen.
Praxis- und Klinik-Wissensmanagement zugänglich machen
Ein an interne Leitlinien, SOPs und Handbücher angebundener Assistent beantwortet wiederkehrende organisatorische und fachliche Fragen des Teams (Abläufe, interne Standards, Zuständigkeiten) mit Quellenverweis — für das Team, mit Berechtigungen, ohne dass geschützte Patientendaten die Praxis- oder Klinikgrenze verlassen. Zugriffe folgen den vergebenen Berechtigungen.
Dokumentation und Verwaltung entlasten
Der Assistent hilft, wiederkehrende Dokumentations- und Verwaltungsaufgaben zu strukturieren — etwa Vorlagen, Checklisten und interne Vermerke aus geprüften Vorgaben zu erstellen. Die medizinische Dokumentation selbst, ihre Richtigkeit und Vollständigkeit bleiben in der Verantwortung des Arztes und laufen über die geprüften Praxis- und Kliniksysteme, nicht über die KI.
Eigenen Praxis-Assistenten mit fester Prüf-Regel bauen
Ohne Programmierung stellt die Praxis oder Klinik einen Assistenten mit eigenen Vorlagen und einem festen Prüf-Hinweis zusammen ('Entwurf — vom Arzt zu prüfen und zu verantworten; keine Diagnose oder Therapieentscheidung durch die KI') und gibt ihn fürs Team frei. So ist die menschliche Kontrolle im Workflow verankert, nicht optional; keine Verarbeitung besonderer Kategorien ohne gesonderte Rechtsgrundlage und in der Regel Pseudonymisierung.
Ein echter Prompt, eine echte Antwort
Nichts versteckt — Sie sehen Eingabe und Ergebnis, bevor Sie sich anmelden.
Ich bin Ärzt:in und bereite ein Patientenschreiben vor. Formuliere aus meinen geprüften Stichpunkten einen höflichen, sachlichen Entwurf und gib ihn als Tabelle je Abschnitt aus: Abschnitt, Entwurfstext, Prüfhinweis für mich. Triff keine Diagnose, keine Therapieempfehlung und keine verbindliche medizinische Aussage; markiere jede Stelle, an der ich medizinisch prüfen oder ergänzen muss. Verwende keine echten Patientennamen. Stichpunkte: Terminerinnerung Kontrolluntersuchung, benötigte Unterlagen zum Termin mitbringen, allgemeiner Hinweis auf offene Rückfrage.
| Abschnitt | Entwurfstext (Vorschlag) | Prüfhinweis |
|---|---|---|
| Anrede & Bezug | "Sehr geehrte:r …, wir möchten Sie an Ihren anstehenden Termin erinnern." | Anrede/Bezug prüfen, keine Klarnamen im Entwurf |
| Terminerinnerung | "Ihr Termin zur Kontrolluntersuchung findet am … um … Uhr statt." | Termin gegen Kalender prüfen |
| Benötigte Unterlagen | "Bitte bringen Sie … mit, damit wir … besprechen können." | ⚠ Medizinisch prüfen: welche Unterlagen im konkreten Fall nötig sind |
| Offene Rückfrage | "Zu Ihrer Frage nach … kommen wir nach ärztlicher Prüfung gesondert auf Sie zu." | ⚠ Keine Diagnose/Therapieempfehlung im Entwurf — vom Arzt zu beantworten |
| Schluss | "Mit freundlichen Grüßen, Ihr Praxisteam" | Freigabe durch Arzt vor Versand |
Im eigenen Unternehmen umsetzen
In einer kurzen Live-Demo zeigen wir, wie diese Lösung mit meinGPT DSGVO-konform in Ihrem Unternehmen läuft — anhand Ihrer Anwendungsfälle.
Oder den Die richtige KI-Plattform auswählen — der Anforderungskatalog (PDF) als PDF herunterladen:
Geschäftliche E-Mail genügt — DSGVO-konform verarbeitet.
Auf Enterprise-Compliance ausgelegt
Praxen und Kliniken verarbeiten Berufsgeheimnisse und besondere Kategorien personenbezogener Daten — der Betrieb ist entsprechend darauf ausgelegt. meinGPT wird von der SelectCode GmbH betrieben, die nach ISO 27001 zertifiziert ist und ihre Sicherheit regelmäßig durch unabhängige Penetrationstests prüfen lässt (zuletzt SySS, 2025); Zertifikat und Nachweise sind über das Trust Center einsehbar. Die Verarbeitung erfolgt in der EU, ein Auftragsverarbeitungsvertrag (AVV) ist Standard, und Eingaben werden nicht zum Training der Modelle verwendet. Der Zugriff auf Patientendaten, Entwürfe und Wissensbasis folgt strikten Berechtigungen über zentrale Rechteverwaltung mit SSO, ist durch Least-Privilege-Scopes begrenzt und über Audit-Logs nachvollziehbar. Für Berufsgeheimnisträger kommt der entscheidende Baustein hinzu: meinGPT bietet Praxen und Kliniken eine gesonderte Verschwiegenheitsverpflichtung gemäß § 203 StGB an — einen eigenen, unterzeichenbaren Vertrag, nicht Teil der Standard-AGB. Darin verpflichtet sich SelectCode als mitwirkende Person nach § 203 Abs. 3 S. 2 StGB schriftlich zur Verschwiegenheit — hält anvertraute Geheimnisse geheim (auch über das Vertragsende hinaus), verschafft sich nur die zur Vertragserfüllung erforderliche Kenntnis und verpflichtet alle eingesetzten Mitarbeiter sowie etwaige Unterauftragnehmer (und deren Mitarbeiter) ebenfalls schriftlich zur Verschwiegenheit (§ 203 Abs. 4 StGB); die Verpflichtungserklärungen sind dem Berufsträger auf Verlangen vorzulegen. Eine Offenlegung erfolgt nur, soweit eine behördliche oder gerichtliche Pflicht dazu besteht, mit Vorabinformation, soweit zulässig. Weil Gesundheitsdaten besondere Kategorien nach Art. 9 DSGVO sind, gilt zusätzlich: Verarbeitung nur auf gesonderter Rechtsgrundlage und mit besonderer Sorgfalt, in der Regel pseudonymisiert. Zusammen mit EU-Verarbeitung, AVV und dem Ausschluss des Trainings auf Eingaben ist das die Grundlage, KI unter Wahrung der Schweigepflicht und des besonderen Datenschutzes einzusetzen; die Verschwiegenheitsverpflichtung stellt meinGPT auf Anfrage bereit. So bleiben Patientendaten kontrolliert in der Praxis- bzw. Klinik-Umgebung, statt über private KI-Accounts (Schatten-KI) verarbeitet zu werden.
- § 203 StGB: Verpflichtet der Anbieter sich als mitwirkende Person schriftlich zur Verschwiegenheit — mit einer gesonderten Verschwiegenheitsverpflichtung (§ 203 Abs. 3 S. 2 StGB), und verpflichtet er auch seine Mitarbeiter und etwaige Unterauftragnehmer schriftlich (§ 203 Abs. 4 StGB), mit Verpflichtungserklärungen, die dem Berufsträger auf Verlangen vorzulegen sind?
- Art. 9 DSGVO — Gesundheitsdaten: Werden besondere Kategorien personenbezogener Daten nur auf einer gesonderten Rechtsgrundlage (Art. 9 Abs. 2 DSGVO) verarbeitet, und unterstützt das Setup eine Pseudonymisierung von Patientenangaben?
- EU-Verarbeitung & AVV: Werden Patientendaten innerhalb der EU verarbeitet und liegt ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) vor, der Weisungsbindung, technisch-organisatorische Maßnahmen und Löschpflichten regelt?
- Kein Training auf Eingaben: Ist vertraglich zugesichert, dass Prompts, Uploads und Patientendaten nicht zum Training der Modelle verwendet werden?
- Rollen, Rechte & Protokollierung: Gibt es zentrale Nutzer- und Rechteverwaltung, SSO, Least-Privilege-Zugriffe und Audit-Logs, mit denen sich der Zugriff auf Patientendaten nachweisen lässt?
- Patientendaten-Trennung: Lassen sich Fälle und Patientendaten sauber voneinander abgrenzen, statt sie in einem gemeinsamen, unkontrollierten Kontext zu vermischen?
- Adoption & Befähigung: Gibt es Schulung und Champions, damit Praxis oder Klinik die KI korrekt, prüfend und ohne Umweg über private Schatten-KI nutzt?
Was diese Lösung (noch) nicht kann
Ehrlichkeit ist Teil der Lösung. Diese Grenzen sind bekannt — und damit kalkulierbar.
KI ist Vorbereitung und Entlastung, keine Heilkunde: Entwürfe, Zusammenfassungen und Recherchen sind Arbeitsgrundlagen. Die KI stellt keine Diagnose, trifft keine Therapieentscheidung und übt keine Heilkunde aus — jede medizinische Bewertung und Entscheidung trifft und verantwortet der Arzt selbst.
Gesundheitsdaten sind besondere Kategorien nach Art. 9 DSGVO: Ihre Verarbeitung ist nur auf einer gesonderten Rechtsgrundlage (Art. 9 Abs. 2 DSGVO) zulässig und erfordert besondere Sorgfalt; in der Regel sind Patientenangaben zu pseudonymisieren, und im Zweifel ist eine gesonderte datenschutzrechtliche Prüfung im Einzelfall geboten.
Die Schweigepflicht nach § 203 StGB und die Verantwortung für die Wahrung des Geheimnisses bleiben stets beim Arzt; die vertragliche Einbindung des Anbieters als mitwirkende Person entlastet ihn nicht von seiner eigenen Sorgfalts- und Prüfpflicht. Patientendaten dürfen nie über private KI-Accounts (Schatten-KI) verarbeitet werden.
KI-Modelle können Inhalte, Fundstellen oder Angaben falsch wiedergeben oder erfinden; kein Entwurf, keine Zusammenfassung und keine Recherche darf ungeprüft verwendet oder nach außen gegeben werden. Ein Vier-Augen- bzw. Freigabeprinzip ist dringend zu empfehlen.
meinGPT ist kein Medizinprodukt und trifft keine medizinische Zweckbestimmung; die Abgrenzung zur Medizinprodukte-Verordnung (MDR) ist zu beachten, und die KI ersetzt keine ärztliche, rechtliche oder datenschutzrechtliche Beratung. Ob und wie KI im konkreten Fall eingesetzt werden darf, sollte mit der zuständigen Ärztekammer, dem Datenschutzbeauftragten und/oder rechtlichem Beistand geklärt werden.
Häufige Fragen
Ja — aber nur unter Wahrung der Schweigepflicht. Ärzt:innen, Zahnärzt:innen und Psychotherapeut:innen sind Berufsgeheimnisträger nach § 203 Abs. 1 Nr. 1 StGB. Externe IT- und KI-Dienstleister gelten als „mitwirkende Personen“; ihnen dürfen Patientendaten nach § 203 Abs. 3 StGB offenbart werden, soweit das für die Tätigkeit erforderlich ist und der Dienstleister schriftlich zur Verschwiegenheit verpflichtet wird. meinGPT stellt Praxen und Kliniken dafür eine gesonderte Verschwiegenheitsverpflichtung gemäß § 203 StGB bereit, in der sich SelectCode als mitwirkende Person nach § 203 Abs. 3 S. 2 StGB schriftlich zur Verschwiegenheit verpflichtet. Zusätzlich braucht es EU-Verarbeitung, einen AVV, die Zusicherung, dass Eingaben nicht zum Training verwendet werden, und — weil Gesundheitsdaten besondere Kategorien nach Art. 9 DSGVO sind — eine gesonderte Rechtsgrundlage. Über private KI-Accounts ohne solche Bindung dürfen Patientendaten nicht verarbeitet werden.
Weiter geht's
- § 203 StGB — Verletzung von Privatgeheimnissen (Gesetze im Internet)
- Art. 9 DSGVO — Verarbeitung besonderer Kategorien personenbezogener Daten (EUR-Lex)
- Europäische Kommission — Datenschutz (DSGVO)
- meinGPT — Trust Center (ISO 27001, Sicherheit & Datenschutz)
Zuletzt geprüft: 2026-07-02T00:00:00.000Z