Der ChatGPT-Irrtum: Warum US-Server für Ihre Praxis tabu sind

Ich sage es gleich vorweg, weil ich diese Diskussion auf Ärztekongressen fast wöchentlich führe: Nein, Sie dürfen keine Patientendaten in ein Standard-KI-Modell kopieren. Niemals. Auch nicht 'nur mal kurz' zum Umformulieren eines holprigen Satzes. Die <a href='https://www.bundesaerztekammer.de/themen/aerzte/datenschutz/' target='_blank'>Bundesärztekammer ist beim Thema Datenschutz</a> extrem deutlich. Wenn Sie die Symptome, Laborwerte und den Namen von Frau Müller in einen amerikanischen Server jagen, begehen Sie einen massiven Bruch der ärztlichen Schweigepflicht.

Das Problem liegt in der Architektur dieser Systeme. Die Daten, die Sie dort eingeben, werden oft zum Training künftiger Sprachmodelle verwendet. Stellen Sie sich das mal vor: Ein völlig Fremder fragt die KI in drei Jahren nach einem seltenen Krankheitsbild, und das System spuckt als Referenz die hochsensible Anamnese Ihres Patienten aus. Ein absolutes Desaster. Wenn Sie sich genauer dafür interessieren, wie man es richtig macht, werfen Sie einen Blick auf unseren Artikel zum Thema <a href='/chatgpt-fuer-aerzte-datenschutz-ki-praxis'>ChatGPT für Ärzte</a>.

Zudem greift hier das berüchtigte Schrems-II-Urteil des Europäischen Gerichtshofs. Datentransfers in die USA sind ohne massive zusätzliche Schutzmaßnahmen rechtlich hochgradig unsicher. Wer hier als Praxisinhaber erwischt wird, zahlt nicht nur aus der Portokasse. Die Aufsichtsbehörden verhängen Bußgelder, die bis zu 4 % des weltweiten Jahresumsatzes betragen können. Für eine gut laufende Gemeinschaftspraxis bedeutet das schnell den finanziellen Ruin.

§ 203 StGB: Wenn die Software Sie ins Gefängnis bringen kann

Wir reden oft nur über die DSGVO. Aber ehrlich gesagt ist die Datenschutzgrundverordnung nicht Ihr größter Feind. Ihr größter Feind ist § 203 des Strafgesetzbuches (StGB) – die Verletzung von Privatgeheimnissen. Hier geht es nicht um Geldstrafen von einer Behörde, hier geht es um echte strafrechtliche Konsequenzen. Bis zu einem Jahr Freiheitsstrafe stehen auf dem Spiel.

Wenn Sie eine medizinische Dokumentation KI nutzen, geben Sie das Geheimnis de facto an einen Dritten weiter – nämlich an den Softwareanbieter. Das ist nur dann straffrei, wenn dieser Anbieter vertraglich zur Verschwiegenheit verpflichtet wurde und Sie einen lückenlosen Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen haben. Und hier trennt sich bei den KI-Tools auf dem Markt massiv die Spreu vom Weizen.

Viele hippe Start-ups aus dem Silicon Valley bieten Ihnen gar keinen AV-Vertrag nach europäischem Standard an. Oder die Server stehen in AWS-Rechenzentren, bei denen der US-Geheimdienst über den CLOUD Act theoretisch Hintertüren nutzen könnte. Eine echte DSGVO Arztpraxis Software wie docreport.eu hingegen hostet ausschließlich auf europäischen, DSGVO-konformen Servern und stellt Ihnen einen wasserdichten AV-Vertrag zur Verfügung. Ohne dieses Stück Papier arbeiten Sie im illegalen Blindflug.

Medizinische Befunde diktieren: Vom analogen Diktiergerät zur KI-Cloud

Lassen Sie uns praktisch werden. Medizinische Befunde diktieren wir Ärzte seit Jahrzehnten. Früher saß am anderen Ende eine medizinische Fachangestellte (MFA) mit Kopfhörern, die das Band abgetippt hat. Heute ist es eine KI. Der entscheidende Unterschied? Die Kassette lag in Ihrem Schreibtisch. Die KI-Sprachdatei fliegt durchs Internet.

Wenn Sie heute eine moderne <a href='/spracherkennung-medizin'>Spracherkennung für die Medizin</a> einsetzen, müssen Sie zwingend darauf achten, dass die Audioübertragung Ende-zu-Ende verschlüsselt ist. Es reicht nicht, dass das Transportprotokoll (HTTPS) sicher ist. Die Daten müssen auf dem Server so verarbeitet werden, dass selbst die Administratoren des Rechenzentrums keinen Zugriff auf das unverschlüsselte Diktat haben.

Ich sehe oft Praxen, die diktieren ihre Befunde ins Smartphone über WhatsApp oder nutzen Siri zur Spracherkennung. Da rollen sich mir die Fußnägel hoch. Apple und Meta sind keine Auftragsverarbeiter nach § 203 StGB. Eine spezialisierte Softwarelösung erfasst die Sprache, wandelt sie direkt auf gesicherten Servern im DACH-Raum in Text um und löscht die Audiodatei im Idealfall sofort nach der Transkription. Das Prinzip der Datensparsamkeit in Reinkultur.

• Nutzen Sie niemals Consumer-Apps (WhatsApp, Siri, Google Assistant) für Patientendiktate.
• Bestehen Sie auf Serverstandorte in Deutschland, Österreich oder der Schweiz.
• Prüfen Sie, ob der Anbieter die Audiodateien nach der Transkription unwiderruflich löscht.
• Achten Sie auf Ende-zu-Ende-Verschlüsselung bei der Datenübertragung.

Abrechnung und ICD-10: Wo die KI mitliest

Die Dokumentation ist nur die halbe Miete. Was danach kommt, ist die Abrechnung. Und genau hier wird es beim Thema DSGVO Arztpraxis Software richtig komplex. Wenn Sie eine KI einsetzen, um aus dem Gesprächsverlauf automatisch die passenden GOÄ-, EBM- oder TARDOC-Ziffern zu generieren, muss die KI tiefe Einblicke in die Behandlungsdetails haben.

Nehmen wir ein Beispiel: Die KI analysiert den Text und schlägt die passenden ICD-10 Codes vor. Das ist ein Segen für die Praxisliquidität, weil weniger abgerechnete Leistungen vergessen werden. Mehr dazu finden Sie in unserem Beitrag zur <a href='/goae-ebm-abrechnung-ki'>KI-gestützten GOÄ/EBM Abrechnung</a>. Aber datenschutzrechtlich bedeutet das, dass Diagnose- und Finanzdaten miteinander verknüpft werden.

Die <a href='https://www.kbv.de/html/datensicherheit.php' target='_blank'>Kassenärztliche Bundesvereinigung (KBV)</a> verlangt für solche Schnittstellen höchste Sicherheitsstandards. Die Lösung von docreport.eu setzt hier auf getrennte Datenströme. Die KI zieht sich die rein medizinischen Strukturdaten zur Kodierung, ohne dass diese dauerhaft mit der Patientenidentität (Name, Adresse) auf externen Servern gespeichert bleiben müssen. Pseudonymisierung ist hier das Zauberwort. Die KI muss nicht wissen, dass es Herr Schmidt ist. Sie muss nur wissen: Männlich, 54 Jahre, Hypertonie, Erstvorstellung im Quartal.

Cloud vs. lokaler Server: Ein Glaubenskrieg, der längst entschieden ist

Ich höre es immer wieder von älteren Kollegen: 'Meine Daten bleiben bei mir im Keller auf meinem eigenen Server. Da ist es sicher.' Das war vielleicht 2010 richtig. Heute ist das schlichtweg Kokolores. Die Wahrheit ist: Ein professionell gemanagtes Cloud-Rechenzentrum in Frankfurt am Main ist tausendmal sicherer als der verstaubte Windows-Server im Abstellraum Ihrer Praxis, auf dem die MFA nebenbei noch E-Mails mit verdächtigen Anhängen öffnet.

Die Bedrohung hat sich verlagert. Es geht heute nicht mehr um den Einbrecher, der den Rechner klaut. Es geht um Ransomware. Hackerbanden verschlüsseln gezielt Arztpraxen und fordern Lösegeld. Wenn Ihr lokaler Server infiziert ist, ist die Praxis tot. Keine Termine, keine Befunde, keine Abrechnung.

Eine moderne DSGVO Arztpraxis Software aus der Cloud bietet automatische, georedundante Backups. Wenn Ihr Praxis-PC von einem Kryptotrojaner befallen wird, nehmen Sie einfach einen neuen Laptop, loggen sich über eine Zwei-Faktor-Authentifizierung (2FA) in Ihr System ein und arbeiten nahtlos weiter. Die Cloud ist nicht Ihr Feind beim Datenschutz – sie ist, richtig konfiguriert und von zertifizierten Anbietern betrieben, Ihr bester Schutzschild gegen Cyberkriminalität.

Patientenaufklärung: Was Sie im Wartezimmer aushängen müssen

Datenschutz ist keine Einbahnstraße. Wenn Sie in Ihrer Praxis KI-Tools zur Spracherkennung oder Dokumentation einsetzen, müssen Ihre Patienten das wissen. Die DSGVO verlangt absolute Transparenz. Art. 13 DSGVO fordert die Informationspflicht bei Erhebung von personenbezogenen Daten.

Sie brauchen keinen 30-seitigen Disclaimer, den der Patient vor der Behandlung unterschreiben muss. Aber Ihre Datenschutzerklärung am Empfang (das berühmte Klemmbrett oder der Aushang im Wartezimmer) muss angepasst werden. Dort muss klar stehen, dass zur Dokumentation der Behandlung und zur Erstellung von Arztbriefen cloudbasierte Spracherkennungssysteme europäischer Anbieter unter Einhaltung strenger AV-Verträge genutzt werden.

Aus meiner Erfahrung reagieren 99 % der Patienten darauf völlig gelassen. Im Gegenteil: Wenn ich einem Patienten erkläre, dass ich ihm durch die KI besser zuhören kann, weil ich nicht ständig auf den Bildschirm starren und tippen muss, sind die Leute begeistert. Die Technik dient ja der besseren Medizin. Man muss es nur vernünftig kommunizieren.

Die Schweiz und Österreich: TARDOC und das revDSG

Da docreport.eu im gesamten DACH-Raum genutzt wird, noch ein wichtiges Wort zu unseren Nachbarn. Die Schweiz hat mit dem revidierten Datenschutzgesetz (revDSG) massiv nachgezogen. Auch wenn die Schweiz nicht in der EU ist, gelten nun nahezu identische, teilweise sogar strengere Vorgaben für Gesundheitsdaten. Insbesondere bei der anstehenden TARDOC-Umstellung werden riesige Datenmengen bewegt.

Wer als Schweizer Arzt eine KI-Software nutzt, muss sicherstellen, dass die Daten entweder in der Schweiz bleiben oder in Ländern verarbeitet werden, die ein angemessenes Datenschutzniveau aufweisen (wie Deutschland). Ein Hosting in den USA ist unter dem revDSG für Gesundheitsdaten ebenfalls ein massives juristisches Risiko.

In Österreich gelten die DSGVO und das österreichische Datenschutzgesetz (DSG) parallel. Die Österreichische Ärztekammer prüft sehr genau, welche Tools zum Einsatz kommen. Eine Software, die in Deutschland als DSGVO-konform eingestuft wird, erfüllt in der Regel auch die strengen Vorgaben in Österreich. Wichtig ist jedoch überall: Der Verantwortliche im Sinne des Datenschutzes bleiben immer Sie als Praxisinhaber. Sie können diese Verantwortung nicht an den Softwarehersteller delegieren.

Checkliste: So prüfen Sie KI-Tools für Ihre Praxis auf Herz und Nieren

Wie trennen Sie nun die seriösen Anbieter von den schwarzen Schafen? Glauben Sie mir, ich habe in 15 Jahren Redaktionsarbeit hunderte Praxis-Tools getestet. 90 Prozent davon sind überteuerter Schrott, der an den echten Praxisabläufen grandios scheitert oder Datenschutz nur als Feigenblatt auf der Website stehen hat.

Lassen Sie sich nicht von bunten Marketing-Folien blenden. Fordern Sie harte Fakten. Bevor Sie eine medizinische Dokumentations-KI in Ihrer Praxis ausrollen, müssen Sie dem Vertriebler des Anbieters folgende Fragen stellen – und bei Zögern oder Ausflüchten sofort den Hörer auflegen.

Eine professionelle Lösung wie docreport liefert Ihnen diese Dokumente proaktiv mit. Da müssen Sie nicht betteln. Das System wurde von Grund auf so entwickelt, dass die KI die ärztliche Arbeit unterstützt, ohne die Firewall der Schweigepflicht zu durchbrechen.

• Wo genau stehen die Server? (Antwort muss sein: Deutschland, Schweiz oder EU - niemals USA).
• Wird ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO angeboten?
• Werden meine Patientendaten zum Trainieren der globalen KI-Modelle verwendet? (Antwort muss NEIN sein).
• Gibt es ein technisches und organisatorisches Maßnahmenpaket (TOMs), das ich einsehen kann?
• Unterstützt die Software Zwei-Faktor-Authentifizierung (2FA) für alle Praxis-Logins?

Mein Fazit nach 15 Jahren Healthcare-IT

Die Digitalisierung der Arztpraxis lässt sich nicht aufhalten – und das ist gut so. Wir ersticken in Bürokratie. Laut einer aktuellen Umfrage verbringen Ärzte fast 60 Tage im Jahr nur mit administrativen Aufgaben. Das ist verlorene Lebenszeit und verlorene Zeit am Patienten. KI-gestützte Spracherkennung und automatisierte Arztbriefschreibung sind der einzige Ausweg aus diesem Wahnsinn.

Aber der Preis für diese Effizienz darf niemals die Datensicherheit Ihrer Patienten sein. Das Risiko einer Abmahnung, eines Bußgeldes oder gar des Verlustes der Approbation wegen der Nutzung von Consumer-KI-Tools ist absolut real. Es ist schlichtweg dumm, dieses Risiko einzugehen, wenn es längst spezialisierte, rechtssichere Alternativen gibt.

Mit einer durchdachten DSGVO Arztpraxis Software wie docreport.eu schlagen Sie zwei Fliegen mit einer Klappe. Sie reduzieren Ihren Dokumentationsaufwand drastisch (ich spreche hier von Ersparnissen von bis zu 4 Stunden pro Tag in großen Praxen), automatisieren Ihre Abrechnung und schlafen nachts trotzdem ruhig, weil Sie wissen, dass der Datenschutz lückenlos gewährleistet ist. Machen Sie keine Kompromisse bei § 203 StGB. Ihre Praxis ist Ihr Lebenswerk – schützen Sie es.