Überblick

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen, Unterlagen und Auswertungen — kurz GoBD — sind kein neues Thema. Was aber neu ist: Seit 2025 nutzt fast jede dritte Praxis irgendeine Form von KI-Unterstützung bei der Dokumentation. Und kaum jemand hat sich gefragt, ob das eigentlich noch GoBD-konform ist. Ich auch nicht. Bis zu diesem Gespräch.

In diesem Artikel teile ich alles, was ich seitdem darüber gelernt habe — aus der Perspektive eines Internisten, der seine Praxis Schritt für Schritt digitalisiert hat und jetzt vor der Frage stand: Bleibe ich mit meiner KI-Dokumentation auf der sicheren Seite?

Was sind die GoBD — und warum sollten Sie sich als Arzt darum kümmern?

Die GoBD sind keine Erfindung des Finanzamts, um Ärztinnen und Ärzte zu quälen. (Auch wenn es sich manchmal so anfühlt.) Sie definieren die Mindestanforderungen an die elektronische Dokumentation in Deutschland — und ja, das betrifft auch Arztbriefe, Abrechnungsunterlagen und Patientenakten, sobald sie digital erstellt oder gespeichert werden.

Die sieben Kernprinzipien, die Sie kennen müssen:

Klingt theoretisch? Wird sofort praktisch, wenn Sie KI-Tools einsetzen. Denn hier stellt sich die Frage: Wer dokumentiert eigentlich — Sie oder die Maschine? Und was passiert, wenn die KI einen Arztbrief generiert, den Sie nachträglich bearbeiten?

• Nachvollziehbarkeit: Jede Buchung, jeder Eintrag muss nachprüfbar sein. Dritte müssen die Entstehung des Dokuments verstehen können.
• Prüfbarkeit: Die Finanzverwaltung muss die Daten ohne besondere Softwarekenntnisse prüfen können.
• Vollständigkeit: Keine Einträge dürfen fehlen oder nachträglich entfernt werden — ohne dass das dokumentiert ist.
• Richtigkeit: Daten müssen sachlich korrekt und frei von Manipulation sein.
• Zeitgerechte Erfassung: Dokumentation sollte zeitnah zum Entstehungszeitpunkt erfolgen.
• Ordnung: Struktur und Systematik müssen durchgehend konsistent sein.
• Unveränderbarkeit: Nachträglich erstellte oder veränderte Einträge müssen als solche erkennbar sein.

Das GoBD-Problem mit KI-Dokumentation

Lassen Sie mich konkret werden. Mein Arbeitsalltag sieht so aus: Ich sehe einen Patienten, spreche meine Befunde in ein Headset, und eine KI — in meinem Fall DocReport — generiert daraus einen strukturierten Arztbrief. Ich korrigiere zwei bis drei Sätze, bestätige den Brief, und er landet in der Patientenakte.

Klingt effizient. Ist es auch. Aber aus GoBD-Sicht gibt es hier mindestens drei kritische Momente:

Moment eins: Die KI-Erstellung. Der ursprüngliche Text stammt nicht von mir, sondern von einem Algorithmus. Ist das noch eine "ordnungsmäßige Aufzeichnung"? Ja — aber nur, wenn dokumentiert ist, dass KI im Spiel war und ich als verantwortlicher Arzt den Inhalt geprüft habe.

Moment zwei: Meine Korrektur. Ich ändere drei Sätze. Die ursprüngliche KI-Version existiert nicht mehr — oder doch? Wenn die Software keine Versionshistorie führt, fehlt die Nachvollziehbarkeit. Und die ist eines der sieben GoBD-Prinzipien.

Moment drei: Die finale Version. Ist sie unveränderlich gespeichert? Oder kann jeder MFA-Kollege am Nachmittag noch etwas ändern, ohne dass ein Änderungsprotokoll entsteht?

Genau diese drei Momente haben mich dazu gebracht, meine gesamte Dokumentationskette zu überprüfen. Das Ergebnis war... aufschlussreich. Im Sinne von: ich hatte Arbeit.

Was ich in meiner Praxis geändert habe — Schritt für Schritt

Schritt 1: Versionshistorie aktivieren

Die wichtigste Einzelmaßnahme. Meine KI-Software (DocReport) führte standardmäßig eine Versionshistorie — aber ich hatte sie nie aktiv genutzt. Seit dem Gespräch mit meiner Steuerberaterin speichert das System jede Version eines Arztbriefs: die KI-Originalversion, meine Korrektur, den finalen Freigabestand. Jede Version trägt einen Zeitstempel und meine Benutzerkennung.

Das ist der Kern der GoBD-Nachvollziehbarkeit: Es muss nachprüfbar sein, wer was wann geändert hat. Nicht weil das Finanzamt böswillig ist. Sondern weil es bei einer Betriebsprüfung sonst heißt: "Wir können die Entstehung dieses Dokuments nicht nachvollziehen. Das ist ein Risiko."

Schritt 2: Elektronische Unterschrift mit Zeitstempel

Früher habe ich Arztbriefe einfach per Klick "freigegeben". Kein Passwort, keine zweite Authentifizierung. Aus GoBD-Sicht reicht das nicht. Ich nutze jetzt eine qualifizierte elektronische Signatur — nicht für jeden einzelnen Brief, das wäre Wahnsinn, sondern als Freigabeprotokoll mit meinem persönlichen Login und einem automatischen Zeitstempel.

Die gute Nachricht: Die meisten modernen Praxisverwaltungssysteme bieten das an. Die schlechte: Kaum einer nutzt es. Fragen Sie Ihren PVS-Anbieter. Wenn er keine revisionssichere Freigabe kann, ist das ein Warnsignal.

Schritt 3: Protokollierung der KI-Verwendung

Seit ich KI für die Arztbriefgenerierung einsetze, dokumentiere ich das. Nicht jedes Mal manuell — das System macht es automatisch. In den Metadaten jedes Arztbriefs steht: "Erstellt mit KI-Unterstützung. Verantwortlicher Arzt: Dr. M. Fleischer. Prüfdatum: [Datum]."

Warum? Weil die Finanzverwaltung im Zweifelsfall wissen will, ob ein Dokument manuell oder maschinell erstellt wurde. Und weil Transparenz das einfachste Mittel gegen Vorbehalte ist.

Der EU AI Act und was er für Ihre Praxis bedeutet

Seit Februar 2025 gilt die AI Literacy-Pflicht des EU AI Act — jeder, der KI beruflich einsetzt, muss ein grundlegendes Verständnis davon haben. Das betrifft auch Arztpraxen.

Ab August 2026 kommen die Betreiberpflichten hinzu. Dann müssen Praxen, die KI-Systeme nutzen, folgende Punkte nachweisen:

Für die ärztliche Dokumentation bedeutet das nichts Revolutionäres — wir prüfen KI-Texte ohnehin. Aber die Dokumentation dieser Prüfung ist neu. Und genau hier verbinden sich GoBD und AI Act: Beide fordern Nachvollziehbarkeit und Unveränderbarkeit.

Eine Untersuchung der Universitätsklinik Tübingen aus dem Jahr 2025 zeigte: Etwa 8 Prozent der KI-generierten Arztbriefe enthielten klinisch relevante Abweichungen vom Original-Befund. Acht Prozent. Bei hundert Briefen pro Woche sind das acht Briefe mit potenziell falschen Informationen. Ohne menschliche Prüfung — und ohne Protokollierung dieser Prüfung — ist das ein GoBD-Risiko und ein Haftungsrisiko zugleich.

Sie finden Details dazu im Leitfaden KI in der Arztpraxis und im MVZ 2026, der auch die aktuellen Rechtsrahmen für KI-Einsatz in Praxen zusammenfasst.

• Menschliche Aufsicht: Jedes KI-generierte Dokument muss von einer qualifizierten Person geprüft werden. (Das machen wir ohnehin — aber es muss dokumentiert sein.)
• Protokollpflicht: Die Eingabedaten und die generierten Ergebnisse müssen nachvollziehbar gespeichert werden.
• Risikomanagement: Es muss ein Prozess geben, der Fehler der KI erkennt und korrigiert.

DSGVO, §203 StGB und Patientendaten bei der KI

Die GoBD sind eine Sache. Der Datenschutz eine andere. Und §203 StGB — die Verschwiegenheitspflicht — eine dritte. Alle drei müssen stimmen, wenn Sie KI in der Praxis einsetzen.

Datenschutzrechtlich gilt: Patientendaten dürfen nur in Ausnahmefällen außerhalb der EU verarbeitet werden. Wenn Ihre KI-Software auf Servern in den USA läuft, brauchen Sie EU-Standardvertragsklauseln oder — besser — einen Anbieter mit Serverstandort in Deutschland.

Berufsrechtlich gilt §203 StGB: Sie dürfen Patientendaten nur an Personen weitergeben, die Ihrer Schweigepflicht unterliegen. Ein Cloud-Anbieter? Gehört nicht automatisch dazu. Die Lösung: Entweder der Anbieter unterzeichnet eine entsprechende Vereinbarung, oder die Daten werden pseudonymisiert verarbeitet.

Ich habe mich für Letzteres entschieden. Meine KI-Software verarbeitet Patientennamen, Geburtsdaten und Krankheitsinformationen auf einem deutschen Server. Das war ein Auswahlkriterium — nicht das einzige, aber ein entscheidendes.

Weitere Details zum Thema Datenschutz bei KI in der Praxis finden Sie in unserem Artikel zu ChatGPT für Ärzte und Datenschutz.

Häufige Fehler bei der GoBD-konformen KI-Dokumentation

In den letzten zwölf Monaten habe ich mit Kollegen gesprochen, die ebenfalls KI einsetzen. Die häufigsten Fehler:

Fehler 1: Keine Versionshistorie

"Die KI schreibt den Brief, ich korrigiere, fertig." Nein. Wenn keine Version vor der Korrektur gespeichert ist, fehlt die Nachvollziehbarkeit. Lösung: Software nutzen, die automatisch Versionen speichert — oder zumindest den KI-Originalbrief als Anhang archivieren.

Fehler 2: Fehlende Kennzeichnung der KI-Erstellung

Arztbriefe, die von KI generiert wurden, sollten als solche gekennzeichnet sein. Nicht prominent — ein kleiner Hinweis in den Metadaten reicht. Aber er muss da sein.

Fehler 3: Gemeinsame Logins

Wenn drei Ärztinnen und zwei MFAs sich denselben Login teilen, ist die Zuordnung von Änderungen unmöglich. Jeder braucht ein eigenes Benutzerkonto. Das ist keine IT-Spielerei, sondern eine GoBD-Anforderung.

Fehler 4: Keine Aufbewahrungsfrist-Strategie

GoBD-konforme Dokumente müssen zehn Jahre aufbewahrt werden. Bei KI-generierten Dokumenten gehören auch die Eingabedaten (das Diktat, die Rohdaten) dazu. Wer nur den fertigen Brief speichert und das Diktat löscht, ist nicht vollständig.

Fehler 5: Blutrudimentäre Verträge mit dem KI-Anbieter

Wenn Sie eine KI-Software als Dienstleistung nutzen (SaaS), muss der Vertrag Regelungen zur Auftragsverarbeitung, zum Serverstandort und zur Datenrückgabe enthalten. Ohne diese Vertragsgrundlage ist die GoBD-Konformität fragwürdig.

Mehr zu typischen Dokumentationsfehlern und deren Vermeidung lesen Sie in unserem Beitrag über KI-Lösung für fehlerfreie medizinische Berichte.

Was eine Betriebsprüfung bei KI-Dokumentation prüft

Ich hatte — bis zum Glück — noch keine Betriebsprüfung mit KI-Fokus. Aber meine Steuerberaterin hat mir beschrieben, was aktuell auf dem Prüfstand landet:

Wenn Sie diese fünf Punkte abhaken können, sind Sie für eine Prüfung gerüstet. Wenn nicht — jetzt wäre ein guter Zeitpunkt, etwas zu tun.

• Software-Dokumentation: Welche Systeme nutzen Sie? Wie funktioniert die KI-Einbindung?
• Zugriffskontrolle: Wer hat welche Rechte? Gibt es ein Rollenkonzept?
• Änderungshistorie: Können Sie zu jedem Dokument nachweisen, wer wann was geändert hat?
• Archivierung: Sind die Daten unveränderbar gespeichert? Gibt es ein Backup-Konzept?
• Verträge: Liegt ein Auftragsverarbeitungsvertrag mit jedem KI-Anbieter vor?

Praktische Checkliste: GoBD-konforme KI-Dokumentation in 7 Punkten

Hier ist die Checkliste, die ich für meine eigene Praxis erstellt habe. Sie können sie als Startpunkt nutzen:

• [ ] KI-Einsatz dokumentieren: Welches Tool, wofür, seit wann. Ein einfaches Word-Dokument reicht als Nachweis.
• [ ] Versionshistorie aktivieren: Jede Änderung muss mit Zeitstempel und Benutzerkennung protokolliert sein.
• [ ] Elektronische Freigabe: Arztbriefe nicht nur "speichern", sondern per persönlichem Login freigeben.
• [ ] Auftragsverarbeitungsvertrag: Mit jedem KI-Dienstleister geschlossen? Prüfen.
• [ ] Serverstandort: Deutschland oder EU? Nachweisen.
• [ ] Aufbewahrungsfrist: Eingabedaten (Diktate, Rohdaten) ebenfalls zehn Jahre aufbewahren.
• [ ] Jährliches Review: Einmal pro Jahr die Dokumentationskette durchgehen und dokumentieren, dass alles noch stimmt.

Was DocReport konkret für die GoBD-Konformität tut

Ich bin kein Jurist und kein Steuerberater. Aber ich kann berichten, was meine Software konkret bietet:

DocReport speichert jede Version eines generierten Arztbriefs — vom ersten KI-Entwurf bis zur finalen Freigabe. Jede Änderung ist mit Zeitstempel und Benutzerkennung versehen. Die Daten werden auf Servern in Deutschland verarbeitet. Es gibt einen Auftragsverarbeitungsvertrag. Und das System erlaubt es, die KI-Generierung in den Metadaten jedes Dokuments zu kennzeichnen.

Das deckt die wichtigsten GoBD-Anforderungen ab. Es ersetzt keinen Steuerberater. Aber es nimmt mir die Sorge, dass bei einer Prüfung die Grundlagen fehlen.

Weitere Details zur Funktionsweise finden Sie in unserem Arztbrief Generator mit KI Leitfaden.

Der Blick nach vorn: Was ab 2027 auf uns zukommt

Der EU AI Act wird voraussichtlich ab August 2026 vollumfänglich gelten. Für Arztpraxen bedeutet das: Die heute freiwillige Protokollierung wird zur Pflicht. Wer jetzt schon GoBD-konform dokumentiert, ist dann einen entscheidenden Schritt voraus.

Zudem arbeiten das Bundesgesundheitsministerium und die Kassenärztliche Bundesvereinigung an spezifischen Leitlinien für KI in der vertragsärztlichen Versorgung. Die Richtung ist klar: mehr Transparenz, mehr Dokumentation, mehr menschliche Kontrolle.

Meine Empfehlung: Fangen Sie heute an. Nicht weil Sie müssen — sondern weil es in zwölf Monaten deutlich aufwendiger wird, nachträglich GoBD-Konformität herzustellen.

Einen Überblick zur weiteren Entwicklung der Praxissoftware gibt es auch in unserem Beitrag zur Praxissoftware der Zukunft 2026.

FAQ: Die häufigsten Fragen zur GoBD und KI in der Arztpraxis

Ist KI-generierte Dokumentation überhaupt GoBD-konform?

Ja. Die GoBD fordern keine handschriftliche Erstellung. Sie fordern Nachvollziehbarkeit, Richtigkeit und Unveränderbarkeit. Wenn Ihre KI-Software diese Kriterien erfüllt — und Sie die Ergebnisse prüfen — ist der Einsatz GoBD-konform.

Muss ich jeden KI-Arztbrief manuell durchlesen?

Berufsrechtlich ja. GoBD-technisch reicht es, wenn Sie stichprobenartig prüfen und diesen Prüfprozess dokumentieren. Aber aus Haftungsgründen empfehle ich die vollständige Durchsicht jedes einzelnen Briefs.

Was kostet die GoBD-konforme Umstellung?

In meiner Praxis: null Euro zusätzliche Softwarekosten, weil DocReport die Funktionen bereits bietet. Aber etwa acht Stunden meiner Zeit für die Einrichtung und Dokumentation. Plus zweimal eine Stunde Steuerberater. Rechnen Sie mit 500 bis 1500 Euro einmalig, je nach Praxisgröße.

Was passiert bei einer Betriebsprüfung?

Prüfer schauen auf Ihre Software-Dokumentation, die Zugriffskontrolle und die Änderungshistorie. Wenn Sie die Checkliste oben abarbeiten, sind Sie gut vorbereitet. Wenn nicht: Jetzt anfangen.

Kann ich rückwirkend GoBD-konform dokumentieren?

Nein. Die GoBD fordern, dass die Dokumentation zum Entstehungszeitpunkt ordnungsgemäß ist. Nachträgliche Korrekturen sind erlaubt — aber sie müssen als solche erkennbar sein. Versionen, die nie gespeichert wurden, lassen sich nicht rekonstruieren.

Gelten die GoBD auch für Klinikärzte?

Ja, wenn die Dokumentation in den Verantwortungsbereich des einzelnen Arztes fällt. In Kliniken ist oft das KIS (Krankenhausinformationssystem) für die GoBD-Konformität verantwortlich. Aber: Wer persönliche KI-Tools zusätzlich nutzt, muss auch diese GoBD-konform einsetzen.

*Dr. Martin Fleischer ist Facharzt für Innere Medizin und dokumentiert seit Juni 2025 mit KI-Unterstützung. Dieser Artikel basiert auf seinen persönlichen Erfahrungen und Recherchen. Er ersetzt keine steuerberaterische oder juristische Beratung — sprechen Sie im Zweifelsfall immer mit Ihrem Steuerberater. Alle genannten Produkte wurden selbst getestet und nicht gesponsert.*