KI-gestützte klinische Dokumentation
Blog

KI-Dokumentation und Compliance: Fragen zu DSGVO und HIPAA

KI-Dokumentation und Compliance: Fragen zu DSGVO und HIPAA

N

Notat.ai Team

24. März 2026 · 5 Minuten

KI-Dokumentation und Compliance: Fragen zu DSGVO und HIPAA

Ein praxisnaher Leitfaden für Ärztinnen und Ärzte über Datenschutz und Compliance bei KI-Dokumentation, mit konkreten Hinweisen zu Arbeitsablauf, Datenschutz, Prüfung und sicherer Nutzung von Notat.ai.

Die Einführung KI-gestützter klinischer Dokumentation nimmt rasant zu. Ärztinnen und Ärzte schätzen weniger Tipparbeit und mehr Zeit mit ihren Patienten. Doch diese Werkzeuge verarbeiten einige der sensibelsten Daten, die es gibt — eine einzige Konsultation kann psychiatrische Vorgeschichten, genetische Befunde oder Hinweise auf Substanzgebrauch enthalten. Die Datenschutzarchitektur richtig aufzusetzen ist keine Formalie; sie ist das Fundament jeder klinischen KI-Einführung.

Dieser Artikel behandelt die zentralen Compliance-Fragen, die Praxen und Kliniken vor der Auswahl eines KI-Dokumentationswerkzeugs stellen sollten, mit Fokus auf DSGVO und HIPAA.

Was die DSGVO für KI-Dokumentationswerkzeuge bedeutet

Gesundheitsdaten fallen unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Ihre Verarbeitung erfordert sowohl eine Rechtsgrundlage nach Art. 6 als auch eine ausdrückliche Ausnahme nach Art. 9. Für die meisten Einrichtungen ist die Grundlage die ausdrückliche Einwilligung des Patienten oder die Gesundheitsversorgung — und die Praxis als Verantwortlicher muss entscheiden, welche gilt, und dies dokumentieren.

Ein Auftragsverarbeitungsvertrag (AVV) ist nicht verhandelbar. Verarbeitet der KI-Anbieter personenbezogene Daten im Auftrag der Praxis, ist er Auftragsverarbeiter, und ein unterzeichneter AVV muss Art, Zweck und Dauer der Verarbeitung abdecken. Der Vertrag muss festlegen, dass der Auftragsverarbeiter ausschließlich auf dokumentierte Weisung handelt und die Daten nach Beendigung des Dienstes löscht oder zurückgibt.

Datenminimierung, gefordert durch Art. 5 Abs. 1 lit. c DSGVO, sollte jede Architekturentscheidung leiten. Die Frage ist einfach: Muss der Anbieter vollständige Audioaufnahmen von Konsultationen speichern, oder kann das System klinisch relevante Fakten extrahieren und die Roheingabe verwerfen? Werkzeuge, die Audio in Echtzeit verarbeiten und Aufnahmen nie dauerhaft speichern, entsprechen dem Minimierungsprinzip weit besser als solche, die Audio unbegrenzt vorhalten.

Datenspeicherort ist ebenso kritisch. Die DSGVO beschränkt die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums, es sei denn, es bestehen geeignete Garantien — Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften oder ein Angemessenheitsbeschluss. Praxen sollten schriftlich wissen, wo jedes Byte an Patientendaten gespeichert und verarbeitet wird. Ein Anbieter, der dies nicht klar beantworten kann, sollte sofort Alarm auslösen.

Eine Datenschutz-Folgenabschätzung (DSFA) ist für risikoreiche Verarbeitungen verpflichtend. Die KI-basierte Verarbeitung von Gesundheitsdaten fällt mit hoher Wahrscheinlichkeit darunter. Der Datenschutzbeauftragte der Einrichtung sollte die DSFA leiten und in die Anbieterbewertung eingebunden bleiben.

HIPAA-Überlegungen für Praxen, die KI evaluieren

Für US-amerikanische Einrichtungen ist das zentrale Dokument das Business Associate Agreement (BAA). Jeder Anbieter, der Protected Health Information (PHI) im Auftrag einer abgedeckten Einrichtung erstellt, empfängt, pflegt oder übermittelt, ist ein Business Associate und muss ein BAA unterzeichnen. Ohne ein solches darf der Anbieter keine PHI berühren.

Die HIPAA Security Rule verlangt administrative, physische und technische Sicherheitsmaßnahmen. Bei KI-Dokumentation stehen technische Maßnahmen an erster Stelle. Verschlüsselung bei Speicherung und Übertragung sollte AES-256 oder gleichwertig verwenden. Der Zugriff auf PHI muss rollenbasiert, protokolliert und prüfbar sein. Jeder Datenzugriff sollte in einem unveränderlichen Audit-Trail festgehalten werden, den die Praxis einsehen kann.

Der HIPAA-Grundsatz der Minimum Necessary entspricht der DSGVO-Datenminimierung. Der Anbieter sollte nur auf die PHI zugreifen, die für die Leistungserbringung erforderlich sind. Wenn ein Werkzeug klinische Fakten extrahiert und Notizen erstellt, benötigt es keine Abrechnungscodes oder Versicherungsidentifikatoren, die an anderer Stelle im EHR-System liegen.

Praxen sollten außerdem bestätigen, dass der Anbieter einen dokumentierten Incident-Response-Plan hat. HIPAA verlangt die Benachrichtigung betroffener Personen innerhalb von 60 Tagen nach Entdeckung einer Verletzung. Ein Anbieter ohne dokumentiertes Verfahren zur Reaktion auf Datenschutzverletzungen ist nicht bereit, mit klinischen Daten umzugehen.

Sechs Fragen, die jede Praxis einem Anbieter stellen sollte

Vor der Unterzeichnung sollten schriftliche Antworten auf diese sechs Fragen eingeholt werden:

1. Wo werden Daten verarbeitet und wo befinden sie sich? Dies umfasst Primärverarbeitung, Ausfallsicherung, Backups und Protokolle — auf Länderebene granular.
2. Wer hat Zugriff auf Patientendaten? Verlangen Sie eine Liste jeder Rolle — Mitarbeiter, Auftragnehmer, Subunternehmer — die auf Produktionsdaten zugreifen kann, mit den Umständen, unter denen Zugriff gewährt wird.
3. Wie lauten die Aufbewahrungs- und Löschrichtlinien? Wie lange werden Rohaudio, transkribierter Text, extrahierte Fakten und generierte Notizen aufbewahrt? Bedeutet Löschung logische Entfernung oder unwiderrufliche Vernichtung?
4. Wer sind die Subunternehmer? Die meisten KI-Anbieter sind auf Cloud-Infrastrukturanbieter angewiesen. Erhalten Sie eine aktuelle Subunternehmerliste und die Verpflichtung, die Praxis vor der Hinzufügung neuer Subunternehmer zu benachrichtigen.
5. Wie lautet das Verfahren zur Meldung von Datenschutzverletzungen? Ein konkretes Benachrichtigungsfenster — idealerweise innerhalb von 24 Stunden nach Bestätigung einer Verletzung — sollte schriftlich zugesichert werden.
6. Behält die Praxis das Recht auf Löschung? Sowohl das Recht auf Löschung nach DSGVO als auch die Patientenrechte unter HIPAA erfordern, dass die Praxis die Löschung von Patientendaten beim Anbieter veranlassen kann.

Wie eine faktenbasierte Architektur das Risiko reduziert

Eine wachsende Zahl von KI-Dokumentationswerkzeugen folgt einem Gestaltungsprinzip mit erheblichen Compliance-Implikationen: Fakten extrahieren, den Rest verwerfen. Statt vollständige Audioaufnahmen jeder Konsultation zu speichern — die Stimmprofile, beiläufige Äußerungen und identifizierende Details ohne klinischen Nutzen enthalten — verarbeitet das System Audio in Echtzeit, identifiziert klinisch relevante Fakten und verwirft die Roheingabe.

Dieser Ansatz bietet drei Compliance-Vorteile. Erstens verkleinert er die Angriffsfläche: Eine Datenbank mit strukturierten Fakten ist inhärent weniger sensibel als eine Datenbank mit vollständigen Sprachaufnahmen. Zweitens entspricht er der Datenminimierung sowohl unter DSGVO als auch unter HIPAA. Wenn das Werkzeug hochwertige Notizen allein aus extrahierten Fakten erstellt, ist die Speicherung von Rohaudio argumentativ unnötig und damit nicht konform. Drittens vereinfacht er Lösch-Workflows und Auskunftsersuchen betroffener Personen, weil weniger Datentypen lokalisiert, geprüft und gelöscht werden müssen.

Notat.ai folgt diesem Modell. Während einer Konsultation identifiziert das System medizinisch relevante Aussagen, bildet sie auf strukturierte Fakten ab und erstellt Notizen, Zusammenfassungen und ICD-10-Vorschläge. Die Ärztin oder der Arzt prüft und genehmigt jede Ausgabe. Konstruktionsbedingt vermeidet die Plattform die dauerhafte Speicherung vollständiger Audiodaten und minimiert sensible Daten während der Übertragung, was die Compliance-Prüfung für die Praxis vereinfacht.

Praktische Compliance-Checkliste

  • AVV oder BAA prüfen. Bestätigen Sie, dass Subunternehmer, Meldepflicht bei Datenschutzverletzungen und Datenlöschung abgedeckt sind.
  • Datenspeicherort schriftlich bestätigen lassen. Fordern Sie konkrete Cloud-Regionen oder Rechenzentrumsstandorte an.
  • Subunternehmerliste prüfen. Wenn ein US-amerikanischer Cloud-Anbieter eine EU-Praxis bedient, stellen Sie sicher, dass Standardvertragsklauseln bestehen.
  • Rechtsgrundlage dokumentieren. Für DSGVO-Praxen: Halten Sie fest, ob die Verarbeitung auf Einwilligung oder Gesundheitsversorgung beruht, und aktualisieren Sie die Datenschutzhinweise.
  • Klinisches Personal schulen. Ärztinnen und Ärzte müssen verstehen, welche Daten verarbeitet werden, wohin sie gehen und dass KI-Ergebnisse der menschlichen Prüfung bedürfen.
  • DSFA durchführen, falls erforderlich. Für DSGVO-Einrichtungen ist eine Datenschutz-Folgenabschätzung mit hoher Wahrscheinlichkeit verpflichtend. Binden Sie den Datenschutzbeauftragten frühzeitig ein.
KI-Dokumentation und Compliance: Fragen zu DSGVO und HIPAA

Fazit

KI-Dokumentationswerkzeuge können die administrative Belastung reduzieren, die zur Überlastung von Ärztinnen und Ärzten beiträgt — aber sie müssen dies tun, ohne das Vertrauen der Patienten zu gefährden. Die hier dargelegten Compliance-Fragen sind keine Innovationshindernisse — sie sind der Rahmen, der verantwortungsvolle Innovation erst möglich macht.

Eine datenschutzorientierte Architektur, klare vertragliche Sicherungen und ein gut informiertes klinisches Team sind die drei Säulen eines sicheren Einsatzes. Stellen Sie die harten Fragen frühzeitig. Ein Anbieter, der klar und ohne Zögern antwortet, hat tief über das Problem nachgedacht. Das ist die Art von Partner, die Praxen und ihre Patienten verdienen.

*Dieser Artikel stellt eine allgemeine Orientierung dar und ist keine Rechtsberatung. Praxen und Kliniken sollten für Compliance-Entscheidungen, die ihre spezifische Rechtsordnung und ihre Umstände betreffen, qualifizierten Rechtsrat einholen.*