DSGVO und KI-Telefonassistenten: Was Praxisinhaber wissen müssen

Die Frage kommt in jedem Beratungsgespräch: „Ist das DSGVO-konform?" Zurecht — denn wer als Praxisinhaber einen KI-Telefonassistenten einsetzt, verarbeitet personenbezogene Daten seiner Patienten über einen externen Dienst. Das unterliegt strengen Regeln.

Die gute Nachricht: Der Einsatz von KI-Telefonassistenten in Praxen ist DSGVO-konform möglich. Es gibt aber einige Punkte, auf die Sie achten müssen. Dieser Leitfaden erklärt, was zu tun ist — klar, praxisnah und ohne Juristendeutsch.

Die Grundlage: Auftragsverarbeitung nach Art. 28 DSGVO

Wenn ein externer Dienst — wie ein KI-Telefonassistent — Patientendaten verarbeitet, handelt es sich rechtlich um eine Auftragsverarbeitung. Der Praxisinhaber bleibt Verantwortlicher (Controller), der KI-Anbieter ist Auftragsverarbeiter (Processor).

Was das bedeutet:

• Es muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden
• Der Praxisinhaber bestimmt, welche Daten wie verarbeitet werden
• Der Anbieter darf die Daten nur im Rahmen der Weisung verarbeiten
• Der Anbieter muss technische und organisatorische Maßnahmen (TOMs) nachweisen

Ein seriöser KI-Anbieter stellt einen fertigen AVV bereit, den Sie nur noch unterschreiben müssen. Wenn ein Anbieter keinen AVV anbietet — Finger weg.

Welche Daten werden verarbeitet?

Bei einem typischen Telefonat mit einem KI-Assistenten fallen folgende Daten an:

• Stimme/Audio: Das gesprochene Wort wird in Text umgewandelt (Speech-to-Text). Je nach Anbieter wird die Audioaufnahme gespeichert oder nicht.
• Name des Patienten: Für die Terminbuchung und Zuordnung
• Telefonnummer: Automatisch über die Anruferkennung
• Terminwünsche: Datum, Uhrzeit, Behandlungsart
• Verordnungsdaten: Heilmittel, Arzt, Diagnose (bei Verordnungserfassung)
• Versicherungsstatus: Gesetzlich, privat, BG (falls abgefragt)

Wichtig: Dies sind teilweise besondere Kategorien personenbezogener Daten (Gesundheitsdaten nach Art. 9 DSGVO). Das erfordert besonders hohe Schutzmaßnahmen.

Die 5 Punkte, die Sie prüfen müssen

1. Serverstandort: Deutschland oder EU?

Patientendaten sollten ausschließlich auf Servern in Deutschland oder der EU verarbeitet werden. Dienste, die Daten in die USA oder andere Drittländer übertragen, sind für den Gesundheitsbereich problematisch — auch mit Standardvertragsklauseln.

Fragen Sie den Anbieter: Wo stehen die Server? Werden Daten an Sub-Auftragsverarbeiter in Drittländern übertragen?

2. Verschlüsselung

Die Datenübertragung muss verschlüsselt sein (TLS 1.2 oder höher). Auch die Speicherung der Daten sollte verschlüsselt erfolgen (Encryption at Rest). Das ist Standard, aber fragen Sie nach.

3. Löschkonzept

Es muss klar geregelt sein, wann Daten gelöscht werden:

• Audio-Aufnahmen: Idealerweise sofort nach der Verarbeitung löschen
• Transkripte: Nach Bedarf, maximal für den Zweck der Terminbuchung
• Nach Vertragsende: Alle Daten müssen innerhalb einer definierten Frist gelöscht werden

4. Zugriffsrechte

Wer hat Zugriff auf die Patientendaten? Nur die Praxis selbst sollte Zugriff auf Gesprächsinhalte und Patientendaten haben. Support-Mitarbeiter des Anbieters sollten nur mit Zustimmung und nur im erforderlichen Umfang Zugriff erhalten.

5. Transparenzpflicht gegenüber Patienten

Patienten müssen wissen, dass sie mit einem KI-System sprechen. Das kann auf verschiedene Weisen gelöst werden:

• Der KI-Assistent stellt sich zu Beginn als virtueller Assistent vor
• Ein Hinweis in der Praxis und auf der Website informiert über den KI-Einsatz
• Die Datenschutzerklärung der Praxis wird entsprechend ergänzt

Checkliste für Praxisinhaber

1. AVV mit dem KI-Anbieter abschließen
2. Datenschutzerklärung der Praxis aktualisieren (KI-Telefonassistent erwähnen)
3. Verzeichnis der Verarbeitungstätigkeiten (VVT) ergänzen
4. Hinweis in der Praxis aushängen: „Anrufe können von unserem KI-Assistenten entgegengenommen werden"
5. Prüfen: Server in Deutschland? Verschlüsselung? Löschkonzept?
6. Bei Bedarf: Datenschutz-Folgenabschätzung (DSFA) durchführen — empfehlenswert bei Gesundheitsdaten

Was Patienten dazu sagen

Die Erfahrung zeigt: Die allermeisten Patienten haben kein Problem damit, mit einem KI-Assistenten zu sprechen — solange das Ergebnis stimmt. Ein Termin, der sofort gebucht wird, ist den meisten Patienten lieber als ein Anrufbeantworter, der nicht zurückruft.

Transparenz ist dabei der Schlüssel. Wenn der Assistent sich klar als KI vorstellt und gleichzeitig kompetent und freundlich agiert, überwiegt der Nutzen bei Weitem.