Ist KI in der Zahnarztpraxis datenschutzrechtlich überhaupt erlaubt?
Auf einen Blick
• Gesundheitsdaten sind nach DSGVO Art. 9 besonders geschützt – die Verarbeitung ist nur unter bestimmten Voraussetzungen erlaubt.
• Jeder KI-Telefonassistent-Anbieter benötigt einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.
• Der EU AI Act (Verordnung 2024/1689) ist seit August 2024 in Kraft – KI-Telefonassistenten in Praxen gelten dabei typischerweise als geringes Risiko, nicht als Hochrisiko.
• Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist bei KI-Systemen mit Gesundheitsdaten in der Regel empfohlen.
Viele Praxisinhaber zögern beim Thema KI, weil Datenschutz bei Patientendaten ernst genommen werden muss. Das ist richtig. Aber KI und DSGVO schließen sich nicht aus. Sie stellen nur klare Anforderungen. Wer die kennt, kann rechtssicher handeln – und braucht keine Bedenken mehr.
Welche drei DSGVO-Artikel für KI in der Zahnarztpraxis entscheidend sind
Gesundheitsdaten zählen nach DSGVO Art. 9 zu den sensibelsten personenbezogenen Daten. Ihre Verarbeitung ist grundsätzlich verboten – erlaubt nur, wenn eine der Ausnahmen greift. Für Zahnarztpraxen gilt Art. 9 Abs. 2 lit. h: Verarbeitung zum Zweck der Gesundheitsversorgung. Das deckt Terminbuchungen und Patientenkommunikation ab.
Art. 28 – Auftragsverarbeitungsvertrag (AVV)
Sobald ein externer Anbieter Patientendaten in Ihrem Auftrag verarbeitet (z. B. ein KI-Telefonassistent), ist ein AVV Pflicht. Ohne AVV ist der Einsatz rechtswidrig. Der Vertrag muss laut Art. 28 Abs. 3 DSGVO unter anderem regeln: Art der verarbeiteten Daten, technische Schutzmaßnahmen, Weisungsrechte der Praxis und den Umgang mit Subauftragsverarbeitern.
Art. 35 – Datenschutz-Folgenabschätzung (DSFA)
Bei neuen Technologien, die Gesundheitsdaten verarbeiten, empfehlen die deutschen Datenschutzbehörden (DSK) eine DSFA. Sie dokumentiert, welche Risiken für Patientenrechte bestehen und wie diese minimiert werden. Seriöse KI-Anbieter stellen dafür eine fertige Vorlage zur Verfügung.
Worauf Sie bei der Anbieterwahl konkret achten sollten
Nicht jeder KI-Anbieter erfüllt die Anforderungen, die im Gesundheitsbereich gelten. Das sind die vier Punkte, die Sie vor Vertragsabschluss prüfen sollten.
| Kriterium | Was zu prüfen ist |
|---|---|
| Serverstandort | Ausschließlich EU/EWR – kein Transfer in Drittländer ohne Standardvertragsklauseln (SCCs) |
| Verschlüsselung | Ende-zu-Ende-Verschlüsselung für Gespräche und gespeicherte Daten |
| Löschkonzept | Klare Fristen: Wann werden Gesprächsdaten gelöscht? Maximal so lange wie nötig. |
| AVV-Bereitschaft | Anbieter muss einen fertigen, DSGVO-konformen AVV vorlegen können – inklusive Subauftragsverarbeiterliste |
Zusätzlich gilt: Da KI-Anbieter Zugang zu Patientendaten erhalten, greift § 203 StGB (ärztliche Schweigepflicht). Der AVV muss sicherstellen, dass Mitarbeiter des Anbieters zur Geheimhaltung verpflichtet sind.
Was der EU AI Act konkret für KI-Telefonie in Praxen bedeutet
Der EU AI Act (Verordnung 2024/1689) ist seit August 2024 in Kraft und wird schrittweise bis August 2026 vollständig anwendbar. Ein wichtiger Punkt, den viele Artikel falsch darstellen: KI-Telefonassistenten für Terminbuchungen gelten nicht automatisch als Hochrisiko-KI.
Hochrisiko-Einstufung trifft KI-Systeme zur klinischen Entscheidungsunterstützung, Diagnose oder Bildanalyse. Ein Telefonassistent, der Termine bucht und Öffnungszeiten nennt, fällt in die Kategorie geringes Risiko. Das bedeutet deutlich weniger Aufwand für die Praxis.
Was dennoch gilt, unabhängig von der Risikoklasse:
- Transparenzpflicht: Patienten müssen zu Gesprächsbeginn wissen, dass sie mit einer KI sprechen
- Dokumentationspflicht: Der Einsatz von KI-Systemen sollte im Verzeichnis der Verarbeitungstätigkeiten erfasst sein
- Menschliche Aufsicht: Das Team muss jederzeit eingreifen können
Die vollständigen Anforderungen für Hochrisiko-KI gelten erst ab August 2026 (EU AI Act, Art. 111).
Häufige Fragen zu DSGVO und KI in der Zahnarztpraxis
Brauche ich für jeden KI-Anbieter einen AVV?
Ja, immer wenn ein externer Dienstleister Patientendaten in Ihrem Auftrag verarbeitet, ist ein AVV nach Art. 28 DSGVO Pflicht. Das gilt für KI-Telefonassistenten genauso wie für Cloud-Praxissoftware oder externe Abrechnungsdienstleister. Ohne AVV ist die Zusammenarbeit rechtswidrig.
Ist eine Datenschutz-Folgenabschätzung bei KI-Telefonie Pflicht?
Nicht in jedem Fall Pflicht, aber von den deutschen Datenschutzbehörden (DSK) dringend empfohlen, wenn Gesundheitsdaten verarbeitet werden. Gute Anbieter stellen eine fertige DSFA-Vorlage bereit, die Sie mit Ihren Praxisdaten ergänzen können. Der Aufwand ist überschaubar.
Gilt der EU AI Act bereits jetzt für meine Praxis?
Teilweise. Die Verbote für inakzeptable Risiken gelten seit Februar 2025. Die vollständige Anwendung aller Anforderungen für Hochrisiko-KI folgt erst im August 2026. KI-Telefonassistenten für Terminbuchungen sind kein Hochrisiko-System, daher fallen die strengsten Regeln hier nicht an.
Darf ein KI-Assistent Patientennamen und Geburtsdaten aufnehmen?
Ja, sofern die Rechtsgrundlage stimmt (Art. 9 Abs. 2 lit. h DSGVO für Gesundheitsversorgung), ein AVV besteht und die Datensparsamkeit gewahrt wird. Der Assistent darf nur die Daten erfassen, die für den jeweiligen Zweck (Terminbuchung, Identifizierung) tatsächlich nötig sind.