Patient:innendaten und KI: Ein sensibles Thema
Psychotherapie-Daten gehören zu den sensibelsten Daten überhaupt. Diagnosen, Lebensgeschichten, traumatische Erlebnisse - all das unterliegt nicht nur der DSGVO, sondern auch der berufsrechtlichen Schweigepflicht nach § 203 StGB. Wenn Du KI Software in Deiner Praxis nutzen willst, musst Du Dir über die Datenschutz-Implikationen im Klaren sein.
Die gute Nachricht: Es gibt Wege, KI Software datenschutzkonform einzusetzen. Aber es erfordert Sorgfalt.
Drei Ebenen des Datenschutzes
1. Wo werden die Daten verarbeitet?
Ideal ist eine Verarbeitung auf EU-Servern, noch besser in Deutschland. Einige Anbieter arbeiten mit lokaler Verarbeitung direkt auf Deinem Gerät - das ist aus Datenschutzsicht die sicherste Variante, bedeutet aber oft Einschränkungen bei der Funktionalität.
Vorsicht bei Tools, die Daten in die USA übertragen. Auch wenn es rechtliche Rahmenwerke gibt (Privacy Shield Nachfolger): Die Rechtslage ist komplex und im Fluss. Bei Therapiedaten bist Du mit EU-Servern auf der sicheren Seite.
2. Wie sind die Daten geschützt?
Hier gibt es große Unterschiede zwischen den Anbietern:
- Standard-Verschlüsselung: Daten werden auf dem Server verschlüsselt, aber der Anbieter hat theoretisch Zugriff. Das ist der Mindeststandard.
- Tägliche Löschung: Manche Anbieter (z. B. VIA HealthTech) löschen Sitzungsdaten täglich. Das schützt langfristig, bedeutet aber auch, dass Du keinen dauerhaften Zugriff auf ältere Aufzeichnungen hast.
- Zero-Knowledge-Verschlüsselung: Die Daten werden mit Deinem persönlichen Passwort verschlüsselt, bevor sie den Server erreichen. Selbst der Anbieter kann nichts lesen. Bei einem Hackerangriff sind die Daten wertlos. Das bietet derzeit den höchsten Schutzstandard.
3. Brauche ich eine Einwilligung meiner Patient:innen?
Ja, in den meisten Fällen. Besonders wenn Sitzungen aufgezeichnet oder transkribiert werden, brauchst Du eine informierte, freiwillige Einwilligung. Die sollte dokumentiert sein und konkret beschreiben:
- Was wird aufgezeichnet?
- Wo werden die Daten gespeichert?
- Wie lange werden sie aufbewahrt?
- Wer hat Zugriff?
- Wie kann die Einwilligung widerrufen werden?
Auftragsverarbeitungsvertrag (AVV)
Wenn ein externer Dienst Deine Patient:innendaten verarbeitet, brauchst Du einen Auftragsverarbeitungsvertrag. Das ist keine Empfehlung, sondern gesetzliche Pflicht nach Art. 28 DSGVO. Der AVV regelt, was der Anbieter mit den Daten tun darf und welche Sicherheitsmaßnahmen er treffen muss.
Seriöse Anbieter stellen den AVV proaktiv zur Verfügung - oft zum Download auf der Website. Wenn Du danach fragen musst, ist das noch kein Warnsignal. Wenn ein Anbieter aber keinen AVV anbieten kann oder will, solltest Du die Finger davon lassen.
Werden Daten für KI-Training verwendet?
Eine wichtige Frage, die oft vergessen wird: Verwendet der Anbieter Deine Patient:innendaten, um seine KI-Modelle zu trainieren? Bei Therapiedaten ist das ein absolutes No-Go. Frag explizit nach und lass Dir die Antwort am besten schriftlich geben.
Praktische Checkliste
Bevor Du eine KI Software in Deiner Praxis einsetzt, prüfe diese Punkte:
- Wo stehen die Server? (Idealerweise Deutschland/EU)
- Gibt es einen AVV?
- Welche Verschlüsselung wird eingesetzt? (Zero-Knowledge = bester Schutz)
- Werden Daten für KI-Training verwendet? (Sollte ausgeschlossen sein)
- Ist eine informierte Einwilligung der Patient:innen einholbar?
- Gibt es ein Löschkonzept?
Seriöse Anbieter beantworten diese Fragen transparent. Wenn ein Anbieter ausweicht oder keine klaren Antworten geben kann, ist das ein deutliches Warnsignal.