Was Zahnarztpraxen beim Einsatz von ChatGPT & Co. wirklich beachten sollten
Nadine EttlingKI-Tools sind in vielen Praxen angekommen: Texte glätten, Abläufe beschleunigen, Ideen liefern – das klingt verlockend und ist zeitgemäß. Doch wo Patientengeheimnisse im Spiel sind, gelten strafrechtliche Schweigepflicht, Berufsrecht und Datenschutz mit besonders hohen Hürden. Kurz gesagt: KI ja – mit klarem Rahmen. Erfahren Sie, wie Sie KI sinnvoll nutzen, ohne § 203 StGB, Berufsordnung und DSGVO zu verletzen.
Schweigepflicht in der Zahnarztpraxis
Was gegenüber Menschen gilt, gilt auch gegenüber Maschinen. Die (zahn)ärztliche Schweigepflicht aus § 203 StGB schützt alle Patientengeheimnisse. Angefangen bei der Frage, ob jemand Patient ist, über digitale Daten, Bilder, Abrechnungsangaben bis hin zu den Befunden. Geben Sie solche Informationen an Dritte weiter, droht ein Strafbarkeitsrisiko – und ein KI-Anbieter ist rechtlich ein solcher „Dritter“.
Berufsrechtlich gilt dasselbe Prinzip: Schweigepflicht über alles, was Ihnen in Ihrer beruflichen Eigenschaft bekannt wurde. Offenbarungen sind nur unter engen Voraussetzungen zulässig (z. B. Entbindung, rechtfertigender Notstand oder gegenüber eingebundenen Personen, die zur Verschwiegenheit verpflichtet wurden). KI-Provider zählen nicht dazu.
Merksatz: Was Sie nicht laut im Wartezimmer vorlesen würden, gehört auch nicht in den Prompt.
Datenschutz bei Gesundheitsdaten
Gesundheitsdaten sind besonders sensibel einzustufen. Die DSGVO erlaubt deren Verarbeitung nur in engen Ausnahmen. Für Zahnarztpraxen heißt das: Sobald Personenbezug im Spiel ist, brauchen Sie eine tragfähige Rechtsgrundlage, strenge Zweckbindung, Datenminimierung und ein belastbares Sicherheitskonzept. Ein unbedachter Upload in ein offenes KI-Formular ist damit regelmäßig ausgeschlossen. Insbesondere Datenübermittlungen in Drittländer (z. B. auf US-amerikanische Server) sind nur zulässig, wenn das Schutzniveau gesichert ist (Angemessenheitsbeschluss, Standardvertragsklauseln plus Transfer-Folgenabschätzung). Viele KI-Dienste hosten global – ohne gesonderte vertragliche Vereinbarungen ist ein Upload von personenbezogenen Daten also tabu.
Praxisnah gedacht: Kein Personenbezug - kaum Datenschutzstress. Personenbezug - volle Pflichten und genaues Hinschauen.
Ein einfaches Vorgehensmodell
Ziehen Sie für sich und Ihre Mitarbeitenden klare Grenzen. Wofür setzen Sie KI ein – und wofür ausdrücklich nicht?
Gute KI-Fälle sind zum Beispiel Formulierungshilfen für Social Media, QM-Texte ohne Personenbezug, Zusammenfassen öffentlich zugänglicher Fachinformationen, Ideenfindung für Praxisorganisation und vieles mehr.
Schlechte KI-Fälle: Alles mit Patientendaten, Klarnamen, Termin- oder Abrechnungsdetails, Röntgenbildern oder unternehmensinternen Geheimnissen.
Bevorzugen Sie EU-gehostete, „geschlossene“ KI-Lösungen, die einen Auftragsverarbeitungsvertrag anbieten. Prüfen Sie, ob sich die Nutzung vollständig ohne Speicherung von Inhalteingaben konfigurieren lässt. Offene, frei zugängliche Chatbots sind nur für strikt anonymisierte oder allgemeine Inhalte geeignet. Schulen Sie sich und Ihr Team im Prompten. Es muss klar werden, dass Klarnamen, identifizierbare Details, Bilder oder Dokumente mit Metadaten in korrekten Prompts öffentlich zugänglicher KI-Modelle nichts zu suchen haben. Wenn Sie einen konkreten Fall diskutieren wollen, anonymisieren Sie vorher so, dass auch für Außenstehende – wie den Chatbot – keine Re-Identifikation möglich ist.
Vergessen Sie bei aller Begeisterung nicht, dass die KI ein Assistent ist – kein Autopilot. Jeder KI-Output braucht einen fachlichen Blick, Quellencheck und eine Freigabe im Team – insbesondere bei patientennaher Kommunikation.
Eine kurze, verständliche Übersicht in der Praxis wirkt Wunder: Was ist erlaubt /verboten? Welche Verantwortlichkeiten bestehen? Eine kurze Checkliste. Plus jährliche Kurzschulung – dann klappt’s auch im Praxisalltag.
Nadine Ettling
Lyck+Pätzold healthcare.recht (Website)