Ambient AI im Arztgespräch: Was ist DSGVO-konform?
„Ambient AI“ – also KI, die das Arzt-Patienten-Gespräch automatisch mithört und dokumentiert – verspricht enorme Zeitersparnis. Doch zwischen Mikrofon und Patientenakte liegen erhebliche Datenschutz- und Schweigepflichtfragen. Dieser Beitrag erklärt, worauf es bei einem rechtskonformen Einsatz ankommt.
Was Ambient AI im medizinischen Kontext bedeutet
Ambient-AI-Systeme erfassen das gesprochene Gespräch – per Mikrofon oder Aufnahme – und erzeugen daraus automatisch eine strukturierte Dokumentation, etwa einen Verlaufseintrag oder Briefentwurf. Die Audioverarbeitung erfolgt häufig in der Cloud.
Damit werden besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet – und zwar nicht nur die der Patient:innen, sondern potenziell auch Stimmdaten Dritter im Raum.
Einwilligung und Transparenz
Eine Tonaufzeichnung des Gesprächs erfordert grundsätzlich eine informierte Einwilligung der betroffenen Person. Patient:innen müssen verständlich erfahren, was aufgezeichnet wird, zu welchem Zweck, wo verarbeitet wird und wie lange Daten gespeichert bleiben.
Die Einwilligung muss freiwillig sein – die Behandlung darf nicht von ihr abhängig gemacht werden. Außerdem ist auf das Recht auf Widerruf hinzuweisen.
§ 203 StGB und die Cloud-Verarbeitung
Sobald das Gespräch an einen externen Dienst übertragen wird, erhält dieser Zugriff auf Geheimnisse im Sinne von § 203 StGB. Damit das straffrei bleibt, muss der Anbieter rechtlich als berufsmäßig tätiger Gehilfe eingebunden sein – mit vertraglicher Verschwiegenheitsverpflichtung.
Technisch ist die überzeugendste Antwort eine Ende-zu-Ende-Verschlüsselung, bei der selbst der Anbieter die Klartextdaten nicht einsehen kann, kombiniert mit kurzen Löschfristen für Audiodaten.
AVV, Hosting und Drittlandtransfer
Für den Einsatz eines Auftragsverarbeiters ist ein AVV nach Art. 28 DSGVO erforderlich. Ein Hosting in der EU – idealerweise in Deutschland – reduziert die Risiken des Drittlandtransfers, die bei US-Anbietern eine gesonderte Risikoabwägung verlangen.
Eingaben dürfen nicht zum Training allgemeiner Modelle verwendet werden, und es braucht ein klares Lösch- und Zugriffskonzept.
Zeit sparen – ohne das ganze Gespräch aufzuzeichnen
Scribamed erstellt strukturierte Dokumente aus Stichpunkten: Ende-zu-Ende-verschlüsselt, EU-Hosting, mit AVV und 60-Minuten-Löschung.
Kostenlos testenCheckliste für einen rechtskonformen Einsatz
• Informierte, freiwillige Einwilligung der Patient:innen, dokumentiert.
• AVV mit dem Anbieter nach Art. 28 DSGVO.
• Verarbeitung in der EU, keine Trainingsnutzung der Eingaben.
• Ende-zu-Ende-Verschlüsselung und kurze Löschfristen für Audiodaten.
• Ärztliche Prüfung und Freigabe der KI-erzeugten Dokumentation vor Übernahme in die Akte.
Der pragmatische Mittelweg
Viele Praxen entscheiden sich gegen die kontinuierliche Audioaufzeichnung des gesamten Gesprächs und für eine textbasierte Dokumentation aus Stichpunkten – das reduziert die Datenmenge und die rechtlichen Risiken erheblich, bei vergleichbarer Zeitersparnis.
Scribamed setzt genau hier an: strukturierte Dokumente aus Stichpunkten, Ende-zu-Ende-verschlüsselt, in der EU gehostet, ohne Trainingsnutzung, mit AVV und automatischer Löschung nach 60 Minuten.
Häufige Fragen
Dieser Beitrag ist eine allgemeine, unverbindliche Information und ersetzt keine individuelle Rechtsberatung. Die datenschutzrechtliche Bewertung von Ambient-AI-Lösungen hängt vom konkreten Produkt und Einsatz ab. Im Zweifel wenden Sie sich an Ihre:n Datenschutzbeauftragte:n, Ihre Ärztekammer oder eine spezialisierte Kanzlei.
Bereit, Stunden pro Woche zu sparen?
Scribamed: Ende-zu-Ende-verschlüsselt, in der EU gehostet, ohne Trainingsnutzung.