Greift § 203 StGB auch bei pseudonymisierten Daten?

Solange ein Personenbezug rekonstruierbar ist – z. B. durch Kombination aus Diagnose, Datum und Klinik –, gelten die Daten weiterhin als geheimhaltungspflichtig. Erst echte Anonymisierung beendet den Schutz.

Sind alle Cloud-Anbieter automatisch ein Verstoß gegen § 203 StGB?

Nein. Seit der Reform 2017 (§ 203 Abs. 3 StGB) ist die Einbindung externer Dienstleister möglich, sofern sie ausdrücklich verschwiegenheitsverpflichtet werden und nur das Erforderliche an Daten erhalten.

Reicht ein AVV nach DSGVO, um § 203 StGB zu erfüllen?

Nein. AVV regelt den Datenschutz, § 203 StGB ist Strafrecht. Die strafrechtliche Verschwiegenheitsverpflichtung der eingesetzten Personen muss zusätzlich vertraglich geregelt sein.

Was passiert, wenn ich versehentlich Daten eingebe?

§ 203 StGB ist Vorsatzdelikt. Echtes Versehen ohne Inkaufnahme des Offenbarens ist nicht strafbar – aber datenschutzrechtlich trotzdem meldepflichtig (Art. 33 DSGVO).

Wie weise ich Compliance nach?

Mit Vertrag (AVV plus Verschwiegenheitsverpflichtung), technischer Dokumentation (Verschlüsselung, Hosting-Standort, Zugriffslogs) und einer DSFA. Im Optimalfall liefert der Anbieter Bausteine für all das mit.

Ratgeber

§ 203 StGB und KI: Wann der Einsatz strafbar ist – und wann nicht

7 Min. Lesezeit Aktualisiert am 08. Mai 2026

§ 203 StGB schützt die ärztliche Schweigepflicht – und stellt das Offenbaren von Patientengeheimnissen unter Strafe. Mit dem Einsatz von KI-Tools rückt diese Norm in den Fokus, weil moderne Sprachmodelle naturgemäß große Mengen Text verarbeiten. Dieser Beitrag erklärt, wann KI-Einsatz strafrechtlich relevant wird – und wie er rechtssicher gestaltet werden kann.

Was schützt § 203 StGB?

§ 203 StGB stellt das unbefugte Offenbaren fremder Geheimnisse unter Strafe, die einer Person in ihrer beruflichen Funktion anvertraut oder bekannt geworden sind. Geschützt ist die individuelle Vertraulichkeit der Patient:innen – und damit das Vertrauen in das Arzt-Patient-Verhältnis insgesamt.

Strafrahmen: Geldstrafe oder Freiheitsstrafe bis zu einem Jahr. Bei Bereicherungsabsicht oder Schädigungsvorsatz erhöht sich der Strafrahmen.

Wer ist Berufsgeheimnisträger?

Erfasst sind unter anderem Ärzt:innen, Zahnärzt:innen, Apotheker:innen, Psychotherapeut:innen, Hebammen sowie deren berufsmäßig tätige Gehilfen (z. B. MFA, Pflegekräfte, IT-Dienstleister im engeren Sinne).

Externe IT-Dienstleister oder Cloud-Anbieter sind nur dann Gehilfen im Sinne der Norm, wenn sie vertraglich entsprechend eingebunden und auf Verschwiegenheit verpflichtet wurden – sonst handelt es sich beim Übermitteln um „Offenbaren“ gegenüber Außenstehenden.

Was zählt rechtlich als „Offenbaren“?

„Offenbaren“ ist jedes Zugänglichmachen geschützter Information gegenüber einer Person, die diese nicht ohnehin schon kennt oder berechtigt kennen darf. Das umfasst aktives Mitteilen (z. B. ein Gespräch), aber auch das technische Bereitstellen – etwa das Hochladen in eine Cloud, auf die der Anbieter Zugriff hat.

Entscheidend ist nicht, ob jemand tatsächlich liest; es genügt die Möglichkeit des Zugriffs.

KI-Tools und § 203: Die kritischen Konstellationen

Strafrechtlich kritisch wird es immer dann, wenn:

• personenbezogene Patientendaten,

• an einen externen Anbieter übermittelt werden,

• der weder als berufsmäßiger Gehilfe vertraglich eingebunden ist,

• noch durch technische Maßnahmen vom Klartextzugriff ausgeschlossen ist.

Der typische Fall: Eine Ärzt:in fügt Patientendaten in das Eingabefeld eines öffentlichen KI-Dienstes ein. Selbst wenn der Anbieter „nichts Böses“ tut, ist das Offenbaren bereits vollendet, weil die Daten in einem Verarbeitungssystem landen, auf das Mitarbeitende des Anbieters Zugriff haben.

Schweigepflicht technisch eingehalten – nicht nur vertraglich

Scribamed verschlüsselt Ihre Eingaben Ende-zu-Ende. Selbst wir können sie nicht im Klartext einsehen. Das ist die einfachste belastbare Antwort auf § 203 StGB.

Kostenlos ausprobieren

Wann ist KI-Einsatz strafrechtlich unbedenklich?

Es gibt im Wesentlichen zwei Wege:

1. Vertragliche Einbindung des Anbieters als berufsmäßig tätiger Gehilfe – mit ausdrücklicher Verschwiegenheitsverpflichtung der eingesetzten Mitarbeitenden, dokumentierten Abläufen und kontrollierbaren Zugriffsrechten.

2. Technische Lösung über Ende-zu-Ende-Verschlüsselung – die Daten werden vor der Übermittlung so verschlüsselt, dass weder der Anbieter noch dessen Mitarbeitende sie im Klartext einsehen können. Ohne Klartextzugriff entfällt das „Offenbaren“ im strafrechtlichen Sinn.

Der zweite Weg ist der robusteste, weil er nicht auf das Vertrauen in Personen, sondern auf nachweisbare Kryptografie setzt.

Praxis: Drei Fragen, die Sie sich vor jedem KI-Tool stellen sollten

1. Hat der Anbieter im Klartext Zugriff auf meine Eingaben?

2. Ist der Anbieter als berufsmäßig tätiger Gehilfe vertraglich eingebunden – inklusive Verschwiegenheitsverpflichtung?

3. Kann ich im Streitfall lückenlos belegen, was mit den Daten passiert ist?

Wenn auch nur eine Antwort „nein“ oder „weiß nicht“ lautet, ist das Tool für Patientendaten nicht geeignet.

Häufige Fragen

Dieser Beitrag ist eine allgemeine Information und ersetzt keine individuelle Rechtsberatung. Bei konkreten Fragen wenden Sie sich an eine spezialisierte Kanzlei oder Ihre Ärztekammer.

Bereit, Stunden pro Woche zu sparen?

Scribamed: Ende-zu-Ende-verschlüsselt, in der EU gehostet, ohne Trainingsnutzung.

14 Tage kostenlos testen Datenschutz ansehen

Zurück zur Ratgeber-Übersicht