Datenschutz & Compliance
Wie Nixi AI Patientendaten schützt.
Datenfluss, Schweigepflicht, EU AI Act. Sachlich erklärt.
Ist KI-Dokumentation DSGVO-konform?
Ja, wenn der Anbieter es richtig macht. Bei Nixi AI wird das Audio in Frankfurt verarbeitet und unmittelbar nach der Transkription gelöscht. Der erzeugte Text wird in der EU verarbeitet und in Frankfurt gespeichert. Als Auftragsverarbeiter nach Art. 28 DSGVO ist Nixi AI in die ärztliche Schweigepflicht (§203 StGB) eingebunden.
Die häufigste Frage, die deutsche Ärzte zu KI-Tools stellen. Die Antwort hängt vom Anbieter ab. Hier erklären wir, wie Nixi AI die DSGVO-Anforderungen erfüllt.
Wo Ihre Daten sind, und wo nicht.
Fünf Schritte vom Mikrofon zur Dokumentation. Die Details stehen in den Schritten unten; die Kurzfassung: nichts zu Audio-Speicherung, nichts zu US-Transfer, nichts zu Dritten.
Aufnahme
Sie sprechen mit Ihrem Patienten. Nixi AI erfasst das Audio-Signal über Ihr Mikrofon.
Verschlüsselte Übertragung
Das Audio wird per TLS 1.3 an unsere Server in Frankfurt übertragen.
Verarbeitung
Unser Sprachmodell transkribiert und strukturiert die Dokumentation. Die Verarbeitung erfolgt auf DSGVO-konformer Infrastruktur.
Ergebnis
Der fertige Dokumentationsentwurf wird verschlüsselt an Sie zurückgesendet. Sie prüfen, korrigieren und übertragen ihn ins PVS. Practice Pro übernimmt die Übertragung automatisch.
Audio-Löschung
Nach Verarbeitung wird das Audio gelöscht. Es gibt keine Dauerspeicherung von Aufnahmen.
Was wir ausdrücklich NICHT tun
- Kein dauerhaftes Audio-Speichern: Audio wird nach Verarbeitung gelöscht
- Kein Datentransfer in die USA: alle Daten bleiben in Deutschland
- Keine Weitergabe an Dritte: keine Datenbroker, keine Werbenetzwerke
- Kein Zugriff auf vollständige Patientenakten: Nixi AI sieht nur das aktuelle Gespräch
Vollständige Sub-Processor-Liste und Architektur im Trust Centre. Die Dokumentation fließt automatisch ins PVS mit Practice Pro.
Auftragsverarbeitung: Ihre Daten, Ihre Kontrolle.
Nixi AI ist Auftragsverarbeiter nach Art. 28 DSGVO. Das bedeutet: Wir verarbeiten Patientendaten ausschließlich in Ihrem Auftrag und nach Ihren Weisungen. Eine vorbereitete Auftragsverarbeitungsvereinbarung (AVV) ist Bestandteil jedes Nixi AI-Vertrags.
Was die AVV regelt
| Verarbeitungszweck | Ausschließlich Dokumentationserstellung im Auftrag des Arztes |
| Datenarten | Audiodaten (temporär), transkribierter Text, strukturierte Dokumentation |
| Löschfristen | Audio nach Verarbeitung, Dokumentation nach Vertragsdauer oder auf Anweisung |
| Unterauftragsverarbeiter | Nur der DSGVO-konforme Infrastruktur-Anbieter (transparent benannt) |
| Audit-Recht | Sie können die Einhaltung der AVV jederzeit prüfen (lassen) |
DSFA-Unterstützung
Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO kann erforderlich sein, wenn Sie KI-gestützte Dokumentation mit Gesundheitsdaten einführen. Nixi AI stellt eine DSFA-Orientierungshilfe bereit, die die wesentlichen Risiken und Maßnahmen für Ihren konkreten Anwendungsfall beschreibt. Stimmen Sie die DSFA mit Ihrem Datenschutzbeauftragten ab.
§203 StGB: Wie KI-Dokumentation mit der Schweigepflicht vereinbar ist.
Nixi AI ist als Auftragsverarbeiter in die ärztliche Schweigepflicht eingebunden: analog zu IT-Dienstleistern, Abrechnungsstellen oder Cloud-PVS-Anbietern, die ebenfalls mit Patientendaten arbeiten. Die AVV enthält die entsprechende Verpflichtung auf das Datengeheimnis.
Die ärztliche Schweigepflicht nach §203 StGB schützt das Vertrauensverhältnis zwischen Arzt und Patient. Seit der Gesetzesänderung 2017 (§203 Abs. 3 StGB) dürfen Ärzte sogenannte „sonstige mitwirkende Personen“ einbeziehen, einschließlich IT-Dienstleister, sofern diese auf das Datengeheimnis verpflichtet werden. Nixi AI wird als technischer Dienstleister in diesen Rahmen eingebunden.
Warum US-Anbieter hier ein Problem haben
US-Unternehmen unterliegen dem CLOUD Act, der US-Behörden Zugriff auf Daten ermöglicht. Das gilt unabhängig davon, wo die Server stehen. Das steht in direktem Konflikt mit §203 StGB und der DSGVO. Nixi AI unterliegt als deutsches Unternehmen mit Sitz in Wiesbaden ausschließlich deutschem und EU-Recht.
Wie Nixi gegenüber US-KI-Tools abschneidet: Anbieter-Vergleich.
Müssen Patienten zustimmen?
Die Frage, ob eine separate Patienteneinwilligung erforderlich ist, hängt von Ihrer konkreten Situation ab. In der EULAR-Studie 2025 wurden 108 Patienten über den KI-Einsatz informiert: kein einziger lehnte ab (0 Ablehnungen). 56 % äußerten sich positiv.
Informieren Sie Ihre Patienten
Transparenz schafft Vertrauen. Ein kurzer Hinweis reicht: „Wir nutzen eine KI, um die Dokumentation schneller und vollständiger zu machen.“
Nutzen Sie unsere Hinweismitteilung
Nixi AI stellt eine kurze, verständliche Vorlage bereit, die Sie in Ihrer Praxis aushängen oder Patienten zeigen können.
Sprechen Sie mit Ihrem Datenschutzbeauftragten
Die konkrete Einschätzung hängt von Ihrer Praxiskonstellation ab.
EULAR-Studie 2025: 108 Patienten informiert, 0 Ablehnungen, 56 % positive Rückmeldungen, 44 % neutral.
EU AI Act: Risikoklasse und Transparenzpflichten.
Der EU AI Act (Verordnung 2024/1689) klassifiziert KI-Systeme in vier Risikoklassen. Nixi AI als KI-Dokumentationsassistent fällt in die Kategorie „limited risk“ (begrenztes Risiko) und unterliegt Transparenzpflichten. Nicht den strengen Anforderungen für „high-risk“-Systeme.
| Risikoklasse | Limited risk (begrenztes Risiko) |
| Hauptpflicht | Transparenz gegenüber Nutzer (Art. 50 AI Act) |
| Nicht High-Risk, weil | Nixi AI trifft keine diagnostischen oder therapeutischen Entscheidungen. Der Arzt bleibt Entscheidungsträger. |
| Anwendung ab | KI-Kompetenz (Art. 4) seit 2. Februar 2025; GPAI-Pflichten (Kapitel V) seit 2. August 2025; Transparenz (Art. 50) und Hochrisiko-Pflichten ab 2. August 2026. |
Wir informieren Ärzte und Patienten klar: Nixi AI ist ein KI-System. Die Dokumentation wird automatisch erstellt, der Arzt prüft und gibt frei. Keine diagnostische oder therapeutische Entscheidung wird von der KI getroffen. Diese Einstufung gilt für das aktuelle Produkt von Nixi AI (Stage 1 Ambient AI Scribe). Spätere Produktstufen werden vor dem Launch erneut nach MDCG 2019-11 Rev.1 und dem AI Act bewertet.
Betroffenenrechte: Was Patienten können.
Die DSGVO gewährt Patienten umfassende Rechte über ihre Daten. Nixi AI unterstützt Sie als Arzt/Ärztin dabei, diese Rechte zu erfüllen.
Auskunftsrecht
Patienten können erfragen, welche Daten verarbeitet wurden. Sie liefern die Informationen über Ihr PVS; Nixi AI stellt auf Anfrage eine Verarbeitungsübersicht bereit.
Berichtigungsrecht
Patienten können die Korrektur unrichtiger Daten verlangen. Die KI-Dokumentation liegt in Ihrem PVS. Sie korrigieren dort, nicht bei Nixi AI.
Löschungsrecht
Patienten können die Löschung verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (z.B. §630f BGB, 10 Jahre).
Einschränkungsrecht
Patienten können die Verarbeitung einschränken lassen: praktisch relevant bei laufenden Widersprüchen zur KI-Nutzung.
Datenübertragbarkeit
Patienten können ihre Daten in strukturierter Form erhalten. Nixi AI-Dokumentation ist in strukturierter Form im PVS hinterlegt.
Widerspruchsrecht
Patienten können jederzeit der KI-Dokumentation widersprechen. Sie dokumentieren dann manuell wie bisher.
Externer Datenschutzbeauftragter
Nixi AI hat einen externen Datenschutzbeauftragten (DSB) nach Art. 37 DSGVO bestellt. Patienten, die Auskunftsansprüche, Beschwerden oder Fragen zum Datenschutz haben, erreichen den DSB direkt.
PROLIANCE GmbH
Leopoldstraße 21, 80802 München
Der externe DSB ist unabhängig und vertritt die Interessen der Betroffenen. Er prüft unsere Datenschutzmaßnahmen und ist erster Ansprechpartner für Aufsichtsbehörden.
Häufig gestellte Fragen
Häufig gestellte Fragen zum Datenschutz
Nixi AI erfüllt alle DSGVO-Anforderungen: DSGVO-konforme Cloud-Infrastruktur in Frankfurt, AVV nach Art. 28, kein US-Transfer, externer DSB. „Wenn der Anbieter es richtig macht" ist die einzige Voraussetzung; diese Seite dokumentiert, wie wir es tun.
Datenschutz erleben statt nur lesen. 14 Tage kostenlos testen.
DSGVO-konforme Infrastruktur, AVV, §203-konform. Alle Details transparent dokumentiert. Hier und im Trust Center.