Datenschutz & Regulierung
Warum deutsche Ärzte keine US-KI für Patientendokumentation nutzen sollten.
Deutschland hat das weltweit strengste Regulierungsumfeld für medizinische KI. DSGVO, §203 StGB, EU AI Act, was das konkret für Ihre Praxis bedeutet.
Dürfen deutsche Ärzte US-KI-Tools für Patientendaten verwenden?
Technisch ist die Nutzung von US-KI-Tools nicht verboten. Praktisch entstehen jedoch erhebliche Rechtsrisiken: §203 StGB stellt die Weitergabe von Patientendaten an unbefugte Dritte unter Strafe. Der US CLOUD Act ermöglicht US-Behörden Datenzugriff, auch auf EU-Server. Zudem fehlt US-Anbietern die nach §393 SGB V vorgeschriebene DSGVO-Konformität. Deutsche Lösungen, die deutschem Recht unterliegen und auf zertifizierter Infrastruktur laufen, eliminieren diese Risiken.
Fünf Regulierungssäulen, die deutsche Ärzte kennen müssen.
Das regulatorische Umfeld für medizinische KI in Deutschland ist kein einzelnes Gesetz, es ist ein Zusammenspiel aus fünf Rechtsrahmen. Hier erklären wir jeden einzelnen so, wie er für Ihre Praxis relevant ist. Nicht für Juristen, sondern für Ärzte.
DSGVO (Art. 9. Gesundheitsdaten)
Gesundheitsdaten gehören zur besonderen Kategorie personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine der eng definierten Ausnahmen greift. Büßgelder: bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.
§203 StGB (Ärztliche Schweigepflicht)
Strafbar, nicht nur ein Bußgeld. Die unbefugte Offenbarung von Patientengeheimnissen ist mit bis zu einem Jahr Freiheitsstrafe oder Geldstrafe bedroht. KI-Anbieter müssen als „sonstige mitwirkende Person“ (§203 Abs. 3, 2017-Reform) vertraglich eingebunden sein.
EU AI Act (ab 08/2026 für Hochrisiko-KI)
Ab August 2026 gelten die Pflichten für Hochrisiko-KI-Systeme: Transparenz, technische Dokumentation, Risikomanagement, menschliche Aufsicht. Compliance erfordert grundlegende Architekturentscheidungen, die sich nicht kurzfristig nachholen lassen.
§630f BGB (Dokumentationspflicht)
Ärztliche Dokumentation ist Beweismittel. §630h Abs. 3 BGB bestimmt eine Beweislastumkehr bei unvollständiger Dokumentation. Die KI muss juristisch belastbare Dokumentation produzieren, vollständig, korrekt, nachvollziehbar.
Regulatorischer Vergleich: Deutschland vs. USA
| Regulierung | Deutschland | USA |
|---|---|---|
| Datenschutz | DSGVO Art. 9, höchste Schutzklasse | HIPAA, sektoraler Standard, kein Grundrecht |
| Ärztliche Schweigepflicht | §203 StGB. Freiheitsstrafe | HIPAA. Bußgeld, selten strafrechtlich |
| KI-Regulierung | EU AI Act, ab 08/2026 Hochrisiko-Pflichten | Keine vergleichbare Bundesgesetzgebung |
| Dokumentationspflicht | §630f BGB. Beweislastumkehr | Variiert nach Bundesstaat |
CLOUD Act: Der strukturelle Konflikt mit US-Anbietern.
Der US Clarifying Lawful Overseas Use of Data Act (18 U.S.C. §2713) verpflichtet US-Unternehmen, US-Behörden Zugriff auf gespeicherte Daten zu gewähren, unabhängig davon, wo die Server stehen. Ein US-Unternehmen mit Servern in Frankfurt unterliegt trotzdem dem CLOUD Act.
- !US-Behörden können auf Patientendaten zugreifen, ohne den Arzt zu benachrichtigen
- !Es besteht keine Pflicht, den betroffenen Arzt oder Patienten über den Zugriff zu informieren
- !Die EU-Datenschutzaufsichtsbehörden sehen darin einen strukturellen Konflikt mit der DSGVO (Schrems II)
- !Vertragliche Zusicherungen des Anbieters können den CLOUD Act nicht überschreiben. US-Recht überlagert privatrechtliche Vereinbarungen
Für einen deutschen Arzt bedeutet das: Die Nutzung eines US-Anbieters erzeugt ein strukturelles Spannungsverhältnis zu §203 StGB und DSGVO. Dieses Risiko kann durch keine Vertragsklausel ausgeräumt werden.
Wie Nixi AI konkret unterscheidet.
Deutsches Unternehmen, deutsches Recht
Nixi AI GmbH, Sitz Wiesbaden. Ausschließlich deutschem und EU-Recht unterworfen. Kein CLOUD Act.
Hosting in Frankfurt am Main
Alle Patientendaten verbleiben in Deutschland. DSGVO-konforme Cloud-Infrastruktur. Kein Datentransfer in Drittstaaten.
§203 StGB, vertraglich eingebunden
Nixi AI ist als „sonstige mitwirkende Person“ (§203 Abs. 3 StGB) vertraglich zur Verschwiegenheit verpflichtet. Die AVV enthält die Datengeheimnis-Klausel.
Klinisch evaluiert (EULAR 2025)
Peer-reviewed in einer deutschen Fachpraxis. In 82 % der Fälle reduzierte Dokumentationszeit, 0 kritische Fehler, 0 Patienten-Ablehnungen. Nicht in den USA evaluiert, sondern hier.
Externer DSB PROLIANCE
Nach Art. 37 DSGVO bestellt. Unabhängig, erster Ansprechpartner für Patienten und Aufsichtsbehörden.
Häufige Fragen
Häufig gestellte Fragen
SOC 2 ist ein US-Audit-Standard, kein staatliches Sicherheitszertifikat. §393 SGB V (seit 07/2025 Pflicht) verlangt ausdrücklich eine zertifizierte EU-Cloud. SOC 2 erfüllt diese Anforderung nicht.
Deutsche Regulierung ist ein Feature, kein Hindernis.
Nixi AI wurde für das deutsche Gesundheitswesen entwickelt. Nicht angepasst. 14 Tage kostenlos testen, inklusive voller Compliance-Dokumentation.