Über 60 % der Psychotherapeut:innen in Ausbildung nutzen bereits KI-Tools für ihre Dokumentation — in den meisten Fällen ChatGPT. Allerdings sind sich die wenigsten der datenschutzrechtlichen Risiken bewusst. Mit dem EU AI Act seit Februar 2025 und verstärkter Aufmerksamkeit der Datenschutzbehörden ist dieses Thema aktueller denn je.
Was passiert mit deinen Daten bei ChatGPT?
ChatGPT wird von OpenAI, einem US-amerikanischen Unternehmen, betrieben. Wenn Therapeut:innen Sitzungsnotizen in ChatGPT eingeben, werden diese Daten auf Server übertragen, die dem US-Recht unterliegen.
Konkret bedeutet das:
- Datenverarbeitung in den USA. Bei Free- und Plus-Nutzer:innen unterliegen Eingaben dem CLOUD Act, der US-Behörden Zugriff auf bei US-Unternehmen gespeicherte Daten ermöglicht.
- Training mit Nutzerdaten. Bei kostenlosen Versionen und ChatGPT Plus werden Eingaben standardmäßig zum Modelltraining genutzt und bis zu 30 Tage gespeichert. Ein Opt-Out ist nur über die API-Nutzung garantiert.
- Fehlender Auftragsverarbeitungsvertrag (AVV). Für Gesundheitsdaten nach Art. 9 DSGVO ist ein AVV mit dem Anbieter Pflicht. OpenAI bietet ihn für Free- und Plus-Accounts nicht an.
- ChatGPT Health. Das neue Feature isoliert Gesundheitsdaten und nutzt sie nicht für Modelltraining. Allerdings ist es zunächst nur in den USA verfügbar und löst das Grundproblem nicht: Daten verlassen den europäischen Rechtsraum.
Die rechtliche Lage: DSGVO, § 203 StGB und Berufsordnung
Drei Regelwerke sind relevant und sprechen eine klare Sprache.
Art. 9 DSGVO: Gesundheitsdaten als besondere Kategorie
Gesundheitsdaten gehören zu den besonders geschützten Datenkategorien. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Einwilligung vor oder ein anderer Erlaubnistatbestand greift. Selbst Patienteneinwilligung legitimiert nicht die Nutzung eines nicht DSGVO-konformen Tools.
§ 203 StGB: Die Schweigepflicht
Die ärztliche und psychotherapeutische Schweigepflicht gilt auch für digitale Verarbeitung. Wer Patientendaten an Dritte weitergibt — einschließlich Cloud-Dienste — ohne Geheimnisschutz, macht sich strafbar. Das Strafmaß: Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Ein entsprechender Vertrag mit dem Anbieter ist erforderlich.
Berufsordnung der Psychotherapeutenkammern
Die Berufsordnungen verpflichten Psychotherapeut:innen zu besonderer Sorgfalt im Umgang mit Patientendaten. Die Nutzung eines Tools mit Datenfluss in die USA ist mit dieser Sorgfaltspflicht kaum vereinbar.
Was droht bei Verstößen? Bußgelder nach der DSGVO können bis zu 4 % des Jahresumsatzes betragen. Berufsrechtliche Konsequenzen und Vertrauensverlust wiegen schwerer.
„Aber ich anonymisiere doch…" — Warum das nicht reicht
- Pseudonymisierung ist keine Anonymisierung. Statt Namen nur „Patientin, 34 Jahre" zu schreiben ergibt Pseudonymisierung — nicht Anonymisierung im DSGVO-Sinne. Pseudonymisierte Daten können mit Zusatzwissen wieder zugeordnet werden.
- Therapeutische Kontexte sind indirekt identifizierend. Seltene Diagnosen, biografische Details und der Behandlungsort ermöglichen oft Re-Identifizierung. Ein Patient mit dissoziativer Identitätsstörung in einer Kleinstadt ist häufig identifizierbar, auch ohne Namensnennung.
- Re-Identifizierung bei kleinen Gruppen. PiAs behandeln oft eine überschaubare Patientenzahl. In solchen Gruppen ist Re-Identifizierung anhand von Kontextmerkmalen ein reales Risiko.
Welche Alternativen gibt es?
Es gibt mittlerweile spezialisierte KI-Tools für die Psychotherapie, die Datenschutz ernst nehmen. Worauf zu achten ist:
- Server in der EU (idealerweise Deutschland)
- Kein Training mit Nutzerdaten
- Auftragsverarbeitungsvertrag verfügbar
- Technisch-organisatorische Maßnahmen dokumentiert
- Transparenz über verwendete Modelle
Vergleich wichtiger Anbieter
| Kriterium | VIA HealthTech | PlaynVoice | EPIKUR KI-Modul | duktus PRO | ChatGPT (Free/Plus) |
|---|---|---|---|---|---|
| Serverstandort | EU | Schweiz | Lokal | Deutschland | USA |
| Input-Methode | Aufzeichnung | Aufzeichnung | Text (im PVS) | Stichworte | Text |
| Zertifizierungen | ISO 27001, BSI-C5 | DSG (CH), DSGVO | — | DSGVO, AVV | — |
| KI-Training mit Daten | Nein | Nein | Unklar | Nein | Ja (Free/Plus) |
| AVV verfügbar | Ja | Ja | Über EPIKUR | Ja | Nur Enterprise |
| Preis | ab 99 €/Monat | Auf Anfrage | Im PVS enthalten | 12 €/Monat | kostenlos / 20 $ |
Checkliste: So nutzt du KI datenschutzkonform
Vor dem Einsatz eines KI-Tools für die Dokumentation sollten fünf Punkte geprüft werden:
- Serverstandort prüfen — Werden Daten in der EU/EWR verarbeitet?
- AVV abschließen — Bietet der Anbieter einen Auftragsverarbeitungsvertrag?
- Training-Policy prüfen — Werden Eingaben für Modelltraining genutzt?
- Dokumentation anlegen — Im Verarbeitungsverzeichnis festhalten, welches Tool genutzt wird.
- Patient:innen informieren — Bei Aufzeichnungstools ist informierte Einwilligung nötig.
Fazit
ChatGPT ist beeindruckend — aber für Patientendaten in der Psychotherapie nicht geeignet. Die Kombination aus US-Serverstandort, fehlendem AVV und Modelltraining ist mit DSGVO, Schweigepflicht und berufsrechtlichen Pflichten nicht vereinbar.
Der Markt für DSGVO-konforme KI-Tools in der Psychotherapie entwickelt sich jedoch rasant. Es gibt Alternativen — aufzeichnungsbasiert oder stichwortbasiert — die Datenschutz von Anfang an mitdenken.