duktus
KontaktKostenlos starten
Blog25. Mai 202611 Min. LesezeitJoshua Quattek

EU AI Act für Psychotherapie-Praxen: Was am 2. August 2026 anwendbar wird — Checkliste für KI-Doku-Tools

Am 2. August 2026 werden die Hochrisiko-Regeln des EU AI Acts (VO 2024/1689) anwendbar. Was das für Psychotherapeut:innen mit KI-Doku-Tools heißt: ist Ihr Tool „Hochrisiko"? Welche Pflichten haben Sie als Anwender:in (Deployer)? Und welche acht Fragen sollten Sie Ihrem Anbieter bis dahin gestellt haben?

Inhaltsverzeichnis · 12 Abschnitte
  1. Zeitstrahl: Was wann anwendbar wird
  2. Ist mein KI-Doku-Tool ein „Hochrisiko-System"?
  3. Art. 4 — AI-Literacy ist schon jetzt Pflicht
  4. Art. 50 — Transparenz gegenüber Patient:innen
  5. Art. 26 — Pflichten der Deployer (Anwender:innen)
  6. Verhältnis zur DSGVO — kein Ersatz, sondern Ergänzung
  7. Acht Fragen, die Ihr KI-Anbieter bis 2. August 2026 beantworten sollte
  8. Was Sie selbst bis zum Stichtag tun sollten
  9. duktus im Kontext der KI-Verordnung
  10. FAQ
  11. Verwandte Beiträge
  12. Quellen

Am 2. August 2026 wird die zweite große Stufe der KI-Verordnung — offiziell Verordnung (EU) 2024/1689, kurz EU AI Act — in Europa anwendbar. Für Psychotherapeut:innen, die KI-gestützte Dokumentations-Tools einsetzen, ist das kein Hintergrundrauschen: ab diesem Datum greifen die Hochrisiko-Vorschriften nach Annex III sowie die Sanktionsregeln. Wer ein Tool wie ChatGPT, Whisper, einen spezialisierten AI-Scribe oder eine Doku-KI in der Praxis nutzt, sollte bis dahin drei Dinge sauber dokumentiert haben — und genau wissen, welche Fragen er oder sie dem Anbieter stellt.

Dieser Artikel ordnet die Verordnung ein, klärt, ob typische KI-Doku-Tools überhaupt unter die Hochrisiko-Kategorie fallen, und liefert eine Acht-Punkte-Checkliste, die Sie vor dem Stichtag mit Ihrem Anbieter abarbeiten sollten. Wer bereits einen AVV mit dem KI-Anbieter und eine DSGVO-konforme Patient:innen-Aufklärung hat, ist DSGVO-seitig fertig — der AI Act ergänzt das, ersetzt es aber nicht.

Zeitstrahl: Was wann anwendbar wird

Der EU AI Act ist seit 1. August 2024 in Kraft, aber gestaffelt anwendbar. Drei Stichtage sind für Psychotherapie-Praxen relevant:

  • 2. Februar 2025 — Verbote nach Art. 5 (z. B. unterschwellige Manipulation, Social Scoring) sowie die AI-Literacy-Pflicht nach Art. 4 (siehe unten) werden anwendbar.
  • 2. August 2025 — Pflichten für Anbieter generativer KI-Modelle (General Purpose AI, GPAI), Sanktionsregeln für diesen Bereich, sowie Verwaltungs- und Governance-Strukturen (nationale Behörden).
  • 2. August 2026 — Hochrisiko-Vorschriften nach Annex III (das betrifft auch potenziell Gesundheits-Anwendungen), Code-of-Practice-Mechanismen, sowie die Mehrheit der Sanktionen.
  • 2. August 2027 — Letzte Stufe: Hochrisiko-Systeme nach Annex I (Sicherheitsbauteile regulierter Produkte, z. B. Medizinprodukte unter MDR).

Für die Praxis heißt das: Was im Februar 2025 anwendbar wurde, gilt schon. Was am 2. August 2026 anwendbar wird, ist die Welle, auf die sich Praxen jetzt vorbereiten sollten. Der August-2027-Stichtag betrifft nur Tools, die formal als Medizinprodukt nach MDR klassifiziert sind — das ist die Minderheit der Dokumentations-Werkzeuge.

Ist mein KI-Doku-Tool ein „Hochrisiko-System"?

Die Antwort entscheidet darüber, ob der volle Pflichtenkatalog (Risiko­management, technische Dokumentation, Datenqualitäts­anforderungen, Konformitäts­bewertung, CE-Kennzeichnung) greift. Annex III der Verordnung listet abschließend, was als Hochrisiko gilt. Für Gesundheits­anwendungen sind drei Punkte zu prüfen:

  • Annex III, Nr. 5(a) — KI-Systeme, die den Zugang zu oder die Inanspruchnahme essenzieller öffentlicher Dienste, einschließlich Gesundheits­diensten, bewerten oder dabei entscheiden.
  • Annex I — KI-Systeme als Sicherheits­bauteile regulierter Produkte (z. B. Medizin­produkte nach MDR). Greift erst ab 2027 und nur, wenn die Software selbst Medizin­produkt ist.
  • Art. 6 Abs. 3 — Ausnahme: Auch wenn ein Tool in eine Annex-III-Kategorie fallen könnte, ist es nicht Hochrisiko, wenn es nur eine eng umrissene, prozedurale Aufgabe erfüllt, das Ergebnis einer früheren menschlichen Tätigkeit verbessert, vorhersehende Muster aus Entscheidungen erkennt — oder vor­bereitend für eine menschliche Bewertung tätig ist (und kein automatisiertes Entscheiden ohne Aufsicht stattfindet).

Konkret für KI-Doku-Tools in der Psychotherapie:

  • Reines Strukturieren / Transkribieren — eine KI, die aus Sitzungs­stich­worten ein Sitzungs­protokoll formt, ist nicht Hochrisiko. Sie entscheidet weder über den Zugang zu Leistungen noch über die Diagnose. Die Therapeut:in trifft die fachliche Entscheidung, das Tool unterstützt nur die Formulierung.
  • PTV3-Berichts­hilfe — Auch wenn der Bericht später zu einer Genehmigungs­entscheidung der Kasse führt, ist die KI nur die Vor­arbeit für die Therapeut:in, die den Bericht eigen­verant­wortlich abgibt. Greift damit die Ausnahme nach Art. 6 Abs. 3.
  • Automatisierte Risiko-Scores / Suizid-Vorhersage / Diagnose­empfehlung ohne ärztliche/psychotherapeutische Letzt­verantwortung — Das wäre Hochrisiko. Solche Tools sind im Doku-Markt selten — aber wer ein Add-on einsetzt, das eigen­ständig Empfehlungen generiert, sollte beim Anbieter eine schriftliche Risiko­klassifizierung anfordern.
  • Tools mit CE-Kennzeichnung als Medizin­produkt — automatisch Hochrisiko unter Annex I ab 2027.

Praxis­regel: Wenn Sie als Therapeut:in die KI-Ausgabe immer redigieren, fachlich verantworten und nichts ungeprüft in die Akte übernehmen, betreibt Ihr Tool keine automatisierte Entscheidung — und ist mit hoher Wahrscheinlichkeit kein Hochrisiko-System im Sinne der Verordnung. Trotzdem gelten die horizontalen Pflichten (Transparenz, AI-Literacy, Deployer-Aufsicht) für alle.

Art. 4 — AI-Literacy ist schon jetzt Pflicht

Seit dem 2. Februar 2025 verpflichtet Art. 4 sowohl Anbieter als auch Deployer (also auch Praxen, die KI nutzen), sicher­zustellen, dass ihr Personal über ein angemessenes Maß an KI-Kompetenz verfügt. Das ist keine Zertifizierung, aber auch keine Floskel — bei einer Beschwerde oder einem datenschutz­rechtlichen Vorfall wird die Aufsichts­behörde fragen können, wie Sie das nachweisen.

Pragmatisch: ein dokumentiertes internes Onboarding (zwei bis drei Seiten) reicht typischer­weise aus. Inhalt: Was kann das Tool? Was kann es nicht? Wie redigiere ich Ausgaben? Welche Daten dürfen rein, welche nicht? Wann muss ich die Patient:in informieren? Das in einer Praxis­anweisung mit Datum, Unterschriften der Mit­arbeitenden und Verweis auf den AVV ablegen.

Art. 50 — Transparenz gegenüber Patient:innen

Art. 50 regelt Transparenz­pflichten — was Patient:innen wissen müssen, wenn KI im Spiel ist. Für Psychotherapie-Praxen relevant:

  • Art. 50 Abs. 1 — Wenn die Patient:in direkt mit einer KI interagiert (z. B. ein Chatbot in der Termin­buchung), muss sie das wissen. Bei KI-Doku-Tools, die im Hinter­grund laufen, greift das nicht — aber siehe Art. 13 DSGVO, der die Information ohnehin verlangt.
  • Art. 50 Abs. 2 — Anbieter generativer KI müssen Ausgaben maschinen­lesbar als KI-generiert kennzeichnen (Wasser­zeichen). Das ist Anbieter-Pflicht, nicht Ihre.
  • Art. 50 Abs. 4 — Wenn KI-generierter Text an die Öffentlich­keit gerichtet ist und über Themen von öffentlichem Interesse informiert, muss die KI-Genese offen­gelegt werden. Klinische Dokumentation ist keine öffentliche Kommunikation — also kein direkter Bezug. Patient:innen-Aufklärung darüber, dass KI in der Doku läuft, schulden Sie aber schon aus DSGVO Art. 13 und § 630e BGB (siehe verlinkter Mustertext).

Art. 26 — Pflichten der Deployer (Anwender:innen)

Art. 26 listet die Pflichten von Deployern von Hochrisiko-Systemen auf. Für KI-Doku-Tools, die wir oben als nicht-Hochrisiko klassifiziert haben, gelten diese Pflichten formal nicht voll — aber sie sind das beste Quellen­dokument dafür, wie eine saubere AI-Governance in der Praxis aussieht. Drei Pflichten lohnen sich auch ohne Hochrisiko-Status zu implementieren:

  • Menschliche Aufsicht — Klare Regel: Keine KI-Ausgabe geht ungeprüft in die Akte. Das ist gleich­zeitig die Voraussetzung, um nicht in Art. 6 Abs. 3 als Hochrisiko zu kippen.
  • Logging — Wenn der Anbieter Audit-Logs anbietet (welche Sitzung wurde von wem wann verarbeitet?), aktivieren und für die Akten­aufbewahrungs­frist (zehn Jahre) sicher­stellen, dass die Logs zugänglich bleiben.
  • Vorfalls­meldung — Mit dem Anbieter klären: Was passiert bei einem Sicherheits­vorfall? Wer meldet wann an wen? Das gehört auch ohne AI Act bereits in den AVV nach Art. 28 DSGVO.

Verhältnis zur DSGVO — kein Ersatz, sondern Ergänzung

Der AI Act ersetzt die DSGVO nicht. Beide gelten parallel. Praktisch heißt das: Was Sie bislang DSGVO-seitig aufgebaut haben (AVV nach Art. 28, Patient:innen-Information nach Art. 13, Verarbeitungs­verzeichnis), bleibt unverändert nötig. Der AI Act addiert zwei Schichten:

  1. Produkt­regulierung — Anforderungen an das Tool selbst (CE-Konformität, technische Dokumentation, Risiko­management) — primär Anbieter-Pflicht.
  2. Organisations­pflichten — AI-Literacy (Art. 4), Transparenz (Art. 50), ggf. Deployer-Pflichten (Art. 26) — Praxis-Pflicht.

Datenschutz­behörden und KI-Aufsichts­behörden werden eng zusammen­arbeiten. In Deutschland ist die nationale KI-Aufsicht im Aufbau (Bundes­netz­agentur als Markt­überwachungs­behörde nach KI-VO; BSI für sicherheits­technische Aspekte). Beschwerden bei der jeweils zuständigen Datenschutz­aufsicht werden weiterhin möglich sein und in vielen Fällen schneller greifen als der KI-Pfad.

Acht Fragen, die Ihr KI-Anbieter bis 2. August 2026 beantworten sollte

  1. Rolle nach VO 2024/1689 — Sind Sie Anbieter (Provider) oder „nur" Downstream-Distributor? Wer ist verantwortliche Stelle für die KI-Konformität?
  2. Risiko­klassifizierung mit Begründung — Klassifizieren Sie Ihr Tool als Hochrisiko oder nicht? Mit welchem Verweis auf Annex III bzw. Art. 6 Abs. 3?
  3. CE-Konformitäts­bewertung — Falls Hochrisiko: Welches Verfahren (intern / mit notifizierter Stelle)? Aktueller Stand? Geplantes Ausstellungs­datum vor 2026-08-02?
  4. Technische Dokumentation nach Annex IV — Bei Hochrisiko-Systemen verbindlich vorzuhalten. Auf Anfrage einsehbar?
  5. Daten-Governance nach Art. 10 — Mit welchen Daten­sätzen wurde trainiert? Wie wird Bias adressiert? Was sind die Limitationen für deutsch­sprachige Psychotherapie?
  6. Logging-/Audit-Funktionen nach Art. 12 — Welche Ereignisse werden geloggt, wie lange, in welchem Format exportierbar?
  7. Transparenz­information nach Art. 13 — Liegt ein Information­sblatt vor, das die Funktions­weise, Genauigkeit und Limitationen für Anwender:innen beschreibt?
  8. Wasser­zeichen nach Art. 50 Abs. 2 — Werden KI-generierte Ausgaben maschinen­lesbar gekennzeichnet (z. B. via Metadaten)? Ab wann?

Erhalten Sie auf eine dieser Fragen ein Schulter­zucken, eine Marketing-Floskel oder „kommt noch" ohne Datum, sollten Sie das in Ihrem Anbieter-Tracking notieren und bis zum 2. August 2026 nach­fassen. Spätestens dann müssen Anbieter belastbare Antworten haben — Verstöße sind sanktions­bewehrt (bis zu 15 Mio. EUR oder 3 % des welt­weiten Jahres­umsatzes, je nachdem, was höher ist).

Was Sie selbst bis zum Stichtag tun sollten

  • AI-Literacy dokumentieren — Eine Praxis­anweisung „KI-Nutzung in der Doku" (2–3 Seiten) erstellen, mit allen Mit­arbeitenden unter­schreiben, jährlich aktualisieren.
  • Patient:innen-Aufklärung prüfen — Verweist sie auf die KI-Nutzung? (Mustertext: hier.) Ist sie nach DSGVO Art. 13 vollständig?
  • AVV-Check — Enthält der AVV Auftrags­verarbeitungs­vertrag eine Klausel zur AI-Act-Konformität des Anbieters? Wenn nicht, ergänzen lassen (Mustertext im Verbund­leit­faden AVV-Checkliste).
  • Verarbeitungs­verzeichnis — Eintrag „KI-gestützte Dokumentation" aktualisieren: Rechts­grundlage, Empfänger, Speicher­dauer.
  • Vorfalls­plan — Wer informiert wen, in welcher Frist, in welcher Reihen­folge bei einem Vorfall? Datenschutz­behörde innerhalb 72 Stunden (DSGVO Art. 33), KI-Aufsicht zusätzlich bei Hochrisiko-Vorfällen (AI Act Art. 73).

duktus im Kontext der KI-Verordnung

duktus ist als Forschungs­pilot mit wissenschaftlicher Begleitung der Leuphana Universität Lüneburg ausschließlich Doku-Assistenz — kein Diagnose-System, keine automatisierte Empfehlung, keine Entscheidung ohne Therapeut:innen­aufsicht. Die Tool-Ausgabe ist immer redaktioneller Vor­schlag, nie automatisierter Akten-Eintrag. Das positioniert duktus klar in der Nicht-Hochrisiko-Kategorie nach Art. 6 Abs. 3.

Trotzdem implementieren wir freiwillig die Deployer-Werkzeuge aus Art. 26: vollständiges Audit-Log pro Sitzung, jederzeit exportierbar, plus eine standardisierte Praxis­anweisung „AI-Literacy KI-Doku" als Teil des Onboarding-Pakets — damit Pilot­praxen den 2. August 2026 ohne Mehr­arbeit erreichen. Details: Trust Center. Das Pilotprogramm ist während der Forschungs­phase kostenfrei.

FAQ

Brauche ich für KI-Doku-Tools eine CE-Kennzeichnung?

Als Anwender:in nicht — die CE-Kennzeichnung ist Pflicht des Anbieters, und nur bei Hochrisiko-Systemen. Sie müssen prüfen, ob Ihr Anbieter den Status korrekt eingeschätzt hat. Fordern Sie die schriftliche Risiko­klassifizierung an.

Was ist mit ChatGPT, Claude, Gemini für die Doku?

Generative KI-Modelle fallen unter die GPAI-Vorschriften (seit August 2025 anwendbar). Die Anbieter (OpenAI, Anthropic, Google) müssen technische Dokumentation und Copyright-Trans­parenz liefern. Für Sie als Praxis ändert sich AI-Act-seitig wenig — viel kritischer bleibt der DSGVO-Pfad: Diese Tools verarbeiten in der Regel in den USA, ohne AVV mit angemessenem Datenschutz­niveau für besondere Kategorien personen­bezogener Daten (siehe ChatGPT & DSGVO).

Was passiert bei einem Verstoß ab August 2026?

Sanktionen werden gestaffelt. Die schwerste Stufe (Verstöße gegen die Verbote nach Art. 5) liegt bei bis zu 35 Mio. EUR oder 7 % des welt­weiten Jahres­umsatzes. Die typischere Stufe (z. B. Verstöße gegen Hochrisiko-Pflichten) liegt bei bis zu 15 Mio. EUR oder 3 %. Für Praxen als Deployer von Nicht-Hochrisiko-Tools liegt das primäre Risiko bei Art. 4 (AI-Literacy) und bei DSGVO-Sanktionen, die parallel weiter­laufen.

Gibt es eine Übergangs­phase?

Die Verordnung ist bereits in Kraft — die Stichtage sind keine Übergangs­fristen, sondern Anwendbarkeits­daten. Wer am 2. August 2026 nicht vorbereitet ist, ist im Anwendungs­bereich. Eine Schon­frist gibt es nur informell, soweit Aufsichts­behörden in der Anfangs­phase priorisieren — verlassen sollte man sich darauf nicht.

Was bedeutet „Regulatory Sandbox"?

Art. 57 ff. der Verordnung verpflichtet die Mitglied­staaten, bis 2. August 2026 mindestens eine regulatorische Sandbox einzurichten. Das ist ein geschützter Test­raum für KI-Innovation unter Aufsicht. Für etablierte Doku-Tools nicht relevant — interessant für Forschungs­projekte, die noch keinen Markt­zugang anstreben. Deutschland baut die Sandbox-Struktur unter Federführung der Bundes­netz­agentur derzeit auf.

Verwandte Beiträge

Quellen

  • Verordnung (EU) 2024/1689 über künstliche Intelligenz (KI-Verordnung), Amtsblatt der EU L vom 12. Juli 2024 — insbesondere Art. 4 (AI-Literacy), Art. 5 (Verbote), Art. 6 (Klassifizierung Hochrisiko), Art. 10 (Daten-Governance), Art. 12 (Logging), Art. 13 (Transparenz), Art. 26 (Pflichten Deployer), Art. 50 (Transparenz gegenüber natürlichen Personen), Art. 57 ff. (Regulatory Sandboxes), Art. 73 (Meldung schwerer Vorfälle), Art. 99 (Sanktionen), Art. 113 (Anwendbarkeitsdaten), Annex I + Annex III.
  • Europäische Kommission, AI Act Service Desk + offizielle Q&A zum AI Act (Stand 2025/2026).
  • Datenschutz-Grundverordnung (DSGVO), Art. 9 (Gesundheitsdaten), Art. 13 (Informationspflicht), Art. 28 (Auftragsverarbeitung), Art. 33 (Meldung von Datenschutzverletzungen).
  • Bundespsychotherapeutenkammer (BPtK), Stellungnahmen zur KI-Nutzung in der Psychotherapie (2025/2026).
  • Bundesnetzagentur, Informationen zur nationalen Marktüberwachung nach KI-VO (laufende Veröffentlichungen 2026).
Weitere Artikel

Auch interessant.

8. Mai 202610 Min.

AVV-Mustervertrag mit KI-Anbietern: Pflichtinhalte nach § 203 StGB + DSGVO Art. 28 (Checkliste 2026)

Sobald Patientendaten ein KI-Tool berühren, brauchen Sie einen Auftragsverarbeitungs­vertrag. Welche 13 Pflichtinhalte rein müssen, welche sieben roten Flaggen Anbieter aussortieren — und wie der AVV ins Verarbeitungs­verzeichnis kommt.

19. Februar 20269 Min.

Ist ChatGPT DSGVO-konform? Was Therapeut:innen wissen müssen

Über 60 % der PiAs nutzen ChatGPT für Dokumentation — meist ohne die Risiken zu kennen. Was DSGVO, § 203 StGB und Berufsordnung wirklich sagen.

29. August 20248 Min.

KI in der Psychotherapie: Chancen, Risiken und ethische Überlegungen

KI-Systeme können Diagnosen präzisieren und Behandlungen personalisieren — werfen aber auch komplexe ethische Fragen auf. Ein strukturierter Überblick.