Darf ich ChatGPT für Arztbriefe nutzen? Was 2026 erlaubt ist
ChatGPT und Patientendaten — was sagt § 203 StGB, was die DSGVO, was der EU AI Act? Klare Antworten und drei rechtssichere Wege für die Praxis.
Die kurze Antwort vorweg: Patientendaten in das normale ChatGPT einzugeben ist in Deutschland nicht erlaubt. Das gilt auch dann, wenn Sie nur Initialen tippen, das Geburtsdatum weglassen oder die Diagnose als “Verdacht auf X” verschleiern. Pseudonymisierung schützt nicht vor § 203 StGB. Und sie schützt nicht vor der DSGVO.
Wer trotzdem Briefe schneller schreiben will, hat 2026 drei rechtssichere Wege. Wir gehen die Lage Schritt für Schritt durch — Pflichten, Risiken, Auswege.
Warum es schon der Versand allein ist, der das Problem auslöst
§ 203 Strafgesetzbuch nennt Schweigepflicht. Diese Pflicht gilt nicht erst, wenn ein OpenAI-Mitarbeiter den Prompt liest. Sie gilt schon, wenn die Möglichkeit besteht, dass jemand außerhalb Ihrer Praxis Zugriff hat. Das ist bei normalem ChatGPT der Fall, weil OpenAI-Mitarbeiter zur Qualitätssicherung Konversationen einsehen können.
Die zweite Hürde ist die DSGVO. Patientendaten sind besonders schützenswert (Art. 9). Eine Übermittlung in die USA ohne ausreichende Garantien ist rechtswidrig — auch wenn OpenAI heute EU-Hosting anbietet, fehlt regelmäßig der Auftragsverarbeitungsvertrag mit Schweigepflicht-Konstruktion.
“Allein die abstrakte Zugriffsmöglichkeit eines OpenAI-Mitarbeiters reicht für eine Offenbarung nach § 203 StGB. Es ist egal, ob ein Mensch tatsächlich liest.” — sinngemäß aus mehreren Datenschutz-Kommentaren
Was nicht hilft: Pseudonymisierung, “harmlose” Diagnosen, kurze Prompts
Ein häufiger Trick: “Ich tippe nur Initialen rein, dann ist niemand identifizierbar.” Das ist juristisch falsch. Eine Person ist nach DSGVO bereits dann identifizierbar, wenn die Kombination der genannten Merkmale eine Re-Identifikation theoretisch möglich macht. Bei Diagnose, Geschlecht und Region eines kleinen Hausarzt-Einzugsgebiets reicht das oft.
Auch die Aussage “die Diagnose ist doch harmlos” trägt nicht. Schweigepflicht kennt keine Stufen nach Schwere. Erkältung und HIV-Diagnose sind im § 203 gleich geschützt.
Die drei rechtssicheren Wege ab 2026
Es gibt 2026 drei Modelle, die rechtlich tragen — jedes mit Vor- und Nachteilen.
| Weg | Was es ist | Stärke | Schwäche |
|---|---|---|---|
| Lokale Praxis-KI | KI läuft auf einem Gerät in Ihrer Praxis | Kein Datenversand, voller Schutz nach § 203 | Hardware-Kosten, weniger flexibel |
| EU-Cloud mit AVV | Anbieter mit Hosting in DE/EU, Auftragsverarbeitungsvertrag, Schweigepflicht-Konstruktion | Skaliert, einfache Einführung | Vertrauen in Anbieter nötig, US-Konzern-Klauseln prüfen |
| Konsequente Pseudonymisierung | Vor jedem Prompt alle Identifikatoren entfernen, Brief manuell rekonstruieren | Niedrigste Kosten | Hoher Aufwand, Fehlerquelle, juristisch nicht risikofrei |
Die KBV empfiehlt seit 2025 den ersten oder zweiten Weg. Den dritten nutzen einige Kliniken für Forschung — für die laufende Patientenversorgung ist er zu langsam.
Was der EU AI Act ab August 2026 zusätzlich verlangt
Ab August 2026 gilt für Praxen, die KI im Patienten-Kontakt einsetzen, eine zusätzliche Schicht von Pflichten:
- Wirksame menschliche Aufsicht: Jeder KI-Output muss vor Verwendung durch einen Arzt geprüft werden.
- Schulung des Praxis-Teams: Diese Pflicht gilt formal schon seit Februar 2025.
- Eingabedaten und Protokolle nachvollziehbar aufbewahren.
- Risikobewertung (in vielen Fällen vereinfacht) dokumentieren.
Diese Pflichten gelten unabhängig davon, ob die KI in der Cloud oder lokal läuft. Wer also schon heute pragmatisch mit einer Praxis-KI arbeitet, hat im August 2026 nur noch Papier zu sortieren — keine Werkzeuge zu wechseln.
Was Sie heute praktisch tun können
Drei Schritte für die nächsten zwei Wochen:
- Prüfen Sie, was Ihre Mitarbeiter aktuell für KI-Tools nutzen — auch privat am Praxis-Rechner. Klare Hausregel: keine Patientendaten in private Konten.
- Wenn Sie eine Praxis-KI testen wollen, lassen Sie sich vom Anbieter zwei Dokumente schicken: AVV und Vertragsklausel zu Trainingsdaten. Wer nicht beide hat, ist raus.
- Klären Sie für Ihr Team, wer die Aufsicht über KI-Texte trägt. Im Zweifel der behandelnde Arzt — die Letztverantwortung lässt sich nicht delegieren.
Der praktische Hinweis am Ende
Der einfachste Weg, all diese Pflichten zu erfüllen, ist eine KI, die das Praxis-Netz nicht verlässt. Otium liefert genau das: ein Gerät in der Praxis, AVV ohne Aufpreis, keine US-Cloud im Hintergrund. Sie sparen sich die juristischen Schleifen — und Patientendaten bleiben da, wo sie hingehören.
Otium mit Mikrofon ansehen
30 Minuten Demo. Mit Ihren echten Beispielen. Ohne Verkaufsmasche.