Schatten-KI im Gesundheitswesen — die DSGVO-konforme Alternative für die Arztpraxis
Zunehmende Nutzung privater KI-Werkzeuge in Arztpraxen Forderung nach praxistaugliche DSGVO-konforme Alternativen
Der Digital Health Report 2026 hat eine Zahl in die Diskussion gebracht, die viele Praxisinhaber nicht überrascht, aber wenige offen aussprechen: Rund die Hälfte aller praktizierenden Ärztinnen und Ärzte in Deutschland nutzt für berufliche Aufgaben private KI-Tools — Anamnese-Zusammenfassungen über ChatGPT, Befund-Übersetzungen über Claude, Termin-Klassifikationen über Gemini. Schatten-KI heißt das Phänomen im IT-Jargon. Die Ursache ist nicht Fahrlässigkeit, sondern Pragmatismus: Wer im Praxisalltag in Sekunden Entlastung braucht, greift zur Tool-Lösung, die in zehn Sekunden einsatzbereit ist — nicht zu der, die drei Wochen Compliance-Prüfung verlangt.
Das datenschutzrechtliche Problem ist eindeutig. Sobald patientenbezogene Daten in nicht abgesicherte Cloud-Dienste fließen, liegt eine unzulässige Verarbeitung gemäß Art. 9 DSGVO vor. Bei Gesundheitsdaten ist das Sanktionsrisiko hoch, bei Kontroll-Sichtung durch eine Landesdatenschutzbehörde drohen Bußgelder im fünfstelligen Bereich plus Reputationsschaden. Trotzdem zeigt der Report: 50 Prozent. Verbote und Compliance-Schulungen haben das Problem in den letzten 24 Monaten nicht gelöst — sie haben es nur in den Modus „heimlich“ verschoben. Die nachhaltige Antwort ist nicht restriktiver, sondern realistischer: Wenn Ärzte und MFAs Werkzeuge nutzen wollen, die in Sekunden helfen, müssen DSGVO-konforme Alternativen genau das leisten — niedrigschwellig, schnell, ohne dreiseitiges Login-Verfahren.
Ein Bereich, der in der Schatten-KI-Debatte oft fehlt, ist die Telefonie. In der typischen niedergelassenen Praxis laufen rund 60 bis 70 Prozent aller Patientenkontakte ohne Behandlungsanlass über das Telefon: Terminanfragen, Rezeptverlängerungen, Rückfragen zu Befunden, Bestellungen von Wiederholungsrezepten. Eine MFA in einer Hausarztpraxis bewältigt im Schnitt zwischen 80 und 140 Anrufe pro Tag — neben Anmeldung, Spritzen-Vorbereitung und Patientenführung. Der Rückstau ist strukturell. Genau hier setzen DSGVO-konforme KI-Telefonassistenten an: Sie übernehmen die Standardanfragen, klassifizieren das Anliegen, terminieren oder dokumentieren — und legen die strukturierten Datensätze direkt in das Praxisverwaltungssystem (Medistar, T2med, MediStation, Albis).
Technisch funktioniert das 2026 zuverlässig. Aus eigenen Pilotprojekten in zwölf Hausarztpraxen über zwei Quartale hinweg lassen sich folgende Zahlen berichten: Die KI-Assistenten beantworteten 73 Prozent der eingehenden Routineanfragen vollständig automatisiert. 22 Prozent wurden mit strukturierter Vorklassifikation an die MFA übergeben (Warm-Transfer mit kurzem Brief: „Frau Müller, 67, möchte ein Wiederholungsrezept für Ramipril 5mg, letzte Verschreibung 14.03.2026″). Nur 5 Prozent erforderten direkte Eskalation ohne Vorbereitung. Die durchschnittliche Anrufzeit für Standardanliegen sank von 4:12 Minuten (MFA-direkt) auf 1:38 Minuten (KI-mit-Übergabe). Patientenseitig lag die Akzeptanzquote bei 89 Prozent — gemessen an der Frage „Würden Sie wieder bei dem System anrufen?“ am Gesprächsende.
DSGVO-konform bedeutet in der Praxis vier Pflichtpunkte. Erstens: Datenverarbeitung ausschließlich auf EU-Servern, idealerweise mit deutschen Rechenzentren und expliziter Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO. Zweitens: Keine Trainingsdatenverwendung der Patienten-Sprachdaten für Drittmodell-Entwicklung — also klare vertragliche Trennung zwischen Inferenz und Modelltraining. Drittens: Begrenzte Speicherfristen, in der Regel maximal 30 Tage für Audiodaten, 90 Tage für anonymisierte Transkripte, danach automatische Löschung. Viertens: Auskunfts- und Löschrechte nach Art. 15 und Art. 17 DSGVO müssen technisch umsetzbar sein — das setzt eine indizierte Datenhaltung pro Patientenanfrage voraus, nicht eine pauschale Sammlung.
Ein häufig diskutierter Punkt: die Frage nach §22 BDSG bei automatisierten Entscheidungen. Wenn ein KI-Telefonassistent eine Triage-Klassifikation vornimmt („Notfall — bitte sofort zurückrufen“ vs. „Routinevorgang — Termin in 7 Tagen“), ist das streng genommen eine vorbereitende Entscheidung, keine automatisierte. Solange ein Mensch die finale Triage-Entscheidung trifft und die KI-Klassifikation nur als Vorschlag dient, bleibt der Datenschutzrechtliche Rahmen sauber. Wird die KI als entscheidungsfinal eingesetzt, braucht es eine explizite Einwilligung des Patienten und eine dokumentierte Eskalationsmöglichkeit zur menschlichen Überprüfung.
Was die Praxis 2026 lernen kann: Schatten-KI verschwindet nicht durch strengere Memos im Personalordner, sondern durch das Angebot besserer, schneller, niederschwelligerer Alternativen, die rechtssicher sind. Die Technologie ist da. Die Compliance-Frameworks sind etabliert. Was fehlt, ist die strukturierte Implementierung in den Praxisalltag — und der politische Wille auf Kassen- und KV-Ebene, Erstattungsmodelle für KI-gestützte Praxisorganisation zu schaffen, statt nur über deren rechtliche Risiken zu sprechen.
Sarah Müller arbeitet im Business Development bei Famulor (https://www.famulor.io), einem deutschen Anbieter für DSGVO-konforme KI Telefonassistenten im Gesundheits- und Mittelstandsumfeld.
