Lösungen BAFA-Förderung: bis zu 80% Zuschuss

KI-Strategie Arztpraxis: Praxisfest trotz §203 und KBV-Abrechnung

Wie kleine und mittlere Arztpraxen KI rechtssicher anwenden, ohne §203 StGB, Patientendaten-Schutz und KBV-Abrechnung zu verletzen.

~ 6 Min. Lesezeit

Arztpraxen stehen bei der KI-Strategie in einer doppelten Spannung, die andere Mittelständler in dieser Schärfe nicht kennen. Auf der einen Seite verspricht generative KI Effizienzgewinne bei Arztbriefen, Abrechnungs-Vorprüfung und Patientenkommunikation, die nach Schätzungen aus Pilotprojekten der Kassenärztlichen Bundesvereinigung bei zwanzig bis vierzig Prozent Zeitersparnis pro Arztbrief liegen können. Gleichzeitig gilt mit §203 StGB eine Strafvorschrift, die unbefugte Offenbarung von Patientengeheimnissen mit bis zu einem Jahr Freiheitsstrafe sanktioniert, womit jede unbedachte Eingabe einer Diagnose oder eines Symptoms in eine externe KI ein strafrechtliches Risiko darstellt.

§203 StGB Grenze

Jede unbedachte Eingabe einer Patientenidentität in eine externe KI ist potenziell strafbar mit bis zu einem Jahr Freiheitsstrafe. Die Lösung ist keine pauschale Verbots-Politik, sondern eine differenzierte Datenklassen-Logik mit zugeordneter Tool-Auswahl.

Warum reine Verbots-Politik in Praxen nicht funktioniert

Viele Praxisinhaber reagieren auf diese Spannung mit pauschalen Verboten, die in der Praxis von Anfang an unterlaufen werden. Die Realität in deutschen Arztpraxen zeigt, dass sowohl Praxisinhaber als auch medizinische Fachangestellte bereits ChatGPT oder vergleichbare Tools für die Recherche und das Vorformulieren von Texten heranziehen, oft ohne dokumentierte Erlaubnis und ohne Patienten-Aufklärung. Ein pauschales Verbot ist deshalb wirkungslos und erzeugt zusätzlich Haftungsrisiken, weil der Praxisinhaber im Schadensfall nicht nachweisen kann, technisch-organisatorische Maßnahmen getroffen zu haben.

Die wirtschaftlich sinnvolle Alternative ist eine differenzierte Politik, die kritische Patientendaten strikt schützt und gleichzeitig erlaubte Anwendungsfelder schriftlich definiert. Diese Trennung ist die Hauptarbeit einer KI-Strategieberatung für Arztpraxen, weil sie nicht aus dem Bauch heraus funktioniert, sondern eine systematische Klassifizierung der Datenkategorien und eine zugeordnete Tool-Auswahl erfordert. Unsere Hub-Seite KI-Strategie für den Mittelstand zeigt den allgemeinen Rahmen, diese Seite konzentriert sich auf die medizinischen Besonderheiten.

Datenklasse zuerst, Tool danach: Die Praxis-Entscheidungsmatrix

Die zentrale Frage vor jedem KI-Einsatz in einer Praxis ist nicht “welches Tool ist das beste”, sondern “welche Datenklasse verarbeite ich gerade”. Wir nutzen die folgende Matrix, um in jedem Mandatstyp eine eindeutige Empfehlung zu geben, statt mit pauschalen Verboten oder Erlaubnissen zu arbeiten.

← Verwaltungsdaten Identifizierende Patientendaten →
Grün · Niedrigrisiko

Termine, Anfahrt, Abrechnungs-Codes ohne Diagnose

Hier sind DSGVO-konforme EU-Cloud-Tools mit AVV unkritisch, weil weder §203 StGB noch Artikel 9 DSGVO die Verarbeitung erschweren.

Amber · Eingeschränkt

Anonymisierte Befunde, pseudonymisierte Falldokumentation

EU-Cloud mit AVV ist möglich, sofern die Anonymisierung sauber ist. Re-Identifikations-Risiko vor jedem Einsatz prüfen.

Amber · Spezialfall

Medical Scribe in der Sprechstunde

Erlaubt nur mit medizinisch spezialisiertem Anbieter, schriftlicher Patienten-Einwilligung in der Praxis-Aufklärung und EU-Hosting-Garantie.

Rot · Nur lokal

Vollidentifizierte Diagnosen, sensible Befunde

Hier kommen ausschließlich lokal gehostete Modelle auf Praxis-Hardware in Frage. Externe Cloud-KI ist auch mit AVV regelmäßig untauglich.

Die Matrix ist keine theoretische Konstruktion, sondern bildet die in unseren Mandaten erprobte Entscheidungslogik ab. Wir kartieren in der ersten Sitzung jeden Praxis-Vorgang in eine dieser vier Zellen und leiten daraus die zulässige Tool-Klasse ab.

Drei Tool-Klassen, die in Praxen tatsächlich funktionieren

Aus der Matrix folgt eine klare Drei-Klassen-Logik bei der Tool-Auswahl. Jede Klasse hat eigene Stärken, eigene Kosten und eigene rechtliche Konstellationen.

Klasse A

Medical-Scribe-Spezialisten

Tools wie Heidi Health, Tucuvi oder Sympto-AI hören das Patientengespräch mit und liefern einen strukturierten Brief-Entwurf.

  • EU-Hosting vertraglich garantiert
  • AVV nach Artikel 28 DSGVO
  • Patienten-Einwilligung in Aufklärung
Kosten ~ 80 € / Arzt / Monat
Klasse B

EU-Cloud mit AVV

Mistral Le Chat Enterprise, Aleph Alpha Pharia oder Azure OpenAI mit EU-Residenz-Klausel verfassen aus stichpunktartigen Diktaten vollständige Texte.

  • Breit einsetzbar, nicht medizinspezifisch
  • Erlaubt bei Amber-Daten mit Pseudonymisierung
  • Vertrag muss Trainings-Ausschluss enthalten
Kosten ~ 25 € / User / Monat
Klasse C

Lokal Self-Hosted

Llama 3 oder Mistral 7B auf eigener Praxis-Hardware löst die §203-Frage am saubersten, weil keine Daten die Praxis verlassen.

  • Einmal-Investition in Hardware
  • Pflicht bei roten Zellen der Matrix
  • IT-Aufwand für Betrieb und Updates
Kosten ~ 4.000 € einmalig

Diese drei Klassen decken in einer typischen niedergelassenen Praxis bis zu siebzig Prozent der Verwaltungsarbeit ab. Die verbleibenden dreißig Prozent, also unmittelbare Patientenkommunikation, körperliche Untersuchung und die ärztliche Therapie-Entscheidung selbst, bleiben dem Arzt vorbehalten und sollten nach unserer Einschätzung auch mittelfristig nicht KI-gestützt erfolgen, schon weil die ärztliche Approbation persönlich gebunden ist.

Was Patienten von der KI-Nutzung wissen müssen

Die DSGVO und die ärztliche Schweigepflicht zusammen verlangen, dass Patienten über die KI-Verarbeitung ihrer Daten informiert werden, bevor diese stattfindet. In der Praxis bedeutet das eine angepasste Patienten-Aufklärung, die drei Punkte abdeckt. Zum einen welche KI-Anwendungen in welchem Umfang eingesetzt werden, etwa Medical Scribe bei der Sprechstunde oder Briefdiktat-Optimierung in der Verwaltung. Zum anderen welcher Anbieter mit welchem Hosting-Standort beauftragt wird und auf welcher vertraglichen Basis. Und schließlich, welche Daten von der KI-Verarbeitung ausgeschlossen sind, etwa besonders sensible Diagnosen oder Mandanten-Wünsche nach Nicht-Verarbeitung im Einzelfall.

Diese Aufklärung kann als kurzer Zusatz zur Behandlungsvereinbarung formuliert sein und sollte bei Neupatienten standardmäßig unterzeichnet werden. Bei Bestandspatienten ist eine einmalige Nachholung sinnvoll, idealerweise im Zuge des nächsten Quartalsbesuchs.

Was die Bundesärztekammer und die KBV zu KI sagen

Die Bundesärztekammer hat sich in mehreren Stellungnahmen differenziert positioniert und drei Kernforderungen formuliert. Zum einen muss der Arzt die volle Verantwortung für KI-generierte Inhalte tragen, was bedeutet dass Arztbriefe, Befunde und therapeutische Empfehlungen nicht ungeprüft an Patienten oder weiterbehandelnde Ärzte gehen dürfen. Zum anderen muss die Patienten-Einwilligung bei nicht-anonymisierter KI-Nutzung explizit vorliegen, idealerweise schriftlich in der Praxis-Aufklärung. Und schließlich muss die technisch-organisatorische Absicherung dem Stand der Technik entsprechen, womit der Einsatz reiner Consumer-KI-Tools ohne EU-Hosting praktisch ausgeschlossen ist.

Die Kassenärztliche Bundesvereinigung verfolgt parallel einen pragmatischen Digitalisierungskurs, der KI als Werkzeug zur Entlastung von Verwaltungsarbeit fördert, ohne in die ärztliche Therapie-Entscheidung einzugreifen. Beide Positionierungen lassen sich gut vereinbaren, wenn die KI-Strategie der Praxis sauber zwischen Verwaltung und ärztlicher Tätigkeit trennt.

Wie eine BAFA-geförderte Strategieberatung für Arztpraxen abläuft

Wir starten typischerweise mit einem halbtägigen Workshop in der Praxis, bei dem alle Berufsträger und die Praxis-Koordination teilnehmen. In diesem Workshop kartieren wir die fünf bis zehn Routine-Vorgänge und ordnen jedem einen passenden KI-Einsatz zu oder schließen ihn aus. Das Ergebnis ist eine Vorgangs-Matrix, die als verbindliche Arbeitsgrundlage für die nächsten zwölf Monate dient.

Im zweiten Schritt erstellen wir die Tool-Empfehlung mit Lizenzkosten, Vertragsanhang-Templates und einer Migrationssequenz, die typischerweise über drei bis sechs Monate gestreckt ist. Im dritten Schritt liefern wir die Schulungsunterlagen für die Berufsträger sowie für die medizinischen Fachangestellten, weil die Akzeptanz im MFA-Team praktisch über Erfolg oder Misserfolg jeder Praxis-Digitalisierung entscheidet. Der Bericht am Ende der Beratung ist gleichzeitig der BAFA-Verwendungsnachweis, sodass die Förderabwicklung ohne separate Dokumentationsarbeit erfolgt.

Nächster Schritt

Klären Sie zuerst kostenlos die Förderfähigkeit Ihrer Praxis über unseren BAFA-Förderfähigkeits-Check, der die KMU-Schwellen automatisch prüft und Ihnen eine kurze schriftliche Einschätzung liefert. Wenn die Voraussetzungen passen, vereinbaren Sie über Calendly ein dreißigminütiges Erstgespräch, in dem wir den passenden Beratungsschwerpunkt und den BAFA-Antrag vorbereiten. Die gesamte Antragsabwicklung übernehmen wir, Sie kümmern sich nur um die Bereitstellung der Unterlagen, also Praxis-Stammdaten, letzten Jahresabschluss und die De-minimis-Erklärung.

Erstgespräch für Ihre Praxis buchen

Kostenlose Potenzialanalyse anfragen Mehr über unsere Methodik
Unser Ansatz

Unser Ansatz für KI-Strategie Arztpraxis

Patientendaten-Klassifizierung als Basis

Wir kartieren systematisch, welche Datenkategorien in der Praxis verarbeitet werden, von Termin-Stammdaten bis zu strafbewehrten Diagnosen und Sozialdaten nach §203 StGB. Erst diese Klassifizierung erlaubt eine differenzierte KI-Tool-Auswahl, statt einer pauschalen Verbots- oder Erlaubnis-Politik.

Tool-Auswahl mit EU-Datenraum-Garantie

Wir prüfen für jede Anwendung, welche Tools EU-only-Hosting bieten, einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bereitstellen und eine ausdrückliche Klausel zur Gesundheitsdaten-Verarbeitung enthalten. Standard-ChatGPT scheidet typischerweise aus, EU-gehostete Modelle wie Mistral, Aleph Alpha oder medizinisch spezialisierte Anbieter wie Heidi Health oder Doctolib-Assistant kommen in Betracht.

Patienten-Einwilligung und Praxisinformation

Wir liefern angepasste Einwilligungstexte für die Patienten-Aufklärung, die die KI-Nutzung transparent machen, ohne den Patienten zu verschrecken. Diese Texte sind so formuliert, dass die Einwilligung dokumentiert vorliegt und Sie auch im Audit-Fall der KV oder der Landesärztekammer auskunftsfähig sind.

Pilotierung in einem definierten Anwendungsbereich

Wir starten mit einer zeitlich befristeten Pilotierung in einem sauber abgegrenzten Anwendungsbereich, etwa der Arztbrief-Erstellung oder der KV-Abrechnungs-Vorprüfung. Die Wirkungsmessung erfolgt über Zeitersparnis pro Patient sowie über die Qualitätsbewertung durch den Arzt und die medizinische Fachangestellte.

FAQ

Häufige Fragen

ChatGPT in der frei zugänglichen Form ist für die Patientenarbeit untauglich, weil Eingaben in das Trainingsmaterial einfließen können und keine Datenverarbeitungs-Garantie für EU-Hosting besteht. Patientendaten sind besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO und unterliegen gleichzeitig der Schweigepflicht aus §203 StGB. Eine unbedachte Eingabe einer Diagnose oder eines Symptoms zusammen mit identifizierenden Merkmalen ist deshalb strafrechtlich riskant. ChatGPT Enterprise mit dem dazu passenden Vertragsanhang ist anders zu bewerten, sofern EU-Hosting vertraglich garantiert und die Trainingsnutzung ausgeschlossen ist.

Rechtssicher umsetzbar sind insbesondere drei Anwendungsfelder. Erstens die Arztbrief- und Befund-Erstellung über medizinisch spezialisierte Anbieter mit EU-Hosting und Auftragsverarbeitung, etwa Heidi Health, Tucuvi oder vergleichbare Medical-Scribe-Lösungen. Zweitens die Termin- und Anfragen-Verarbeitung über DSGVO-konforme Praxisverwaltungssysteme mit eingebauter KI-Funktion. Drittens die interne Abrechnungs-Vorprüfung über lokal gehostete oder vertraglich gut abgesicherte EU-Cloud-Modelle, die EBM-Ziffern gegen die dokumentierten Leistungen abgleichen und Plausibilitätsprüfungen liefern.

§203 StGB verbietet die unbefugte Offenbarung anvertrauter Geheimnisse, definiert aber nicht KI als generelle Schadensquelle. Die zentrale Frage ist, ob der Patient in die konkrete Verarbeitung eingewilligt hat und ob die technische Konstellation eine Offenbarung an einen unbefugten Dritten darstellt. Bei EU-gehosteten Modellen mit Auftragsverarbeitungsvertrag und ausdrücklicher Patienten-Einwilligung in der Praxis-Aufklärung entsteht typischerweise keine §203-Verletzung, weil der Anbieter wie ein berufsmäßiger Gehilfe behandelt wird. Wichtig ist die schriftliche Dokumentation jeder Einwilligung als Teil der Patientenakte.

Der EU AI Act stuft KI-Systeme, die als Medizinprodukt oder als Sicherheitsbauteil eines Medizinprodukts gelten, in der Regel als Hochrisiko-Systeme nach Annex III ein. Das gilt insbesondere für KI, die Diagnosen stellt, Therapien empfiehlt oder als Entscheidungsunterstützung im Behandlungspfad eingesetzt wird. Reine Verwaltungs-KI für Termine, Abrechnungs-Vorprüfung oder Korrespondenz fällt typischerweise nicht in diese Hochrisiko-Klasse, unterliegt aber den allgemeinen Transparenz- und Schulungs-Pflichten nach Artikel 4 und 50. Die zentralen Hochrisiko-Pflichten greifen ab dem zweiten August zweitausendsechsundzwanzig.

Bei einem typischen Beratungshonorar von dreitausendfünfhundert Euro netto reduziert sich der Eigenanteil in den alten Bundesländern auf siebzehnhundertfünfzig Euro netto. Niedergelassene Ärztinnen und Ärzte gelten als freie Berufe und sind als KMU im Sinne der BAFA-Richtlinie förderfähig, sofern die Praxis oder das MVZ die KMU-Schwellen einhält, also weniger als zweihundertfünfzig Mitarbeiter und maximal fünfzig Millionen Euro Umsatz. In der Praxis ist das bei Einzelpraxen und kleineren MVZ regelmäßig erfüllt. Die Förderquote in den neuen Bundesländern beträgt achtzig Prozent statt fünfzig, was den Eigenanteil dort sogar auf siebenhundert Euro netto drückt.

Für die Arztbrief-Erstellung haben sich drei Tool-Klassen etabliert. Erstens medizinisch spezialisierte Medical-Scribe-Lösungen wie Heidi Health, Tucuvi oder Sympto-AI, die das Patientengespräch mithören und einen strukturierten Brief-Entwurf liefern. Zweitens generative KI in DSGVO-konformer EU-Cloud-Variante, etwa Mistral Le Chat Enterprise oder Aleph Alpha Pharia, die aus stichpunktartigen Diktaten einen vollständigen Brief verfasst. Drittens lokal gehostete Modelle wie Llama 3 oder Mistral 7B auf eigener Praxis-Hardware, was die DSGVO-Frage am saubersten löst, allerdings IT-Aufwand für Betrieb und Wartung verursacht. Welche Klasse passt, hängt vom Praxis-Volumen und der bestehenden IT-Infrastruktur ab.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung

Verwandte Strategien & Insights

loesungen

Personalakte digitalisieren: Automatisierte Erfassung von Personaldaten mit KI

loesungen

KI-Strategie Physiotherapie: 8 Stunden pro Woche zurück

loesungen

KI-Chatbot im Kundenservice: Anfragen beantworten, ohne Personal aufzustocken