KI · Datenschutz · Schweigepflicht

Wenn Sie Ihren Patienten in die KI tippen.

Was § 203 StGB von einem AV-Vertrag unterscheidet — und warum die Bundesregierung Huawei aus dem Mobilfunknetz verbannt hat, aber Ihre Anamnese nach Hangzhou fließen lässt.

Mittwoch, 14:30. Eine Patientin sitzt seit zehn Minuten im Sprechzimmer, das Symptombild passt zu keiner der drei naheliegenden Diagnosen. Die Ärztin öffnet einen zweiten Browser-Tab und tippt drei Sätze in ChatGPT. Was ihr in diesem Moment niemand gesagt hat: Sie hat gerade eine Straftat begangen.

1. Die Szene, die heute in jeder dritten Praxis vorkommt

Die Ärztin in der Eingangsszene ist keine Karikatur. Sie ist die statistische Mitte des deutschen Praxisalltags 2026. Eine repräsentative Befragung des Hartmannbundes Anfang 2025 ergab, dass über die Hälfte der niedergelassenen Ärztinnen und Ärzte allgemeine LLM-Dienste — ChatGPT, Claude, Gemini, gelegentlich auch DeepSeek — bereits beruflich nutzen. Differenzialdiagnose, Patientenbrief, Therapievorschlag, Übersetzung eines fremdsprachigen Arztbriefs. Der Vorgang ist nicht falsch motiviert. Er ist nur strafrechtlich relevant.

Was dabei passiert: Der Prompt wandert über das offene Internet auf einen Server in Texas oder Virginia, wird dort verarbeitet, der Inhalt liegt zumindest temporär im Logging-Stack eines US-Konzerns, dessen Mitarbeiter technisch Zugriff haben — und in vielen Standardtarifen fließt der Prompt in die Trainings-Pipeline für die nächste Modellgeneration. Geheimhaltungspflichtige Daten werden so systematisch an Dritte weitergegeben, ohne dass die Voraussetzungen erfüllt sind, die § 203 Abs. 3 StGB für eine solche Weitergabe verlangt.

2. Was § 203 StGB von einem AV-Vertrag nicht unterscheidet

Die häufigste Verteidigungslinie der Anbieter klingt so: „Wir haben einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Wir sind DSGVO-konform.“ Beides kann zutreffen. Beides ändert nichts daran, dass eine Übermittlung geheimhaltungspflichtiger Patientendaten an diesen Anbieter unter Umständen strafbar ist.

Der entscheidende Punkt: DSGVO und § 203 StGB sind zwei getrennte Rechtsregime. Der eine schützt personenbezogene Daten, der andere schützt das anvertraute Geheimnis. Die DSGVO erlaubt unter Bedingungen die Verarbeitung — § 203 StGB stellt das Offenbaren unter Strafe. Ein AV-Vertrag macht aus einer Offenbarung keine Nicht-Offenbarung.

Was „offenbaren“ tatsächlich heißt

Die strafrechtliche Lesart von Offenbaren in § 203 StGB ist seit Jahrzehnten gefestigt: Es kommt nicht darauf an, ob jemand die Daten tatsächlich liest. Es kommt darauf an, ob er sie lesen könnte. Die technische Zugriffsmöglichkeit eines Cloud-Mitarbeiters auf den Inhalt eines Prompts genügt — Lenckner/Eisele in Schönke/Schröder, Cierniak/Niehaus in MüKo StGB, die praktisch einhellige Linie der Kommentarliteratur. Verschlüsselung der Übertragung hilft nicht, solange der Inhalt am Endpunkt im Klartext verarbeitet wird — und genau das ist bei jedem LLM-Aufruf der Fall, sonst könnte das Modell nicht antworten.

Was § 203 Abs. 3 seit 2017 verlangt

Der Gesetzgeber hat 2017 reagiert. Mit dem „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei Mitwirkung Dritter“ wurde § 203 Abs. 3 StGB eingefügt. Seitdem ist die Hinzuziehung Dritter ausdrücklich erlaubt — aber an zwei harte Bedingungen geknüpft:

Die Mitwirkung des Dritten muss zur Erfüllung der ärztlichen Tätigkeit erforderlich sein.
Der Dritte und alle ihm unterstellten Personen müssen ausdrücklich zur Verschwiegenheit verpflichtet sein — in einer Form, die strafrechtlich nachweisbar ist.

Ein Großteil der LLM-Anbieter erfüllt weder Bedingung 1 noch Bedingung 2 in einer Weise, die einer strafrechtlichen Prüfung standhält. „Erforderlich“ ist eine KI-Recherche fast nie — es gibt Lehrbücher und Leitlinien. Und eine strafrechtlich belastbare Verschwiegenheitsverpflichtung eines Konzerns in Texas oder Virginia ist ein juristisches Konstrukt, das sich in der Praxis kaum darstellen lässt.

3. Was die Berliner Datenschutzaufsicht im Sommer 2025 ausgesprochen hat

Am 27. Juni 2025 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, einen LLM-Anbieter aus Hangzhou — bekannt aus den Schlagzeilen des Januar 2025, als seine App westliche Tech-Aktien erschütterte — bei Apple und Google nach Art. 16 Digital Services Act als rechtswidrigen Inhalt gemeldet. Die Begründung in ihrer Pressemitteilung lautet sinngemäß: Chinesische Behörden hätten weitreichende Zugriffsrechte auf personenbezogene Daten im Einflussbereich chinesischer Unternehmen, und den Nutzern stünden in China keine durchsetzbaren Rechte zur Verfügung. Verstoß gegen Art. 46 Abs. 1 DSGVO — und ein klarer Maßstab für jede Drittland-Übermittlung von Patientendaten.

Was selten erwähnt wird: Dieselbe Logik trifft nicht nur China. Sie trifft jeden Drittstaat, in dem die Behörden weitreichende Zugriffsrechte auf Daten westlicher Anbieter haben. In den Vereinigten Staaten regelt das der CLOUD Act, die FISA Section 702, und im stationären Geschäft die offene Frage, wie tragfähig das EU-US Data Privacy Framework nach den nächsten Gerichtsentscheidungen noch sein wird. Die Schrems-II-Logik des Europäischen Gerichtshofs hat seit 2020 nichts an Schärfe verloren.

4. Eine Marktbeobachtung — drei wiederkehrende Muster

Wer in einer deutschen Praxis oder Klinik heute eine KI-Funktion einkauft, kauft selten ein abgeschlossenes Produkt. Was er kauft, ist die Hülle. Was darunter läuft, steht in den Subprozessor-Listen — und die liest in der Vertriebsphase selten jemand. Drei Muster, die aktuell im Markt häufig auftreten.

Muster 1

Buchungsplattformen mit zugekauftem Ambient-Scribe

Mehrere etablierte Plattformen für Online-Arzttermine erweitern ihre Praxiscontainer in den Jahren 2024 und 2025 um KI-gestützte Sprach-Mitschreibe-Werkzeuge: Das Patientengespräch wird mitgeschnitten, transkribiert und in eine strukturierte Notiz gewandelt. Solche Werkzeuge stammen häufig aus international zugekauften Startups; die Verarbeitungskette zwischen Audio-Aufnahme, Transkription und Modell-Inferenz durchläuft mehrere Stationen, die in den Hauptverträgen oft nicht transparent abgebildet sind. Die zwei einfachen Fragen, die in einem Vertriebsgespräch häufig nicht zuverlässig beantwortet werden: Wo physisch wird das Sprachmodell ausgeführt? Welche Subprozessoren halten in welcher Verarbeitungsphase Zugriff auf den Klartext?

Muster 2

Klinik-Diktiersoftware mit Ambient-Aufsatz

Etablierte Anbieter medizinischer Spracherkennung, die seit langem im klinischen Markt vertreten sind, schieben aktuell Ambient-Scribe-Funktionen nach — also Werkzeuge, die das Arzt-Patient-Gespräch eigenständig mitschreiben statt eines klassischen Diktats. Viele dieser Anbieter sind heute Teil größerer Cloud-Konzerne, die ihre Hauptinfrastruktur in Drittstaaten betreiben. Pilotinstallationen laufen in mehreren deutschen Universitätskliniken. Die Frage, die in den vorgelegten Datenschutzfolgenabschätzungen oft nicht eindeutig beantwortet wird: Welche Modell-Endpunkte verarbeiten die Audiospur, und unter welchem Rechtsraum stehen sie tatsächlich?Eine deutsche Cloud-Region für die Datenablage ist nicht dasselbe wie ein deutscher Inferenz-Endpunkt.

Muster 3

Konsumenten-Apps, die als Diagnose-Helfer eingesetzt werden

Verschiedene LLM-Apps aus Drittstaaten haben in den vergangenen Jahren in westlichen App-Stores schnelle Verbreitung gefunden — auch im professionellen Umfeld, wenn Ärztinnen und Ärzte sie für eine schnelle Zweitmeinung im Sprechzimmer öffnen. Mindestens eine solche App ist im Sommer 2025 von einer deutschen Datenschutzaufsicht nach Art. 16 DSA als rechtswidrig gemeldet worden, weil der Datenpfad in einen Drittstaat ohne durchsetzbares Schutzniveau führt und damit Art. 46 Abs. 1 DSGVO verletzt. Zwei Punkte sind dabei wichtig zu trennen: Die App mit Cloud-Anbindung ist nicht das gleiche wie das darunter liegende Modell — quelloffene Modelle aus Drittstaaten können auf eigener Hardware in Deutschland völlig legal betrieben werden. Die regulatorische Bewertung richtet sich nicht nach der Herkunft des Modells, sondern nach dem Datenpfad.

5. Was Huawei mit Ihrer KI zu tun hat

Am 11. Juli 2024 hat die Bundesregierung einen öffentlich- rechtlichen Vertrag mit Telekom, Vodafone und Telefónica unterzeichnet: Kritische Komponenten der Hersteller Huawei und ZTE müssen bis Ende 2026 aus den 5G-Kernnetzen verschwunden sein und bis Ende 2029 aus den Managementsystemen der Zugangs- und Transportnetze. Die Begründung des Bundesministeriums des Innern bezieht sich ausdrücklich auf § 9b BSI-Gesetz und auf die Rechtslage in der Volksrepublik China — insbesondere auf Art. 7 des Nationalen Geheimdienstgesetzes von 2017, der alle Organisationen und Bürger zur Kooperation mit den chinesischen Sicherheitsbehörden verpflichtet.

Wenn die Republik bei einem Telefonmast sagt, eine Datenverbindung, die rechtlich an einen Drittstaat gebunden ist, sei im Kernnetz nicht akzeptabel — dann ist es regulatorisch konsistent zu fragen, warum eine Diagnose-API, die täglich aus Hunderttausenden deutschen Praxen die intimsten Patientendaten verarbeitet, akzeptabler sein soll. Die Analogie ist nicht polemisch. Sie ist die nüchterne systematische Konsequenz: § 9b BSIG für Mobilfunkkomponenten steht parallel zu Art. 44 ff. DSGVO und § 203 StGB für Patientendaten.

6. Die drei Fragen, die kein Vertriebler gerne hört

Eine KI-Funktion einzukaufen ist heute keine Software- Entscheidung mehr — es ist eine Architekturentscheidung mit strafrechtlichen Rückwirkungen. Drei Fragen genügen, um den seriösen Anbieter vom Marketing-Versprechen zu trennen.

Frage 1

Wo physisch wird das Modell ausgeführt?

Nicht: Wo liegt das Datacenter. Nicht: Wo ist der europäische Vertragspartner ansässig. Sondern: Wo läuft die GPU-Instanz, auf der das Modell die Anfrage verarbeitet? Eine deutsche Cloud-Region für die Datenablage hilft nicht, wenn der Inferenz-Aufruf in ein US-Rechenzentrum geht.

Frage 2

Wer sind die Subprozessoren — vollständig?

Verlangen Sie die vollständige Subprozessor-Liste, nicht den Marketing-Auszug. Achten Sie auf die Stufen, die selten sichtbar sind: OCR-Vorverarbeitung, Sprache-zu-Text, Re-Identifizierung, Logging, Sentiment-Analyse, Quality- Assurance. Jede Stufe ist ein potenzieller Datenpfad in einen Drittstaat — auch wenn das Hauptmodell in der EU läuft.

Frage 3

Werden meine Eingaben zum Training verwendet?

Die meisten Standardtarife generativer KI-Dienste nehmen sich genau dieses Recht. Vorsicht bei der Formulierung „anonymisiert für Modellverbesserung“ — Re-Identifizierungsangriffe auf medizinische Texte gelten seit den großen Studien der vergangenen Jahre als praktisch gelöst, und der Europäische Datenschutzausschuss hat in seiner Opinion 28/2024 ausdrücklich darauf hingewiesen, dass KI-Modelle nicht automatisch als anonym zu betrachten sind.

7. Was funktioniert — souveräne Architektur als Compliance-Hygiene

Die Antwort ist nicht, auf KI zu verzichten. Die Antwort ist, die Architektur zu entscheiden. Vier Optionen stehen heute praktisch zur Verfügung, jede mit eigenem Risikoprofil.

Option A — Souveräne EU-Cloud

Hosting bei einem deutschen oder europäischen Anbieter mit BSI-C5-Testat: IONOS Cloud in Kooperation mit dem Heidelberger LLM-Anbieter, STACKIT der Schwarz-Gruppe in Heilbronn, Open Telekom Cloud, plusserver, OVHcloud. Modell und Verarbeitung bleiben in der EU, Subprozessoren sind überschaubar und in den Verträgen explizit fixierbar. Geeignet für mittelgroße bis große Praxen und Kliniken, die eine fertige Lösung wollen, ohne eigene Infrastruktur zu betreiben.

Option B — On-Premise im Haus

Eigene GPU-Hardware (eine H100 oder zwei RTX 6000 Ada genügen für 70-Milliarden-Parameter-Modelle in 4-Bit-Quantisierung) im Server-Raum, betrieben mit offenen Frameworks wie vLLM, Ollama oder llama.cpp. Darauf laufen Open-Weight-Modelle: Llama 3 von Meta, Mistral aus Paris, das deutsche Teuken-7B aus dem Fraunhofer-Konsortium — und ja, auch chinesische Open-Weight-Modelle wie Qwen oder DeepSeek-R1 können hier legal eingesetzt werden, sobald sie ohne Internetverbindung in einem deutschen Rechenzentrum arbeiten. Die Gewichte stehen unter freier Lizenz; das chinesische Recht greift nur dort, wo das Unternehmen tatsächlich technische Kontrolle behält.

Option C — Hybrid mit Pseudonymisierung am Edge

Eine Edge-Komponente in der Praxis oder Klinik pseudonymisiert Patientendaten — entfernt Namen, Geburts- daten, Versichertennummern — bevor irgendetwas eine Cloud-Grenze überschreitet. Die KI in der Cloud sieht nur den medizinischen Kern ohne Identifizierungsmerkmale. Das ist nicht trivial sauber zu bauen, weil moderne Re-Identifizierung über Stilometrie und Kontextkombinationen läuft — aber es ist machbar und schließt § 203 StGB in vielen Konfigurationen aus, weil gar kein fremdes Geheimnis mehr fließt.

Option D — Was Sie heute haben

Vier Stunden Standard-Sprechstunde, dazwischen ein Browser-Tab mit ChatGPT auf dem Praxisrechner, Buchungs- plattform mit Ambient-Scribe im Empfangsbereich, ICD- Vorschlagsfunktion im KIS und gelegentlich noch eine Klinik-App auf dem privaten iPhone, mit der ein Foto eines Befunds „mal eben hochgeladen“ wird. Diese Konstellation ist die statistische Norm — und sie ist regulatorisch unhaltbar, wenn jemand genau hinschaut.

Praktischer HinweisBSI-C5-Testat als Mindestbenchmark beim Einkauf eines KI-Dienstes anlegen. Wer kein C5 hat, darf gar nicht erst ins Vertriebsgespräch. Das spart Stunden und ist juristisch belastbar.

8. Was der EU AI Act ab 2026 zusätzlich fordert

Der EU AI Act, in Kraft seit August 2024, ordnet KI in der Medizin in den allermeisten Konstellationen als Hochrisiko-System ein. Das gilt insbesondere für Diagnoseunterstützung, Triage und alle KI-Komponenten, die eigenständige Therapie- oder Diagnosevorschläge generieren — in Verbindung mit Rule 11 der Medizinprodukteverordnung wird daraus regelmäßig eine Klasse-IIa-oder-höher-Einstufung mit voller MDR-Zulassungs- pflicht.

Für die Praxisleitung bedeutet das ab Inkrafttreten der Betreiberpflichten in 2026: Risikomanagement, Datengovernance, menschliche Aufsicht, dokumentierte KI-Kompetenz beim eingesetzten Personal nach Art. 4 AI Act. Wer hier ein Werkzeug einsetzt, das nicht als CE-zertifiziertes Medizinprodukt zugelassen ist, riskiert die zweite regulatorische Schiene neben dem Datenschutz — und das Berufsrecht ist noch nicht einmal mitgezählt.

Was im Mandat anders läuft

Wir bei PVB führen die Privatabrechnung als Mandat — also als rechtlich qualifizierte Hinzuziehung im Sinne von § 203 Abs. 3 StGB. Verschwiegenheitsverpflichtung schriftlich, Erforderlichkeit klar, Datenverarbeitung in deutschen Rechenzentren, Subprozessor-Liste transparent. Wir setzen KI in unseren eigenen Auswertungs- und Korrespondenzprozessen ein — souverän gehostet, mit Open-Weight-Modellen, ohne Trainings- Pipeline auf Ihren Daten. Was wir nicht tun: wir senden keine identifizierbaren Patientendaten in generative KI-Dienste außerhalb der EU.

Für die Praxis heißt das: Wo der Datenpfad in eine Verrechnungsstelle führt, sollte er nicht weiter laufen als bis zu unserer Tür. Was an Ihrer Praxis bleibt — Diktat, Anamnese, klinische Notiz — bleibt dort eine ärztliche Entscheidung. Wir können beraten, welche Werkzeuge dort heute sauber sind, und welche nicht. Wir können nicht für Sie entscheiden.

Häufige Fragen

Ich nutze ChatGPT nur für allgemeine Recherche, keine echten Patientendaten — ist das in Ordnung?

Solange wirklich keine identifizierbaren Patienteninformationen eingegeben werden, ist § 203 StGB nicht berührt. Die Schwelle liegt allerdings niedriger, als die meisten denken: Alter, Geschlecht, Beruf, Wohnort, eine seltene Vorerkrankung — dieser Vier-Punkte-Cocktail genügt in der epidemiologischen Praxis bereits zur Re-Identifizierung. Reine Lehrbuchfragen ohne jeden Bezug zu konkreten Behandlungsfällen sind unproblematisch.

Mein Anbieter wirbt mit „DSGVO-konform“ — reicht das nicht?

DSGVO-Konformität ist die Mindestschwelle für Datenschutz. Sie ist nicht identisch mit der Anforderung, die § 203 StGB für die ärztliche Schweigepflicht aufstellt. Ein AVV nach Art. 28 DSGVO genügt für das Datenschutzrecht; er löst nicht das Strafrecht. Verlangen Sie zusätzlich eine ausdrückliche Verschwiegenheitsverpflichtung nach § 203 Abs. 3 StGB für den Anbieter und sein nachweislich darauf verpflichtetes Personal.

Die Buchungsplattform sagt, der Scribe sei „auf europäischen Servern“ — ist das genug?

Nicht ohne Nachfrage. „Europäische Server“ meint oft das Datacenter, in dem die strukturierten Notizen abgelegt werden. Die Audiospur wird in vielen Architekturen separat zu Subprozessoren geroutet, die Sprache-zu-Text-Schritte und Modell-Inferenz übernehmen — und diese Subprozessoren sitzen häufig in Drittstaaten. Verlangen Sie die vollständige Datenflusskarte und die vollständige Subprozessor-Liste.

Sind chinesische Modelle automatisch tabu?

Die API chinesischer Anbieter ist es de facto, solange die Berliner Verfügung Bestand hat. Die Gewichtequelloffener chinesischer Modelle wie Qwen oder DeepSeek-R1 sind es nicht — wer sie ohne Internetverbindung auf eigener Hardware in einem deutschen Rechenzentrum betreibt, befindet sich rechtlich auf solidem Boden. Die Datenflusskontrolle liegt dann bei Ihnen, nicht beim Anbieter.

Ist die US-Cloud rechtlich sicherer als die chinesische?

Nur graduell. Schrems II hat die strukturellen Probleme von US-Cloud-Diensten benannt, der CLOUD Act und FISA 702 sind dieselbe Grundkonstellation wie das chinesische Geheimdienstrecht — Staatszugriff auf Daten westlicher Anbieter, ohne durchsetzbare Rechte für EU-Betroffene. Das Data Privacy Framework überbrückt das aktuell formal, steht aber juristisch erneut unter Beobachtung. „Drittstaat ist Drittstaat“ ist der ehrlichste Maßstab.

Müssen wir KI in der Praxis komplett vermeiden?

Nein. KI in der Medizin hat einen erheblichen Nutzen, der weder ignoriert noch verteufelt werden sollte. Es geht um die richtige Architektur: souveränes Hosting, ausdrückliche Verschwiegenheitsverpflichtung der Subprozessoren, keine Trainings-Pipeline auf Ihren Eingaben, BSI-C5-Testat als Mindestbenchmark. Mit dieser Disziplin ist KI ein Werkzeug. Ohne sie ist sie eine Strafanzeige.

Wer haftet, wenn etwas schiefgeht — der Anbieter oder wir?

Strafrechtlich Sie selbst: § 203 StGB ist ein Sonderdelikt der Berufsgeheimnisträger, also der Ärztin oder des Arztes persönlich. Berufsrechtlich landet eine Schweigepflicht- verletzung bei der Ärztekammer. Datenschutzrechtlich beim Verantwortlichen — das ist meist die Praxis. Der Anbieter haftet im AVV-Verhältnis nach Art. 28 DSGVO, aber das schützt Sie strafrechtlich nicht. Die persönliche Haftung der Approbationsträger lässt sich nicht vertraglich auslagern.

Was kostet eine On-Premise-Lösung wirklich?

Für eine kleinere Praxis genügt eine einzelne GPU-Workstation ab etwa 15.000 Euro plus Strom und Wartung. Für eine Klinik-Architektur mit redundanter Inferenz und KIS-Anbindung über FHIR oder HL7 sprechen wir über eine mittlere sechsstellige Investition. Die Faustregel: Wer mehr als 50 Patientenkontakte pro Tag mit KI begleiten will, kommt mit On-Premise in der Regel günstiger weg als mit jeder Pro-User-Lizenz im Markt.

Zum Schluss

Wer als Republik bei einem Telefonmast sagt, eine Datenverbindung in einen bestimmten Rechtsraum sei im Kernnetz nicht akzeptabel, der kann nicht gleichzeitig akzeptieren, dass diese intimsten Patientendaten täglich aus Zehntausenden Praxen in genau dieselben Rechtsräume fließen. Die Bundesregierung hat 2024 eine klare Antwort für Mobilfunkkomponenten gegeben — die deutsche Datenschutz- aufsicht hat 2025 die analoge Antwort für KI gegeben. Es bleibt die Frage, wann die Praxis und Klinik diese Antwort übernimmt.

Souveränität ist hier nicht Patriotismus. Sie ist die einzige Architekturform, die § 203 StGB, Art. 9 und Art. 44 ff. DSGVO, den EU AI Act und das Berufsrecht gleichzeitigeinhält. Alles andere ist eine offene Flanke, an deren Ende eine Anzeige, eine Aufsichtsmeldung oder die Kammerprüfung steht. Die gute Nachricht ist: Die Werkzeuge dafür existieren, sie sind verfügbar, und sie sind in der Gesamtkostenbetrachtung oft günstiger als das, was Sie heute haben.

Dreißig Minuten — wir gehen mit Ihnen Ihre KI-Tools durch und zeigen, wo der Datenpfad heute hinläuft.