Ambient Scribing und KI-Doku in Arztpraxis und Pflege: rechtssicher nur mit On-Premise-Verarbeitung
Ambient Scribing, KI-Telefonassistenten und automatische Pflegedokumentation versprechen massive Entlastung – doch im April 2026 mahnte die Bayerische Landesärztekammer eine Praxis ab, die ein KI-Diktattool ohne AV-Vertrag mit US-Datenverarbeitung nutzte. Bei Gesundheitsdaten nach Art. 9 DSGVO und § 203 StGB ist On-Premise- oder EU-Verarbeitung keine Kür, sondern Pflicht.
Der Fachkräftemangel in Praxen und Pflegeeinrichtungen ist 2026 spürbar wie nie. Gleichzeitig wächst der Dokumentationsaufwand: Befunde, Verlaufsnotizen, Pflegeberichte, Abrechnungsdaten. Kein Wunder, dass KI-gestützte Dokumentation als Heilsbringer gilt – ein KI-System hört das Gespräch mit, der Pflegekraft diktiert die Schichtübergabe, und am Ende steht eine saubere, strukturierte Akte. Die Entlastung ist real, das Potenzial enorm.
Doch genau hier liegt die Falle: Gesundheits- und Pflegedaten gehören zu den am strengsten geschützten Datenkategorien überhaupt. Wer hier ein x-beliebiges Cloud-Tool einsetzt, riskiert nicht nur ein Bußgeld, sondern auch ein Strafverfahren wegen Verletzung der ärztlichen Schweigepflicht. Dieser Artikel zeigt, welche Use-Cases sich rechnen, was der aktuelle Abmahnfall der Bayerischen Landesärztekammer lehrt – und warum nur eine On-Premise- oder EU-Verarbeitung die rechtlichen Anforderungen wirklich erfüllt.
Die wichtigsten Use-Cases in Praxis und Pflege
KI in der Gesundheitsversorgung ist 2026 kein Zukunftsthema mehr – sie ist im Alltag angekommen. Über 2.000 Pflegeeinrichtungen in Deutschland nutzen bereits KI-Sprachassistenten für die Pflegedokumentation. Die folgenden vier Anwendungsfälle sind aktuell die mit Abstand wirkungsvollsten:
Ambient Scribing
Eine KI hört das Arzt-Patienten-Gespräch im Hintergrund mit und erstellt automatisch eine strukturierte Dokumentation. Die behandelnde Person muss nicht mehr parallel tippen, sondern kann sich voll auf das Gespräch konzentrieren. Technisch basiert das auf einer lokalen Speech-to-Text-Erkennung und einem nachgeschalteten Sprachmodell, das den Rohtext in Befund, Anamnese und Verordnung gliedert.
KI-Telefonassistent
Terminvereinbarung, Rezeptanfragen und Standardauskünfte am Empfang binden enorm viel Zeit. Ein KI-Telefonassistent nimmt Anrufe entgegen, versteht das Anliegen und legt strukturierte Vorgänge an – auch außerhalb der Sprechzeiten. Da hier ebenfalls Patientendaten verarbeitet werden, gelten dieselben Datenschutzanforderungen wie bei der Dokumentation.
ICD-Codierung
Die korrekte Verschlüsselung von Diagnosen nach ICD-10 ist abrechnungsrelevant und fehleranfällig. KI kann aus dem Behandlungstext passende Codes vorschlagen und so Abrechnungsfehler reduzieren. Auch hier gilt: Der Vorschlag wird vom Fachpersonal geprüft und freigegeben.
Pflegedokumentation
In der Pflege diktieren Mitarbeitende die Schichtübergabe oder den Verlauf, und die KI überführt das Gesagte in den passenden Eintrag im Pflegesystem. Das spart pro Schicht erhebliche Zeit, die unmittelbar in die Versorgung zurückfließt.
Die folgende Tabelle stellt Nutzen und Datensensibilität der Use-Cases gegenüber:
| Use-Case | Nutzen | Datensensibilität |
|---|---|---|
| Ambient Scribing | Volle Befunddoku ohne paralleles Tippen, mehr Zeit am Patienten | Sehr hoch (Art. 9) |
| KI-Telefonassistent | Entlastung des Empfangs, Erreichbarkeit rund um die Uhr | Hoch |
| ICD-Codierung | Weniger Abrechnungsfehler, schnellere Codierung | Hoch |
| Pflegedokumentation | Schnellere Übergaben, mehr Zeit für die Versorgung | Sehr hoch (Art. 9) |
Allen Use-Cases gemeinsam ist: Es werden besondere personenbezogene Daten verarbeitet. Die technische Grundlage – Spracherkennung plus Sprachmodell – ist dabei dieselbe, die wir auch in der intelligenten Dokumentenverarbeitung einsetzen. Entscheidend ist nicht die Technik an sich, sondern wo und wie sie betrieben wird.
Der Abmahnfall aus April 2026
Wie schnell aus gut gemeinter Effizienz ein rechtliches Problem wird, zeigt ein Fall aus dem April 2026: Eine bayerische Arztpraxis hatte ein KI-Diktattool eingeführt, das die Sprachverarbeitung über einen US-Anbieter abwickelte. Patientendaten – Namen, Diagnosen, Behandlungsverläufe – wurden dabei in die USA übertragen und dort verarbeitet. Einen Auftragsverarbeitungsvertrag (AV-Vertrag) gab es nicht. Die Bayerische Landesärztekammer mahnte die Praxis ab.
Das eigentlich Brisante: Die Praxis hatte sich nichts „Böses" gedacht. Das Tool war komfortabel, sparte Zeit und funktionierte gut. Genau das macht den Fall so lehrreich – die Rechtsverletzung war dem Anwender nicht bewusst, der Verstoß lag in der Architektur des Dienstes selbst.
Was schiefging – und die Lehre für KMU: Das KI-Tool übertrug Patientendaten ohne AV-Vertrag in die USA. Damit waren gleich mehrere Anforderungen verletzt: kein zulässiger Drittland-Transfer, kein Auftragsverarbeitungsvertrag, keine Datenschutz-Folgenabschätzung. Die Lehre: Bei Gesundheitsdaten reicht es nicht, dass ein Tool „funktioniert" und „verschlüsselt" ist. Entscheidend ist, wo die Daten verarbeitet werden und wer rechtlich darauf zugreifen kann. Wer hier auf eine US-Cloud setzt, haftet – nicht der Anbieter.
Für mittelständische Praxen und Pflegedienste ist die Botschaft unmissverständlich: Die Verantwortung für die rechtskonforme Verarbeitung liegt bei der verantwortlichen Stelle, also der Praxis oder Einrichtung. Ein attraktives Tool aus dem App-Store entbindet niemanden von dieser Pflicht.
Der Rechtsrahmen: Art. 9 DSGVO und § 203 StGB
Gesundheits- und Pflegedaten sind keine gewöhnlichen personenbezogenen Daten. Sie zählen nach Art. 9 DSGVO zu den „besonderen Kategorien personenbezogener Daten" – also zu jenen Daten, deren Verarbeitung grundsätzlich verboten ist und nur unter engen Voraussetzungen erlaubt wird, etwa zur Behandlung durch ärztliches Personal.
Hinzu kommt eine strafrechtliche Dimension: § 203 StGB schützt die ärztliche Schweigepflicht. Wer als Arzt, Pflegekraft oder deren Gehilfe Patientengeheimnisse unbefugt offenbart, macht sich strafbar. Wird ein Dienstleister eingebunden, der die Daten verarbeitet, muss dieser vertraglich auf die Geheimhaltung verpflichtet sein – andernfalls kann schon die bloße Weitergabe an den Dienstleister den Tatbestand erfüllen.
Bei der Einführung von KI-Dokumentation kommt eine dritte Pflicht hinzu: die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Da es sich um eine umfangreiche Verarbeitung besonderer Daten mit neuer Technologie handelt, ist sie verpflichtend. Die folgende Tabelle fasst die zentralen Anforderungen zusammen:
| Anforderung | Rechtsgrundlage | Konsequenz bei Verstoß |
|---|---|---|
| Schutz besonderer Daten | Art. 9 DSGVO | Bußgeld bis 20 Mio. € / 4 % Umsatz |
| Ärztliche Schweigepflicht | § 203 StGB | Freiheits- oder Geldstrafe |
| Folgenabschätzung (DSFA) | Art. 35 DSGVO | Aufsichtsmaßnahme, Untersagung |
| Auftragsverarbeitung | Art. 28 DSGVO (AV-Vertrag) | Unzulässige Verarbeitung, Haftung |
Wer diese vier Anforderungen ernst nimmt, erkennt schnell: Ein Cloud-Dienst, der außerhalb der eigenen Kontrolle und außerhalb der EU verarbeitet, lässt sich kaum rechtssicher betreiben. Mehr zu den Grundlagen finden Sie auf unserer Seite zu Datenschutz & DSGVO.
Warum nur On-Premise/EU rechtssicher ist
Der Kern des Problems ist der Zugriff durch Dritte. Sobald Gesundheitsdaten einen US-Anbieter erreichen, greift potenziell der US CLOUD Act: Er verpflichtet US-Unternehmen, Daten auf behördliche Anordnung herauszugeben – unabhängig davon, in welchem Land die Server physisch stehen. Damit ist selbst ein „EU-Rechenzentrum" eines US-Konzerns kein verlässlicher Schutz, wenn der Mutterkonzern dem CLOUD Act unterliegt.
Für besondere Daten nach Art. 9 DSGVO bedeutet das: Ein potenzieller Drittland-Zugriff ist nicht akzeptabel. Die einzige Architektur, die diesen Zugriff strukturell ausschließt, ist die lokale Verarbeitung – On-Premise im eigenen Praxisserver oder, als Mindeststandard, in einem EU-Rechenzentrum eines europäischen Anbieters ohne Drittland-Verflechtung.
Mindestanforderung Serverstandort: Für KI-Dokumentation mit Gesundheits- und Pflegedaten ist ein Serverstandort in der EU bzw. in Deutschland die absolute Untergrenze. Optimal ist die vollständige On-Premise-Verarbeitung: Die Daten verlassen das Haus zu keinem Zeitpunkt, ein Drittland-Zugriff ist technisch ausgeschlossen, und die Praxis behält die volle Kontrolle über ihre sensibelsten Informationen.
On-Premise hat dabei nicht nur rechtliche, sondern auch praktische Vorteile: keine laufenden Cloud-Gebühren pro Anfrage, keine Abhängigkeit von der Internetanbindung im Behandlungsalltag und volle Datensouveränität. Datenschutztechnik wie Differential Privacy kann zusätzlich abgesichern, dass aus Trainings- oder Auswertungsdaten keine Rückschlüsse auf einzelne Patienten möglich sind.
Ambient Scribing technisch umgesetzt
Wie sieht ein rechtssicheres Ambient-Scribing-System technisch aus? Der Stack besteht aus drei Stufen, die alle lokal im Praxisserver laufen:
Stufe 1: Lokale Spracherkennung
Das Mikrofon im Behandlungsraum erfasst das Gespräch, eine lokale Speech-to-Text-Engine wandelt es in Text um. Hier kommen Modelle der Whisper-Klasse zum Einsatz, die auch deutschsprachige medizinische Fachbegriffe zuverlässig erkennen und vollständig offline betrieben werden können. Bei eingescannten Altbefunden ergänzt eine lokale OCR die Texterkennung.
Stufe 2: Strukturierung per lokalem Sprachmodell
Der Rohtext wird an ein lokales Large Language Model (LLM) übergeben, das den unstrukturierten Gesprächstext in die richtige Form bringt: Anamnese, Befund, Diagnose, Therapie. Das Modell läuft auf der Praxis-Hardware – kein Token verlässt das Haus. So entsteht aus dem Gespräch eine saubere, gegliederte Dokumentation, die direkt ins Praxisverwaltungssystem (PVS) bzw. Pflegesystem übernommen werden kann.
Stufe 3: Integration und Freigabe
Die strukturierte Doku wird ins PVS geschrieben – aber nicht ungeprüft. Spracherkennung und Sprachmodelle sind hochgenau, aber nicht fehlerfrei: Eine falsch verstandene Dosierung oder eine Halluzination des Modells hätte im medizinischen Kontext gravierende Folgen. Deshalb ist eine menschliche Freigabe zwingend.
Dieses Human-in-the-Loop-Prinzip ist nicht nur eine technische Vorsichtsmaßnahme, sondern auch rechtlich bedeutsam: Die behandelnde Person prüft, korrigiert und verantwortet die finale Dokumentation. Die KI liefert den Entwurf, der Mensch trägt die Verantwortung. Genau diese Architektur planen und betreiben wir im Rahmen unserer KI-Lösungen für Arztpraxen.
Praxisbeispiel: Hausarztpraxis in Oberfranken mit On-Premise-Ambient-Scribing
Eine Gemeinschaftspraxis mit drei Ärzten und rund 1.200 Scheinen pro Quartal hatte mit ausuferndem Dokumentationsaufwand zu kämpfen – pro Arzt fielen täglich rund 90 Minuten reine Tipparbeit an. Cloud-Tools schieden wegen der Patientendaten aus. Eingeführt wurde ein On-Premise-Ambient-Scribing-System: ein kompakter Praxisserver mit lokaler Whisper-Spracherkennung und einem lokalen Sprachmodell, angebunden an das bestehende PVS. Ergebnis: Die Befunddokumentation entsteht heute während des Gesprächs, der Arzt prüft und gibt frei. Die tägliche Tipparbeit sank deutlich, und – ebenso wichtig – kein einziges Patientendatum verlässt die Praxis. Die begleitende Datenschutz-Folgenabschätzung lag vor dem Produktivstart vor.
Schritt für Schritt zur rechtssicheren Einführung
Der Weg zur KI-Dokumentation muss strukturiert sein – nicht aus Bürokratie, sondern weil jeder Schritt rechtlich absichert. Die folgende Checkliste hat sich in der Praxis bewährt:
- Bedarf klären: Wo entsteht der größte Dokumentationsdruck? Befunddoku, Telefon, Pflegeübergabe? Wählen Sie einen klar umrissenen Use-Case für den Start.
- DSFA erstellen: Führen Sie vor der Einführung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durch. Sie dokumentiert Risiken und Schutzmaßnahmen und ist im Prüfungsfall der zentrale Nachweis.
- On-Premise-/EU-Lösung wählen: Entscheiden Sie sich für eine Architektur ohne Drittland-Zugriff. Optimal ist die lokale Verarbeitung im Praxisserver. Prüfen Sie Anbieter auf Serverstandort und Eigentümerstruktur.
- Personal schulen: Mitarbeitende müssen verstehen, was die KI tut und wo ihre Grenzen liegen. Akzeptanz entsteht durch Transparenz, nicht durch Überraschung.
- Freigabeprozesse definieren: Legen Sie verbindlich fest, dass jede KI-erzeugte Dokumentation von der verantwortlichen Person geprüft und freigegeben wird, bevor sie verbindlich wird.
Diesen Prozess begleiten wir End-to-End – von der Bedarfsanalyse über die DSFA bis zum Produktivbetrieb. Details finden Sie auf unseren Seiten zu KI im Gesundheitswesen und KI für Arztpraxen.
Fazit: Entlastung ohne Rechtsrisiko
Der Druck zur Digitalisierung ist politisch gewollt: Das Bundesgesundheitsministerium hat das Ziel ausgegeben, dass bis 2028 über 70 % der Pflege- und Gesundheitseinrichtungen auf KI-gestützte Dokumentation umstellen. Wer hier nicht handelt, gerät beim Fachkräftemangel ins Hintertreffen. Aber – und das ist die zentrale Botschaft dieses Artikels – Handeln darf nicht überstürzt geschehen.
Der Abmahnfall vom April 2026 zeigt, wie schnell aus einer gut gemeinten Effizienzmaßnahme ein rechtliches Problem wird. Gesundheits- und Pflegedaten sind nach Art. 9 DSGVO und § 203 StGB besonders geschützt; eine Verarbeitung in der US-Cloud ist damit faktisch ausgeschlossen. Die rechtssichere Antwort heißt: On-Premise oder EU, mit menschlicher Freigabe und vorab erstellter Folgenabschätzung.
Für Praxen und Pflegeeinrichtungen in Oberfranken – im Raum Lichtenfels, Kronach und Coburg – sind wir der regionale Ansprechpartner für genau diese datensouveräne Einführung. Wir empfehlen ausdrücklich eine begleitete Einführung: So holen Sie die Entlastung ab, ohne das Rechtsrisiko einzugehen.
Häufig gestellte Fragen zu KI in Praxis und Pflege
Darf ich in der Praxis ein KI-Diktattool aus der US-Cloud nutzen?
In aller Regel nicht rechtssicher. Patientendaten sind besondere Daten nach Art. 9 DSGVO und unterliegen zusätzlich der Schweigepflicht nach § 203 StGB. Eine Verarbeitung in den USA ohne belastbaren Rechtsrahmen ist hochriskant – im April 2026 führte genau das zu einer Abmahnung durch die Bayerische Landesärztekammer. Sicher ist nur eine On-Premise- oder EU-Verarbeitung mit AV-Vertrag.
Was ist Ambient Scribing?
Ambient Scribing bezeichnet KI, die ein Arzt-Patienten-Gespräch im Hintergrund mithört und automatisch eine strukturierte Dokumentation erstellt. Das spart erheblich Zeit gegenüber manueller Eingabe. Technisch läuft das über Spracherkennung und ein nachgeschaltetes Sprachmodell – beides lässt sich vollständig lokal im Praxisserver betreiben, sodass keine Daten das Haus verlassen.
Brauche ich eine Datenschutz-Folgenabschätzung?
Ja. Da es sich um besondere Daten nach Art. 9 DSGVO handelt, ist bei der Einführung von KI-Dokumentation in Praxis oder Pflege eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtend. Sie dokumentiert die Risiken und die getroffenen Schutzmaßnahmen – ein zentraler Nachweis im Prüfungsfall.
Wie genau ist KI-gestützte Dokumentation?
Moderne Spracherkennung und Sprachmodelle erreichen im klinischen Kontext hohe Genauigkeit, sind aber nicht fehlerfrei. Deshalb gehört eine menschliche Freigabe in den Prozess: Die behandelnde Person prüft und verantwortet die finale Dokumentation. Dieses Human-in-the-Loop-Prinzip verbindet Zeitersparnis mit Verlässlichkeit und rechtlicher Absicherung.
KI-Dokumentation rechtssicher in Ihrer Praxis einführen
Wir planen und betreiben Ihr Ambient-Scribing- oder Pflegedoku-System – On-Premise, DSGVO-konform, mit begleitender Folgenabschätzung. Kostenlose Erstberatung für Praxen und Pflegeeinrichtungen.