Im April 2026 hat eine MVZ-Geschäftsführung in Mittelfranken eine Abmahnung der Bayerischen Landesärztekammer bekommen. Vorwurf: Die Praxis nutze ein KI-Diktat-Tool ohne dokumentierten Auftragsverarbeitungsvertrag, Patientendaten würden in den USA verarbeitet, und es gebe keine Schweigepflicht-Verpflichtung des Anbieters nach §9 MBO-Ä. Der MVZ-Geschäftsführer hatte eines übersehen: Ärzte tragen die Verantwortung nicht allein. Bei §95 SGB V greift zusätzlich die GF-Haftung. Wer in der Arztpraxis oder im MVZ KI einsetzt, muss zwei Rechtskreise gleichzeitig beherrschen.

Auf einen Blick: §9 MBO-Ä Schweigepflicht und §10 Dokumentationspflicht treffen jeden Arzt und jede MFA. KI-Tools brauchen einen AVV nach Art. 28 DSGVO und müssen Schweigepflicht-Verpflichtung einbeziehen. §630a BGB Behandlungsvertrag verlangt vom Arzt fachliche Verantwortung, die nicht delegierbar ist. KI-Diktat (Nuance Dragon, Speak2Med), Termin-Triage-Bots und Abrechnungs-Vorschlag sind mit AVV erlaubt. KI-Erstdiagnose ohne ärztliche Endkontrolle ist verboten. ChatGPT Free oder Plus mit Patientendaten ist ein Verstoß gegen §203 StGB. DiGA mit BfArM-Listung ist 2026 für 60+ Anwendungen verfügbar.

Welche Rechtsnormen 2026 greifen

Die Arztpraxis bewegt sich beim KI-Einsatz in vier Rechtskreisen gleichzeitig.

MBO-Ä Musterberufsordnung der Bundesärztekammer. §9 regelt die Schweigepflicht. §10 die Dokumentationspflicht. §11 die Aufklärung. Die Schweigepflicht ist absolut. Sie gilt nicht nur, was Sie sagen, sondern auch, wo Sie Daten verarbeiten lassen. Wenn Sie ein KI-Tool einsetzen, das Patientendaten zu Trainingszwecken verwendet oder mit Dritten teilt, brechen Sie §9 MBO-Ä. Das gilt unabhängig davon, ob ein konkreter Schaden entsteht.

Patientenrechtegesetz §§630a-h BGB. §630a regelt den Behandlungsvertrag. Sie als Arzt sind verpflichtet, die Behandlung nach den allgemein anerkannten fachlichen Standards durchzuführen. §630f regelt die Dokumentationspflicht. §630h regelt die Beweislast. Bei dokumentierten Behandlungsfehlern können Beweiserleichterungen greifen.

DSGVO. Art. 6 für die Rechtsgrundlage, Art. 28 für die Auftragsverarbeitung, Art. 35 für die Datenschutz-Folgeabschätzung. Patientendaten sind besondere Kategorien nach Art. 9 DSGVO und genießen erhöhten Schutz.

§95 SGB V für MVZ. Geschäftsführer von Medizinischen Versorgungszentren haften zusätzlich zur ärztlichen Verantwortung für die Sicherstellung der vertragsärztlichen Versorgung und die Einhaltung gesetzlicher Pflichten. Bei MVZ-Strukturen ist also die GF-Verantwortung explizit. Wer als MVZ-Geschäftsführer eine KI-Einführung freigibt, ohne den Datenschutzbeauftragten und die Compliance einzubeziehen, riskiert nicht nur die ärztliche Haftung, sondern eigene Sanktionen.

Hinzu kommt §203 StGB. Verletzung von Privatgeheimnissen. Der Tatbestand ist erfüllt, wenn ein Arzt oder eine Hilfsperson Patientendaten unbefugt offenbart. Wer Patientendaten in ein KI-Tool ohne AVV eingibt, kann strafrechtlich verfolgt werden. Das ist 2026 nicht theoretisch, die LDA Bayern hat im März 2026 einen ersten Fall an die Staatsanwaltschaft abgegeben.

Welche KI-Tools 2026 in der Praxis funktionieren

Der Markt teilt sich in zwei Schichten: KI in der Praxis-Software und KI in spezialisierten externen Tools.

Praxis-Software mit KI-Modulen. Die großen deutschen Anbieter haben 2025/2026 KI-Module integriert. CGM mit dem Modul CGM ASSIST, Medatixx mit CGM-vergleichbarer KI-Integration, T2med mit Diktat- und Codierungs-Vorschlag, Tomedo mit Apple-Diktat, Doctolib mit KI-Triage und Termin-Bot. Diese Module sind in den AVV der Praxis-Software eingebettet, EU-Hosting Standard, Schweigepflicht-Verpflichtung Bestandteil.

Spezialisierte externe Tools mit AVV.

Tabu in der Praxis:

Wenn eine MFA Patientendaten in ChatGPT Plus eingibt, weil sie schnell einen Brief schreiben will, ist das ein Verstoß gegen §9 MBO-Ä, §28 DSGVO, möglicherweise §203 StGB. Diese Praxis muss durch klare Hausregeln verhindert werden.

DiGA, BfArM-Verzeichnis und KI

Digitale Gesundheitsanwendungen (DiGA) sind über das BfArM-Verzeichnis als Kassenleistung gelistet. Stand Mai 2026 sind über 60 DiGA gelistet, davon mehrere mit KI-Komponenten. Sie sind verschreibungsfähig, von der Krankenkasse zu erstatten und durchlaufen ein bewertetes Zulassungsverfahren.

Was DiGA von freien Apps unterscheidet: Hersteller müssen Sicherheit, Funktionstauglichkeit, Qualität, Datenschutz und Datensicherheit nachweisen. KI-Komponenten in DiGA sind also vor-validiert, das nimmt der Praxis Compliance-Last ab. Wenn Sie eine DiGA verschreiben, müssen Sie nicht prüfen, ob das KI-Modell DSGVO-konform trainiert wurde, das hat das BfArM bereits getan.

Beispiele für DiGA mit KI-Komponenten 2026: Mika für Krebs-Begleittherapie, Kalmeda gegen Tinnitus, Vivira gegen Rückenschmerzen mit adaptiver Übungsanpassung, Selfapy bei Depression, deprexis 24, Velibra bei Angststörungen.

Was die Praxis tun muss: DiGA in der Behandlung erwähnen, wo angemessen, Verschreibungsformular ausstellen, Verlauf dokumentieren. Patient erhält die DiGA von seiner Krankenkasse als Code, der Code wird in der App eingelöst.

Fünf sichere Use Cases in der Praxis

Aus der KBV-Praxis-Umfrage 2025/2026 und der Empfehlung der Ärztekammern ergeben sich fünf Anwendungen, die mit konformen Tools rechtssicher sind.

Befunddiktat. Nuance Dragon Medical, Speak2Med, Aaron. Die Spracherkennung ersetzt das händische Tippen. Spart pro Befund 3 bis 7 Minuten. Wichtig: Aufzeichnung läuft nur, wenn der Arzt sie startet. AVV mit dem Anbieter ist Pflicht.

Termin-Triage-Bot. Doctolib oder eigene KI-Bots klassifizieren Anfragen: Akut, Routine, Vorsorge, Heilmittel. Vereinbaren Standardtermine, leiten kritische Fälle an die MFA weiter. Wichtig: Keine medizinischen Empfehlungen gegenüber Patienten ohne ärztliche Validierung.

Abrechnungs-Vorschlag. KI in der Praxis-Software schlägt EBM- oder GOÄ-Codes vor, basierend auf der Dokumentation. Der Arzt prüft und bestätigt. Spart in einer Solo-Praxis pro Quartal 4 bis 8 Stunden.

Patientenbrief-Entwurf. KI generiert aus dem Befund einen Arztbrief. Der Arzt prüft, korrigiert, unterzeichnet. Die KI-Drafts halluzinieren manchmal Befunde, die nicht im Original stehen. Pflicht zur Prüfung jedes Drafts. Eine Universitätsklinik in Tübingen hat 2025 in einer Validierungsstudie gezeigt: Etwa 8 Prozent der KI-generierten Arztbriefe enthielten klinisch relevante Abweichungen vom Original-Befund.

Diagnose-Vorschlag mit ärztlicher Endkontrolle. Bei radiologischen Befunden, EKG-Auswertungen, dermatologischen Aufnahmen kann KI Vorschläge machen. Sie sind Hilfsmittel, nicht Diagnose. Der Arzt entscheidet final.

Was 2026 verboten oder hochriskant ist

KI-Erstdiagnose ohne ärztliche Validierung. Verstoß gegen §630a BGB Behandlungsvertrag und gegen die Berufsordnung. Wer einen KI-Befund ungeprüft an Patienten kommuniziert, riskiert Behandlungsfehler-Haftung.

Patientendaten in nicht zertifizierten Tools. ChatGPT Free, Plus, Gemini App, beliebige Browser-Plugins ohne AVV. Verstoß gegen §9 MBO-Ä, Art. 28 DSGVO, möglicherweise §203 StGB.

Hochrisiko-Triage-Systeme nach EU AI Act Anhang III. Wenn ein KI-System "Zugang zu wesentlichen Diensten" beeinflusst (was bei medizinischer Triage diskussionswürdig ist), greifen ab 02.08.2026 die Hochrisiko-Pflichten. Konformitätsbewertung, technische Dokumentation, Risikomanagement, menschliche Aufsicht. Praxen, die solche Systeme in komplexer Form einsetzen, müssen das mit Anbieter und Kammer abklären.

Bewerber-KI ohne DSFA. Wer eine MVZ-Gruppe führt und KI-CV-Screening einsetzt, muss eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO machen. Auch das ist 2026 Aufsichtsbehörden-Thema.

Praxisbeispiel aus einem MVZ mit drei Standorten

Das fiktive MVZ Heilbronn-Süd hat drei Standorte mit insgesamt 14 Ärzten und 22 MFA, Schwerpunkt Allgemeinmedizin und Innere. Anfang 2025 hat die Geschäftsführung ein KI-Pilotprojekt gestartet.

Phase eins: Bestandsaufnahme. Wer nutzt heute schon was? Antwort: Drei Ärzte mit privater ChatGPT-Plus-Nutzung für Recherche (gestoppt sofort), zwei MFA mit DeepL Free für Briefe (gestoppt), eine MFA mit eigenem Diktat-Tool ohne AVV (gestoppt). Compliance-Vakuum, sofortige Bereinigung.

Phase zwei: Tool-Auswahl. Drei zentrale Lizenzen: Speak2Med für Diktat (alle 14 Ärzte), Doctolib mit Termin-Triage-Bot (alle Standorte), CGM ASSIST in der bestehenden Praxis-Software für Codierungs-Vorschlag. Plus Microsoft Copilot for Microsoft 365 mit EU Data Boundary für Verwaltungs-Tasks (nicht für Patientendaten).

Phase drei: Schulung. Eine Praxismanagerin wurde als KI-Beauftragte für das MVZ benannt. Sie machte über sechs Monate die DigiMan-Weiterbildung berufsbegleitend und schulte das Team in zwei halbtägigen Workshops. Inhalt: was darf rein, was nicht, wie schreibt man einen Prompt, wie prüft man KI-Output. Schulung dokumentiert.

Phase vier: Datenschutz-Folgeabschätzung. DSB wurde eingebunden, DSFA für Termin-Triage-Bot und für KI-Codierungs-Vorschlag erstellt. Beide Use Cases als Mittleres-Risiko klassifiziert, mit Maßnahmen versehen (Mensch entscheidet final, Logs werden geprüft, Audit jährlich).

Phase fünf: Patienten-Information. Aushang in den Wartezimmern, Einbau in die Anmeldungs-Formulare: "In dieser Praxis kommen KI-Werkzeuge bei Befunddiktat, Terminvergabe und Abrechnung zum Einsatz. Die finale ärztliche Entscheidung wird immer durch einen Arzt getroffen. Datenschutz nach DSGVO gewährleistet."

Ergebnis nach 12 Monaten: Befunddiktat-Zeit pro Arzt minus 35 Prozent, Termin-Triage-Bot deckt 60 Prozent der Anfragen ab, ärztliche Codierungs-Korrektur reduziert. GF-Haftungsrisiko durch klare Doku abgesenkt. Eine Aufsichtsanfrage der LDA Bayern wurde mit der vorhandenen Doku ohne Verfahren abgeschlossen.

Aufwand: 18.000 Euro Tools (12 Monate), 8.000 Euro Schulung und Beratung, 0,2 FTE für KI-Beauftragten-Rolle.

Eigene Einschätzung

Wir sehen bei MVZ-Mandanten zwei typische Fehler. Erstens: KI wird auf Praxis-Ebene eingeführt, ohne dass die GF informiert ist. Eine MFA testet ein Tool, der Arzt findet es praktisch, das Tool wird ausgerollt. Niemand schaut auf §95 SGB V Verantwortung. Bei einer Aufsichtsanfrage steht die GF dann hilflos da. Zweitens: Die Schulung wird abgekürzt. Eine Stunde Erklärung in einer Teamsitzung reicht nicht. Wer KI-Tools mit Patientendaten verarbeitet, muss verstehen, was AVV bedeutet, was Schweigepflicht heißt, wie man einen Prompt formuliert ohne Daten preiszugeben.

Was sich in der Praxis bewährt: KI-Beauftragten als Stabsstelle benennen (kann eine Praxismanagerin oder ein erfahrener MFA sein), DSB regelmäßig einbinden, eine schriftliche KI-Policy mit klaren Tool-Listen führen, mindestens einmal pro Jahr alle aktiven Lizenzen und Use Cases durchgehen. Wer das nicht macht, hat früher oder später das Problem, das Heilbronn fast erlebt hätte.

Häufige Fragen

Darf ich ChatGPT Plus für Patientenbriefe nutzen, wenn ich Namen anonymisiere?

Theoretisch ja, praktisch riskant. Auch ohne Namen sind oft Rückschlüsse auf konkrete Patienten möglich. Die Bundesärztekammer empfiehlt seit 2024 explizit, Privat-Accounts (ChatGPT Free, Plus, Pro, Go) nicht für Patientendaten zu nutzen. Investieren Sie in ChatGPT Team oder Enterprise mit AVV, oder nutzen Sie spezialisierte medizinische Tools wie Speak2Med oder Aaron. Mehrkosten überschaubar, Risiko deutlich kleiner.

Was ist mit Microsoft Copilot for Microsoft 365 in der Arztpraxis?

Mit EU Data Boundary und AVV ist Copilot grundsätzlich nutzbar. Allerdings sollte er typisch nicht der primäre Verarbeitungspunkt für Patientendaten sein, weil die KIS- oder Praxismanagement-Software dafür zuständig ist. Copilot eignet sich für Verwaltungs-Tasks: Dienstpläne, Korrespondenz mit Lieferanten, allgemeine Recherche. Patienten-spezifische Briefe und Befunde laufen besser über die spezialisierten Tools.

Brauche ich eine DSFA für jeden KI-Einsatz?

Nein, nicht für jeden. Bei Standard-Use-Cases (Befunddiktat, Termin-Triage in Standardfällen, Abrechnungs-Vorschlag) ist die DSFA nicht zwingend, aber empfehlenswert. Bei spezifischen Hochrisiko-Anwendungen (KI-Diagnose-System, Triage mit potenzieller rechtlicher Wirkung, Bewerber-KI im MVZ-Personalbereich) ist die DSFA nach Art. 35 DSGVO Pflicht.

Was sagt §95 SGB V zu meiner Haftung als MVZ-Geschäftsführer?

§95 SGB V regelt die vertragsärztliche Versorgung in MVZ. Geschäftsführer haften für die Einhaltung gesetzlicher Pflichten und Sicherstellung der Versorgung. Bei DSGVO-Verstößen mit KI-Tools können Sie zusätzlich zur ärztlichen Haftung in Anspruch genommen werden. Pflicht zur Compliance-Aufsicht ist nicht delegierbar, sie kann nur organisatorisch ausgestaltet werden, etwa durch einen KI-Beauftragten.

Welche Weiterbildung lohnt sich für MFA und Praxismanagerinnen?

Eine breite Digitalisierungsweiterbildung wie DigiMan ist 2026 die solideste Wahl. Sie deckt KI-Praxis, Datenschutz, Tool-Auswahl und Governance ab und ist über das Qualifizierungschancengesetz für MVZ-Mitarbeiter förderbar. Daneben gibt es zertifizierte Module zur ärztlichen Weiterbildung (z.B. Bundesärztekammer-Module zu KI in der Medizin), die ergänzen.

Sind DiGA für meine Praxis verpflichtend?

Nein. Ärzte können DiGA verschreiben, müssen aber nicht. Die Verschreibung lohnt sich, wenn die DiGA dem Patienten medizinisch nutzt und die Indikation passt. Der Patient erhält die DiGA von seiner Krankenkasse, nicht über die Praxis. In Mai 2026 sind über 60 DiGA im BfArM-Verzeichnis, mit Wachstum.

Über den Autor

Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Erwachsenenbildner. Er hat über 70 Sachbücher auf Amazon KDP veröffentlicht und betreibt SkillSprinters by Dr. Aichinger, einen DEKRA-zertifizierten Bildungsträger in Bayreuth mit Schwerpunkt geförderte Weiterbildungen für Berufstätige und Arbeitssuchende. Schwerpunkte: Wirtschaftsfachwirt (IHK), Digitalisierungsmanager und KI-Kompetenz im Mittelstand.

KI in Ihrer Praxis oder im MVZ rechtskonform aufbauen? Die DigiMan-Weiterbildung qualifiziert MFA und Praxismanagerinnen für die KI-Verantwortung und ist über das Qualifizierungschancengesetz förderbar. Wenn Sie die Datenschutz-Seite parallel sicher aufstellen wollen, lesen Sie unseren Praxis-Leitfaden zu DSGVO und KI-Tools. Für ein 30-minütiges Sondierungsgespräch zu Tool-Auswahl und Schulung finden Sie unter skill-sprinters.de/termin einen Telefonslot.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp