·

Klinische Dokumentation

Psychische Gesundheit

Inhaber einer Privatpraxis

DSGVO (GDPR) und Aufzeichnung von Therapiesitzungen: Was Therapeuten wissen müssen

Grundlegender DSGVO-Compliance-Leitfaden für Therapeuten, die KI-Dokumentationstools nutzen. Einwilligung, Datenhaltung in der EU, Auftragsverarbeiterverträge und Patientenrechte erklärt

Therapeut zeichnet Sitzung mit Patientenzustimmung und DSGVO-Compliance-Dokumentation auf

Die Aufzeichnung oder Transkription einer Remote-Therapiesitzung ist nicht einfach eine technische Entscheidung – sie ist eine rechtliche. Nach der Datenschutz-Grundverordnung (DSGVO) gehören Informationen zur psychischen Gesundheit zur höchsten Stufe der Datensensibilität. Die Verpflichtungen, die sich aus dieser Klassifizierung ergeben, betreffen jeden niedergelassenen und jeden institutionellen Behandler, der ein digitales Dokumentationswerkzeug verwendet. Da KI-Dokumentationswerkzeuge immer zugänglicher werden, sehen sich Therapeuten in ganz Europa zunehmend mit Fragen konfrontiert, auf die ihre Ausbildung sie selten vorbereitet hat: Welche Rechtsgrundlage benötige ich? Darf ich ein Transkript speichern? Was muss ich meinem Patienten mitteilen? Die Antworten sind spezifisch, folgenreich und können in einigen Fällen erhebliche finanzielle Strafen bei Nichteinhaltung nach sich ziehen.

Warum die DSGVO bei Therapiesitzungsdaten mit besonderer Strenge gilt

Daten zur psychischen Gesundheit werden als besondere Kategorie personenbezogener Daten gemäß Artikel 9 der DSGVO eingestuft. Sie befinden sich damit auf derselben geschützten Ebene wie genetische Daten, biometrische Daten und Daten über die rassische oder ethnische Herkunft. Die Grundposition nach Artikel 9 Absatz 1 ist, dass die Verarbeitung dieser Datenkategorie verboten ist, es sei denn, eine der zehn aufgezählten Ausnahmen in Artikel 9 Absatz 2 ist anwendbar. Dies ist eine wesentlich höhere Hürde als die Standard-Rechtsgrundlage nach Artikel 6, die für gewöhnliche personenbezogene Daten erforderlich ist.

Diese erhöhte Klassifizierung gilt unabhängig vom Praxisumfeld. Selbst eine Ein-Personen-Psychotherapiepraxis muss die Anforderungen von Artikel 9 vollständig erfüllen, da sie per Definition besondere Kategorien von Gesundheitsdaten verarbeitet. Die Sensibilität von Therapiesitzungsinhalten kann Offenlegungen von Traumata, Suizidgedanken, sexueller Identität oder Substanzkonsum umfassen. Nationale Datenschutzbehörden behandeln jedes Versäumnis, eine gültige Grundlage nach Artikel 9 Absatz 2 zu schaffen, als schwerwiegenden Verstoß.

Die DSGVO fungiert als Mindeststandard, nicht als Obergrenze. Die Mitgliedstaaten können zusätzliche nationale Verpflichtungen auferlegen. Der § 203 des deutschen Strafgesetzbuchs beispielsweise erlegt Therapeuten Schweigepflichten auf, die sich direkt darauf auswirken, wie Sitzungsdaten verarbeitet oder weitergegeben werden dürfen. Therapeuten sollten ihre spezifischen nationalen Anforderungen bei ihrer zuständigen Datenschutzbehörde überprüfen, bevor sie ein Dokumentationswerkzeug einsetzen.

Was als „Verarbeitung" gilt, wenn Sie eine Sitzung aufzeichnen oder transkribieren

Nach der DSGVO umfasst der Begriff „Verarbeitung" jeden Vorgang, der mit personenbezogenen Daten durchgeführt wird, ob automatisiert oder manuell. Im Kontext einer Remote-Therapiesitzung stellen alle folgenden Vorgänge eine Verarbeitung dar:

  • Aufzeichnung von Audio oder Video der Sitzung

  • Erstellung einer Echtzeit- oder Nachsitzungs-Transkription

  • Speicherung einer Zusammenfassung oder einer KI-generierten klinischen Notiz

  • Weiterleitung von Sitzungsinhalten durch ein KI-Dokumentationswerkzeug eines Drittanbieters

  • Hochladen einer Aufzeichnung in einen Cloud-Speicherdienst

Die Verarbeitung gilt gleichermaßen für vollautomatische Werkzeuge und für manuelle Transkription mit technologischer Unterstützung. Es gibt keine Ausnahme für Werkzeuge, die als „unterstützend" oder „hilfreich" statt als vollständig autonom beschrieben werden. Wenn Sitzungsinhalte in irgendeiner Weise von einem System oder Dienst verarbeitet werden, gelten die Verpflichtungen der DSGVO ab diesem Moment.

Die Rechtsgrundlage, die Therapeuten vor der Verwendung eines Dokumentationswerkzeugs schaffen müssen

Da Therapiesitzungsdaten besondere Kategorien von Daten sind, müssen Therapeuten zwei unterschiedliche rechtliche Anforderungen gleichzeitig erfüllen: eine Rechtsgrundlage nach Artikel 6 und eine separate Bedingung nach Artikel 9 Absatz 2.

Die zwei relevantesten Bedingungen nach Artikel 9 Absatz 2 sind:

  • Artikel 9 Absatz 2 Buchstabe a: Ausdrückliche Einwilligung der betroffenen Person

  • Artikel 9 Absatz 2 Buchstabe h: Verarbeitung, die für die Gesundheitsversorgung oder soziale Betreuung erforderlich ist, vorbehaltlich beruflicher Schweigepflichten

Artikel 9 Absatz 2 Buchstabe h ist die am weitesten anwendbare Bedingung für Gesundheitseinrichtungen, die direkte klinische Versorgung erbringen. Sie unterliegt der Bedingung, dass die Verarbeitung von einem Fachmann durchgeführt wird, der einer gesetzlichen Schweigepflicht unterliegt. Sie erstreckt sich nicht automatisch auf jede nachgelagerte Verwendung von Sitzungsdaten, wie die Weitergabe von Inhalten an ein KI-Werkzeug, das von einem Dritten betrieben wird.

Die alleinige Berufung auf berechtigte Interessen ist für niedergelassene Behandler selten ausreichend für besondere Kategorien von Daten. Die ausdrückliche Einwilligung nach Artikel 9 Absatz 2 Buchstabe a ist im Allgemeinen der vertretbarste Weg, da sie die Zustimmung des Patienten zur spezifischen Verarbeitungsaktivität direkt dokumentiert. Welche Grundlage auch immer gewählt wird, sie muss dokumentiert werden, bevor eine Verarbeitung beginnt. Der Therapeut trägt als Verantwortlicher die Beweislast dafür, dass eine gültige Grundlage besteht.

Was ausdrückliche Einwilligung in diesem Kontext tatsächlich erfordert

Eine gültige ausdrückliche Einwilligung nach der DSGVO hat eine präzise rechtliche Bedeutung. Sie muss sein:

  • Freiwillig erteilt: Der Patient darf keinen Nachteil erleiden, wenn er die Einwilligung verweigert

  • Spezifisch: Die Einwilligung zur Aufzeichnung impliziert nicht die Einwilligung zur Transkription, KI-Verarbeitung oder Weitergabe an einen Supervisor. Jeder Zweck erfordert eine separate Einwilligung

  • Informiert: Der Patient muss verstehen, wozu er einwilligt, einschließlich wer seine Daten verarbeitet und wie

  • Unmissverständlich: Ein vorab angekreuztes Kästchen oder passive Akzeptanz erfüllt den Standard nicht

  • Ausdrücklich: Bei besonderen Kategorien von Daten muss die Einwilligung klar und aktiv ausgedrückt werden. Eine stillschweigende Einwilligung ist unzureichend

Eine in einem allgemeinen Dokument mit Geschäftsbedingungen vergrabene Einwilligung erfüllt diesen Standard nicht. Die Leitlinien des Europäischen Datenschutzausschusses machen deutlich, dass die Einwilligung granular und zweckspezifisch sein muss. Ein Therapeut, der die Unterschrift eines Patienten auf einer allgemeinen Therapievereinbarung erhält, hat dadurch nicht die Einwilligung erhalten, Sitzungsaudio durch einen KI-Transkriptionsdienst laufen zu lassen.

Die Einwilligung muss auch eingeholt werden, bevor eine Aufzeichnung oder Transkription beginnt. Eine nachträgliche Einwilligung erfüllt die Anforderung nicht.

Datenminimierung: Nur das erfassen, was Sie tatsächlich benötigen

Artikel 5 Absatz 1 Buchstabe c der DSGVO legt den Grundsatz der Datenminimierung fest: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sein. Auf die Therapiedokumentation angewendet, hat dies direkte praktische Auswirkungen.

Wenn eine strukturierte klinische Notiz alles klinisch Notwendige aus einer Sitzung erfasst, ist die Aufbewahrung der vollständigen Audioaufzeichnung oder des wörtlichen Transkripts nach diesem Grundsatz möglicherweise nicht zu rechtfertigen. Die relevante Frage ist, ob die detaillierteren Daten einem Zweck dienen, den die weniger detaillierten Daten nicht erfüllen können.

In der Praxis bedeutet dies:

  • KI-Dokumentationswerkzeuge sollten so konfiguriert werden, dass sie eine strukturierte Notiz erstellen und dann das zugrunde liegende Transkript löschen, es sei denn, es gibt einen spezifischen klinischen oder rechtlichen Grund, es aufzubewahren

  • Vollständige Sitzungsaufzeichnungen sollten nicht standardmäßig aus administrativen Gründen gespeichert werden

  • Der Umfang dessen, was das Werkzeug erfasst, sollte im Hinblick darauf überprüft werden, was der Therapeut tatsächlich verwendet

Eine Überprüfung von KI-gesteuerten Notizerstellungswerkzeugen in der psychischen Gesundheitsversorgung aus dem Jahr 2025 ergab, dass kritische Informationen über die Datenverarbeitung in der Kommunikation der Anbieter häufig fehlten. Dazu gehört, was nach der Erstellung einer Notiz aufbewahrt wird. Therapeuten sollten spezifische Fragen stellen, anstatt sich auf allgemeine Produktbeschreibungen zu verlassen.

Wo Sitzungsdaten gespeichert und verarbeitet werden können: EU-Datenhaltungsregeln

Nach der DSGVO ist die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) eingeschränkt, es sei denn, das Zielland bietet ein angemessenes Datenschutzniveau oder es ist eine geeignete Garantie wie Standardvertragsklauseln (SCCs) vorhanden. Für besondere Kategorien von Daten zur psychischen Gesundheit hat diese Anforderung zusätzliches Gewicht.

Verbraucherplattformen wie allgemeine Videokonferenzanwendungen verarbeiten und speichern Daten häufig auf Servern außerhalb des EWR. Sie bieten möglicherweise nicht die vertraglichen Garantien, die die DSGVO für Gesundheitsdaten erfordert. Ein Therapeut, der eine solche Plattform für eine Remote-Sitzung mit aktivierter automatischer Transkription verwendet, überträgt möglicherweise besondere Kategorien von Daten in ein Drittland ohne einen gültigen rechtlichen Mechanismus.

Bei der Bewertung eines Transkriptions- oder KI-Dokumentationswerkzeugs sollten Therapeuten Anbieter direkt fragen:

  • Wo werden Sitzungsdaten verarbeitet? (Welches Land, welche Cloud-Region?)

  • Wo werden Daten im Ruhezustand gespeichert?

  • Befinden sich Unterauftragsverarbeiter außerhalb des EWR?

  • Wenn Daten außerhalb des EWR verarbeitet werden, welcher Übermittlungsmechanismus gilt?

Die Datenhaltung in der EU ist ein wichtiges Compliance-Kriterium für jedes Werkzeug, das Therapiesitzungsinhalte verarbeitet. Anbieter sollten in der Lage sein, diese Fragen schriftlich zu beantworten.

Die Auftragsverarbeiter-Beziehung: Ihre Verpflichtungen bei der Verwendung eines Drittanbieter-Werkzeugs

Wenn ein Therapeut ein externes KI- oder Transkriptionswerkzeug verwendet, wird dieser Anbieter zu einem Auftragsverarbeiter nach der DSGVO. Der Therapeut bleibt als Verantwortlicher rechtlich dafür verantwortlich, sicherzustellen, dass der Auftragsverarbeiter Daten in Übereinstimmung mit den Anforderungen der DSGVO verarbeitet.

Artikel 28 der DSGVO erfordert eine unterzeichnete Auftragsverarbeitungsvereinbarung (AVV) zwischen dem Therapeuten und jedem Anbieter, der Patientendaten in seinem Auftrag verarbeitet. Eine Auftragsverarbeitungsvereinbarung, die den Anforderungen der DSGVO entspricht, muss Folgendes spezifizieren:

  • Gegenstand, Dauer und Zweck der Verarbeitung

  • Art der personenbezogenen Daten und Kategorien betroffener Personen

  • Die Pflichten und Rechte des Verantwortlichen

  • Dass der Auftragsverarbeiter nur auf dokumentierte Anweisungen des Verantwortlichen handelt

  • Die Sicherheitsmaßnahmen, die der Auftragsverarbeiter implementiert hat

  • Die Verpflichtungen des Auftragsverarbeiters in Bezug auf Unterauftragsverarbeiter

  • Bestimmungen zur Datenlöschung oder -rückgabe am Ende des Vertrags

Das Fehlen einer Auftragsverarbeitungsvereinbarung macht die Verarbeitung nicht rechtmäßig – es macht sie zu einem Verstoß. Therapeuten sollten kein Werkzeug verwenden, das Patientensitzungsdaten verarbeitet, ohne zuvor eine unterzeichnete Auftragsverarbeitungsvereinbarung zu erhalten. Wenn ein Anbieter nicht bereit oder nicht in der Lage ist, eine solche bereitzustellen, ist das selbst ein Compliance-Signal.

Was Sie Patienten offenlegen müssen, bevor Sie ein KI-Dokumentationswerkzeug verwenden

Die Transparenzverpflichtungen der DSGVO nach den Artikeln 13 und 14 erfordern, dass Patienten zum Zeitpunkt der Erhebung über die Verarbeitung ihrer Daten informiert werden. Für Therapiesitzungen bedeutet dies, dass Patienten Folgendes mitgeteilt werden muss:

  • Welche Kategorien von Daten erhoben werden (z. B. Audioaufzeichnung, Transkript, KI-generierte Notiz)

  • Die Identität des Verantwortlichen (der Therapeut oder die Praxis)

  • Die Identität etwaiger Auftragsverarbeiter (der Anbieter des KI-Werkzeugs)

  • Die Rechtsgrundlage für die Verarbeitung

  • Wo Daten gespeichert werden und wie lange

  • Ihre Rechte, einschließlich des Rechts auf Zugang, Berichtigung und Löschung ihrer Daten

Diese Offenlegung muss auf eine Weise erfolgen, die wirklich informativ ist, nicht in einem langen Dokument vergraben. Best Practice für Therapeuten, die KI-Dokumentationswerkzeuge verwenden, umfasst:

  • Aktualisierung der Datenschutzerklärung der Praxis, um speziell auf KI-gestützte Dokumentation einzugehen

  • Bereitstellung einer mündlichen Erklärung vor der ersten Sitzung, in der das Werkzeug verwendet wird

  • Angebot einer schriftlichen Bestätigung (z. B. eine einseitige Zusammenfassung), die der Patient behalten kann

  • Dokumentation, dass die Offenlegung erfolgt ist und die Einwilligung eingeholt wurde

Die rechtliche Analyse von Telemedizin und Datenschutzverpflichtungen bestätigt, dass Transparenzanforderungen mit voller Kraft für digitale Gesundheitsinteraktionen gelten, einschließlich Remote-Therapiesitzungen, die über Videoplattformen durchgeführt werden.

Aufbewahrungsfristen: Wie lange können Sie Transkripte oder KI-generierte Notizen aufbewahren?

Der Grundsatz der Speicherbegrenzung nach Artikel 5 Absatz 1 Buchstabe e erfordert, dass personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, nicht länger als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Für Therapiesitzungstranskripte und KI-generierte Notizen müssen Therapeuten eine Aufbewahrungsfrist definieren, dokumentieren und anwenden.

Mehrere Überlegungen greifen hier ineinander:

  • Richtlinien der beruflichen Aufsichtsbehörden zur Aufbewahrung klinischer Aufzeichnungen setzen einen Mindeststandard (die Aufbewahrungsanforderungen variieren je nach Land und Berufsverband. Therapeuten sollten ihre nationale Aufsichtsbehörde für die geltende Mindestfrist konsultieren)

  • KI-generierte Notizen und Sitzungstranskripte unterliegen nicht automatisch denselben Aufbewahrungsregeln wie formale klinische Aufzeichnungen. Ein wörtliches Transkript kann eine viel kürzere zu rechtfertigende Aufbewahrungsfrist haben als die daraus abgeleitete klinische Notiz

  • Wenn ein Transkript nur zur Erstellung einer Notiz aufbewahrt wird, sollte es gelöscht werden, sobald dieser Zweck erfüllt ist

Therapeuten sollten ihre Aufbewahrungsrichtlinie schriftlich dokumentieren, unterschiedliche Fristen für verschiedene Datentypen (Aufzeichnung, Transkript, strukturierte Notiz, Arztbrief) festlegen und sicherstellen, dass die Datenlöschungspraktiken ihres KI-Werkzeuganbieters mit dieser Richtlinie übereinstimmen.

Sicherheitsanforderungen für die Speicherung von Sitzungsdaten zur psychischen Gesundheit

Artikel 32 der DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern die Implementierung technischer und organisatorischer Maßnahmen, die dem Risiko angemessen sind. Für besondere Kategorien von Daten zur psychischen Gesundheit ist das Risikoniveau standardmäßig hoch. Die erforderlichen Maßnahmen spiegeln dies wider.

Mindestsicherheitserwartungen für Werkzeuge, die Therapiesitzungsdaten verarbeiten, umfassen:

  • Verschlüsselung im Ruhezustand und bei der Übertragung: Sitzungsaufzeichnungen, Transkripte und Notizen müssen sowohl bei der Speicherung als auch bei der Übertragung verschlüsselt werden

  • Zugriffskontrollen: Nur autorisierte Personen sollten auf Sitzungsdaten zugreifen können, mit rollenbasierten Berechtigungen und Authentifizierungsanforderungen

  • Audit-Trails: Systeme sollten protokollieren, wer wann auf welche Daten zugegriffen hat

  • Incident Response: Anbieter sollten dokumentierte Verfahren zur Erkennung und Meldung von Datenschutzverletzungen haben

Verbraucherwerkzeuge, einschließlich allgemeiner Videokonferenzanwendungen mit aktivierter automatischer Transkription, erfüllen diese Anforderungen wahrscheinlich nicht ohne spezifische Unternehmens- oder Gesundheitsvereinbarungen. Die Tatsache, dass eine Plattform in klinischen Umgebungen weit verbreitet ist, bedeutet nicht, dass sie DSGVO-konform für die Verarbeitung besonderer Kategorien von Daten ohne angemessene vertragliche und technische Garantien ist.

Eine peer-reviewte Überprüfung von KI-Notizerstellungswerkzeugen in der psychischen Gesundheitsversorgung aus dem Jahr 2025 ergab, dass die meisten Anbieter zwar Informationen zu Datenschutz- und Datensicherheitsmaßnahmen auf ihren Websites bereitstellten, kritische Details jedoch häufig fehlten. Dazu gehören spezifische Sicherheitszertifizierungen, Unterauftragsverarbeiterlisten und Datenlöschungspraktiken. Therapeuten sollten Compliance nicht voraussetzen – sie sollten sie überprüfen.

Praktische Schritte für niedergelassene Behandler bei der Auswahl eines konformen Dokumentationswerkzeugs

Niedergelassene Behandler, die KI-Dokumentationswerkzeuge bewerten, tun dies in der Regel ohne institutionelle IT- oder Rechtsunterstützung. Die folgende Checkliste deckt die Mindest-Due-Diligence ab, die die DSGVO erfordert:

  • Bestätigen Sie die Datenhaltung in der EU: Fragen Sie den Anbieter schriftlich, wo Sitzungsdaten verarbeitet und gespeichert werden. Bestätigen Sie, dass sich keine Unterauftragsverarbeiter außerhalb des EWR befinden oder dass angemessene Übermittlungsmechanismen vorhanden sind

  • Erhalten Sie eine unterzeichnete Auftragsverarbeitungsvereinbarung: Verwenden Sie kein Werkzeug, das Patientendaten verarbeitet, ohne eine unterzeichnete Auftragsverarbeitungsvereinbarung, die die Anforderungen von Artikel 28 erfüllt

  • Prüfen Sie auf ISO 27001-Zertifizierung: Die ISO 27001-Zertifizierung zeigt an, dass der Anbieter ein international anerkanntes Informationssicherheitsmanagementsystem implementiert hat. Es ist keine DSGVO-Garantie, aber ein aussagekräftiger Basisindikator

  • Überprüfen Sie die Unterauftragsverarbeiterliste: Anbieter verlassen sich in der Regel auf Unterauftragsverarbeiter (z. B. Cloud-Infrastrukturanbieter). Fordern Sie die vollständige Liste an und bewerten Sie, ob der Standort und die Sicherheitslage jedes Unterauftragsverarbeiters akzeptabel sind

  • Verstehen Sie die Datenlöschungsrichtlinie: Bestätigen Sie, wie lange der Anbieter Daten nach einer Sitzung aufbewahrt, was die Löschung auslöst und ob Sie die Löschung bestimmter Aufzeichnungen anfordern können

  • Überprüfen Sie, ob das Werkzeug Patientenrechtsanfragen unterstützt: Das System muss in der Lage sein, auf Zugangsanfragen und Löschungsanfragen innerhalb der von der DSGVO geforderten Fristen zu reagieren

Der Mangel an Transparenz in der Anbieterkommunikation, der in peer-reviewter Forschung identifiziert wurde, bedeutet, dass Therapeuten spezifische, schriftliche Fragen stellen sollten, anstatt sich auf Marketingmaterialien zu verlassen. Ein Anbieter, der diese Fragen nicht klar beantworten kann, ist keine konforme Wahl.

Wenn ein Patient die Einwilligung widerruft oder die Löschung anfordert

Patienten haben durchsetzbare Rechte nach der DSGVO, auf die Therapeuten operativ vorbereitet sein müssen. Zwei sind besonders relevant für KI-gestützte Dokumentation.

Recht auf Widerruf der Einwilligung (Artikel 7 Absatz 3): Ein Patient kann die Einwilligung zur Verarbeitung seiner Daten jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf durchgeführten Verarbeitung, muss aber für die Zukunft wirksam werden. Forschung zur Implementierung des Einwilligungswiderrufs in Gesundheitsdatenkontexten hebt die operative Komplexität hervor: Daten können über mehrere Systeme hinweg existieren (das KI-Werkzeug, ein Cloud-Backup, eine lokale Kopie) und müssen in jedem identifiziert und behandelt werden.

Recht auf Löschung (Artikel 17): Wenn die Verarbeitung auf Einwilligung beruhte, hat ein Patient, der die Einwilligung widerruft, ein Recht, die Löschung seiner Daten zu verlangen. Der Therapeut muss als Verantwortlicher auf diese Anfrage innerhalb eines Monats reagieren und alle Auftragsverarbeiter (einschließlich des Anbieters des KI-Werkzeugs) anweisen, die relevanten Daten aus ihren Systemen zu löschen.

In der Praxis sollten Therapeuten:

  • Den Einwilligungswiderruf schriftlich dokumentieren und das Datum aufzeichnen

  • Den Anbieter des KI-Werkzeugs sofort kontaktieren und die Löschung aller mit diesem Patienten verbundenen Sitzungsdaten anfordern

  • Eine schriftliche Bestätigung vom Anbieter einholen, dass die Löschung abgeschlossen wurde

  • Prüfen, ob auch lokale Kopien (z. B. heruntergeladene Transkripte) gelöscht werden müssen

Das Recht auf Löschung ist nicht absolut. Wenn Daten aufbewahrt werden müssen, um einer rechtlichen Verpflichtung nachzukommen (wie beruflichen Aufsichtsanforderungen zur Aufbewahrung klinischer Aufzeichnungen für eine Mindestfrist), kann diese Verpflichtung die Löschungsanfrage in Bezug auf die formale klinische Aufzeichnung außer Kraft setzen. Rohe Transkripte oder Aufzeichnungen, die über das hinausgehen, was die klinische Aufzeichnung erfordert, profitieren wahrscheinlich nicht von dieser Ausnahme und sollten im Allgemeinen auf Anfrage gelöscht werden.

Berufsethische Rahmenwerke in der psychischen Gesundheitspraxis identifizieren durchweg Dokumentation und Datenführung als Kernkomponenten der Rechenschaftspflicht von Behandlern. Die Fähigkeit, auf Patientenrechtsanfragen zu reagieren, ist zunehmend Teil dieser Erwartung in einem digital vermittelten klinischen Umfeld.

Häufig gestellte Fragen

▶ Gilt die DSGVO für Therapiesitzungsaufzeichnungen und Transkripte?

Ja. Nach der Datenschutz-Grundverordnung werden Daten zur psychischen Gesundheit als besondere Kategorie personenbezogener Daten gemäß Artikel 9 eingestuft und befinden sich damit auf der höchsten Stufe der Datensensibilität. Die Aufzeichnung einer Sitzung, die Erstellung eines Transkripts, die Speicherung einer KI-generierten klinischen Notiz oder die Weiterleitung von Sitzungsinhalten durch ein Drittanbieter-Werkzeug stellen alle eine Verarbeitung nach der DSGVO dar. Dies gilt für jeden Behandler, der Sitzungsdaten digital verarbeitet, einschließlich Ein-Personen-Psychotherapiepraxen.

▶ Welche Rechtsgrundlage benötigen Therapeuten, bevor sie ein KI-Dokumentationswerkzeug verwenden?

Therapeuten müssen zwei rechtliche Anforderungen gleichzeitig erfüllen: eine Rechtsgrundlage nach Artikel 6 der DSGVO und eine separate Bedingung nach Artikel 9 Absatz 2. Die zwei relevantesten Bedingungen nach Artikel 9 Absatz 2 sind die ausdrückliche Einwilligung des Patienten (Artikel 9 Absatz 2 Buchstabe a) und die Verarbeitung, die für die Gesundheitsversorgung oder soziale Betreuung erforderlich ist, vorbehaltlich beruflicher Schweigepflichten (Artikel 9 Absatz 2 Buchstabe h). Für niedergelassene Behandler ist die ausdrückliche Einwilligung im Allgemeinen der vertretbarste Weg, da sie die Zustimmung des Patienten zur spezifischen Verarbeitungsaktivität direkt dokumentiert. Welche Grundlage auch immer gewählt wird, sie muss dokumentiert werden, bevor eine Verarbeitung beginnt.

▶ Was erfordert eine gültige ausdrückliche Einwilligung bei der Aufzeichnung oder Transkription einer Therapiesitzung?

Eine gültige ausdrückliche Einwilligung nach der DSGVO muss freiwillig erteilt, spezifisch, informiert, unmissverständlich und aktiv ausgedrückt sein. Die Einwilligung zur Aufzeichnung impliziert nicht die Einwilligung zur Transkription, KI-Verarbeitung oder Weitergabe an einen Supervisor. Jeder Zweck erfordert eine separate Einwilligung. Eine in einem allgemeinen Dokument mit Geschäftsbedingungen vergrabene Einwilligung erfüllt diesen Standard nicht. Sie muss auch eingeholt werden, bevor eine Aufzeichnung oder Transkription beginnt. Eine nachträgliche Einwilligung erfüllt die Anforderung nicht.

▶ Was ist der Grundsatz der Datenminimierung und wie gilt er für die Therapiedokumentation?

Artikel 5 Absatz 1 Buchstabe c der DSGVO verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind. In der Praxis ist die Aufbewahrung der vollständigen Audioaufzeichnung oder des wörtlichen Transkripts möglicherweise nicht zu rechtfertigen, wenn eine strukturierte klinische Notiz alles klinisch Notwendige aus einer Sitzung erfasst. KI-Dokumentationswerkzeuge sollten so konfiguriert werden, dass sie eine strukturierte Notiz erstellen und dann das zugrunde liegende Transkript löschen, es sei denn, es gibt einen spezifischen klinischen oder rechtlichen Grund, es aufzubewahren. Vollständige Sitzungsaufzeichnungen sollten nicht standardmäßig aus administrativen Gründen gespeichert werden.

▶ Können Therapiesitzungsdaten außerhalb des Europäischen Wirtschaftsraums gespeichert oder verarbeitet werden?

Die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums ist nach der DSGVO eingeschränkt, es sei denn, das Zielland bietet ein angemessenes Datenschutzniveau oder es ist eine geeignete Garantie wie Standardvertragsklauseln vorhanden. Verbraucherplattformen, einschließlich allgemeiner Videokonferenzanwendungen, verarbeiten und speichern Daten häufig auf Servern außerhalb des Europäischen Wirtschaftsraums und bieten möglicherweise nicht die vertraglichen Garantien, die die DSGVO für Gesundheitsdaten erfordert. Therapeuten sollten Anbieter schriftlich fragen, wo Sitzungsdaten verarbeitet und gespeichert werden, ob sich Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums befinden und welcher Übermittlungsmechanismus gilt, wenn Daten die Region verlassen.

▶ Was ist eine Auftragsverarbeitungsvereinbarung und benötigen Therapeuten eine?

Wenn ein Therapeut ein externes KI- oder Transkriptionswerkzeug verwendet, wird dieser Anbieter zu einem Auftragsverarbeiter nach der DSGVO. Artikel 28 der DSGVO erfordert eine unterzeichnete Auftragsverarbeitungsvereinbarung zwischen dem Therapeuten und jedem Anbieter, der Patientendaten in seinem Auftrag verarbeitet. Die Vereinbarung muss den Zweck und die Dauer der Verarbeitung, die vorhandenen Sicherheitsmaßnahmen, die Verpflichtungen des Auftragsverarbeiters in Bezug auf Unterauftragsverarbeiter und Bestimmungen zur Datenlöschung oder -rückgabe am Ende des Vertrags spezifizieren. Das Fehlen einer Auftragsverarbeitungsvereinbarung macht die Verarbeitung nicht rechtmäßig – es macht sie zu einem Verstoß. Therapeuten sollten kein Werkzeug verwenden, das Patientensitzungsdaten verarbeitet, ohne dass eine unterzeichnete Vereinbarung vorliegt.

▶ Was müssen Therapeuten Patienten mitteilen, bevor sie ein KI-Dokumentationswerkzeug verwenden?

Die Transparenzverpflichtungen der DSGVO nach den Artikeln 13 und 14 erfordern, dass Patienten zum Zeitpunkt der Erhebung über die Verarbeitung ihrer Daten informiert werden. Therapeuten müssen Patienten mitteilen, welche Kategorien von Daten erhoben werden, die Identität des Verantwortlichen und etwaiger Auftragsverarbeiter, die Rechtsgrundlage für die Verarbeitung, wo Daten gespeichert werden und wie lange, sowie die Rechte des Patienten einschließlich Zugang, Berichtigung und Löschung. Best Practice umfasst die Aktualisierung der Datenschutzerklärung der Praxis, um speziell auf KI-gestützte Dokumentation einzugehen, die Bereitstellung einer mündlichen Erklärung vor der ersten Sitzung, in der das Werkzeug verwendet wird, und die Dokumentation, dass die Offenlegung erfolgt ist und die Einwilligung eingeholt wurde.

▶ Wie lange können Therapeuten Transkripte und KI-generierte Notizen aufbewahren?

Der Grundsatz der Speicherbegrenzung nach Artikel 5 Absatz 1 Buchstabe e der DSGVO verlangt, dass personenbezogene Daten nicht länger gespeichert werden, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Therapeuten müssen für jeden Datentyp eine Aufbewahrungsfrist definieren, dokumentieren und konsequent anwenden. KI-generierte Notizen und Sitzungstranskripte unterliegen nicht automatisch denselben Aufbewahrungsregeln wie formale klinische Aufzeichnungen. Wenn ein Transkript nur zur Erstellung einer Notiz aufbewahrt wird, sollte es gelöscht werden, sobald dieser Zweck erfüllt ist. Therapeuten sollten bestätigen, dass die Datenlöschungspraktiken ihres KI-Werkzeuganbieters mit ihrer dokumentierten Aufbewahrungsrichtlinie übereinstimmen.

▶ Was passiert, wenn ein Patient die Einwilligung widerruft oder die Löschung seiner Sitzungsdaten anfordert?

Ein Patient kann die Einwilligung zur Verarbeitung seiner Daten jederzeit nach Artikel 7 Absatz 3 der DSGVO widerrufen. Wenn die Verarbeitung auf Einwilligung beruhte, hat der Patient auch ein Recht, die Löschung seiner Daten nach Artikel 17 zu verlangen. Der Therapeut muss auf eine Löschungsanfrage innerhalb eines Monats reagieren und den Anbieter des KI-Werkzeugs anweisen, die relevanten Daten aus seinen Systemen zu löschen, wobei eine schriftliche Bestätigung einzuholen ist, dass die Löschung abgeschlossen wurde. Das Recht auf Löschung ist nicht absolut: Wenn Daten aufbewahrt werden müssen, um einer rechtlichen Verpflichtung nachzukommen, wie beruflichen Aufsichtsanforderungen für klinische Aufzeichnungen, kann diese Verpflichtung die Löschungsanfrage in Bezug auf die formale klinische Aufzeichnung außer Kraft setzen. Rohe Transkripte oder Aufzeichnungen, die über das hinausgehen, was die klinische Aufzeichnung erfordert, profitieren wahrscheinlich nicht von dieser Ausnahme.

▶ Welche Sicherheitsstandards sollten Therapeuten bei der Auswahl eines KI-Dokumentationswerkzeugs beachten?

Artikel 32 der DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern die Implementierung technischer und organisatorischer Maßnahmen, die dem Risiko angemessen sind. Für besondere Kategorien von Daten zur psychischen Gesundheit ist das Risikoniveau standardmäßig hoch. Mindesterwartungen umfassen die Verschlüsselung von Sitzungsaufzeichnungen, Transkripten und Notizen sowohl im Ruhezustand als auch bei der Übertragung, rollenbasierte Zugriffskontrollen, Audit-Trails, die protokollieren, wer wann auf Daten zugegriffen hat, und dokumentierte Incident-Response-Verfahren. Die ISO 27001-Zertifizierung zeigt an, dass ein Anbieter ein international anerkanntes Informationssicherheitsmanagementsystem implementiert hat und dient als aussagekräftiger Basisindikator, obwohl sie an sich keine DSGVO-Garantie ist. Eine peer-reviewte Überprüfung von KI-Notizerstellungswerkzeugen in der psychischen Gesundheitsversorgung aus dem Jahr 2025 ergab, dass kritische Sicherheitsdetails, einschließlich spezifischer Zertifizierungen, Unterauftragsverarbeiterlisten und Datenlöschungspraktiken, in der Anbieterkommunikation häufig fehlten. Therapeuten sollten Compliance direkt überprüfen, anstatt sich auf Marketingmaterialien zu verlassen.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.