Der Einsatz eines Sprach-KI-Agenten in einer Arztpraxis wirft in jedem ersten Gespräch zwischen Anbieter und Praktiker eine Frage auf: DSGVO-Konformität. Der Gesundheitssektor ist einer der am stärksten regulierten in Europa — sensible Gesundheitsdaten, zertifizierte Hosting-Anforderungen, obligatorische DSFA und jetzt der EU AI Act. So passt Vocalis AI in diesen Rahmen.
DSGVO Artikel 9: die Grenze sensibler Daten
Die Datenschutz-Grundverordnung (DSGVO, 2016/679) klassifiziert Gesundheitsdaten als besondere Kategorie nach Artikel 9. Ihre Verarbeitung ist grundsätzlich verboten, mit Ausnahmen — einschließlich der Gesundheitsversorgung (Artikel 9.2.h). Aber nicht jeder patientenbezogene Datenpunkt ist automatisch ein Gesundheitsdatum: der administrative Grund für einen Termin (Konsultation, Nachsorge, Kontrolle) ist es nicht, während ein spontan erwähntes Symptom es ist.
Vocalis AI ist so konfiguriert, dass es aktiv die Erfassung sensibler Gesundheitsdaten am Telefon vermeidet. Der Agent fragt nicht nach dem detaillierten klinischen Grund — nur nach dem administrativen Kontext. Erwähnt der Patient ein Symptom, leitet der Agent an den Praktiker weiter, ohne klinische Informationen zu speichern. Diese Datenminimierungsdisziplin ist der Eckpfeiler der Compliance.
Hosting von Gesundheitsdaten
Wenn die Praxis Anrufe aufzeichnet und diese Gesundheitsdaten enthalten könnten, muss das Hosting spezifisch zertifiziert sein. In Frankreich bedeutet das HDS-Zertifizierung. In Deutschland: ISO 27001 + C5-Konformität, validiert durch den DSB. In Österreich entsprechende sektorspezifische Standards.
In der Praxis ist die Antwort nicht binär:
- Reine administrative Datenflüsse → ein EU-ISO-27001-Host mit Verschlüsselung kann ausreichen, vorbehaltlich DSB- und DSFA-Validierung
- Gesprächsaufzeichnungen → wenn Inhalt Gesundheitsdaten enthüllen könnte, zertifiziertes Hosting empfohlen
- KI-Transkripte und Logs → wenn sie Gesundheitsdaten enthalten, zertifiziertes Hosting erforderlich
Vocalis AI empfiehlt die Überprüfung der Hosting-Konformität mit dem Praxis-DSB vor jeder Bereitstellung. Diese Entscheidung wird in der DSFA dokumentiert.
DSFA: die obligatorische Folgenabschätzung
Die Aufsichtsbehörden (BfDI / Landesbehörden in Deutschland, CNIL in Frankreich, etc.) verlangen eine Datenschutz-Folgenabschätzung (DSFA) für jede Verarbeitung mit hohem Risiko für die Betroffenen — einschließlich Gesundheitsdatenverarbeitung in großem Umfang (DSGVO Artikel 35).
Die DSFA muss beschreiben:
- Die Verarbeitung: Zwecke (Buchung, Erinnerungen), Datennatur, Speicherdauer
- Notwendigkeit und Verhältnismäßigkeit: warum Sprach-KI gegenüber Voicemail
- Risiken: unbefugter Zugriff, Datenleck, KI-Bias, technisches Versagen
- Minderungsmaßnahmen: Verschlüsselung, Zugriffskontrolle, Logging, Auftragsverarbeitungsvertrag
Der Praxis-DSB führt die DSFA mit technischer Unterstützung des Anbieters durch. Vocalis AI stellt eine sektorspezifische DSFA-Vorlage zur Verfügung.
EU AI Act: der Gesundheits-KI-Rahmen 2026
Die europäische KI-Verordnung (AI Act, 2024/1689) ist seit August 2024 schrittweise anwendbar. Ein Sprach-KI-Agent im Patientendialog ist als begrenztes Risiko (Artikel 50) klassifiziert — kein Medizinprodukt (CE-Kennzeichnung nicht erforderlich für Terminbuchung), aber Transparenzpflichten gelten.
Konkret:
- Patienteninformation: Der Agent muss zu Beginn des Anrufs ankündigen, dass er eine KI ist. Vocalis AI tut dies systematisch.
- Technische Dokumentation: Der Anbieter (Vocalis AI) führt Dokumentation gemäß AI Act Artikel 11.
- Bias-Bewertung: Für Gesundheits-KI-Agenten muss die Bias-Bewertung dokumentiert werden.
- Recht auf menschliche Übergabe: Der Patient kann jederzeit menschliche Übergabe anfordern.
Vorsicht: Würde sich die Sprach-KI in Richtung medizinische Triage oder klinische Entscheidungsunterstützung entwickeln, ändert sich die Klassifizierung. Sie wäre dann potenziell ein Medizinprodukt (MDR 2017/745). Vocalis AI bleibt absichtlich bei administrativen Aufgaben.
Speicherdauer: ein kritischer Punkt
Die Aufsichtsbehörden empfehlen eine kurze Speicherdauer für Sprachaufzeichnungen, die Gesundheitsdaten enthalten könnten:
- Audioaufzeichnungen: max. 6 Monate
- Anonymisierte Texttranskripte: 12 Monate für Serviceverbesserung
- Metadaten (Datum, Dauer, Nummer): 3 Jahre für administrative Nachverfolgbarkeit
- Termindaten: ausgerichtet am Patientenakten-Aufbewahrungszeitraum der Praxis
Vocalis AI ermöglicht die Konfiguration der Speicherdauer pro Praxis.
Patientenrechte: Auskunft und Löschung operationalisieren
Die DSGVO gewährt Patienten durchsetzbare Rechte: Auskunft (Artikel 15), Berichtigung (16), Löschung (17), Datenübertragbarkeit (20), Widerspruch (21).
- Auskunftsrecht: Patient kann Kopie der Aufzeichnungen + Transkripte anfordern. Bei Vocalis AI binnen 30 Tagen.
- Recht auf Löschung: Löschung auf Anfrage, vorbehaltlich rechtlicher Pflichten.
- Widerspruchsrecht: Patient kann KI-Verarbeitung ablehnen. Direktleitung zum menschlichen Empfang wird dann aufrechterhalten.
- Vorabinformation: Hinweis auf Website, im Wartezimmer und zu Gesprächsbeginn.
"DSGVO-Konformität im Gesundheitswesen ist kein Häkchen, sondern ein kontinuierlicher Prozess. Ein gut konfigurierter Sprach-KI-Agent ist konformer als eine traditionelle Voicemail ohne Speicherpolitik." — Synthese der Aufsichtsbehörden-Positionen 2024 zur KI im Gesundheitswesen
Technische Sicherheit: Mindeststandards
- Verschlüsselung im Transit: TLS 1.3 minimum
- Verschlüsselung in Ruhe: AES-256 auf Aufzeichnungen und Datenbanken
- Multi-Faktor-Authentifizierung für Admin-Zugriff
- Logging: nachverfolgbare Zugriffslogs, 6 Monate Aufbewahrung, Audit-Trail für DSB
- Penetrationstests: jährlicher Pentest durch unabhängige Dritte
- Verschlüsselte Backups: getestete Wiederherstellung, RPO < 24h, RTO < 4h
- EU-Lokalisierung: kein Datentransfer außerhalb der Europäischen Union
Und wenn ein Vorfall eintritt?
DSGVO Artikel 33 verlangt die Meldung einer Datenpanne an die Aufsichtsbehörde innerhalb von 72 Stunden. Der Auftragsverarbeitungsvertrag sieht vor:
- Sofortige Benachrichtigung Vocalis AI → Praxis (DSB) bei erkanntem Vorfall
- Vorfallsbericht binnen 24h
- Unterstützung der Praxis bei der Meldung an die Aufsichtsbehörde
- Dokumentierte Post-Mortem-Analyse, korrigierende Maßnahmen, DSFA-Update
Fazit: Compliance = Trio Praxis + Anbieter + DSB
Die DSGVO-Konformität im Gesundheitswesen liegt weder ausschließlich beim Anbieter noch bei der Praxis allein. Sie beruht auf einem Trio:
- Die Praxis bleibt Verantwortlicher. Sie definiert Zwecke, validiert die DSFA, informiert Patienten.
- Der Anbieter (Vocalis AI) ist Auftragsverarbeiter. Er liefert technische Sicherheit, Dokumentation, DSFA-Unterstützung.
- Der DSB entscheidet, dokumentiert, kommuniziert mit der Aufsichtsbehörde, falls erforderlich.
Ohne dieses Trio bleibt Compliance theoretisch. Mit ihm wird der Sprach-KI-Agent in der Arztpraxis zu einem ausgereiften, sicheren und konformen Werkzeug — im Dienste einer besseren administrativen Patientenversorgung, ohne jemals den eigentlichen Behandlungsakt zu beeinträchtigen.
Weiterführend: 24/7-Termine und No-Shows, Fachgebietskonfiguration, und der allgemeine Rahmen auf der Startseite sowie dem Pillar Eingehende Anrufe.