Zum Inhalt springen
MenaMena
DSGVO und KI in der Psychotherapie: Praxis-Leitfaden

DSGVO und KI in der Psychotherapie: Praxis-Leitfaden

Mena.ai's profile picture

Mena.ai

@Mena.ai

DSGVOKIDatenschutzPsychotherapieEU-KI-Verordnung

So setzen Sie KI DSGVO-konform in der Psychotherapie ein: Einwilligung, Datenschutz, EU-KI-Verordnung und Checkliste fuer konforme KI-Werkzeuge.

DSGVO und KI in der Psychotherapie: Praxis-Leitfaden

Kuenstliche Intelligenz (KI) und DSGVO in der Psychotherapie — wie passt das zusammen? KI revolutioniert die klinische Praxis in der psychischen Gesundheit — von der automatisierten Analyse von Sitzungsnotizen bis zur Identifikation therapeutischer Muster. Wenn wir jedoch ueber psychologische Daten sprechen, befassen wir uns mit der sensibelsten Informationskategorie ueberhaupt. Die Datenschutz-Grundverordnung (DSGVO) auferlegt strenge Pflichten jedem Fachmann, der diese Daten verarbeitet, und die Einfuehrung von KI-Werkzeugen fuegt eine zusaetzliche Komplexitaetsebene hinzu.

In diesem Leitfaden erklaeren wir, wie die DSGVO speziell auf den Einsatz von KI in der klinischen Psychologiepraxis anwendbar ist, welche Vorsichtsmassnahmen Sie treffen sollten und wie Sie die volle Konformitaet Ihrer Praxis sicherstellen.

Die DSGVO im Kontext: Das Wesentliche fuer Psychologen

Die DSGVO (Verordnung (EU) 2016/679) ist die europaeische Verordnung, die die Verarbeitung personenbezogener Daten in der gesamten Europaeischen Union regelt und seit Mai 2018 gilt. Fuer Psychologen ist diese Verordnung aus drei grundlegenden Gruenden besonders relevant:

Daten zur psychischen Gesundheit sind besondere Kategorien

Artikel 9 der DSGVO stuft gesundheitsbezogene Daten als "besondere Kategorien personenbezogener Daten" ein, die erhoehtem Schutz unterliegen. Dies umfasst:

  • Psychologische Diagnosen und Beurteilungen
  • Klinische Notizen und Therapiesitzungsprotokolle
  • Behandlungsplaene und klinischen Fortschritt
  • Ergebnisse von Beurteilungsinstrumenten
  • Informationen ueber Suizidgedanken, Selbstverletzung oder Missbrauch
  • Psychiatrische Medikamentenhistorie

Grundlegende anwendbare Prinzipien

Die DSGVO basiert auf sieben Prinzipien, die jede Datenverarbeitungstaetigkeit leiten muessen:

  1. Rechtmaessigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten rechtmaessig und transparent fuer die betroffene Person verarbeiten.
  2. Zweckbindung: Daten nur fuer festgelegte und legitime Zwecke erheben.
  3. Datenminimierung: Nur die strikt notwendigen Daten erheben.
  4. Richtigkeit: Daten aktuell und korrekt halten.
  5. Speicherbegrenzung: Daten nicht ueber das Notwendige hinaus aufbewahren.
  6. Integritaet und Vertraulichkeit: Die Sicherheit der Daten gewaehrleisten.
  7. Rechenschaftspflicht: Die Einhaltung aller Prinzipien nachweisen.

Folgen der Nichteinhaltung

Bussgelder koennen 20 Millionen Euro oder 4 % des globalen Jahresumsatzes erreichen. Ueber finanzielle Strafen hinaus kann eine Datenschutzverletzung im Bereich der psychischen Gesundheit irreparablen Schaden am Patientenvertrauen und der beruflichen Reputation verursachen.

Wie kuenstliche Intelligenz klinische Daten verarbeitet

Um Datenschutzrisiken korrekt zu bewerten, ist es wesentlich zu verstehen, wie KI klinische Informationen verarbeitet. Verschiedene Werkzeuge verwenden unterschiedliche Ansaetze, und jeder hat unterschiedliche Implikationen fuer die DSGVO.

Sprachmodelle in der klinischen Praxis

Die gaengigsten KI-Werkzeuge in der psychischen Gesundheit verwenden Sprachmodelle (LLMs) fuer:

  • Sitzungstranskription und -zusammenfassung: Umwandlung von Audio oder Notizen in strukturierten Text.
  • Klinische Inhaltsanalyse: Identifikation von Themen, emotionalen Mustern und Risikofaktoren.
  • Interventionsvorschlaege: Evidenzbasierte Vorschlaege fuer den Behandlungsplan.
  • Berichtsgenerierung: Automatisierung der klinischen Dokumentation.

Wo die Risiken liegen

Das Hauptrisiko liegt darin, wohin die Daten waehrend der Verarbeitung wandern:

  • Cloud- vs. lokale Verarbeitung: Wenn Daten an externe Server gesendet werden, wer hat Zugang?
  • Modelltraining: Werden die Daten Ihrer Patienten zur Verbesserung der KI verwendet? (Bei Mena.ai lautet die Antwort eindeutig nein — Patientendaten werden niemals zum Training von KI-Modellen verwendet.)
  • Datenaufbewahrung durch den Anbieter: Wie lange bewahrt der Anbieter verarbeitete Daten auf?
  • Serverstandort: Verbleiben die Daten in der EU oder werden sie in Drittlaender uebertragen?

Zu verstehen, wie die von Ihnen verwendete KI funktioniert, ist der erste Schritt zur Gewaehrleistung der Konformitaet.

Einwilligungsanforderungen fuer den KI-Einsatz

Die Einwilligung ist einer der Pfeiler der DSGVO, und der Einsatz von KI in der klinischen Praxis erfordert erhoehte Aufmerksamkeit fuer diese Anforderung.

Einwilligung zur Verarbeitung von Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten erfordert in der Regel die ausdrueckliche Einwilligung der betroffenen Person (Artikel 9 Absatz 2 Buchstabe a). Diese Einwilligung muss:

  • Freiwillig erteilt werden: Der Patient darf nicht genoetigt oder fuer die Verweigerung bestraft werden.
  • Spezifisch sein: Sie muss sich klar auf die Verarbeitungszwecke beziehen.
  • Informiert sein: Der Patient muss verstehen, wozu er einwilligt.
  • Eindeutig sein: Es muss eine klare bestaetifende Handlung geben (Unterschrift, Kontrollkaestchen).

Zusaetzliche Einwilligung fuer KI

Bei der Verwendung von KI-Werkzeugen muss die informierte Einwilligung zusaetzliche Informationen enthalten:

  • Welche KI-Werkzeuge verwendet werden und zu welchen Zwecken
  • Welche spezifischen Daten von der KI verarbeitet werden
  • Ob die KI Zugang zu Aufzeichnungen, Transkriptionen oder vollstaendigen Notizen hat
  • Wie die KI klinische Entscheidungen beeinflusst (oder nicht beeinflusst)
  • Dass der Therapeut stets die endgueltige Entscheidung behaelt
  • Die Rechte des Patienten bezueglich der KI-Verarbeitung, einschliesslich des Rechts auf Ablehnung

Recht auf Ablehnung

Der Patient muss den Einsatz von KI ablehnen koennen, ohne dass dies die Qualitaet seiner Behandlung beeintraechtigt. Das bedeutet, Ihre Praxis muss mit oder ohne KI einwandfrei funktionieren — Technologie ist eine Ergaenzung, keine Abhaengigkeit.

Datenminimierung: Das relevanteste Prinzip fuer KI

Das Prinzip der Datenminimierung (Artikel 5 Absatz 1 Buchstabe c) ist wohl das anspruchsvollste bei der Verwendung von KI in der klinischen Praxis.

Was es in der Praxis bedeutet

Datenminimierung bedeutet, dass Sie nur die fuer den beabsichtigten Zweck strikt notwendigen Daten erheben und verarbeiten sollten. Im KI-Kontext bedeutet das:

  • Nicht mehr Daten als noetig senden: Wenn die KI nur eine Sitzungszusammenfassung benoetigt, nicht die vollstaendige Transkription senden.
  • Wenn moeglich anonymisieren: Identifikatoren vor der KI-Verarbeitung entfernen oder pseudonymisieren.
  • Den zeitlichen Umfang begrenzen: Nur die fuer die jeweilige Analyse relevanten Daten verarbeiten, nicht die gesamte Patientenhistorie.
  • Aufbewahrungsfristen definieren: Von der KI verarbeitete Daten sollten geloescht werden, wenn sie nicht mehr benoetigt werden.

Verschluesselung auf Feldebene

Ein wirksamer technischer Ansatz ist die Verschluesselung auf Feldebene — bei der jedes sensible Datenelement individuell mit organisationsspezifischen Schluesseln verschluesselt wird. Dies stellt sicher, dass selbst bei unbefugtem Zugriff auf die Datenbank die klinischen Daten unlesbar bleiben. Die Mena.ai-Plattform implementiert diesen Ansatz fuer alle klinischen Daten.

Rechte betroffener Personen im KI-Kontext

Die DSGVO gewaehrt Patienten eine Reihe von Rechten, die auch beim Einsatz von KI respektiert werden muessen.

Auskunftsrecht (Artikel 15)

Patienten koennen Informationen ueber alle verarbeiteten personenbezogenen Daten anfordern, einschliesslich:

  • Welche Daten von KI-Werkzeugen verarbeitet wurden
  • Welche Analysen oder Profile generiert wurden
  • Mit wem die Daten geteilt wurden (einschliesslich KI-Anbietern)

Recht auf Erklaerung (Artikel 22)

Der Patient hat das Recht, keiner ausschliesslich auf automatisierter Verarbeitung basierenden Entscheidung unterworfen zu werden, die erhebliche Auswirkungen hat. Wenn KI in der klinischen Praxis eingesetzt wird:

  • KI-Analysen muessen stets vom Therapeuten ueberprueft werden, bevor sie angewendet werden
  • Der Patient kann eine Erklaerung verlangen, wie die KI zu einer bestimmten klinischen Schlussfolgerung beigetragen hat
  • Es muss immer eine menschliche Intervention im Entscheidungsprozess geben

Recht auf Loeschung (Artikel 17)

Der Patient kann die Loeschung seiner Daten verlangen, einschliesslich:

  • Von KI-Werkzeugen verarbeiteter oder gespeicherter Daten
  • Von der KI generierter Analysen oder Profile
  • Jeglicher aus seinen Daten abgeleiteten Ergebnisse

Beachten Sie, dass es legitime Ausnahmen gibt, wie die Pflicht zur Aufbewahrung klinischer Unterlagen nach portugiesischem Recht.

Recht auf Datenuebertragbarkeit (Artikel 20)

Patienten koennen ihre Daten in einem strukturierten, maschinenlesbaren Format anfordern. Dies umfasst von der KI generierte Daten, die personenbezogene Daten des Patienten darstellen.

Die EU-KI-Verordnung: Eine neue Regulierungsebene

Neben der DSGVO fuegt die Europaeische Verordnung ueber kuenstliche Intelligenz (EU-KI-Verordnung, Verordnung (EU) 2024/1689) spezifische Pflichten fuer KI-Nutzer hinzu.

Risikoklassifizierung

Die EU-KI-Verordnung klassifiziert KI-Systeme nach Risikoniveau. KI-Werkzeuge, die in Kontexten der psychischen Gesundheit eingesetzt werden, werden typischerweise als Hochrisiko eingestuft, was folgende Pflichten nach sich zieht:

  • Obligatorische menschliche Aufsicht (Artikel 14): Der Therapeut muss jeden KI-Vorschlag ueberpruefen, aendern und ablehnen koennen.
  • Transparenz: Patienten muessen ueber den KI-Einsatz informiert werden.
  • Risikomanagement: Kontinuierliche Identifikation und Minderung von Risiken.
  • Technische Dokumentation: Aufzeichnung der Systemfunktionsweise und seiner Einschraenkungen.

Umsetzungszeitplan

Die Pflichten fuer Hochrisikosysteme treten im August 2026 in Kraft. Psychologen, die KI einsetzen, sollten jetzt mit der Vorbereitung beginnen, um rechtzeitige Konformitaet zu gewaehrleisten.

Abstimmung mit der DSGVO

Die EU-KI-Verordnung ersetzt die DSGVO nicht — sie ergaenzt sie. In der Praxis bedeutet das, dass Sie beide Verordnungen gleichzeitig einhalten muessen. Die gute Nachricht ist, dass viele Anforderungen sich ueberschneiden: Transparenz, menschliche Aufsicht, Datensicherheit und Rechte betroffener Personen sind beiden gemeinsam.

Praktische DSGVO-Konformitaets-Checkliste fuer KI in der klinischen Praxis

Verwenden Sie diese Checkliste als Leitfaden zur Bewertung und Verbesserung der Konformitaet Ihrer Praxis:

Einwilligung und Transparenz

  • Informierte Einwilligung mit Verweis auf KI-Einsatz aktualisiert
  • Datenschutzerklaerung, die KI-Datenverarbeitung erklaert
  • Klare Information an Patienten, welche Daten die KI verarbeitet
  • Moeglichkeit fuer den Patienten, KI-Einsatz ohne Auswirkung auf die Behandlung abzulehnen

Technische Sicherheit

  • Datenverschluesselung im Ruhezustand und bei der Uebertragung
  • Daten auf Servern innerhalb der Europaeischen Union gespeichert
  • Multi-Faktor-Authentifizierung fuer den Plattformzugang
  • Rollenbasierte Zugriffskontrolle
  • Zugriffsprotokolle

Minimierung und Aufbewahrung

  • Nur strikt notwendige Daten von der KI verarbeitet
  • Aufbewahrungsfristen fuer KI-verarbeitete Daten definiert
  • Verfahren fuer Datenloeschung auf Patientenanfrage
  • Patientendaten werden nicht zum Training von KI-Modellen verwendet

Aufsicht und Governance

  • Verzeichnis der Verarbeitungstaetigkeiten dokumentiert
  • Datenschutz-Folgenabschaetzung (DSFA) durchgefuehrt
  • Auftragsverarbeitungsvertrag (AVV) mit KI-Anbietern
  • Verfahren fuer die Reaktion auf Sicherheitsvorfaelle definiert
  • Regelmaessige Mitarbeiterschulung zum Datenschutz

Rechte betroffener Personen

  • Verfahren fuer die Beantwortung von Auskunftsanfragen (Frist: 30 Tage)
  • Faehigkeit zu erklaeren, wie KI zu klinischen Analysen beigetragen hat
  • Verfahren fuer Datenloeschung, einschliesslich KI-verarbeiteter Daten
  • Faehigkeit, Daten in maschinenlesbarem Format zu exportieren

Wie Sie DSGVO-konforme KI-Werkzeuge auswaehlen

Nicht alle KI-Werkzeuge sind gleich, wenn es um Datenschutz geht. Hier sind die Kriterien, die Sie vor der Einfuehrung jeder Technologie bewerten sollten:

Wesentliche Kriterien

  1. Datenstandort: Daten muessen in der EU verbleiben. Uebertragungen in Drittlaender (wie die USA) erfordern zusaetzliche Schutzmassnahmen.
  2. Richtlinie zum Modelltraining: Bestaetigen Sie, dass die Daten Ihrer Patienten nicht zum Training oder zur Verbesserung der KI verwendet werden. Dies ist ein kritischer Punkt — viele Allzweck-Werkzeuge verwenden Eingabedaten zur Verfeinerung ihrer Modelle.
  3. Verschluesselung: Pruefen Sie, ob Verschluesselung im Ruhezustand, bei der Uebertragung und idealerweise auf Feldebene vorhanden ist.
  4. Auftragsverarbeitungsvertrag (AVV): Der Anbieter muss einen DSGVO-konformen AVV gemaess Artikel 28 anbieten.
  5. Menschliche Aufsicht: Das Werkzeug muss KI-Ergebnisse als bearbeitbare Vorschlaege praesentieren, niemals als endgueltige Entscheidungen.

Warnzeichen

Vermeiden Sie Werkzeuge, die:

  • Keinen AVV oder klare Datenschutzerklaerung bereitstellen
  • Daten ausserhalb der EU ohne angemessene Schutzmassnahmen speichern
  • Nutzerdaten zum Training von Modellen verwenden
  • Keine vollstaendige Datenloeschung ermoeglichen
  • Autonome klinische Entscheidungen ohne menschliche Aufsicht treffen
  • Keine angemessene Verschluesselung bieten

Allzweck- vs. spezialisierte Werkzeuge

Die Verwendung von Allzweck-LLMs (wie ChatGPT, Gemini oder Claude) mit Patientendaten wirft ernsthafte Konformitaetsbedenken auf. Diese Plattformen wurden nicht fuer den klinischen Einsatz entwickelt und bieten moeglicherweise nicht die notwendigen Datenschutzgarantien.

Fuer die klinische Praxis spezialisierte Plattformen wie Mena.ai sind von Grund auf mit Privacy-by-Design-Prinzipien konzipiert und bieten spezifische Garantien: Verschluesselung auf Feldebene, Daten ausschliesslich in der EU, Verbot der Verwendung fuer Modelltraining und integrierte menschliche Aufsicht.

Haeufig gestellte Fragen

Kann ich ChatGPT oder andere Allzweck-LLMs zur Analyse von Patientendaten verwenden?

Von dieser Praxis wird dringend abgeraten. Allzweck-LLMs koennen Eingabedaten zum Training ihrer Modelle verwenden, Informationen auf Servern ausserhalb der EU speichern und bieten nicht die fuer die DSGVO bei Daten zur psychischen Gesundheit erforderlichen Sicherheits- und Vertraulichkeitsgarantien. Wenn Sie KI-Unterstuetzung benoetigen, verwenden Sie speziell fuer die klinische Praxis entwickelte Plattformen, die DSGVO-Konformitaet garantieren.

Wenn mein Patient der Sitzungsaufzeichnung zustimmt, deckt das automatisch die KI-Verarbeitung ab?

Nein. Die DSGVO verlangt, dass die Einwilligung fuer jeden Zweck spezifisch ist. Die Einwilligung zur Aufzeichnung einer Sitzung deckt nicht automatisch die Analyse dieser Aufzeichnung durch KI ab. Sie muessen eine separate und spezifische Einwilligung fuer die KI-Verarbeitung einholen, wobei klar erklaert wird, welche Daten verarbeitet werden, wie und warum.

Welche Verantwortung habe ich, wenn mein KI-Werkzeuganbieter eine Datenschutzverletzung erleidet?

Als Verantwortlicher fuer die Daten Ihrer Patienten sind Sie verpflichtet sicherzustellen, dass Ihre Auftragsverarbeiter (einschliesslich KI-Anbieter) ausreichende Datenschutzgarantien bieten. Sie muessen einen gueltigen AVV mit dem Anbieter haben, eine Sorgfaltspruefung seiner Sicherheitspraktiken durchfuehren und die CNPD (portugiesische Datenschutzbehoerde) sowie betroffene Patienten innerhalb von 72 Stunden benachrichtigen, falls eine Verletzung ein Risiko fuer die Rechte der betroffenen Personen darstellt.

Muss ich eine DSFA durchfuehren, bevor ich ein KI-Werkzeug in meiner Praxis implementiere?

Ja, dies wird dringend empfohlen und ist in den meisten Faellen obligatorisch. Eine Datenschutz-Folgenabschaetzung ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko fuer die Rechte der betroffenen Personen birgt. Der Einsatz von KI zur Verarbeitung von Daten zur psychischen Gesundheit erfuellt mehrere Kriterien, die eine DSFA erforderlich machen: Verarbeitung sensibler Daten, Einsatz neuer Technologien und umfangreiche Verarbeitung.

Fazit

Kuenstliche Intelligenz bietet eine aussergewoehnliche Gelegenheit, die klinische Praxis in der Psychologie zu verbessern — von der Automatisierung administrativer Aufgaben bis zur Identifikation klinisch relevanter Muster. Diese Gelegenheit bringt jedoch eine erhoehte Verantwortung fuer den Schutz der Patientendaten mit sich.

Die DSGVO und die EU-KI-Verordnung sind keine Hindernisse fuer Innovation — sie sind der Rahmen, der einen verantwortungsvollen und ethischen Einsatz von Technologie in der psychischen Gesundheit ermoeglicht. Indem Sie in Konformitaet investieren, schuetzen Sie Ihre Patienten, staerken die therapeutische Allianz und bauen eine nachhaltige und vertrauenswuerdige Praxis auf.

Die grundlegenden Schritte sind klar: die rechtlichen Pflichten verstehen, konforme Werkzeuge waehlen, die informierte Einwilligung aktualisieren und eine aktive Aufsichtshaltung gegenueber jeder von Ihnen verwendeten Technologie aufrechterhalten. Plattformen wie Mena.ai, mit Privacy by Design und integrierter Konformitaet entwickelt, vereinfachen diesen Weg und ermoeglichen es Ihnen, sich auf das Wesentliche zu konzentrieren — die Versorgung Ihrer Patienten.

Dieser Artikel dient zu Informationszwecken und stellt keine spezialisierte Rechtsberatung dar. Fuer spezifische Fragen zu Ihrer Situation wenden Sie sich an einen auf Datenschutz spezialisierten Rechtsanwalt.

Teilen