Transkription in der medizinischen Dokumentation: Tipps für Kliniken und Praxen
Felix PflügerSprach-zu-Text-Systeme halten zunehmend Einzug in Kliniken und Praxen – sei es zur Dokumentation von Patientenkontakten, für Arztbriefentwürfe oder zur Qualitätssicherung. Doch ihr Einsatz ist rechtlich alles andere als trivial. Worauf man achten muss, erklärt IT-Experte Felix Pflüger im folgenden Beitrag.
Medizinisches Personal, das Gespräche oder Befunde digital aufzeichnet und automatisiert transkribieren lässt, bewegt sich im Spannungsfeld zwischen Digitalisierung, Datenschutz und ärztlicher Schweigepflicht. Dabei sind vor allem die Vorgaben der DSGVO, des Telekommunikations-Digitaldienstegesetzes (TDDDG) sowie die Persönlichkeits- und Patientenrechte zu berücksichtigen.
Transkription kann im medizinischen Alltag ein hochwirksames Instrument zur Entlastung, Qualitätssicherung und Dokumentation sein – jedoch nur, wenn sie auf einer klaren, rechtssicheren Grundlage erfolgt. Für Anbieter medizinischer IT-Infrastruktur wie auch für Ärztinnen und Ärzte ist entscheidend, datenschutzrechtliche Grauzonen konsequent zu vermeiden.
Einwilligung der Patienten einholen ist Pflicht
Bei der Transkription werden hochsensible personenbezogene Daten verarbeitet – häufig sogar Gesundheitsdaten nach Art. 9 DSGVO. „Damit ist eine eindeutige Rechtsgrundlage erforderlich, und in der Regel kommt hier nur eine ausdrückliche, informierte Einwilligung in Betracht“, erklärt Datenschutzexperte Daniel Voigtländer.
Wichtig ist, dass diese Einwilligung freiwillig, spezifisch und nachweisbar erfolgt. Konkret bedeutet das:
Patientinnen und Patienten müssen vorab über die Aufzeichnung und Transkription, den Zweck (z. B. medizinische Dokumentation), die Speicherdauer und den Einsatz eines Auftragsverarbeiters (z. B. eines KI-Dienstes) informiert werden.
Es muss eine Alternative ohne Transkription angeboten werden.
Die Zustimmung muss aktiv erfolgen; Schweigen gilt nicht als Zustimmung.
Die Einwilligung muss dokumentiert werden – etwa im Aufklärungsformular oder als separater Einwilligungsbaustein in der Praxissoftware.
Sie muss jederzeit widerrufbar sein.
EU-Dienstleister bevorzugt
Ein kritischer Aspekt ist die Frage: Wo werden die Daten verarbeitet? Viele KI-Transkriptionsdienste sitzen in den USA oder anderen Nicht-EU-Staaten. Bei Gesundheitsdaten kann dies schnell zu rechtlichen Problemen führen. Für DSGVO-konforme Prozesse ist daher ein europäischer Anbieter die deutlich sicherere Wahl.
Zwischen medizinischer Einrichtung und KI-Dienstleister muss außerdem ein Auftragsverarbeitungsvertrag (AVV) bestehen. „Gerade bei sensiblen Gesundheitsdaten muss nicht nur die Technik, sondern auch der Datenschutz absolut stimmen“, so Voigtländer. KI-Dienste ohne AVV stellen ein erhebliches Risiko dar und sind im medizinischen Kontext in der Regel unzulässig.
Einige Einrichtungen lösen dies, indem sie Transkriptionssysteme lokal oder in EU-zertifizierten Rechenzentren hosten – um zu vermeiden, dass Diagnosen, Anamnesen oder Befundberichte auf ausländischen Servern landen.
Fernmeldegeheimnis nicht vergessen
Neben der DSGVO spielt das TDDDG eine zusätzliche Rolle. Gemäß Paragraf drei unterliegt jede Kommunikation – auch der bloße Umstand, dass jemand am Gespräch beteiligt ist – dem Fernmeldegeheimnis.
Im Gesundheitswesen kommt hinzu: Ärztinnen und Ärzte unterliegen der Schweigepflicht nach StGB 203 Strafgesetzbuch. Diese darf nur durch ausdrückliche Einwilligung oder gesetzliche Grundlage durchbrochen werden.
Einige Einrichtungen versuchen, Transkription oder KI-Analysen über allgemeine Vertragsbedingungen (AGB) abzudecken – etwa bei telefonischen Terminvereinbarungen. Ob dies bei rechtlich haltbar ist, ist äußerst fraglich.
Mitarbeitende: Schutz und klare Information notwendig
Auch die Rechte des medizinischen Personals müssen berücksichtigt werden. Denn auch von Mitarbeitenden werden im Rahmen der Transkription personenbezogene Daten verarbeitet.
Eine Einwilligung im Beschäftigtenverhältnis ist jedoch problematisch – sie gilt nicht als freiwillig, da ein Abhängigkeitsverhältnis besteht.
„Hier kann das berechtigte Interesse nach Art. 6 DSGVO als Grundlage dienen“, sagt Voigtländer – etwa zur Sicherstellung einer vollständigen medizinischen Dokumentation. Voraussetzung: Die Mitarbeitenden müssen umfassend informiert werden – idealerweise durch klare interne Richtlinien sowie spezifische Datenschutzinformationen.
Eigener KI-Server: Für viele Medizinbetriebe sinnvoll
Für ärztliche Einrichtungen gilt besonders: Personensensible Daten sollten nicht in allgemeinen KI-Systemen wie ChatGPT oder öffentlich betriebenen Cloud-Diensten verarbeitet werden.
Sobald mehrere medizinische Anwendungsfälle bestehen – zum Beispiel Arztbriefgenerierung, Befundtranskription, Dokumentationshilfe – ist ein eigener, in Deutschland gehosteter KI-Server die sicherste und oft zwingende Lösung.
Transkription ja – aber mit maximaler Sorgfalt
Die Transkription medizinischer Gespräche kann ein wertvolles Werkzeug sein – insbesondere für Dokumentation, Befundübertragung und Qualitätsmanagement.
Ohne klare rechtliche Grundlage ist ihr Einsatz jedoch riskant. Ärztinnen und Ärzte sollten daher umsichtig vorgehen, Patientinnen und Patienten transparent informieren und technische wie organisatorische Maßnahmen ergreifen, um Datenschutz, Datensicherheit und berufliche Verschwiegenheit zuverlässig einzuhalten.