5. März 2026 ReziCall Redaktion 7 Min. Lesezeit

DSGVO und KI-Telefonie: Was Praxen wissen müssen

Künstliche Intelligenz am Praxistelefon spart Zeit und entlastet Ihr Team. Doch wie steht es um den Datenschutz? Ein umfassender Leitfaden für Praxisinhaber.

Künstliche Intelligenz hält Einzug in immer mehr Arztpraxen. Ob automatische Terminvergabe, intelligente Anrufweiterleitung oder die Beantwortung häufiger Patientenfragen — KI-Telefonassistenten versprechen eine spürbare Entlastung für das Praxisteam. Gleichzeitig wächst die Unsicherheit: Darf ich als Praxis überhaupt einen KI-Telefonassistenten einsetzen? Was sagt die DSGVO? Und was ändert sich durch den neuen EU AI Act?

In diesem Artikel klären wir die wichtigsten Fragen rund um Datenschutz und KI-Telefonie — verständlich, praxisnah und mit einer konkreten Checkliste für Ihre Praxis.

DSGVO-Grundlagen für Praxen

Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an den Umgang mit personenbezogenen Daten — und ganz besonders an Gesundheitsdaten. Für Arztpraxen bedeutet das: Jedes neue digitale Werkzeug muss datenschutzrechtlich geprüft werden, bevor es zum Einsatz kommt.

Patientendaten sind besonders schützenswert

Gesundheitsdaten gelten nach Art. 9 DSGVO als „besondere Kategorien personenbezogener Daten". Ihre Verarbeitung ist grundsätzlich untersagt — es sei denn, es liegt eine ausdrückliche Einwilligung vor oder die Verarbeitung ist zur Gesundheitsversorgung erforderlich. Für Praxen bedeutet das: Jeder Dienst, der mit Patientendaten in Berührung kommt, muss höchste Sicherheitsstandards erfüllen.

Auftragsverarbeitungsvertrag (AVV) ist Pflicht

Wenn Sie einen externen Dienstleister — wie einen KI-Telefonassistenten — einsetzen, der in Ihrem Auftrag personenbezogene Daten verarbeitet, schreibt Art. 28 DSGVO den Abschluss eines Auftragsverarbeitungsvertrags (AVV) vor. Dieser Vertrag regelt verbindlich, welche Daten verarbeitet werden, zu welchem Zweck und welche Schutzmaßnahmen der Anbieter ergreift. Ohne AVV drohen empfindliche Bußgelder.

Hosting muss in der EU stattfinden

Ein kritischer Punkt, der oft übersehen wird: Werden Daten auf Servern außerhalb der EU verarbeitet, gelten zusätzliche Anforderungen — etwa Standardvertragsklauseln oder ein Angemessenheitsbeschluss. Gerade im Gesundheitsbereich empfehlen Datenschutzbehörden dringend, auf Hosting in Deutschland oder der EU zu setzen. So vermeiden Sie rechtliche Grauzonen und schaffen Vertrauen bei Ihren Patientinnen und Patienten.

EU AI Act — Was ändert sich?

Mit dem EU AI Act hat die Europäische Union das weltweit erste umfassende Regelwerk für den Einsatz Künstlicher Intelligenz verabschiedet. Für Praxen, die KI-basierte Telefonsysteme nutzen, ist besonders eine Vorschrift relevant:

Art. 50 — Transparenzpflicht: Personen, die mit einem KI-System interagieren, müssen darüber informiert werden, dass sie mit einer Künstlichen Intelligenz kommunizieren. Das bedeutet konkret: Ihr KI-Telefonassistent muss sich zu Beginn des Gesprächs als solcher zu erkennen geben.

Diese Transparenzpflicht ist kein bürokratisches Hindernis, sondern stärkt das Vertrauen Ihrer Patienten. ReziCall erfüllt diese Anforderung bereits standardmäßig: Jeder Anruf beginnt mit einem klaren Hinweis, dass der Patient mit einem KI-gestützten Assistenten spricht. So sind Sie auf der sicheren Seite — heute und in Zukunft.

So schützt ReziCall Ihre Patientendaten

Datenschutz ist kein Feature, das nachträglich hinzugefügt wird — bei ReziCall ist er von Anfang an in die Architektur eingebaut. Wir nennen das Privacy by Design. Hier die wichtigsten Maßnahmen im Überblick:

Keine Gesprächsaufzeichnung. ReziCall zeichnet keine Telefongespräche auf. Es werden keine Audio-Dateien gespeichert. Die KI verarbeitet das Gesprochene in Echtzeit, extrahiert die relevanten Informationen (z. B. Terminwunsch, Name) und verwirft das Audiosignal unmittelbar danach.

Deutsche Server. Sämtliche Daten werden auf Servern in Deutschland verarbeitet und gespeichert. Es findet kein Datentransfer in Drittländer statt. Damit erfüllen wir die strengsten Anforderungen der DSGVO und der deutschen Datenschutzbehörden.

AVV sofort verfügbar. Den Auftragsverarbeitungsvertrag stellen wir Ihnen direkt bei Vertragsabschluss zur Verfügung — digital und ohne bürokratischen Aufwand. So können Sie den KI-Assistenten rechtssicher einsetzen.

Verschlüsselte Übertragung. Alle Daten werden während der Übertragung mit TLS 1.3 verschlüsselt. Auch die gespeicherten Daten in unserer Datenbank sind durch moderne Verschlüsselungsverfahren geschützt.

Keine Weitergabe an Dritte. Patientendaten werden ausschließlich für den vereinbarten Zweck verarbeitet und niemals an Dritte weitergegeben, verkauft oder für Werbezwecke verwendet. Punkt.

Checkliste: DSGVO-konformer KI-Einsatz in Ihrer Praxis

  1. AVV abschließen — Stellen Sie sicher, dass ein gültiger Auftragsverarbeitungsvertrag mit dem Anbieter vorliegt.
  2. Serverstandort prüfen — Werden alle Daten in Deutschland oder der EU verarbeitet und gespeichert?
  3. Transparenzhinweis sicherstellen — Werden Anrufer darüber informiert, dass sie mit einer KI sprechen?
  4. Verzeichnis der Verarbeitungstätigkeiten aktualisieren — Tragen Sie den KI-Telefonassistenten in Ihr VVT ein.
  5. Datenschutzerklärung anpassen — Ergänzen Sie die Nutzung des KI-Assistenten in Ihrer Datenschutzerklärung.
  6. Mitarbeiter informieren — Schulen Sie Ihr Team über den Umgang mit dem neuen System und die Datenschutzaspekte.
  7. Löschfristen definieren — Legen Sie fest, wie lange extrahierte Daten gespeichert werden und wann sie gelöscht werden.
  8. Datenschutz-Folgenabschätzung erwägen — Bei der Verarbeitung besonderer Datenkategorien kann eine DSFA gemäß Art. 35 DSGVO erforderlich sein.

Häufige Bedenken — und die Antworten

In unseren Gesprächen mit Praxisinhabern tauchen regelmäßig dieselben Fragen auf. Hier beantworten wir die drei häufigsten Bedenken:

„Werden Gespräche aufgezeichnet oder gespeichert?"
Nein. ReziCall zeichnet keine Telefongespräche auf. Das Audiosignal wird in Echtzeit verarbeitet, die relevanten Informationen (Name, Terminwunsch, Anliegen) werden extrahiert und das Audio wird sofort verworfen. Es existieren keine Gesprächsmitschnitte — weder temporär noch dauerhaft.
„Wer hat Zugriff auf die Daten meiner Patienten?"
Ausschließlich Sie und Ihr Praxisteam. Die extrahierten Daten (z. B. Terminanfragen) sind nur über Ihr persönliches ReziCall-Dashboard einsehbar, das mit Ihrem Praxis-Account gesichert ist. ReziCall-Mitarbeiter haben keinen Zugriff auf patientenbezogene Daten. Auch eine Weitergabe an Dritte ist vertraglich und technisch ausgeschlossen.
„Was passiert bei einer Datenpanne?"
ReziCall verfügt über einen dokumentierten Incident-Response-Prozess gemäß Art. 33 DSGVO. Im unwahrscheinlichen Fall einer Datenpanne werden Sie innerhalb von 24 Stunden informiert — inklusive einer Beschreibung des Vorfalls, der betroffenen Daten und der ergriffenen Gegenmaßnahmen. Gemeinsam stellen wir sicher, dass die Meldepflicht gegenüber der Aufsichtsbehörde fristgerecht erfüllt wird.

DSGVO-konform starten

Überzeugen Sie sich selbst: ReziCall vereint modernste KI-Technologie mit höchsten Datenschutzstandards. Starten Sie jetzt — rechtssicher und in 5 Minuten eingerichtet.

Kostenlose Demo anfragen