Die Frage, die fast immer zuerst kommt

„Ist das überhaupt erlaubt?“ — Das ist die Frage, die uns Praxisinhaber als Erstes stellen. Die Antwort ist ein klares Ja — aber mit Bedingungen. Und die Bedingungen sind weniger dramatisch, als die meisten Datenschutzbehauptungen vermuten lassen.

Der Schlüssel ist die Unterscheidung zwischen Art. 6 DSGVO (allgemeine personenbezogene Daten) und Art. 9 DSGVO (besondere Kategorien — darunter Gesundheitsdaten). Ein korrekt konfigurierter KI-Telefonassistent verarbeitet ausschließlich Art. 6-Daten.

Was der Agent tatsächlich erhebt

  • Name — Stammdatum (Art. 6)
  • Telefonnummer — Stammdatum (Art. 6)
  • Terminwunsch — z.B. „Mittwoch Vormittag“ (Art. 6)
  • Grobe Anliegens-Kategorie — z.B. „Routineuntersuchung“ oder „Krankschreibung“ (Art. 6 in der Mehrzahl der Fälle)

Was er nicht aktiv erhebt: Symptome, Diagnosen, Vorerkrankungen, Medikation. Wenn Patienten freiwillig solche Informationen mitteilen, gilt Art. 9 (2) (a) — Einwilligung des Betroffenen. Die Einwilligung ist in der mündlichen Antwort des Patienten implizit enthalten („Ich habe seit drei Tagen Bauchschmerzen…“), aber wir empfehlen, in der Begrüßung explizit darauf hinzuweisen.

Der zentrale Datenschutz-Aufwand: AVV

Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist Pflicht, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Bei einem KI-Telefonagenten trifft das in jedem Fall zu. Der AVV regelt:

1
Welche Daten werden verarbeitet? Stamm- und Kontaktdaten der Patienten, Gesprächsaufzeichnungen, Transkripte. Sekundärdaten (Anrufdauer, Datum, Uhrzeit) zur Qualitätssicherung.
2
Welche Sub-Auftragnehmer kommen zum Einsatz? Bei LiftUp Socials sind das in der Regel: ElevenLabs (Sprache), Anthropic (KI-Logik), n8n (Workflow), Twilio (SMS). Alle müssen Sie als Auftraggeber freigeben.
3
Wo erfolgt die Verarbeitung? EU-Server für Sprachverarbeitung. KI-Logik in USA mit angemessener Schutzgarantie (EU-US Data Privacy Framework). SMS-Versand über EU-Rechenzentren.
4
Wie lange werden Daten gespeichert? Audio: 30 Tage. Transkript: 6 Monate. Stammdaten im Praxiskalender: nach Ihren regulären Aufbewahrungsfristen.

Das Subprocessor-Risiko und wie man es abschwächt

Die größte Datenschutz-Stolperfalle ist die Sub-Auftragnehmer-Kette. Bei einem KI-Telefonagent sind typischerweise 3–5 externe Dienstleister beteiligt. Wenn einer davon (oder dessen Sub-Sub-Dienstleister) gegen DSGVO verstößt, sind theoretisch Sie als Praxisinhaber mit verantwortlich.

Die Risikomitigation läuft über drei Hebel:

  • Auswahl seriöser Anbieter mit dokumentierter DSGVO-Konformität — keine Schatten-Dienstleister.
  • Klare AVV-Kette — jeder Sub-Auftragnehmer muss einen AVV mit dem Hauptauftragnehmer haben.
  • Dokumentierte Datenflüsse — wer bekommt welche Daten, wofür?

Was die Patienteninformation enthält

Ihre Datenschutzerklärung muss ergänzt werden. Hier ein Vorschlag für den entsprechenden Abschnitt:

KI-Telefonassistent

Beim Anruf in unserer Praxis kann es vorkommen, dass Sie zunächst mit unserem KI-Telefonassistenten verbunden werden. Dieser Assistent unterstützt unser Team bei der Terminvergabe und der Aufnahme einfacher Anfragen. Verarbeitet werden dabei Ihre Stammdaten (Name, Telefonnummer) sowie Ihr Anliegen (Terminwunsch, Anliegens-Kategorie). Rechtsgrundlage: Art. 6 (1) (b) DSGVO (Vertragserfüllung) bzw. Art. 6 (1) (f) DSGVO (berechtigtes Interesse — effiziente Praxisorganisation).

Die Sprachverarbeitung erfolgt durch unseren Auftragsverarbeiter ElevenLabs (Server in Frankfurt). Die Gesprächsaufzeichnungen werden 30 Tage zur Qualitätssicherung aufbewahrt und anschließend automatisch gelöscht. Transkripte werden 6 Monate gespeichert. Sie haben das Recht, einer Verarbeitung jederzeit zu widersprechen — wir verbinden Sie dann unmittelbar mit dem Praxisteam.

Die Prüfliste für Ihre Praxis

Bevor Sie ein KI-Telefonsystem live schalten, sollten diese 6 Punkte abgehakt sein:

  1. AVV mit Hauptauftragnehmer unterschrieben — alle Sub-Auftragnehmer aufgelistet
  2. Datenschutzerklärung um KI-Telefonassistent-Abschnitt ergänzt
  3. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) aktualisiert
  4. Eskalations-Regelung definiert: Wer wird wann benachrichtigt bei Datenschutzfragen?
  5. Speicherdauer und Lösch-Routine konfiguriert
  6. Hinweis in der Begrüßung: „Sie sprechen mit dem KI-Assistenten der Praxis Dr. Müller“ (Transparenzpflicht)

Bei einer korrekten Implementierung ist der Aufwand für die laufende DSGVO-Compliance praktisch null. Die Anfangsinvestition liegt typischerweise bei 4–8 Stunden Konfigurations- und Dokumentationszeit.

Häufige Fragen

Verarbeitet der KI-Agent Gesundheitsdaten nach Art. 9 DSGVO?

In der Standardkonfiguration nein. Der Agent fragt nach Name, Telefon und Terminwunsch — das sind Stammdaten nach Art. 6 DSGVO, keine Gesundheitsdaten. Erst wenn Patienten ihre Symptome ausführlich schildern (was wir nicht aktiv abfragen), könnten Art. 9-Daten entstehen — und für diesen Fall ist die Datenverarbeitung mit der Einwilligung nach Art. 9 (2) (a) gedeckt.

Brauche ich einen AVV mit dem KI-Anbieter?

Ja, wenn der Anbieter Auftragsverarbeiter ist (Art. 28 DSGVO). Bei LiftUp Socials schließen wir einen AVV ab, in dem alle Sub-Auftragnehmer (ElevenLabs, Anthropic, n8n, Twilio etc.) namentlich genannt und von Ihnen freigegeben werden müssen.

Wo werden die Daten verarbeitet — EU oder USA?

Die Sprachverarbeitung (ElevenLabs) erfolgt auf EU-Servern (Frankfurt). Die KI-Logik (Anthropic Claude) erfolgt in den USA — abgesichert über die EU-US Data Privacy Framework. Twilio (SMS-Versand) hat EU-Rechenzentren. Eine vollständig EU-souveräne Lösung ist möglich, aber technisch eingeschränkt.

Wie lange werden die Aufzeichnungen gespeichert?

Standard: 30 Tage Audio-Aufzeichnung für Qualitätssicherung, danach automatische Löschung. Transkripte (Textversion des Gesprächs) werden 6 Monate aufbewahrt — falls Streitfälle entstehen. Beide Werte sind in der Konfiguration anpassbar.

Mehr zur Lösung für Arztpraxis →

FP
Fabian Pfliegensdörfer
Gründer & Geschäftsführer, LiftUp Socials

Fabian Pfliegensdörfer ist Gründer von LiftUp Socials und entwickelt KI-Automatisierungslösungen für den deutschen Mittelstand. Er berät Arztpraxen, Autohäuser, Handwerksbetriebe, Gastronomen und Kanzleien bei der Einführung von Voice Agents, Chatbots und automatisierter Lead-Bearbeitung.

Passt das zu Ihrem Betrieb?

Wir analysieren kostenlos, ob und wie KI-Automatisierung für Ihr Unternehmen sinnvoll ist. Kein Verkaufsgespräch — nur eine ehrliche Einschätzung.

Zur vollständigen Lösung ↗

Weitere Artikel

Arztpraxis KI-Telefonassistent für Arztpraxen: 40% weniger Anrufe selbst bearbeiten Arztpraxis No-Show-Quote in Arztpraxen halbieren mit KI-Erinnerungen Praxiswissen EU AI Act 2026: Was die Verordnung für KMU bedeutet