DSGVO-konforme KI in der Zahnarztpraxis

Datenschutz ist in der Zahnmedizin kein Nebenthema. Er ist die Grundlage für Vertrauen, eine saubere Behandlungskette und einen ruhigen Praxisalltag. Gleichzeitig wächst der Druck: Die Dokumentation muss vollständig sein, die Abrechnung korrekt erfolgen und gleichzeitig arbeiten die Teams bereits am Limit.

KI kann hier entlasten, wenn sie richtig eingesetzt wird. Eine KI-Assistenz, die während der Behandlung unterstützt, kann Praxisteams täglich mehr als 1 Stunde Zeit zurückgeben und gleichzeitig eine lückenlose Abrechnungsgrundlage schaffen. Entscheidend ist: Das geht nur, wenn Datenschutz nicht “mitgedacht”, sondern von Anfang an sauber gelöst ist.

Dieser Guide zeigt Ihnen praxisnah:

• was “DSGVO-konforme KI” in der Zahnarztpraxis wirklich bedeutet,
• welche Fragen Sie Anbietern stellen sollten,
• welche Dokumente und Prozesse Sie in der Praxis brauchen,
• und woran Sie seriöse, sichere Lösungen erkennen.

---

Warum DSGVO & KI in der Zahnarztpraxis ein sensibles Thema sind

In der Zahnarztpraxis geht es immer um personenbezogene Daten. Häufig sogar um besondere Kategorien personenbezogener Daten (Gesundheitsdaten). Das bedeutet: Die Anforderungen an Schutz, Verarbeitung und Nachvollziehbarkeit sind besonders hoch.

Typische Situationen, in denen Datenschutzfragen bei KI sofort auftauchen:

• Dokumentation während der Behandlung (Aufklärung, Befund, Therapie, Materialien)
• Abrechnungsvorbereitung (BEMA, GOZ, GOÄ, Leistungsziffern, Zusatzleistungen)
• Zusammenspiel mit dem PVS (Übertragung in die Karteikarte, HKP, KVA, Formulare)
• Arbeiten im Team (Behandler, ZFA, ZMV, Verwaltung, mehrere Standorte im MVZ)

Viele Praxisinhaber haben dabei eine zentrale Sorge:

“Wenn ich KI einsetze, verliere ich die Kontrolle über Patientendaten.”

Diese Sorge ist berechtigt, wenn KI-Lösungen unklar arbeiten, Daten unkontrolliert in Drittländer übertragen oder keine sauberen Verträge und technischen Maßnahmen vorweisen. Sie ist aber nicht zwangsläufig ein Argument gegen KI, sondern ein Argument für eine Lösung, die Datenschutz im Kern entwickelt und ernst nimmt.

---

DSGVO-konforme KI: Was bedeutet das konkret?

DSGVO-Konformität ist kein Marketing-Siegel. Es ist das Ergebnis aus rechtlichen Grundlagen, technischen und organisatorischen Maßnahmen und sauberer Umsetzung im Praxisalltag.

Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Er bündelt praxisnahe Leitfragen für die Auswahl und den sicheren Einsatz von KI – orientiert an öffentlich zugänglichen Empfehlungen und Einordnungen aus der Zahnmedizin.

Orientierung: Offizielle Stellen & Fachpublikationen (Weiterlesen)

• Bundeszahnärztekammer (BZÄK): Rechtsrahmen, Berufsrecht & Checklisten zur KI in der Praxis
• Zahnärztliche Mitteilungen: „So arbeiten Sie mit KI in der Praxis!“
• ZM News: KI-basierte Sprachdokumentation (u.a. Einordnung aus der zahnmedizinischen Wissenschaft)
• Quintessence: Interview/Einordnung (Prof. Falk Schwendicke)

Im Kern geht es um folgende Fragen:

1) KI-Kompetenz im Team (EU-KI-Verordnung)

Datenschutz und KI gehören auch organisatorisch zusammen: Unternehmen sollen sicherstellen, dass Mitarbeitende, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen (z.B. durch Schulungen, klare Verantwortlichkeiten und interne Regeln). Das ist nicht nur „Nice-to-have“, sondern hilft auch dabei, Datenschutzrisiken im Alltag zu vermeiden (z.B. falsche Eingaben, unsaubere Freigaben, unklare Ablage).

„Betreiber von KI-Systemen – das können auch Zahnärztinnen und Zahnärzte sein – müssen demnach dafür Sorge tragen, dass alle Personen, die mit der Nutzung von KI befasst sind, über eine ausreichende KI-Kompetenz verfügen (Artikel 4).“

Quelle: Bundeszahnärztekammer (BZÄK)

Kurzcheck: Was bedeutet das in der Praxis?

• Basisschulung je Rolle (Behandler, ZFA, ZMV, Verwaltung): Was darf in die KI, was nicht?
• Do/Don’t-Liste (z.B. keine Nutzung nicht freigegebener Tools, keine Klardaten in Freitextfelder ohne Zweck)
• Freigabe- & Ablageprozess: Wer prüft Inhalte? Wo werden Ergebnisse dokumentiert?
• Verantwortlichkeiten: Datenschutz/IT-Ansprechperson + fachliche Freigabe (Behandler/Abrechnung)

Merksatz für die Praxis: Wenn sogar der Umgang mit KI geschult werden soll, zeigt das, wie wichtig ein sauberer Auswahlprozess (inkl. Datenschutz) bereits vor dem Kauf ist.

Weiterführend (Kurzüberblick): https://www.kupka-stillfried.de/aktuell/ki-kompetenz-im-unternehmen-mussen-arbeitgeber-alle-mitarbeiter-zu-ki-schulen

2) Auf welcher Rechtsgrundlage werden Daten verarbeitet?

In der Praxis sind meist zwei Situationen relevant:

• Verarbeitung zur Behandlung und Dokumentation: häufig über Behandlungsvertrag und gesetzliche Pflichten.
• Verarbeitung durch einen Dienstleister (z.B. KI-Assistenz): typischerweise über Auftragsverarbeitung.

Wichtig ist: Wenn ein Anbieter Daten in Ihrem Auftrag verarbeitet, brauchen Sie in der Regel einen AVV (Auftragsverarbeitungsvertrag).

3) Wo werden Daten verarbeitet und gespeichert?

Eine seriöse Antwort ist klar und nachprüfbar. Lassen Sie sich transparent bestätigen (und dokumentieren): Verarbeitungs-/Hosting-Standort (EU/EWR), Rechenzentrums-/Cloud-Anbieter, sowie eine Liste der Subdienstleister. Der Standort ist nicht das Einzige, aber er ist ein guter erster Filter.

4) Welche Daten werden wirklich benötigt?

Gute Systeme folgen dem Prinzip der Datenminimierung: Sie verarbeiten nur die Daten, die wirklich nötig sind, und speichern sie nur so lange wie erforderlich. In der Zahnmedizin ist außerdem Pseudonymisierung statt unnötiger Klarnamen-Verarbeitung entscheidend: Daten werden so verarbeitet, dass sie ohne zusätzliche Informationen keiner konkreten Person zugeordnet werden können.

5) Wie werden Daten geschützt?

Durch sogenannte TOMs. TOMs sind die technischen und organisatorischen Maßnahmen mit denen ein Unternehmen personenbezogene Daten vor Zugriff, Verlust oder Missbrauch schützt. Beispiele:

• Verschlüsselung bei Übertragung und Speicherung
• Zugriffskontrolle und Rollen
• Protokollierung
• klare Löschkonzepte
• Schulungen und Prozesse

Sie müssen nicht alle Details selbst bewerten können. Aber Sie sollten vom Anbieter strukturierte, nachvollziehbare Antworten bekommen.

---

Der Praxis-Check: 11 Fragen, die Sie jedem KI-Anbieter stellen sollten

Nutzen Sie diese Liste wie eine Checkliste im Auswahlprozess:

1. Gibt es einen AVV (Auftragsverarbeitungsvertrag)?
2. Wer sind die Subdienstleister und wo sitzen sie?
3. Findet die Verarbeitung vollständig in der EU statt?
4. Werden Daten pseudonymisiert verarbeitet?
5. Gibt es klare Löschfristen? (nicht “irgendwann”, sondern konkret)
6. Wie sind Übertragung und Speicherung verschlüsselt?
7. Gibt es Rollen- und Rechtekonzepte (ZMV, Behandler, Verwaltung)?
8. Wie wird Zugriff protokolliert?
9. Wie werden Daten für Training und Verbesserung verwendet? (optimal: nicht ohne klare, getrennte Zustimmung)
10. Wie wird der Praxisbetrieb unterstützt? (Onboarding, Standards, sichere Abläufe)
11. Welche Nachweise/Dokumente gibt es? (TOMs, Datenschutzhinweise, ggf. Audits)

Wenn ein Anbieter auf diese Fragen ausweicht, unklar bleibt oder nur “Marketing-Antworten” liefert, ist das ein klares Warnsignal.

---

“DSGVO-konforme KI-Dokumentation” in der Realität: Was in der Praxis zählt

Datenschutz wird nicht nur im Vertrag entschieden, sondern in den täglichen Abläufen.

Datenschutz beginnt bereits beim Betreten der Praxis (und muss im Behandlungszimmer funktionieren)

Wenn KI während der Behandlung unterstützt, darf sie den Behandlungsfluss nicht stören. Sonst entstehen schnell Provisorien wie Notizzettel, private Geräte, unsaubere Übergaben und unklare Verantwortlichkeiten. Eine gute KI-Assistenz arbeitet im Hintergrund, unterstützt das Team und liefert Ergebnisse strukturiert statt als Rohtext.

Pseudonymisierung und klare Löschfristen schaffen Ruhe

Datenschutz-Risiko und Bauchschmerzen im Team lassen sich vor allem durch zwei Dinge massiv reduzieren: eine pseudonymisierte Verarbeitung und klare Löschfristen (zum Beispiel 14 Tage). So wird aus “Daten landen irgendwo” ein kontrollierter, nachvollziehbarer Prozess.

Der wichtigste Rollenwechsel: Von “mitschreiben” zu “prüfen”

Datenschutz und Qualität hängen zusammen. Wenn das Team weniger Zeit mit Tippen verbringt, bleibt mehr Zeit für Prüfung: Behandler prüfen Inhalte medizinisch, die ZMV prüft die Abrechnungsgrundlage und Standards werden einheitlicher. Das Ergebnis ist nicht nur Zeitgewinn, sondern auch mehr Sicherheit in der Dokumentation.

---

Häufige Datenschutz-Fehler beim KI-Einsatz (und wie Sie sie vermeiden)

Fehler 1: “Wir nutzen einfach irgendein KI-Tool”

Allgemeine KI-Tools sind nicht automatisch für Gesundheitsdaten geeignet. In der Zahnmedizin brauchen Sie klare Verträge, nachvollziehbare Datenflüsse, eindeutige Zuständigkeiten und wirksame Schutzmaßnahmen.

Lösung: Nur Lösungen nutzen, die für den medizinischen Kontext gemacht sind und Datenschutz im Kern nachweisen können.

Fehler 2: Unklare Datenflüsse und fehlende Dokumentation

Wenn niemand genau sagen kann, wo Daten liegen und wer Zugriff hat, ist das ein Risiko.

Lösung: Anbieter muss Datenflüsse sauber dokumentieren. Praxis sollte diese Informationen intern ablegen (Datenschutz-Ordner).

Fehler 3: “Datenschutz ist Sache des Anbieters”

Der Anbieter liefert die Grundlage, aber die Praxis bleibt verantwortlich für den Einsatz im Alltag.

Lösung: Kurze interne Regeln definieren:

• wer darf was starten
• wo werden Ergebnisse abgelegt
• wie wird geprüft
• wie geht das Team mit Sonderfällen um

---

Wie eine DSGVO-konforme KI-Assistenz Praxen konkret entlastet (ohne riskante Versprechen)

Wenn Datenschutz sauber gelöst ist, entsteht Raum für die eigentliche Wirkung im Alltag:

• Mehr als 1 Stunde Zeit pro Tag für das Wesentliche, weil Dokumentation nicht mehr “oben drauf” kommt, sondern parallel entsteht.
• Lückenlose Abrechnungsgrundlage, weil Behandlungsschritte vollständig strukturiert erfasst werden und weniger Leistungen verloren gehen.
• Sicherheit im Team, weil Standards einheitlicher werden und Rückfragen abnehmen.

Wichtig: Seriöse Kommunikation über KI bleibt klar und souverän. Es geht nicht darum, Fachpersonal zu ersetzen, sondern darum, Praxisteams zu unterstützen und Verwaltungsarbeit spürbar zu reduzieren.

---

Mini-Leitfaden für Praxisinhaber: Was Sie intern vorbereiten sollten

1. Datenschutz-Checkliste (die 11 Fragen aus diesem Artikel) als Standard im Auswahlprozess
2. Interne Verantwortlichkeit: Wer ist Ansprechpartner für Datenschutz und IT?
3. Dokumenten-Set: AVV, TOMs, Datenschutzhinweise, Subdienstleisterliste
4. Prozess-Definition: Wie wird die KI im Alltag genutzt und geprüft?
5. Team-Alignment: Kurze Einweisung für ZFA, ZMV und Behandler

Damit wird KI-Einsatz nicht zum Unsicherheitsfaktor, sondern zu einem kontrollierten, professionellen Bestandteil der Praxisorganisation.

Was Datenschützer typischerweise sehen wollen

Wenn Sie das Thema intern „sauber abheften“ möchten, hilft ein kleines Dokumentenpaket, das bei Rückfragen schnell vorliegt:

• AVV (Auftragsverarbeitungsvertrag)
• TOMs (Technische und organisatorische Maßnahmen)
• Subdienstleisterliste + Datenstandorte
• Lösch- / Aufbewahrungskonzept (inkl. Fristen)
• Rollen- und Rechtekonzept (wer darf was?) + Protokollierung
• Schulung / KI-Kompetenz: Kurzrichtlinie + Nachweis, dass das Team eingewiesen wurde

---

❓ FAQ: DSGVO & KI in der Zahnarztpraxis

1. Ist KI in der Zahnarztpraxis grundsätzlich DSGVO-konform möglich?

Ja. Entscheidend ist, wie die Lösung gebaut und betrieben wird: Rechtsgrundlagen, AVV, EU-Verarbeitung, Pseudonymisierung, Löschfristen und technische Schutzmaßnahmen.

1. Brauche ich immer einen AVV?

In vielen Fällen ja, wenn der KI-Anbieter Daten im Auftrag der Praxis verarbeitet. Der AVV ist ein zentrales Dokument, um Verantwortlichkeiten und Schutzmaßnahmen zu regeln.

1. Was ist der Unterschied zwischen anonymisiert und pseudonymisiert?

Anonymisiert bedeutet: keine Zuordnung zu Personen möglich. Pseudonymisiert bedeutet: Zuordnung ist ohne zusätzliche Informationen nicht möglich. Pseudonymisierung ist in der Praxis häufig der realistische, sichere Ansatz.

1. Warum sind Löschfristen so wichtig?

Klare Löschfristen reduzieren Risiko und schaffen Transparenz. Sie verhindern, dass Daten “auf Vorrat” gespeichert werden.

1. Reicht es, wenn der Anbieter sagt “Wir sind DSGVO-konform”?

Nein. Lassen Sie es konkret belegen: Datenstandorte, Subdienstleister, AVV, TOMs, Löschkonzept und klare Antworten auf die Praxis-Checkliste.

---

Fazit

Datenschutz ist kein Hindernis für KI in der Zahnarztpraxis. Er ist die Voraussetzung dafür, dass KI im Alltag wirklich hilft und Vertrauen schafft.

Wenn Sie eine Lösung wählen, die Datenschutz ernst nimmt, profitieren Sie doppelt: Sie schützen Patientendaten sauber und entlasten gleichzeitig Ihr Team. Eine KI-Assistenz, die im Hintergrund dokumentiert, kann täglich mehr als 1 Stunde Zeit zurückgeben und eine lückenlose Abrechnungsgrundlage schaffen, ohne den Behandlungsfluss zu stören.

Wo Sonia ansetzt

Sonia ist eine KI-Assistenz für die Zahnarztpraxis, die genau dort hilft, wo Datenschutz-Bedenken in der Realität entstehen: bei der Dokumentation im Behandlungsalltag.

• DSGVO von Anfang an mitgedacht: Verarbeitung in der EU, klare Verträge (AVV) und nachvollziehbare Schutzmaßnahmen.
• Pseudonymisierung & klare Löschfristen: reduziert Risiko und sorgt für einen kontrollierten Prozess.
• Strukturierte Ergebnisse statt Rohtext: damit Behandler und Verwaltung prüfen können, statt mitzuschreiben.
• Entlastung ohne „Ersatz“-Versprechen: Ziel ist, Praxisteams spürbar Zeit zu geben und die Abrechnungsgrundlage zu stärken.

Über Sonia

Sonia ist die KI-Assistenz für Praxisteams. Während der Behandlung dokumentiert Sonia in Echtzeit – im Hintergrund, ohne zusätzliches manuelles Klicken und ohne den Behandlungsfluss zu stören. Ergebnisse werden strukturiert aufbereitet, sodass eine vollständige Dokumentation und lückenlose Abrechnungsgrundlage entsteht.

Sonia hilft dort, wo Datenschutz-Bedenken in der Realität entstehen: bei der Dokumentation im Behandlungsalltag.

• DSGVO von Anfang an mitgedacht: Verarbeitung in der EU, klare Verträge (AVV) und nachvollziehbare Schutzmaßnahmen.
• Pseudonymisierung & klare Löschfristen: reduziert Risiko und sorgt für einen kontrollierten Prozess.
• Strukturierte Ergebnisse statt Rohtext: damit Behandler und Verwaltung prüfen können, statt mitzuschreiben.
• Entlastung ohne „Ersatz“-Versprechen: Ziel ist, Praxisteams spürbar Zeit zu geben und die Abrechnungsgrundlage zu stärken.