Es ist 19 Uhr, die Sprechstunde ist seit zwei Stunden vorbei. Trotzdem sitzen Sie noch am Schreibtisch und arbeiten Arztbriefe, Befunde und Konsultationsnotizen ab. Ein Szenario, das viele niedergelassene Ärztinnen und Ärzte kennen: Die medizinische Dokumentation verschlingt täglich bis zu zwei Stunden. Ein Dokumentationsassistent löst genau dieses Problem – wenn er rechtssicher eingeführt wird. Dieser Leitfaden zeigt, wie das mit Noa Notes gelingt.
Ein weitverbreiteter Irrtum: Wer ein fertiges System nur einsetzt, sei regulatorisch kaum betroffen. Das Gegenteil ist der Fall. Die KI-Verordnung (VO (EU) 2024/1689) unterscheidet klar zwischen Anbieter (Provider) und Betreiber (Deployer) – und weist beiden eigenständige Pflichten zu. Als niedergelassene Ärztin oder niedergelassener Arzt, der einen Dokumentationsassistenten in der Patientenversorgung nutzt, sind Sie Betreiber im Sinne des Art. 26 der KI-Verordnung.
| Kriterium | Anbieter (Provider) | Betreiber (Deployer) |
|---|---|---|
| Rolle | Entwickelt und vertreibt das System | Setzt das System im Praxisalltag ein |
| Technische Dokumentation | Muss vollständige technische Dokumentation erstellen und pflegen (Art. 11 KI-Verordnung) | Muss Anbieter-Dokumentation prüfen und eigene Betreiberdokumentation führen |
| Risikoklassifizierung | Nimmt die initiale Einstufung vor | Muss die Einstufung nachvollziehen und bei eigener Nutzung bewerten |
| Human Oversight | Stellt technische Voraussetzungen bereit | Benennt kompetente Personen mit Eingriffsbefugnis (Art. 26 Abs. 2) |
| Protokollierung | Implementiert automatische Logging-Funktionen | Speichert Protokolle mindestens 6 Monate und wertet sie aus |
| KI-Kompetenz | Stellt Schulungsmaterialien bereit | Stellt sicher, dass alle Nutzer geschult sind (Art. 4 KI-Verordnung) |
| Datenschutz-Folgenabschätzung | Liefert Informationen zur Datenverarbeitung | Führt eigene DSFA durch (Art. 35 DSGVO) |
Ein Grenzfall, den viele Praxen übersehen: Wer ein System in einem vom Anbieter nicht vorgesehenen Kontext einsetzt – etwa ein allgemeines Spracherkennungssystem eigenständig für die medizinische Befundung umfunktioniert –, kann teilweise als Anbieter eingestuft werden und unterliegt dann zusätzlich den strengeren Anbieterpflichten. Bei einem dedizierten Dokumentationsassistenten wie Noa Notes bleibt die Rollenverteilung dagegen eindeutig: Jameda als Anbieter, Ihre Praxis als Betreiber.
Als Betreiber entstehen für Arztpraxen drei konkrete Pflichten: der Eintrag ins Verarbeitungsverzeichnis nach Art. 30 DSGVO, die Risikoklassifizierung des eingesetzten Systems sowie der schriftliche Nachweis der KI-Kompetenz aller Mitarbeitenden nach Art. 4 KI-Verordnung. Hinter dem letzten Punkt verbirgt sich weniger, als der Begriff vermuten lässt: Es genügt eine kurze Einführungssitzung – festgehalten in einer Teilnehmerliste mit Datum und Inhalt. Wer Noa Notes nutzt, erhält dafür fertige Vorlagen direkt im Vertragspaket.
Verstöße können im Gesundheitswesen gleichzeitig auf drei Ebenen wirken – als Bußgeld nach Art. 99 KI-Verordnung, als Arzthaftungsfall nach § 630a BGB und als berufsrechtliche Maßnahme. Dieser dreifache Haftungsrahmen macht eine sorgfältige Dokumentation nicht zur Kür, sondern zur Pflicht.
Die bestehende DSGVO-Dokumentation einer Praxis ist dabei eine gute Basis – reicht aber allein nicht aus. Die folgende Übersicht zeigt, was ergänzt werden muss:
| Pflicht | DSGVO (besteht bereits) | KI-Verordnung (kommt neu hinzu) |
|---|---|---|
| Verarbeitungsverzeichnis | Art. 30 DSGVO: Dokumentation aller Datenverarbeitungen | Ergänzung um systemspezifische Angaben zum eingesetzten Dokumentationsassistenten |
| Datenschutz-Folgenabschätzung | Art. 35 DSGVO: Pflicht bei Verarbeitung sensibler Gesundheitsdaten | Ggf. zusätzlich Grundrechte-Folgenabschätzung nach Art. 27 KI-Verordnung |
| Auftragsverarbeitungsvertrag | Art. 28 DSGVO: AVV mit dem Anbieter abschließen | Bleibt bestehen, keine zusätzliche Pflicht |
| Einwilligung/Rechtsgrundlage | Art. 6 und Art. 9 DSGVO: Rechtsgrundlage für Gesundheitsdaten sicherstellen | Bleibt bestehen, keine zusätzliche Pflicht |
| Kompetenznachweis | Nicht explizit gefordert | Art. 4 KI-Verordnung: Dokumentierte Schulung aller Nutzer – gilt bereits |
| Risikoklassifizierung | Nicht explizit gefordert | Betreiber muss Einstufung des Anbieters prüfen und eigene Nutzung bewerten |
| Human Oversight | Nicht explizit gefordert | Art. 26 Abs. 2: Kompetente Person mit Eingriffsbefugnis benennen |
| Protokollierung/Logging | Nicht explizit gefordert | Automatische Protokolle mindestens 6 Monate aufbewahren und auswerten |
| Patienteninformation | Art. 13/14 DSGVO: Information über Datenverarbeitung | Zusätzlich: Transparenz über den Einsatz des Systems gegenüber Patienten und Personal |
Wenn Ihre Praxis bereits ein sauberes DSGVO-Verarbeitungsverzeichnis führt und einen Auftragsverarbeitungsvertrag mit dem Systemanbieter abgeschlossen hat, ist die Grundlage gelegt. Die KI-Verordnung fordert darüber hinaus vor allem drei Dinge: den dokumentierten Kompetenznachweis Ihres Teams, die Benennung einer Person mit Eingriffsbefugnis (Human Oversight) und die Nachvollziehbarkeit der Risikoklassifizierung. Diese Ergänzungen lassen sich strukturiert umsetzen, ohne ein eigenes IT-Projekt aufzusetzen.
Die KI-Kompetenzpflicht nach Art. 4 gilt seit dem 2. Februar 2025 und steht gleichzeitig unter regulatorischem Vorbehalt. Im Rahmen des sogenannten „Digital Omnibus on AI" hat die EU-Kommission vorgeschlagen, die bindende Pflicht in eine Empfehlung umzuwandeln. Die Verhandlungen laufen noch. Bis zur Verabschiedung gilt Art. 4 unverändert – Praxen sollten die Dokumentation ihrer Schulungsmaßnahmen daher nicht aufschieben.
Am 19. November 2025 legte die EU-Kommission mit dem Digital Omnibus on AI einen umfassenden Änderungsvorschlag vor, der ausgewählte Bestimmungen der KI-Verordnung vereinfachen und neu ausrichten soll – ohne den grundlegenden Schutzrahmen aufzugeben. Für Arztpraxen ist vor allem eine Änderung relevant: Die KI-Kompetenz-Verpflichtung nach Art. 4 soll von einer durchsetzbaren Pflicht in eine Empfehlung umgewandelt werden. Verstöße wären dann nicht mehr sanktionierbar.
Mit einer politischen Einigung und finalen Fassung des Omnibus kann frühestens Mitte 2026 gerechnet werden. Bis dahin gilt Art. 4 unverändert. Für Arbeitgeber bedeutet eine mögliche Abschwächung keine Erlaubnis, auf Schulungsmaßnahmen zu verzichten – die haftungsrechtlichen Risiken und der betriebliche Nutzen gut geschulter Mitarbeitender bestehen unabhängig von der regulatorischen Ausgestaltung fort.
Sie brauchen keine eigene Rechtsabteilung, um die Betreiberpflichten der KI-Verordnung zu erfüllen. Der folgende Fahrplan führt Sie von der Bestandsaufnahme bis zum laufenden Betrieb – ohne IT-Projekt.
Hinweis für Gemeinschaftspraxen und MVZ: In Praxen mit Betriebsrat greift bei der Einführung eines Dokumentationsassistenten die Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG – binden Sie den Betriebsrat daher frühzeitig ein.
Nicht jeder Dokumentationsassistent erfüllt die Anforderungen, die Sie als Betreiber im Gesundheitswesen nachweisen müssen. Die Wahl des Systems hat direkte Auswirkungen auf Ihre DSGVO-Compliance, Ihre Betreiberpflichten nach der KI-Verordnung und den täglichen Praxisablauf. Besondere Vorsicht gilt bei Systemen mit Servern außerhalb der EU – hier entstehen zusätzliche Dokumentationspflichten, die für Gesundheitsdaten besonders schwer zu erfüllen sind. Noa Notes erfüllt all diese Kriterien: deutsche Server, ISO 27001-Zertifizierung, vollständiger AVV und kein Training mit Patientendaten – damit sind Sie als Betreiber von Anfang an auf der sicheren Seite.
| Auswahlkriterium | Worauf Sie achten sollten |
|---|---|
| Serverstandort | Ausschließlich EU-Server; Standort Deutschland bietet die höchste Rechtssicherheit |
| DSGVO-Konformität | AVV vorhanden, Rechtsgrundlage, Verarbeitungszweck und Löschfristen klar dokumentiert |
| Zertifizierungen | ISO 27001-Zertifizierung oder vergleichbare Nachweise für Informationssicherheit |
| PVS-Integration | Nahtlose Einbindung über standardisierte Schnittstellen wie GDT oder VDDS |
| Datenschutzpolitik | Keine Nutzung von Patientendaten für das Modelltraining |
Systeme mit Servern außerhalb der EU erzeugen zusätzliche Dokumentationspflichten: Sie müssen nachweisen, auf welcher Rechtsgrundlage der Datentransfer erfolgt, und gegebenenfalls ergänzende Schutzmaßnahmen treffen. Für Gesundheitsdaten ist diese Hürde besonders hoch. Gleiches gilt für nicht freigegebene Lösungen im Praxisalltag – sogenannte Schatten-IT widerspricht sowohl der DSGVO als auch den Betreiberpflichten der KI-Verordnung.
Wer einen Dokumentationsassistenten einführt, steht vor zwei Aufgaben gleichzeitig: den täglichen Dokumentationsaufwand spürbar zu senken und die regulatorischen Betreiberpflichten zuverlässig zu erfüllen. Noa Notes – entwickelt von Jameda, dem führenden Arztportal Deutschlands – verbindet beide Dimensionen in einer Lösung. Statt 93–120 Minuten täglich reduziert sich der Aufwand auf rund 25 Minuten. Das entspricht einer Zeitersparnis von 75 % – ohne Abstriche bei der Dokumentationsqualität.
Gleichzeitig erhalten Sie alle Unterlagen, die Sie als Betreiber für Ihre KI-Compliance benötigen:
In einem persönlichen Beratungsgespräch klären wir gemeinsam die PVS-Kompatibilität Ihrer Praxis und zeigen Ihnen, wie viel Zeit Sie ab Tag 1 zurückgewinnen.
Sie müssen Ihr Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO um die systemspezifische Datenverarbeitung ergänzen. Zusätzlich verlangt die KI-Verordnung den Nachweis der KI-Kompetenz Ihres Teams (Art. 4), die Benennung einer Person für die menschliche Aufsicht (Art. 26) sowie die Protokollierung der Systemnutzung über mindestens sechs Monate.
Ja. Wer ein System im Praxisalltag einsetzt, ist Betreiber im Sinne des Art. 26 der KI-Verordnung – unabhängig davon, ob Sie das System selbst entwickelt haben. Betreiberpflichten wie Human Oversight, Protokollierung und die KI-Kompetenzpflicht nach Art. 4 treffen Sie unmittelbar.
Die DSGVO-Dokumentation bildet den Ausgangspunkt, reicht aber allein nicht aus. Die KI-Verordnung fordert zusätzlich den dokumentierten Kompetenznachweis aller Nutzer, eine nachvollziehbare Risikoklassifizierung des Systems und die Benennung einer Person mit Eingriffsbefugnis für die menschliche Aufsicht.
Der operative Aufwand ist überschaubar. Mit einer Lösung wie Noa Notes ist Ihr Team nach einer 45-minütigen persönlichen Einführungssitzung produktiv. Die begleitende Betreiberdokumentation – einschließlich AVV und Compliance-Unterlagen – erhalten Sie direkt im Vertragspaket, sodass kein eigenständiges IT-Projekt erforderlich ist. Mehr dazu finden Sie auf der Seite zur Dokumentation in der Einzelpraxis.
Wenn in Ihrer Praxis ein Betriebsrat existiert, greift die Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG. Da Dokumentationsassistenten Nutzungsdaten protokollieren, kann die Schwelle zur Verhaltens- oder Leistungsüberwachung überschritten werden. Binden Sie den Betriebsrat daher frühzeitig ein und dokumentieren Sie die Beteiligung schriftlich.