Eine Kollegin erzählte mir kürzlich, sie habe einen ausführlichen Therapiebericht mit ChatGPT strukturiert. „Natürlich ohne Namen", sagte sie. Ich fragte, was genau drinstand. Alter, Geschlecht, Beruf, Familiensituation, Diagnose, Therapieverlauf über zwei Jahre. „Aber eben ohne Namen."

Das war vermutlich trotzdem eine Verletzung der Verschwiegenheitspflicht. Wahrscheinlich auch ein DSGVO-Problem. Und der Kollegin war das nicht klar.

Sie ist damit nicht allein. Die Unsicherheit unter Psychotherapeut:innen, was mit KI geht und was nicht, ist groß – und die öffentliche Debatte vermischt häufig rechtliche, ethische und praktische Fragen. Dieser Artikel versucht, Ordnung hineinzubringen.

Zwei Einschränkungen vorab: Erstens bin ich Psychotherapeut, kein Jurist. Die folgenden Überlegungen sind eine praxisorientierte Orientierung, kein Rechtsgutachten. Bei heiklen Fällen führt kein Weg an einer spezialisierten datenschutzrechtlichen Beratung vorbei. Zweitens entwickelt sich die rechtliche Lage weiter – insbesondere mit der fortlaufenden Anwendung des EU AI Act und erwartbarer Rechtsprechung zu KI-Tools im Gesundheitsbereich. Stand: April 2026.

Der rechtliche Rahmen – in der nötigen Kürze

Für Psychotherapeut:innen in Österreich stehen vier Regelwerke im Raum:

§ 15 Psychotherapiegesetz

Absolute Verschwiegenheit. Sie gilt für alles, was Psychotherapeut:innen „in Ausübung des Berufes anvertraut oder bekannt geworden ist." Wichtig: Sie ist nicht relativierbar durch Anonymisierung im Sinn von „ich nenne keine Namen." Wenn sich aus der Gesamtheit der mitgeteilten Informationen eine Person identifizieren lassen könnte – und sei es nur durch die Verknüpfung mit anderen Kontexten – ist sie betroffen. Diese Hürde ist hoch.

DSGVO, insbesondere Art. 9

Gesundheitsdaten sind „besondere Kategorien personenbezogener Daten" mit einem eigenen Schutzregime. Ihre Verarbeitung ist grundsätzlich verboten und nur unter engen Voraussetzungen erlaubt – etwa mit ausdrücklicher Einwilligung oder im Rahmen eines Behandlungsvertrags.

Art. 28 DSGVO – Auftragsverarbeitung

Wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, braucht es einen Auftragsverarbeitungsvertrag und bestimmte technische und organisatorische Maßnahmen. Die allermeisten öffentlich zugänglichen KI-Dienste bieten das für Einzelnutzer:innen nicht an.

EU AI Act

Seit Februar 2025 in Teilen, ab August 2026 vollständig anwendbar. Er klassifiziert KI-Systeme nach Risikoklassen. Der Einsatz allgemeiner KI-Werkzeuge im Praxisalltag berührt den AI Act nur begrenzt, solange Sie nicht selbst als „Anbieter" oder „Betreiber" eines Hochrisikosystems auftreten. Relevanter wird er, wenn Sie KI-gestützte Diagnostik oder automatisierte Entscheidungsunterstützung einsetzen würden.

Die entscheidende Alltagsfrage ist deshalb nicht der AI Act, sondern eine viel schlichtere:

Die zentrale Frage: Wohin gehen die Daten?

Jede KI-Nutzung lässt sich durch drei Fragen einsortieren:

  1. Bleiben die Inhalte in Ihrer Kontrolle – lokal auf Ihrem Gerät oder auf einem EU-Server mit sauberem Auftragsverarbeitungsvertrag?
  2. Gehen die Inhalte an einen externen Anbieter, der sie auf eigenen Servern verarbeitet?
  3. Enthalten die Inhalte Bezüge zu identifizierbaren Personen – Patient:innen, Angehörige, Dritte?

Aus der Kombination dieser drei Fragen ergibt sich die Einschätzung, ob eine konkrete Nutzung zulässig, riskant oder ausgeschlossen ist.

Die Matrix: Grüne, gelbe, rote Zone

🟢 Grüne Zone – unproblematisch
  • Allgemeine Fachrecherche ohne Patient:innenbezug. „Was ist der aktuelle Forschungsstand zu EMDR bei komplexem Trauma?" Cloud-LLMs sind hier einsetzbar. Achten Sie darauf, dass Anbieter Ihre Eingaben nicht zu Trainingszwecken verwenden – bei Unternehmensversionen oder über Einstellungen ausschließbar.
  • Texte für Ihre eigene Öffentlichkeitsarbeit. Website-Texte, Blog-Artikel, Newsletter, Social-Media-Inhalte – solange sie keine Fallgeschichten oder identifizierende Bezüge enthalten. Auch dieser Artikel wurde mit KI-Unterstützung strukturiert.
  • Administrative Routinearbeiten ohne Patient:innenbezug. Rechnungsvorlagen formulieren, AGB überarbeiten, Verträge strukturieren, Termin-Reminder-Texte schreiben – normale Produktivitätshilfe.
  • Eigenes Lernen und Fachreflexion im geschützten Raum. Mit lokal laufendem LLM eigene Fälle durchdenken – die Daten bleiben in Ihrer Kontrolle. Das ist näher an Ihrer handschriftlichen Supervisionsnotiz als an einer Cloud-Verarbeitung. Betonung liegt auf lokal.
🟡 Gelbe Zone – mit Sorgfalt möglich
  • Strukturierung nicht-patient:innenbezogener eigener Unterlagen. Fortbildungsnotizen, Literaturzusammenfassungen, eigene Aufsätze – wenn Sie sich absolut sicher sind, dass dort keine Bezüge zu konkreten Personen enthalten sind. Eine Supervisionsnotiz, die „einen 45-jährigen Architekten aus dem 9. Bezirk mit wiederkehrender Panikstörung nach Trennung" beschreibt, ist nicht anonym – sie ist pseudonymisiert, was rechtlich etwas anderes bedeutet.
  • Klient:innenkommunikation auf neutraler Ebene. Terminbestätigungen, Informationstexte, Beantwortung häufiger Fragen – solange keine individuellen Details verarbeitet werden. Die Grenze ist erreicht, sobald Sie konkrete Anliegen einer identifizierbaren Person einspeisen, um eine Antwort zu formulieren.
  • Recherche mit vorsichtiger Umschreibung. „Welche therapeutischen Zugänge gibt es bei [Symptomatik]?" ist unproblematischer als eine konkrete Fallschilderung. Die bessere Variante: Die Frage so stellen, dass sie auch ohne Patient:innenbezug funktioniert.
🔴 Rote Zone – ausgeschlossen
  • Falltexte, Berichte, Befunde, Korrespondenz in Cloud-LLMs – auch wenn Namen entfernt wurden. Die Kombination aus Alter, Geschlecht, Beruf, Ort und Lebenssituation ist in vielen Fällen ausreichend, um eine Person identifizierbar zu machen.
  • Diagnostische oder therapeutische Entscheidungsunterstützung durch externe KI-Dienste mit Patient:innendatenübermittlung. Auch wenn solche Tools zunehmend beworben werden: Die rechtliche Absicherung für den österreichischen Kontext fehlt bei den meisten.
  • Consumer-KI-Apps mit therapeutischen Inhalten. Die Versuchung, eine schwierige Sitzung mit ChatGPT „nachzubearbeiten", ist nachvollziehbar. Sie ist aber einer der häufigsten Punkte, an denen Kolleg:innen unwissentlich ihre Verschwiegenheitspflicht verletzen.
  • Audioaufnahmen an Cloud-Transkriptionsdienste. Eine Therapiesitzung durch Cloud-Dienste transkribieren zu lassen, verletzt in der Regel sowohl § 15 PthG als auch Art. 9 DSGVO. Für Transkription gilt: lokal oder gar nicht.

Fünf konkrete Szenarien aus dem Praxisalltag

Szenario 1

Sitzungsnotiz strukturieren

Sie haben nach einer komplexen Stunde unstrukturierte Stichworte und möchten sie zu einer sauberen Notiz verdichten.

Rote Zone bei Cloud-LLM – die Inhalte enthalten per definitionem Patient:innenbezug. Grüne Zone bei lokalem LLM. Ein moderner Laptop reicht für diese Aufgabe vollständig aus. Die Einrichtung ist überschaubar.

Szenario 2

Brief an eine Versicherung

Die Versicherung fragt nach einer Stellungnahme zu einer Klientin.

Rote Zone bei Cloud-LLM. Grüne Zone beim Einsatz lokaler Werkzeuge – oder klassisch mit einer strukturierten Vorlage, die Sie ohne KI ausfüllen. Der Produktivitätsgewinn ist real, aber er rechtfertigt nicht den Umweg über externe Dienste.

Szenario 3

Informationen über eine Diagnose für Klient:innen aufbereiten

Sie möchten ein verständliches Informationsblatt zu einer bestimmten Störung schreiben.

Grüne Zone. Der Text enthält keinen Personenbezug. Cloud-LLMs sind gute Unterstützung. Achten Sie darauf, Inhalte fachlich zu prüfen, bevor Sie sie weitergeben – KI-Texte zu medizinisch-psychologischen Themen können oberflächlich plausibel und fachlich dennoch problematisch sein.

Szenario 4

Eigene Fachbibliothek durchsuchbar machen

Sie haben über die Jahre hunderte PDFs, Notizen, Vortragsunterlagen angesammelt und möchten sie intelligent durchsuchen können.

Grüne Zone bei lokalem RAG-System. Die Dokumente verlassen Ihr Gerät nicht, die Abfragen laufen lokal. Das ist einer der produktivsten Anwendungsfälle für Praxen mit eigenem Wissensschatz. Rote Zone, wenn die Dokumente auch nur andeutungsweise Fall- oder Supervisionsmaterial enthalten und in einen Cloud-Dienst geladen werden.

Szenario 5

Text auf der eigenen Website überarbeiten

Ein Bestandstext soll klarer, einladender, zeitgemäßer werden.

Grüne Zone. Das ist ein klassischer KI-Anwendungsfall – und einer der schnellsten Wege, mit KI produktiv zu werden, ohne Datenschutzprobleme zu erzeugen.

Was bedeutet „lokal"?

Da ich mehrfach auf lokale Lösungen verweise, kurz zur Einordnung: „Lokal" bedeutet, dass die KI-Verarbeitung auf einem Gerät läuft, über das Sie selbst die Kontrolle haben. Konkret:

Hardware Moderner Laptop oder PC, 16–32 GB RAM. 16 GB reichen für viele Modelle aus.
Software Ollama, LM Studio oder Open WebUI – vereinfachen das Laden und Ausführen von Modellen.
Modelle Llama 3.3, Mistral, Qwen oder auf Deutsch spezialisierte Varianten.
Qualität Nicht ganz auf dem Niveau der größten Cloud-Modelle – aber nahe genug, um für die meisten Praxisaufgaben nützlich zu sein.

Das ist heute für Einzelpraxen machbar, ohne dass Sie Techniker:in sein müssen. Der initiale Einrichtungsaufwand ist einmalig; danach arbeitet das System wie eine normale Anwendung.

Eine Alternative: EU-basierte Cloud-Dienste mit sauberen Auftragsverarbeitungsverträgen. Diese Landschaft entwickelt sich, ist aber für Einzelpraxen derzeit noch nicht der einfachste Weg.

„Die Verschwiegenheitspflicht nach § 15 PthG ist kein Hindernis für KI-Nutzung. Sie ist ein Rahmen, der bestimmt, welche KI unter welchen Bedingungen zulässig ist. In diesem Rahmen gibt es mehr Spielraum, als viele Kolleg:innen vermuten."
— Mag. Axel Mai, Psychotherapeut Wien

Vier praktische Schritte für Ihre Praxis

1

Bewusst trennen

Definieren Sie für sich klar, welche Aufgaben Sie mit welcher Art von KI erledigen. Eine einfache Faustregel: Alles mit Patient:innenbezug → lokal oder gar nicht. Alles andere → je nach Sensibilität Cloud mit entsprechenden Einstellungen oder lokal.

2

Einstellungen klären

Wenn Sie Cloud-Dienste nutzen, prüfen Sie: Werden Ihre Eingaben zu Trainingszwecken verwendet? Gibt es eine API-Nutzung ohne Training? Für Unternehmensversionen (z. B. ChatGPT Team, Claude for Work) gelten oft andere Bedingungen als für die privaten Varianten.

3

Entscheidungen dokumentieren

Schreiben Sie kurz auf, welche KI-Tools Sie wofür einsetzen und warum. Das ist kein Bürokratieüberschuss, sondern hilft bei eventuellen Rückfragen von Datenschutzbehörden, Versicherungen oder Klient:innen.

4

Informiert bleiben

Die Landschaft verändert sich schnell. Was heute gilt, ist in einem Jahr möglicherweise präzisiert, verschoben oder erweitert. Ein halbjährlicher Check reicht für die meisten Praxen aus.

Was kommt – mit Vorsicht zu beobachten

Drei Entwicklungen, die ich derzeit aufmerksam verfolge:

Lokale LLMs werden weiter besser

Die Qualität von Open-Weight-Modellen wie Llama 4, Mistral Large oder Qwen ist beeindruckend gestiegen. Was 2024 noch Cloud-Power brauchte, läuft 2026 auf einer guten Workstation. Das verändert die Kosten-Nutzen-Rechnung für lokale Infrastruktur weiter zugunsten lokaler Lösungen.

Die KI-Verordnung kommt schrittweise in Wirkung

Bestimmte Hochrisiko-Anforderungen werden 2026 und 2027 voll greifen. Wenn Sie KI im therapeutischen Setting einsetzen wollen, lohnt sich der Blick auf die nächsten Stufen – besonders wenn Sie Dokumentations- oder Triage-Funktionen in Erwägung ziehen.

Berufsverbände positionieren sich

Die ÖBVP und vergleichbare Stellen in Deutschland und der Schweiz arbeiten an Empfehlungen. Wenn diese kommen, sollten sie ernst genommen werden – sie sind in der Regel praxisnäher als reine Rechtskommentare und reflektieren spezifisch therapeutische Berufsethik.

Zusammenfassung – drei Sätze

🔴 Patient:innenbezogene Inhalte gehören nicht in Cloud-KI-Dienste – auch nicht in solche mit „guten" Datenschutzbedingungen. Für diesen Bereich brauchen Sie lokale oder klar EU-rechtlich abgesicherte Lösungen.

🟢 KI-Anwendungen ohne Patient:innenbezug sind in den meisten Fällen unproblematisch und können den Praxisalltag spürbar entlasten – Recherche, Marketing, allgemeine Texte, Fortbildung.

⚖️ Im Zweifel zieht die strengste Regel. Wenn eine Anwendung gegen § 15 PthG verstößt, hilft es nichts, dass die DSGVO sie erlaubt hätte. Verschwiegenheitspflicht ist die schärfste Klinge im Werkzeugkasten.

Wo dieser Artikel endet – und eine fachliche Beratung beginnt

Dieser Überblick ist eine Orientierung, keine rechtliche Einschätzung für Ihren konkreten Fall. Für bestimmte Konstellationen brauchen Sie tragfähigere Grundlagen:

Für die grundlegende Orientierung reicht dieser Artikel hoffentlich. Für die nächsten Schritte – etwa die konkrete Einrichtung eines lokalen LLM, den Aufbau eines RAG-Systems für Ihre eigenen Dokumente oder die datenschutzfreundliche Gestaltung einzelner Arbeitsabläufe – finden Sie weiterführende Informationen auf der Seite KI für Gesundheitsberufe.

Wenn Sie zu einer spezifischen Frage einen kurzen Austausch suchen, biete ich Kolleg:innen ein kostenloses Vorgespräch an. Es gibt in diesem Feld mehr offene Fragen als fertige Antworten; manchmal hilft schon ein Gespräch, um einen eigenen Standpunkt zu finden.

Häufige Fragen

Darf ich ChatGPT für Therapieberichte nutzen?

In der Regel nein, wenn die Inhalte Patient:innenbezug haben. Selbst ohne Namen enthält ein Bericht mit Alter, Geschlecht, Beruf und Symptomatik oft ausreichend Informationen, um eine Person identifizierbar zu machen. Für dokumentationsbezogene Aufgaben empfehlen sich lokale Sprachmodelle.

Was ist der Unterschied zwischen lokalen und Cloud-LLMs?

Bei Cloud-LLMs (ChatGPT, Claude.ai, Gemini) werden Ihre Eingaben auf Servern des Anbieters verarbeitet. Bei lokalen LLMs läuft das Modell auf Ihrem eigenen Gerät – die Inhalte verlassen Ihr Gerät nicht. Für Patient:innenbezogene Aufgaben in der Praxis sind lokale Modelle die datenschutzkonforme Alternative.

Gilt die Verschwiegenheitspflicht auch für KI-Nutzung?

Ja, uneingeschränkt. Die Verschwiegenheitspflicht nach § 15 PthG gilt unabhängig von der verwendeten Technologie. Das Weglassen des Namens reicht nicht aus – wenn andere identifizierende Merkmale erhalten bleiben, ist die Identifizierbarkeit rechtlich weiterhin gegeben.

Was gilt für EU AI Act in der Praxis?

Für den normalen Praxisalltag (allgemeine KI-Werkzeuge für Verwaltung, Recherche, Texte) ist der AI Act derzeit nur begrenzt relevant. Er wird wichtiger, wenn Sie KI für Diagnostik oder automatisierte Entscheidungsunterstützung einsetzen würden – was für Einzelpraxen in der Regel nicht der Fall ist.

AM
Mag. Axel Mai
Psychotherapeut Wien (SFU) · sysTelios Transfer Netzwerk

Eingetragener Psychotherapeut (SFU Wien) mit Schwerpunkten in systemischer und hypnosystemischer Therapie. Berät Psychotherapeut:innen, Ärzt:innen und Gesundheitsberufe zu DSGVO-konformer KI-Einführung und arbeitet selbst mit lokalen LLMs, RAG-Systemen und KI-gestützten Arbeitsabläufen.

Vorgespräch für Kolleg:innen

30 Minuten, kostenlos, unverbindlich. Für konkrete Fragen zur KI-Nutzung in Ihrer Praxis.

Jetzt anfragen
Weitere Artikel & Seiten

🔒 KI für Gesundheitsberufe

Praktische Einrichtung, Beratung und Begleitung – von der Orientierung bis zur Umsetzung.

💻 Online-Therapie Wien

DSGVO-konforme Psychotherapie per Video – wie ich das in meiner Praxis umsetze.

📚 Zurück zum Blog

Alle Artikel zu Burnout, EMDR, Paartherapie und Praxiswissen.