KI in der Psychotherapie — Evidenzbasierte Leitlinien für Forschung, Ausbildung und Praxis

Das besondere Risikoprofil der Psychotherapie

Psychotherapeutische Daten sind nicht einfach Gesundheitsdaten — sie unterliegen einer Dreifachbelastung, die in keinem anderen medizinischen Fachgebiet in dieser Schärfe auftritt. Jede KI-Anwendung muss alle drei Regime gleichzeitig erfüllen.

DSGVO Art. 9

Psychotherapeutische Daten gehören zu den besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich verboten — jede Ausnahme erfordert eine spezifische Rechtsgrundlage (Art. 9 Abs. 2 DSGVO). Eine Datenschutz-Folgenabschätzung ist bei KI-Verarbeitung regelmäßig verpflichtend (Art. 35 DSGVO).

§ 203 StGB

Die strafrechtliche Schweigepflicht erfordert neben der DSGVO-Grundlage stets eine eigenständige Offenbarungsbefugnis. Cloud-LLMs ohne § 203-Zusatzvereinbarung sind für Patientendaten gesperrt. Verstöße: Freiheitsstrafe bis 1 Jahr, Berufsverbot möglich.

EU AI Act

KI-Systeme in der Gesundheitsversorgung werden als Hochrisiko klassifiziert (Anhang III, Nr. 5 KI-VO). Umfangreiche Pflichten gelten ab August 2026/2027. Die KI-Kompetenz-Pflicht (Art. 4 KI-VO) gilt bereits seit Februar 2025.

Zentrale Erkenntnis: Die Nutzung generischer Cloud-LLMs (ChatGPT, Gemini) für die Verarbeitung von Patientendaten ist nach aktueller Rechtslage als rechtswidrig zu bewerten — es fehlt an § 203-Zusatzvereinbarungen, Trainingsopt-Out-Garantien und wirksamer Anonymisierung.

Regulatorischer Rahmen: Vier Ebenen

KI in der Psychotherapie bewegt sich gleichzeitig in vier Regelungsebenen, die kumulativ gelten und deren Zusammenspiel nicht abschließend geklärt ist.

Ebene 1

Berufsrecht

PsychThG, Berufsordnungen der Landespsychotherapeutenkammern, § 203 StGB Schweigepflicht

Das „Zwei-Schranken-Prinzip": Neben DSGVO-Grundlage stets eigenständige Offenbarungsbefugnis nach § 203 StGB erforderlich.

§ 203 Abs. 3 StGB (Reform 2017): Einschaltung externer IT-Dienstleister nur mit vertraglicher Geheimhaltungspflicht und Hinweis auf Strafbarkeit.

Letztverantwortung für KI-generierte Inhalte verbleibt stets bei der approbierten Fachperson (§ 630f BGB).

Ebene 2

Datenschutz

DSGVO Art. 9, BDSG § 22/§ 27, Landesgesetze

Verarbeitungsverbot mit Erlaubnisvorbehalt — drei relevante Ausnahmen: Einwilligung (Art. 9 Abs. 2 lit. a), Gesundheitsversorgung (lit. h), Forschung (lit. j).

DSFA nach Art. 35 bei KI + Gesundheitsdaten regelmäßig verpflichtend (DSK-Orientierungshilfe Mai 2024).

Art. 22 DSGVO: Verbot automatisierter Einzelentscheidungen — „Human-in-the-Loop" als Gestaltungsprinzip.

EDPB Opinion 28/2024 (Dezember 2024): KI-Modelle sind nur dann „anonym", wenn Re-Identifizierung und Datenextraktion „nicht vernünftigerweise wahrscheinlich" sind — eine Schwelle, die bei psychotherapeutischen Daten besonders schwer zu erreichen ist. Rechtswidrig trainierte Modelle können die Rechtmäßigkeit des gesamten Einsatzes gefährden.

Ebene 3

KI-Recht

EU AI Act (KI-Verordnung), in Kraft seit August 2024, gestaffelte Anwendung bis 2027

Diagnostische/therapeutische KI = Hochrisiko (Anhang III, Nr. 5). Administrative Dokumentationstools ohne Medizinprodukt-Charakter fallen typischerweise nicht unter Hochrisiko.

GPAI-Modelle (GPT-4, Claude): Wer sie in therapeutische Tools integriert, wird zum Anbieter und trägt potentiell Hochrisiko-Pflichten.

Forschungsausnahmen (Art. 2 Abs. 6/8) sind eng begrenzt und bei Veröffentlichung von Modellen nicht anwendbar (Finck, 2025; Meszaros et al., 2026).

Art. 6 Abs. 3: De-minimis-Ausnahme — Annex-III-Systeme gelten nicht als Hochrisiko, wenn sie lediglich enge prozedurale Aufgaben erfüllen oder menschliche Ergebnisse verbessern. Gilt nicht bei Profiling natürlicher Personen. Relevant für administrative KI-Tools ohne diagnostischen Charakter.

Ebene 4

Forschungsethik

Ethikkommissionen, DGPs-Empfehlungen, DFG-Richtlinien, APA Ethics Code

Ethikvotum bei KI-Analyse von Therapiedaten regelmäßig erforderlich — ein Scoping Review (AI & Society, 2025) zeigt: nur 48% der KI-Mental-Health-Studien berichten eine Ethikgenehmigung.

Informierte Einwilligung muss KI-Nutzung explizit benennen — generische Forschungseinwilligungen reichen nicht.

APA Ethical Guidance (Juni 2025): Persönliche Verantwortung für alle Endentscheidungen, kritische Evaluation KI-generierter Inhalte.

„Verlässt man sich ohne Prüfung auf das Produkt der GKI, beruht das Arbeitsergebnis nicht mehr auf persönlicher Tätigkeit.“ — Prof. Gasteyer, Anwaltsblatt 11/2024

Standesrechtliche Positionen: Wer sagt was?

Die Fachgesellschaften positionieren sich unterschiedlich — von aktiver Gestaltung bis zur auffälligen Lücke. Ein Überblick über den Stand der institutionellen Orientierung im März 2026.

Aktive Gestaltung

BPtK

Praxis-Info „Administrative KI in Ihrer Praxis" (25.02.2026) — erste offizielle Handreichung. Neues Curriculum-Modul 5: „KI und psychotherapeutische Versorgung" (ab April 2026). BPtK-Präsidentin Dr. Benecke: Generische KI sei „aktuell nicht hinreichend darauf trainiert, jungen Menschen in psychischen Krisen verlässliche Unterstützung zu bieten", sieht aber Potenzial bei administrativer Unterstützung.

Aktive Gestaltung

DGPs

Klare Position: „KI-basierte Systeme als Ersatz für Psychotherapie — ein eindeutiges Nein." KI als Assistenzsystem sinnvoll für dateninformierte Empfehlungen, Abbruchprognosen und adaptive Indikation. Interdisziplinäre AG „KI und Psychologie" arbeitet an Definitionen von Menschzentriertheit.

Aktive Gestaltung

APA

International am weitesten: „Ethical Guidance for AI in Professional Practice" (Juni 2025) — informierte Einwilligung, persönliche Verantwortung für Endentscheidungen, kritische Evaluation KI-generierter Inhalte. Revidierter Ethics Code (Dezember 2024) nimmt KI und digitale Therapeutika explizit auf.

Teilweise

EFPA

Meta-Code of Ethics 2025 überarbeitet, aber keine KI-spezifische Stellungnahme veröffentlicht. KI-bezogene Orientierung fehlt auf europäischer Ebene — eine Lücke angesichts des EU AI Act.

Lücke

DGPPN

Keine spezifische KI-Leitlinie für Psychiatrie und Psychotherapie identifizierbar — eine bedeutende Forschungs- und Regulierungslücke. Angesichts der zunehmenden KI-Nutzung in psychiatrischen Settings wäre eine Positionierung dringend erforderlich.

Paradox: Psychotherapeut:innen mit KI-Erfahrung zeigen erhöhte — nicht verminderte — Datenschutzbedenken. — Nazir & Choubisa, 2026

Risikomatrix nach Einsatzkontext

Vier Kontexte, vier unterschiedliche Risikoprofile. Die Bewertung kombiniert Schweregrad und Eintrittswahrscheinlichkeit auf Basis der identifizierten Rechtslage und empirischen Evidenz.

Hohes Risiko

Forschung

KI-Analyse von Patientendaten, Transkripten, klinischen Notizen

Memorization-Effekte: LLMs können Trainingsdaten wörtlich reproduzieren

Re-Identifizierung trotz Pseudonymisierung durch „biographischen Fingerabdruck"

Forschungsprivileg deckt Training, nicht klinischen Einsatz

Scoping Review (AI & Society, 2025): Nur 0% der KI-Mental-Health-Studien berichten eine Ethikgenehmigung, nur 0% informierte Einwilligung

Deckt die Forschungseinwilligung auch KI-Training ab?

Hohes Risiko

Ausbildung

KI in Supervision, Fallbesprechung, Lehrvideos

Supervision mit LLM ≠ kollegiale Beratung i.S.d. Berufsordnung

Ausbildungskandidat:innen als Digital Natives: niedrigere Hemmschwellen

Lehrvideos mit Echtsitzungen: höchste Sensibilitätsstufe

Linardon et al. (2025): 0% der Kliniker:innen nutzen bereits KI — 0% stimmen zu, dass KI ohne Schulung fehlerhaft eingesetzt werden könnte

Existiert eine KI-Nutzungsrichtlinie für Ihr Institut?

Mittleres bis hohes Risiko

Klinische Praxis

KI-Assistenz bei Dokumentation, Diagnostik, Interventionsplanung

Halluzination: LLMs generieren plausible, aber falsche klinische Inhalte

Gender-Bias bei klinischen Notizen nachgewiesen (Rickman, 2025)

Sprachglättung = Bedeutungsverschiebung im therapeutischen Kontext

0% der LLM-Mental-Health-Studien verwenden Querschnittsdesigns — keine evaluiert Multi-Sitzungs-Konsistenz (MDPI Electronics, 2025)

Brown-University-Studie (März 2026): 15 distinkte ethische Risiken von LLM-Therapeuten — ChatGPT, Claude und Llama verstoßen konsistent gegen APA-Ethikstandards

Wird jede KI-generierte Notiz manuell geprüft und gegengezeichnet?

Niedriges bis mittleres Risiko

Administration

Terminverwaltung, Abrechnung, Qualitätssicherung

Auch administrative Daten können Personenbezug aufweisen

Terminlisten + Diagnosen = Re-Identifizierung möglich

Consumer-Chatbots für rein generische Texte ohne Patientenbezug nutzbar

Wagner & Schwind (2025): 0% der befragten Psychotherapeut:innen identifizieren sich als technisch nicht versiert

Ist die Trennung von Patienten- und Verwaltungsdaten technisch umgesetzt?

Best-Practice-Framework: Drei Schutzebenen

Die Schutzmaßnahmen bauen aufeinander auf: Technische Maßnahmen bilden die Basis, rechtlich-prozessuale Maßnahmen den Rahmen, institutionelle Governance das Dach. Priorisierung nach dem Couch-&-Agora-Stufenmodell (2026) und DSK-Orientierungshilfe (2024).

Couch-&-Agora-Stufenmodell (2026): Datensensitivität bestimmt den zulässigen Tool-Typ. Das T-Stufenmodell (T0–T11) definiert vier Ampelzonen:

Grün T0–T1

Generische Texte ohne Personenbezug (Praxiswebsite, allgemeine Informationen) — alle Systeme erlaubt, auch Consumer-Chatbots.

Gelb T2–T3

Grob pseudonymisierte Fallskizzen — nur Enterprise-Tools mit AVV zulässig (z. B. Microsoft 365 Copilot, spezialisierte DACH-Tools).

Orange T4–T6

Reiches klinisches Material (Verlaufsnotizen, OPD-Formulierungen) — nur lokale oder streng kontrollierte Setups mit § 203-Zusatz. DSFA naheliegend.

Rot T7–T11

Direkt identifizierende Daten (Echtsitzungs-Transkripte, Lehrvideos) — keine externe KI-Verarbeitung zulässig. Nur Air-Gap / On-Premises.

Technisch

Technische Maßnahmen

Pflicht: Anonymisierung/Pseudonymisierung vor jeder LLM-Nutzung. AES-256-Verschlüsselung at rest und in transit.

Pflicht: EU-Hosting (DSGVO-konformer Standort). Kein Drittlandtransfer ohne Angemessenheitsbeschluss.

Empfohlen: Zero-Data-Retention-Vereinbarung. Kein Modelltraining mit Eingabedaten.

Empfohlen: 2-Faktor-Authentifizierung, rollenbasierte Zugriffskontrolle, Audit-Logs.

Best Practice: Lokale/On-Premises-Modelle für höchstsensible Daten. Air-Gap für Echtsitzungsmaterial.

Best Practice: Prompt-Injection-Schutz. Automatisierte PII-Erkennung vor API-Calls.

Rechtlich

Rechtlich-prozessuale Maßnahmen

AVV: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO plus § 203-Zusatzvereinbarung mit jedem KI-Anbieter.

DSFA: Datenschutz-Folgenabschätzung vor Einsatz jedes neuen KI-Systems bei Patientendaten.

Einwilligung: Ausdrückliche, informierte Patient:inneneinwilligung, die KI-Nutzung spezifisch benennt.

VVT: Verzeichnis der Verarbeitungstätigkeiten um KI-Systeme ergänzen (Zweck, Modell, Datenflüsse).

Due Diligence: 10-Punkte-Prüfung bei Tool-Auswahl (AVV, Hosting, Training, Löschkonzept, C5-Zertifizierung).

Audit-Trail: Metadaten-Protokollierung (Tool, Template, Hash, Reviewer) ohne Patientendaten im Log.

Institutionell

Institutionelle Governance

KI-Kompetenz: Art. 4 EU AI Act — alle KI-nutzenden Mitarbeitenden müssen geschult sein (seit 02/2025).

Rollen: KI-Verantwortliche/r benennen. Datenschutzbeauftragte:r in KI-Entscheidungen einbinden.

Freigabe: Formaler Genehmigungsprozess für jedes neue KI-Tool vor dem Einsatz.

Schulung: Minimum-Curriculum: DSGVO-Grundlagen, § 203-Problematik, Prompt-Hygiene, Halluzinationserkennung.

Vorfallmanagement: Meldewege für KI-bezogene Datenschutzverletzungen definiert und geübt.

Review-Zyklen: Halbjährliche Überprüfung aller KI-Nutzungen auf regulatorische Änderungen.

Readiness-Modell: Wo steht Ihre Einrichtung?

Drei Reifegradstufen, differenziert nach Einrichtungstyp. Das Grundniveau ist rechtlich unverzichtbar — alles darunter bedeutet, dass KI-Einsatz nicht rechtskonform möglich ist.

Universität

Grundniveau — Pflicht

DSB bestellt. VVT inkl. KI-Systeme. DSFA für KI-Forschung. Ethikvotum bei KI-Studien. Forschungsdatenmanagement nach DGPs-Standard. KI-Nutzungsrichtlinie für Studierende und Mitarbeitende.

Aufbauniveau — Geboten

Zentrale KI-Koordinationsstelle. Schulungsprogramm KI-Kompetenz. Standardisierte AVV-Vorlagen. Lokale Recheninfrastruktur für sensible Daten. Ethikkommission mit KI-Expertise.

Exzellenzniveau

Eigene KI-Policy für Psychologiefakultät. Federated Learning / Privacy-Preserving ML. Interdisziplinäre KI-Ethik-AG. Open-Source-Toolentwicklung. Internationale Forschungskooperationen mit harmonisierten DSGVO-Standards.

Ausbildungsinstitut

Grundniveau — Pflicht

KI-Nutzungsrichtlinie für Kandidat:innen und Supervisor:innen. § 203-konforme Tool-Freigabeliste. Einwilligungsvorlagen für KI-unterstützte Ausbildung. DSB bestellt. Verbot generischer Cloud-LLMs für Fallmaterial.

Aufbauniveau — Geboten

Integration KI-Kompetenz in Curriculum (BPtK Modul 5). Spezialisiertes DACH-Tool mit AVV und § 203-Zusatz. DSFA für Ambulanzbetrieb. Strukturierte Peer-Review für KI-generierte Dokumente.

Exzellenzniveau

KI-Ethik-Training für alle Kandidat:innen. Audit-Trail für KI-Nutzung. Kooperation mit Forschung für Evidenz-Evaluation. Vorreiterrolle in der Standesorganisation.

Ambulanz

Grundniveau — Pflicht

DSFA bei jedem KI-Einsatz obligatorisch. § 393 SGB V: C5-Zertifizierung der Software-Anbieter. Klare Zuständigkeiten zwischen Ausbildungsleitung, Supervisor:innen und Kandidat:innen. Getrennte Rechtsgrundlagen für Behandlung, Ausbildung und Forschung.

Aufbauniveau — Geboten

Spezialisiertes KI-Tool mit C5-Zertifizierung. Separate Datenfluss-Dokumentation für jeden Verarbeitungszweck. Strukturierte Peer-Review aller KI-generierten Dokumente vor Übernahme in Patientenakte.

Exzellenzniveau

Vollständiger Audit-Trail für KI-Nutzung. Forschungskooperation für Evidenz-Evaluation der KI-Qualität. Modellprojekt für sektorspezifische Leitlinien.

Praxis

Grundniveau — Pflicht

Interne KI-Nutzungsrichtlinie (1 Seite). Patient:inneninformation über KI-Einsatz. AVV + § 203-Zusatz mit jedem KI-Anbieter. Kein generischer Cloud-LLM für Patientendaten. Überprüfung jeder KI-Ausgabe.

Aufbauniveau — Geboten

Spezialisiertes KI-Dokumentationstool (EU-Hosting, C5-Zertifizierung). Safe-Prompt-Vorlagen für typische Anwendungsfälle. Fortbildung KI-Kompetenz (z.B. BPtK-Curriculum).

Exzellenzniveau

DSFA dokumentiert. Strukturierter Dreischritt-Workflow (Prüfen → Prompten → Reviewen). Kollegialer Austausch zu KI-Erfahrungen in Intervision. Audit-Trail-Dokumentation.

Sofort-Checkliste: Mindestanforderungen

Kompakte Mindestanforderungsliste — optimiert für den Ausdruck. Ohne vollständige Erfüllung des Grundniveaus ist kein rechtskonformer KI-Einsatz möglich.

Ausbildungsinstitute

KI-Nutzungsrichtlinie erstellt und an alle Kandidat:innen kommuniziert

Freigabeliste § 203-konformer Tools definiert

Generische Cloud-LLMs für Fallmaterial explizit verboten

Patient:inneneinwilligung enthält Klausel zu KI-Unterstützung

AVV + § 203-Zusatz mit jedem genutzten KI-Anbieter

DSB bestellt (Art. 37 DSGVO / § 38 BDSG)

DSFA für KI-Einsatz in der Ambulanz durchgeführt

KI-Kompetenz-Schulung für alle KI-nutzenden Personen (Art. 4 KI-VO)

Universitäten

VVT um alle KI-Verarbeitungstätigkeiten ergänzt

DSFA für KI-Forschungsprojekte mit Gesundheitsdaten

Ethikkommission informiert über KI-Nutzung in Studien

Forschungsdatenmanagement nach DGPs-Zugriffsklassen (0–3)

KI-Nutzungsrichtlinie für Lehrende und Studierende

Trennung von Forschungs-, Lehr- und klinischen Daten technisch umgesetzt

Rechtsgrundlage für KI-Training mit Patientendaten dokumentiert

Psychotherapeutische Praxis

Interne KI-Nutzungsrichtlinie erstellt (1 Seite genügt)

Patient:innen über KI-Nutzung informiert (Einwilligung)

Kein ChatGPT/Gemini für Texte mit Patientenbezug

Falls KI-Tool: AVV + § 203-Zusatz vorhanden

Jede KI-Ausgabe persönlich geprüft und gegengezeichnet

KI-Tool nutzt EU-Hosting, kein Training mit Eingabedaten

Grundlegende KI-Kompetenz vorhanden (Art. 4 KI-VO)

Sieben Prüffragen vor dem KI-Einsatz

Jede Einrichtung muss diese Fragen beantworten können, bevor ein KI-System in den Kontakt mit psychotherapeutischen Daten kommt. Ohne klare Antwort: kein konformer Einsatz möglich.

Verfügt der KI-Anbieter über einen AVV nach Art. 28 DSGVO und eine § 203-StGB-Zusatzvereinbarung?

Ohne beides ist die Verarbeitung von Patientendaten rechtswidrig. OpenAI bietet keine § 203-Zusatzvereinbarung an.

Werden Eingabedaten zum Training des KI-Modells verwendet — und ist das vertraglich ausgeschlossen?

Trainingsnutzung von Patientendaten ohne Einwilligung verstößt gegen Art. 9 DSGVO und die EDPB-Opinion 28/2024.

Wo werden die Daten verarbeitet — und ist der Standort DSGVO-konform?

EU-Hosting ist Mindeststandard. Drittlandtransfer nur mit Angemessenheitsbeschluss oder geeigneten Garantien.

Ist eine Datenschutz-Folgenabschätzung (DSFA) für den konkreten Einsatz durchgeführt worden?

Bei KI + Gesundheitsdaten + schutzbedürftige Betroffene: regelmäßig verpflichtend (Art. 35 DSGVO, DSK-Orientierungshilfe 2024).

Wer trägt die Letztverantwortung für KI-generierte Inhalte — und ist das dokumentiert?

Die Dokumentationspflicht (§ 630f BGB) verlangt persönliche, zeitnahe Dokumentation. KI-Halluzinationen sind nicht ausgeschlossen.

Sind Patient:innen ausdrücklich und spezifisch über den KI-Einsatz informiert und eingewilligt?

Art. 9 Abs. 2 lit. a DSGVO verlangt ausdrückliche Einwilligung. Generische Formulare reichen nicht.

Ist die KI-Kompetenz aller nutzenden Personen sichergestellt — und wie wird das nachgewiesen?

Art. 4 EU AI Act (KI-Kompetenz-Pflicht) gilt seit Februar 2025. Nachweispflicht liegt beim Betreiber.

Offene Rechtsfragen und Forschungslücken

Zehn zentrale ungelöste Fragen, die für die weitere Entwicklung entscheidend sind. Ohne Klärung bleibt die Grauzone zwischen Textglättung und diagnostischer Unterstützung rechtlich unsicher.

Rechtliche Fragen

1. Kumulative Anwendbarkeit Art. 6/9 DSGVO — Die DSK bejaht sie, Teile der Literatur verneinen sie. Eine EuGH-Vorlage des BAG ist anhängig.

2. Training vs. Einsatz — Ein auf Forschungsbasis trainiertes Modell braucht für den klinischen Einsatz eine eigene, separate Rechtsgrundlage.

3. Rechtsnatur KI-generierter Therapienotizen — Beweiskraft, Urheberschaft und Verhältnis zur persönlichen Dokumentationspflicht nach § 630f BGB sind völlig offen.

4. GPAI-Anbieterstatus — Wird eine Praxis, die ChatGPT für Dokumentation nutzt, zum „Anbieter" eines Hochrisiko-KI-Systems im Sinne des EU AI Act?

5. Fehlende sektorspezifische Leitlinien — Weder DGPPN noch EFPA haben KI-spezifische Stellungnahmen veröffentlicht. Eine gemeinsame Leitlinie von BPtK, DGPs, DGPPN und Datenschutzaufsicht fehlt.

Forschungslücken

6. Keine Langzeitstudien — 93% der LLM-Mental-Health-Studien verwenden Querschnittsdesigns. Keine Studie evaluiert Multi-Sitzungs-Konsistenz oder langfristige therapeutische Allianz.

7. Keine Implementierungsforschung — Empirische Forschung zur tatsächlichen KI-Implementierung in Ausbildungsinstituten existiert nicht.

8. Privacy-Preserving ML — Differential Privacy und Federated Learning müssen für die typischerweise kleinen klinischen Datensätze der Psychotherapieforschung optimiert werden.

9. Patient:innen-Perspektiven fehlen — Die Entwicklung erfolgt überwiegend top-down. Co-Design mit Betroffenen fehlt fast vollständig.

10. Transparenzlücken bei kommerziellen Tools — Bouguettaya et al. (2025) finden kritische Lücken bei LLM-Trainingsmethoden, verwendeten Modellen, Bias-Korrekturtechniken und Evidenzbewertungsmethoden.

Spezialisierte Tools im DACH-Raum

Die Nutzung generischer LLMs ist für Patientendaten nicht zulässig. Spezialisierte Anbieter adressieren die spezifischen Compliance-Anforderungen der Psychotherapie mit unterschiedlichen Ansätzen. Hinweis: Der Autor dieser Handreichung ist Gründer von duktus — dies ist im Sinne der Transparenz offenzulegen.

duktus

duktus.ai

KI-Dokumentationsassistent speziell für Psychotherapeut:innen. Unterstützt PTV3-Anträge, Kassenberichte und Sitzungsprotokolle für VT, TP, analytische und systemische Therapie. Mehrstufige Anonymisierung vor LLM-Verarbeitung.

AWS Frankfurt E2E-Verschlüsselung No-Training-Klausel & Zero-Retention PiA-Fokus § 203-Zusatz

VIA HealthTech

via-health.de

KI-gestützte Sitzungsnotizen und Berichte mit BSI-C5-Zertifizierung (einziger Anbieter, Stand Oktober 2025). Null-Speicher-Architektur — alle Patientendaten werden bis Tagesende gelöscht. Wissenschaftliche Evaluation an der MHB Brandenburg.

BSI C5 ISO 27001 Zero-Retention § 203-Zusatz

Lokale Open-Source-Modelle

z.B. Llama, Mistral auf eigener Infrastruktur

Höchste Datensouveränität durch On-Premises-Betrieb. Gireesh et al. (2025) zeigen: Fine-tuned Modelle auf Consumer-Hardware liefern klinisch akzeptable Qualität. Erfordert professionellen IT-Betrieb.

Volle Kontrolle Kein Drittlandtransfer IT-Expertise nötig

Transparenzhinweis: Der Autor (Joshua Quattek) ist Gründer von duktus. Diese Handreichung ist als unabhängige Forschungsarbeit konzipiert. Alle genannten Tools wurden auf Basis öffentlich zugänglicher Informationen und Rechercheergebnisse beschrieben. Eine vollständige Marktübersicht ist nicht beabsichtigt — weitere Anbieter existieren.

Quellennachweis und Methodik

Diese Handreichung basiert auf einer systematischen Recherche mit über 30 gezielten Suchanfragen im Zeitraum Januar–März 2026. Berücksichtigt wurden Primärgesetzgebung, behördliche Leitlinien, Fachverbandsstellungnahmen, peer-reviewed Forschung und Praxisberichte.

DSGVO — Verordnung (EU) 2016/679, insb. Art. 4, 6, 9, 22, 25, 28, 35, 89

EU AI Act — Verordnung (EU) 2024/1689, insb. Art. 2, 4, 6, Anhang III

§ 203 StGB — Verletzung von Privatgeheimnissen, Fassung nach ÄndG 2017

PsychThG — Psychotherapeutengesetz, Neufassung 2020

BDSG — § 22 (Verarbeitung besonderer Kategorien), § 27 (Forschung), § 38 (DSB-Pflicht)

BPtK (2026) — Praxis-Info „Administrative KI in Ihrer Praxis", 25.02.2026

BPtK (2026) — Curriculum „Digitalisierung", Modul 5: KI und psychotherapeutische Versorgung

DSK (2024) — Orientierungshilfe „KI und Datenschutz", Mai 2024

EDPB (2024) — Opinion 28/2024 on AI models and GDPR, Dezember 2024

APA (2025) — Ethical Guidance for AI in Professional Practice, Juni 2025

DGPs — Stellungnahme „KI-basierte Systeme als Ersatz für Psychotherapie — ein eindeutiges Nein"

DGPs (2021) — Empfehlungen zum Forschungsdatenmanagement in der Psychologie

Finck (2025) — Challenges in applying the EU AI Act research exemptions, npj Digital Medicine

Meszaros, Huys & Ioannidis (2026) — Navigating the EU AI Act for Healthcare, npj Digital Medicine

Couch & Agora (2026) — KI und Datenschutz in der Psychotherapie: Praxisleitfaden, Februar 2026

Wagner & Schwind (2025) — AI acceptance among German psychotherapists, BMC Psychology

Linardon et al. (2025) — AI use among mental health clinicians, internationale Befragung

Gireesh et al. (2025) — Fine-tuned LLMs for clinical documentation, Drug and Alcohol Review

Rickman (2025) — Gender bias in AI-generated clinical notes

Bouguettaya et al. (2025) — Commercial AI documentation tools review, General Hospital Psychiatry

MDPI Electronics (2025) — Systematic Review of LLMs in Mental Health

KBV (2025) — Praxiswissen: Künstliche Intelligenz

LfDI Baden-Württemberg — Rechtsgrundlagen Datenschutz beim Einsatz von KI

Grant Thornton (2025) — KI-Verordnung: Hochrisiko-KI im Gesundheitswesen

Gasteyer (2024) — KI: Berufsrechtliche Risiken und Regulierung, Anwaltsblatt 11/2024

Nazir & Choubisa (2026) — KI-Erfahrung und Datenschutzbedenken bei Psychotherapeut:innen

Brown University (2026) — 15 ethische Risiken von LLM-Therapeuten: ChatGPT, Claude und Llama vs. APA-Ethikstandards

Gore & Dove (2024) — Studentische Studie zu KI-Nutzung in der psychotherapeutischen Ausbildung

PsyRAI — Universität Trier/DFKI: LLM-basiertes Feedback für empathische Kommunikation (Deliberate Practice)

HRK (2026) — KI-LOTSE: Servicestelle für KI-Integration an Hochschulen (2026–2029)

GDD — Zertifikat „AI-Privacy-Expert GDDcert. EU"

Letzter Recherchezugriff: 18. März 2026. Alle Webquellen wurden zum Zeitpunkt der Recherche auf Erreichbarkeit geprüft. Rechtsstand: März 2026 — EU AI Act gestaffelt in Kraft, KI-Durchführungsgesetz (DE) im Gesetzgebungsverfahren.

Über den Autor

Joshua Quattek

M.Sc. Data Science & Management, DBU Berlin

Forscher an der Schnittstelle von KI, Datenschutz und klinischer Psychologie. Gründer von duktus, einer KI-gestützten Dokumentationsplattform für Psychotherapeut:innen. Beruflicher Hintergrund in Machine Learning. Forschungsinteressen: DSGVO-konforme KI-Systeme im Gesundheitswesen, Mehrebenen-Regulierung von Hochrisiko-KI, Privacy-Preserving Machine Learning.

Fachfeedback und Korrekturen willkommen: Kontakt über duktus-ai.de

Hinweis zur Unabhängigkeit: Diese Handreichung ist eine unabhängige wissenschaftliche Arbeit. Sie wurde nicht im Auftrag eines Unternehmens, Instituts oder einer Fachgesellschaft erstellt. Der Autor legt seine Verbindung zu duktus im Sinne der wissenschaftlichen Transparenz offen. Alle Aussagen basieren auf den angegebenen Quellen und dem zum Recherchezeitpunkt geltenden Rechtsstand.