Blog26.06.2026 · 6 Min. Lesezeit

Arztpraxis automati­sieren: was geht – und was nicht

Was sich in der Arztpraxis wirklich automatisieren lässt – Termine, Recall, Telefon – und wo Art. 9 DSGVO und die ärztliche Schweigepflicht die Grenze ziehen.

„Können wir die Praxis nicht mal eben automatisieren?“ – diese Frage höre ich in Gesprächen mit Praxisinhaberinnen und Praxismanagern immer öfter. Die Antwort ist ein klares Jein. Eine Arztpraxis ist kein normaler Betrieb: Hier fließen Gesundheitsdaten, und die genießen besonderen Schutz. Dieser Artikel trennt für Sie sauber, was sich ohne rechtliches Risiko automatisieren lässt – und was zum geschützten Kern gehört, den Sie besser nicht antasten.

Warum eine Praxis anders tickt als ein normaler Betrieb

In einem Handwerksbetrieb oder Onlineshop dürfen Sie Daten weitgehend frei verarbeiten, solange Sie die Grundregeln der DSGVO einhalten. In der Praxis ist das Verhältnis umgekehrt: Gesundheitsdaten zählen nach Art. 9 Abs. 1 DSGVO zu den „besonderen Kategorien personenbezogener Daten“, deren Verarbeitung grundsätzlich untersagt ist. Erlaubt ist sie nur über eng gefasste Ausnahmen – für die Behandlung etwa über Art. 9 Abs. 2 lit. h in Verbindung mit Abs. 3: durch Personal, das einer Berufsgeheimnis-Pflicht unterliegt.

Dazu kommt die strafbewehrte ärztliche Schweigepflicht aus § 203 StGB. Ein Verstoß ist kein Bußgeld-Thema, sondern eine Straftat. Das heißt für die Automatisierung: Sobald ein Workflow medizinische Inhalte berührt, gelten andere Regeln als beim Versand eines Newsletters. Die gute Nachricht ist – der größte Zeitfresser einer Praxis steckt selten im medizinischen Kern, sondern in der Organisation drumherum.

Der geschützte Kern: Finger weg von PVS und TI

Bevor wir über Automatisierung reden, ein Bereich, der für generische Tools tabu ist: das Praxisverwaltungssystem (PVS) und die Telematikinfrastruktur (TI).

Das PVS – also Ihre eigentliche Praxissoftware mit Patientenakte, Abrechnung und Dokumentation – ist ein reguliertes, von der Kassenärztlichen Bundesvereinigung (KBV) zertifiziertes System. Anbindungen laufen über genormte Schnittstellen wie GDT (seit März 2024 in Version 3.5), die für Messgeräte und ergänzende Software gedacht sind – nicht für selbstgebaute Bastellösungen.

Die Telematikinfrastruktur ist laut gematik „die Plattform für Gesundheitsanwendungen in Deutschland“. Über sie laufen ePA (elektronische Patientenakte), E-Rezept, KIM und der TI-Messenger. Das ist ein geschlossenes, zugelassenes Netz mit eigener Kryptografie – ab 2026 sogar mit einem neuen Verfahren. Hier docken Sie nicht mit einem eigenen Skript an. Wer Ihnen verspricht, „die ePA per KI zu automatisieren“, verkauft Ihnen Risiko.

Merksatz: Alles, was diagnostische oder Behandlungsdaten enthält, bleibt im zertifizierten System. Automatisiert wird die Schale drumherum.

Wo Automatisierung wirklich Zeit spart

Die Peripherie einer Praxis ist voll von wiederkehrenden, regelbasierten Aufgaben, die heute Menschen am Empfang erledigen. Genau dort liegt das Potenzial:

  • Terminbestätigung und -erinnerung – die Erinnerung an einen vereinbarten Termin, automatisch per E-Mail oder SMS.
  • Online-Terminbuchung – Patienten buchen selbst, der freie Slot wird geblockt, das Team bekommt die Anfrage strukturiert.
  • Recall – die proaktive Einladung zur nächsten Vorsorge oder Kontrolle (rechtlich heikler, dazu gleich mehr).
  • Bewertungsanfragen – nach dem Besuch eine freundliche Bitte um Feedback.
  • Anamnese- und Aufnahmebögen – digital vorab ausgefüllt statt am Tresen auf Papier.
  • Telefon-Entlastung – Routineanfragen abfangen, bevor das Telefon klingelt.

Allen gemeinsam ist: Sie brauchen Name und Termin, nicht die Diagnose. Wer den Datenfluss konsequent auf das organisatorisch Nötige beschränkt, hält die heiklen Gesundheitsdaten von vornherein aus dem Workflow heraus. Welche dieser Aufgaben sich für Ihre Praxis zuerst lohnt, klären Sie mit denselben Kriterien, die ich auch sonst empfehle – Volumen, Regelbarkeit, Datenlage (siehe welche Prozesse Sie zuerst automatisieren sollten). Die Telefon-Entlastung habe ich in einem eigenen Beitrag zum KI-Telefonassistenten ausführlich behandelt.

Terminerinnerung ja, Recall nur mit Einwilligung

Hier liegt der häufigste Rechtsfehler – und er ist vermeidbar. Juristisch werden zwei Dinge sauber unterschieden, die im Alltag oft in einen Topf wandern:

Eine Terminerinnerung an einen bereits vereinbarten Termin ist eine organisatorische Nachricht. Sie ist vom Behandlungsvertrag gedeckt und gilt nicht als Werbung. Ein Recall dagegen – die proaktive Einladung zu einem neuen Vorsorge- oder Kontrolltermin – wird in der Rechtsprechung regelmäßig als Werbung eingeordnet. Und elektronische Werbung per E-Mail oder SMS ist nach § 7 Abs. 2 UWG nur mit vorheriger, ausdrücklicher Einwilligung zulässig.

Die Terminerinnerung an einen vereinbarten Termin braucht keine separate Einwilligung – sie ist Teil der Behandlungsorganisation. Der Recall als proaktive Einladung zur nächsten Vorsorge gilt dagegen als Werbung und verlangt ein dokumentiertes Opt-in. Diese Einwilligung gehört wegen des Kopplungsverbots getrennt eingeholt, nicht versteckt im Anamnesebogen.

Praktisch heißt das: Bauen Sie zwei Workflows, nicht einen. Der Erinnerungs-Workflow läuft für alle anstehenden Termine. Der Recall-Workflow zieht nur Patienten heran, für die ein gültiges, getrennt erteiltes Opt-in vorliegt – sauber dokumentiert mit Kanal, Zweck und Datum. Diese Trennung im Workflow abzubilden ist technisch trivial und spart Ihnen im Streitfall den Beweisärger.

So sieht ein datenschutzkonformer Workflow aus

Nehmen wir die Terminerinnerung als Beispiel. Mit einem Tool wie n8n besteht der Ablauf aus wenigen, nachvollziehbaren Schritten:

  1. Ein Schedule Trigger läuft jeden Morgen und fragt die Termine des Folgetags ab.
  2. Pro Termin wird eine Nachricht zusammengesetzt – mit Name, Datum, Uhrzeit und Praxisadresse. Keine Behandlungsdetails.
  3. Der Versand läuft über einen E-Mail- oder SMS-Dienst mit Serverstandort in der EU.
  4. Ein Statusfeld wird zurückgeschrieben, damit niemand zweimal erinnert wird.

Damit das rechtssicher bleibt, sind drei Dinge nicht verhandelbar:

  • Auftragsverarbeitungsvertrag (AVV): Jeder externe Dienst, der Patientendaten sieht – SMS-Gateway, E-Mail-Provider, Buchungstool – braucht einen AVV nach Art. 28 DSGVO. Die Grundlagen dazu habe ich in der DSGVO-Checkliste für Automatisierungsprojekte zusammengefasst.
  • Schweigepflicht weiterreichen: § 203 Abs. 3 StGB erlaubt das Einbinden „mitwirkender Personen“, soweit es erforderlich ist – aber Abs. 4 verlangt, dass diese Dienstleister ausdrücklich zur Geheimhaltung verpflichtet werden. Das gehört in den Vertrag.
  • Keine Gesundheitsdaten durch generische Cloud-KI: Ein allgemeines Sprachmodell zur Formulierung einer Terminerinnerung ist unkritisch, solange kein Befund hineingerät. Sobald Diagnosen oder Symptome im Spiel sind, ist der generische Cloud-Dienst die falsche Wahl.

Der entscheidende Hebel ist Datenminimierung: Was nie in den Workflow gelangt, muss auch nicht geschützt werden.

Was ich Praxen rate, bevor sie loslegen

Aus der Beratungsperspektive eine einfache Reihenfolge: Fangen Sie an der Peripherie an – Terminerinnerung, Online-Buchung, Bewertungsanfrage. Das bringt spürbare Entlastung am Empfang, ohne die heiklen Daten zu berühren. Holen Sie für jeden Recall-Kanal ein getrenntes Opt-in ein. Und lassen Sie die Verträge (AVV, Verschwiegenheit) von Ihrer oder Ihrem Datenschutzbeauftragten gegenlesen, bevor der erste Workflow live geht.

Anbieter werben gern mit dramatisch weniger Terminausfällen. Ob die Zahlen für Ihre Praxis stimmen, lässt sich vorab kaum seriös sagen – der belastbare Gewinn ist zunächst ein anderer: Ihr Team telefoniert weniger hinterher und füllt weniger Papier ab. Wie so etwas in der Praxis aussieht, zeigen die typischen Anwendungsfälle aus anderen Branchen, die sich auf eine Praxis übertragen lassen.

Wenn Sie wissen wollen, welche Abläufe in Ihrer Praxis sich ohne rechtliches Risiko automatisieren lassen, schauen wir uns das gemeinsam an: Im kostenlosen Prozess-Check gehen wir Ihre Empfangs- und Organisationsprozesse durch und sortieren ehrlich, was sich lohnt – und was besser im zertifizierten System bleibt.

Kostenloses Erstgespräch

Diesen Prozess bei Ihnen umsetzen? Prozess-Check

Sie beschreiben 1–2 Prozesse, ich sage Ihnen ehrlich, was Automatisierung bringt – und was nicht.

Kostenlosen Prozess-Check anfragen

DSGVO-konform · 100 % vertraulich · Keine Kosten