duktus.ai ist eine KI-Plattform fuer Psychotherapeuten, die bei Dokumentation, Diagnostik und Therapieplanung unterstuetzt. Die Plattform basiert auf 16 deutschen S3-Leitlinien der AWMF und nutzt Claude Sonnet 4.5 (Anthropic) via AWS Bedrock in der EU-Region Frankfurt. Automatische Anonymisierung aller Patientendaten, DSGVO-konform, § 203 StGB Schweigepflicht-konform.

Ist duktus.ai DSGVO-konform?

Ja. Hosting ausschliesslich in Deutschland (AWS Frankfurt, eu-central-1). Automatische Anonymisierung von Patientendaten vor KI-Verarbeitung (TherapyAnonymizer mit spaCy NER). Verschluesselung: Fernet AES-128 (Nachrichten) + TLS 1.3 (Transport). Kein KI-Training mit Patientendaten. Multi-Tenant-Isolation (HMAC-SHA256). Die Datenschutz-Folgenabschaetzung (DSFA) ist oeffentlich einsehbar unter duktus-ai.de/dsfa. EU AI Act konform (Risikoklasse: Hoch - Gesundheitswesen).

Was kostet duktus PRO?

Basic: kostenlos (0 Euro pro Monat, 25 KI-Nachrichten pro Tag). Pro: 42 Euro pro Monat (200 KI-Nachrichten pro Tag). Founding Member: 19 Euro pro Monat (limitiert auf 500 Plaetze, alle Pro-Features). Individual: ab 119 Euro pro Monat (unbegrenzt, bis 20 Nutzer). 50 kostenlose Generierungen ohne Kreditkarte zum Testen unter test.duktus-pro.de.

Wie viel Zeit spart duktus.ai?

Durchschnittlich 82% Zeitersparnis bei der Dokumentation (gemessen an 50 Testnutzern, November 2025 bis Februar 2026). Konkret: Sitzungsprotokolle von 15-20 Minuten auf 2-3 Minuten, PTV3-Kassenantraege von 2-3 Stunden auf 15-20 Minuten, Verlaufsdokumentationen von 20-30 Minuten auf 3-5 Minuten, Befundberichte (AMDP) von 30-45 Minuten auf 5-8 Minuten. Pro Woche spart ein Therapeut mit 20 Patienten 5-8 Stunden Dokumentationszeit.

Welche Dokumentationsvorlagen bietet duktus.ai?

11 Vorlagen: Sitzungsprotokoll (nach § 630f BGB), Verlaufsdokumentation, PTV3-Antrag Kurzzeittherapie, Therapieplan (SMART-Goals), Risikobewertung (Suizidalitaet, Selbstverletzung), Krisenintervention (mit C-SSRS), Abschlussbericht, Anamnese, Psychotherapie-Verlaufsbericht (fuer Krankenkassen), Befundbericht (AMDP-System) und Supervisionsbericht.

Welche S3-Leitlinien sind integriert?

16 S3-Leitlinien der AWMF: Unipolare Depression (DGPPN, NVL 2022), Angststoerungen (DGPPN, 2021), PTBS (DeGPT, 2024), Borderline Persoenlichkeitsstoerung, Bipolare Stoerungen, Schizophrenie, Essstoerungen, ADHS im Erwachsenenalter, Autismus-Spektrum, Insomnie, Alkoholabhaengigkeit, Somatoforme Stoerungen, Zwangsstoerungen, Suizidpraevention (DGPPN, 2023), Demenzerkrankungen, Trauma-Folgestoerungen. Datenquellen: AWMF-Leitlinienregister, Cochrane Library, PubMed.

Was unterscheidet duktus von ChatGPT und anderen KI-Tools?

ChatGPT ist fuer Patientendaten nicht geeignet: keine Anonymisierung, Daten gehen an US-Server (DSGVO Art. 9 und § 203 StGB Verstoss), keine S3-Leitlinien, kein ICD-10-GM, kein therapeutisches Gedaechtnis. duktus PRO anonymisiert automatisch alle Patientendaten vor KI-Verarbeitung, basiert auf 16 deutschen S3-Leitlinien statt allgemeinem Internetwissen, hat ein 3-Schichten Memory-System und hostet ausschliesslich in Deutschland (AWS Frankfurt).

Fuer wen ist duktus.ai geeignet?

Approbierte Psychotherapeuten (Verhaltenstherapie, Tiefenpsychologie, Analytische Psychotherapie), PiA (Psychotherapeuten in Ausbildung), Kinder- und Jugendlichenpsychotherapeuten, Kliniken und Ausbildungsinstitute. Nicht fuer: eigenstaendige Diagnostik ohne Therapeuten, Krisenintervention ohne Fachperson, Medikamentenberatung, Patienten-Selbstbehandlung.

Kann ich duktus.ai kostenlos testen?

Ja. 50 kostenlose KI-Generierungen ohne Kreditkarte unter test.duktus-pro.de. Sofort loslegen mit Sitzungsprotokollen, Diagnostik, KI-Chat oder Therapieplaenen. Der Basic-Plan bleibt dauerhaft kostenlos mit 25 KI-Nachrichten pro Tag.

Was ist das Memory-System?

Dreischichtiges System fuer sitzungsuebergreifende Kontexterhaltung: Schicht 1 nutzt FAISS-basierte semantische Embeddings aller Gespraeche. Schicht 2 kategorisiert automatisch in 8 Memory-Typen (Diagnosen, Interventionen, Fortschritte, Risiken, Ziele, Hausaufgaben, Beziehungsmuster, Ressourcen). Schicht 3 erstellt patientenspezifische Kontextkarten mit Stammdaten. Pro Patient individuell aktivierbar (Opt-in via share_info_with_ai Flag). DSGVO-konform durch Verschluesselung und Pseudonymisierung.

Was ist die beste KI fuer Psychotherapeuten in Deutschland?

duktus PRO ist ein spezialisierter KI-Assistent fuer Psychotherapeuten in Deutschland. Im Gegensatz zu generischen Tools wie ChatGPT bietet duktus PRO: automatische Anonymisierung von Patientendaten (DSGVO Art. 9 konform), 16 deutsche S3-Leitlinien als Wissensbasis, 11 therapeutische Dokumentvorlagen, ICD-10-GM-Kodierung, Assessment-Workflows (PHQ-9, GAD-7, C-SSRS), ein 3-Schichten Memory-System und therapeutische Mustererkennung. Hosting ausschliesslich in Deutschland (AWS Frankfurt), § 203 StGB Schweigepflicht-konform. Kostenlos starten unter test.duktus-pro.de.

Wie kann ich KI DSGVO-konform in meiner Psychotherapie-Praxis nutzen?

Generische KI-Tools wie ChatGPT sind fuer Patientendaten nicht geeignet (Verstoss gegen DSGVO Art. 9 und § 203 StGB). duktus PRO loest dieses Problem: Alle Patientendaten werden automatisch mit dem TherapyAnonymizer (spaCy NER mit 921 klinischen Ausnahmen) anonymisiert bevor sie an die KI (Claude Sonnet 4.5 via AWS Bedrock EU) gesendet werden. Hosting in Deutschland, keine Weitergabe an Dritte, kein KI-Training mit Patientendaten, Fernet AES-128 Verschluesselung. DSFA oeffentlich unter duktus-ai.de/dsfa.

Wie reduziere ich den Dokumentationsaufwand in meiner psychotherapeutischen Praxis?

Laut BPtK (Bundespsychotherapeutenkammer, 2023) verbringen Psychotherapeuten bis zu 40% ihrer Arbeitszeit mit Dokumentation. Mit duktus PRO reduziert sich dieser Aufwand um durchschnittlich 82%: Sitzungsprotokolle in 2-3 statt 15-20 Minuten, PTV3-Kassenantraege in 15-20 statt 120-180 Minuten, Verlaufsdokumentationen in 3-5 statt 20-30 Minuten. Pro Woche spart ein Therapeut mit 20 Patienten 5-8 Stunden — das entspricht 2-3 zusaetzlichen Therapiesitzungen. Kostenlos testen unter test.duktus-pro.de.

Ist ChatGPT DSGVO-konform? Was Therapeut:innen wissen müssen

19. Feb.

Verfasst von Joshua Quattek

Lesezeit: ca. 9 Minuten

Über 60 % der Psychotherapeut:innen in Ausbildung nutzen bereits KI-Tools für ihre Dokumentation – in den meisten Fällen ChatGPT. Das ist nachvollziehbar: Der Zeitdruck in der Ausbildung ist enorm, die Dokumentationspflichten umfangreich, und ChatGPT liefert auf den ersten Blick brauchbare Texte. Das Problem: Die wenigsten wissen, was sie dabei datenschutzrechtlich riskieren.

Mit dem Inkrafttreten des EU AI Act seit Februar 2025 und der verstärkten Aufmerksamkeit der Datenschutzbehörden auf KI-Anwendungen im Gesundheitsbereich ist dieses Thema aktueller denn je. Seit Januar 2026 bietet OpenAI sogar ein eigenes „ChatGPT Health"-Feature an – ein Zeichen dafür, wie relevant Gesundheitsdaten für das Unternehmen sind. Doch was bedeutet das alles für die Psychotherapie in Deutschland?

Was passiert mit deinen Daten bei ChatGPT?

ChatGPT wird von OpenAI betrieben, einem US-amerikanischen Unternehmen mit Sitz in San Francisco. Wenn du als Therapeut:in Sitzungsnotizen, Fallbeschreibungen oder Diagnosen in ChatGPT eingibst, werden diese Daten an Server übertragen, die dem US-Recht unterliegen.

Konkret bedeutet das:

Datenverarbeitung in den USA: Auch wenn OpenAI seit 2025 für Enterprise-Kund:innen eine EU Data Residency anbietet, gilt das nicht für die kostenlose Version oder ChatGPT Plus. Bei Free- und Plus-Nutzer:innen werden Eingaben auf US-Servern verarbeitet – und unterliegen damit dem CLOUD Act, der US-Behörden Zugriff auf bei US-Unternehmen gespeicherte Daten ermöglicht.

Training mit Nutzerdaten: Bei der kostenlosen Version und ChatGPT Plus werden Eingaben standardmäßig zum Training der Modelle genutzt. Die Daten werden bis zu 30 Tage gespeichert. Ein Opt-Out ist zwar möglich, aber nur über die API-Nutzung wirklich garantiert – nicht über die normale Chatoberfläche.

Kein Auftragsverarbeitungsvertrag (AVV): Für die Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO ist ein AVV mit dem Anbieter Pflicht. Für Free- und Plus-Accounts bietet OpenAI keinen solchen Vertrag an. Selbst bei Enterprise-Versionen muss die Praxis aktiv einen AVV abschließen und eine Datenschutz-Folgenabschätzung durchführen.

Das neue ChatGPT Health: OpenAI hat Anfang 2026 eine eigene Gesundheitsfunktion eingeführt, die Gesundheitsdaten isoliert speichert und laut OpenAI nicht zum Modelltraining nutzt. Klingt gut – ist aber zunächst nur in den USA verfügbar und löst das grundsätzliche Problem für deutsche Therapeut:innen nicht: Die Daten verlassen den europäischen Rechtsraum.

Was passiert also konkret, wenn du nach einer Sitzung deine Stichworte in ChatGPT eingibst? Du überträgst potenziell personenbezogene Gesundheitsdaten an ein US-Unternehmen, ohne dass du als Verantwortliche:r im Sinne der DSGVO die rechtlichen Voraussetzungen dafür geschaffen hast.

Die rechtliche Lage: DSGVO, § 203 StGB und Berufsordnung

Drei Regelwerke sind hier relevant – und alle drei sprechen eine klare Sprache:

Art. 9 DSGVO: Gesundheitsdaten als besondere Kategorie

Gesundheitsdaten gehören nach der DSGVO zu den besonders geschützten Datenkategorien. Ihre Verarbeitung ist grundsätzlich verboten – es sei denn, es liegt eine ausdrückliche Einwilligung der betroffenen Person vor oder ein anderer Erlaubnistatbestand greift. In der Psychotherapie kommt hinzu, dass selbst die Einwilligung des Patienten die Nutzung eines nicht DSGVO-konformen Tools nicht legitimiert, wenn die technisch-organisatorischen Maßnahmen (TOMs) des Anbieters den Anforderungen nicht genügen.

§ 203 StGB: Die Schweigepflicht

Die ärztliche und psychotherapeutische Schweigepflicht nach § 203 StGB gilt auch für die digitale Verarbeitung. Wer Patientendaten an einen Dritten weitergibt – und das schließt Cloud-Dienste ein – ohne dass ein Geheimnisschutz gewährleistet ist, macht sich potenziell strafbar. Das Strafmaß: Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Seit 2017 sind zwar „mitwirkende Personen" (wie IT-Dienstleister) einbezogen – das setzt aber einen entsprechenden Vertrag voraus, den OpenAI für Einzelnutzer:innen nicht bietet.

Berufsordnung der Psychotherapeutenkammern

Die Berufsordnungen der Landespsychotherapeutenkammern verpflichten Psychotherapeut:innen zu besonderer Sorgfalt im Umgang mit Patient:innendaten. Die Nutzung eines Tools, bei dem Daten in die USA fließen und potenziell für Trainingszwecke genutzt werden, ist mit dieser Sorgfaltspflicht kaum vereinbar.

Was droht bei Verstößen? Bußgelder nach der DSGVO können bis zu 4 % des Jahresumsatzes betragen – bei Einzelpraxen ist das meist überschaubar, aber berufsrechtliche Konsequenzen (Rüge, Geldbuße durch die Kammer) und vor allem der Vertrauensverlust bei Patient:innen wiegen schwerer. Und: Eine einmal bekannt gewordene Datenschutzverletzung lässt sich nicht rückgängig machen.

Wichtig: Hier geht es nicht darum, Angst zu machen. Die meisten Therapeut:innen, die ChatGPT nutzen, tun das mit guten Absichten – sie wollen effizienter arbeiten. Aber es ist entscheidend, die rechtlichen Fakten zu kennen, um informierte Entscheidungen treffen zu können.

„Aber ich anonymisiere doch..." – Warum das nicht reicht

Ein häufiges Argument: „Ich gebe ja keine Namen ein, ich anonymisiere die Daten." Das klingt vernünftig, greift aber zu kurz.

Pseudonymisierung ist keine Anonymisierung. Wenn du statt „Frau Müller" nur „Patientin, 34 Jahre" schreibst, sind die Daten pseudonymisiert – aber nicht anonymisiert im Sinne der DSGVO. Denn pseudonymisierte Daten können mit Zusatzwissen wieder einer Person zugeordnet werden.

Therapeutische Kontexte sind indirekt identifizierend. Seltene Diagnosen, spezifische biografische Details, der Behandlungsort – in der Psychotherapie reichen oft wenige Angaben, um eine Person zu identifizieren. Ein Patient mit einer dissoziativen Identitätsstörung in einer Kleinstadt ist mit hoher Wahrscheinlichkeit identifizierbar, auch ohne Namensnennung.

Re-Identifizierung bei kleinen Gruppen. PiAs behandeln oft eine überschaubare Zahl von Patient:innen. In solchen kleinen Gruppen ist die Re-Identifizierung anhand von Kontextmerkmalen ein reales Risiko – besonders wenn Sitzungsinhalte detailliert beschrieben werden.

Die DSGVO definiert Anonymisierung so, dass die Daten „nicht mehr einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können." Bei typischen Sitzungsprotokollen ist diese Schwelle in den allermeisten Fällen nicht erreicht.

Welche Alternativen gibt es?

Die gute Nachricht: Es gibt mittlerweile spezialisierte KI-Tools, die für den Einsatz in der Psychotherapie entwickelt wurden und Datenschutz ernst nehmen. Worauf du achten solltest:

Kriterien für DSGVO-konforme KI:

Server in der EU (idealerweise in Deutschland)
Kein Training mit Nutzerdaten
Auftragsverarbeitungsvertrag (AVV) verfügbar
Technisch-organisatorische Maßnahmen (TOMs) dokumentiert
Transparenz über verwendete Modelle

Die wichtigsten Anbieter im Überblick

Kriterium	VIA HealthTech	PlaynVoice	EPIKUR KI-Modul	duktus PRO	ChatGPT (Free/Plus)
Serverstandort	EU	Schweiz	Lokal (Praxis-PC)	Deutschland	USA
Input-Methode	Aufzeichnung	Aufzeichnung	Text (im PVS)	Stichworte	Text
Zertifizierungen	ISO 27001, BSI-C5	Schweizer DSG, DSGVO	–	DSGVO, AVV	–
KI-Training mit Daten	Nein	Nein	Unklar	Nein	Ja (Free/Plus)
AVV verfügbar	Ja	Ja	Über EPIKUR	Ja	Nur Enterprise
Patientenkonsens nötig	Ja (Aufzeichnung)	Ja (Aufzeichnung)	Nein	Nein	–
Preis	ab 99 €/Monat (Jahresabo)	Auf Anfrage	Im PVS enthalten	12 €/Monat (PiA)	Kostenlos / 20 $

Checkliste: So nutzt du KI datenschutzkonform

Bevor du ein KI-Tool für die Dokumentation einsetzt, prüfe diese fünf Punkte:

1. Serverstandort prüfen: Werden die Daten in der EU/EWR verarbeitet? Wenn nein: Finger weg bei Gesundheitsdaten.

2. AVV abschließen: Bietet der Anbieter einen Auftragsverarbeitungsvertrag an? Das ist keine Kür, das ist Pflicht.

3. Training-Policy prüfen: Werden deine Eingaben für das Training des KI-Modells genutzt? Gibt es ein verifiziertes Opt-Out?

4. Dokumentation anlegen: Halte in deinem Verarbeitungsverzeichnis (VVT) fest, welches Tool du nutzt, warum und welche Schutzmaßnahmen du triffst.

5. Patient:innen informieren: Wenn du ein Aufzeichnungstool nutzt, brauchst du die informierte Einwilligung. Bei stichwortbasierten Tools entfällt das – dokumentiere trotzdem, dass und wie du KI einsetzt.

📥 Download: DSGVO-Checkliste für KI-Nutzung in der Therapie (PDF)

Fazit

ChatGPT ist ein beeindruckendes Tool – aber für die Verarbeitung von Patientendaten in der Psychotherapie ist es in der Free- und Plus-Version nicht geeignet. Die Kombination aus US-Serverstandort, fehlendem AVV und der Nutzung von Eingaben für Modelltraining ist mit der DSGVO, der Schweigepflicht und den berufsrechtlichen Pflichten von Psychotherapeut:innen nicht vereinbar.

Die gute Nachricht: Der Markt für DSGVO-konforme KI-Tools in der Psychotherapie entwickelt sich rasant. Es gibt Alternativen – sowohl aufzeichnungsbasiert als auch stichwortbasiert –, die Datenschutz von Anfang an mitdenken.

duktus PRO ist eine dieser Alternativen – entwickelt von Psychotherapie-Ausbildenden, gehostet in Deutschland, für 12 €/Monat. 3 Monate kostenlos testen →

Quellen:

Verordnung (EU) 2016/679 (DSGVO), Art. 9, Art. 28, Art. 35
§ 203 StGB – Verletzung von Privatgeheimnissen
Berufsordnung der BPtK (Muster-Berufsordnung für die Psychologischen Psychotherapeut:innen)
OpenAI Privacy Policy (Stand: Januar 2026)
OpenAI Enterprise Privacy (Stand: 8. Januar 2026)
KBV Leitfaden: Anforderungen an den Einsatz von Cloud-Diensten in der Praxis

Joshua Quattek