Ist Actio DSGVO-konform?

Ja. Die Architektur ist auf europäisches Datenschutzrecht ausgelegt — nicht nachträglich zertifiziert. EU-Datenresidenz im Standard, dokumentierte Auftragsverarbeitungsverträge (Art. 28 DSGVO) mit allen Subauftragnehmern, Standardvertragsklauseln für jeglichen Drittlandtransfer.

Wo werden unsere Daten gespeichert?

Standardmäßig auf Servern innerhalb der EU. Für Häuser mit strengeren IT-Richtlinien bieten wir eine On-Premises-Option — vollständiger Betrieb hinter Ihrer Firewall, keine Daten verlassen Ihre Infrastruktur.

Integriert sich Actio in unser bestehendes KIS/HIS?

Ja, über standardisierte HL7- und FHIR-Schnittstellen. Keine Migration der Kernsoftware, keine Ablösung bestehender Systeme. Actio läuft parallel zu Ihrem HIS und ergänzt es agentisch.

Pro Agent, monatlich. Preis auf Anfrage. Keine Jahresverträge — Sie können jederzeit zum Monatsende kündigen.

Wie lange dauert die Implementierung?

Vom Briefing bis zum Live-Betrieb: typisch 2–3 Wochen für den ersten Agenten. Zum Vergleich: klassische HIS-Projekte dauern 6–18 Monate.

Treffen Actio-Agenten medizinische Entscheidungen?

Nein. Kein Agent trifft eine medizinische Entscheidung. Jeder Output wird dem zuständigen Arzt oder Administrator zur Freigabe vorgelegt — immer. Der Agent dokumentiert, schlägt vor, verarbeitet — der Mensch entscheidet.

← Wissen

2026-06-19 · 6 min

DSGVO-konforme KI im Krankenhaus: Was wirklich gefordert ist — und was nicht

Sobald 'KI' und 'Patientendaten' im selben Satz stehen, wird die Diskussion schnell maximal vorsichtig: Alles muss on-premise laufen, keine US-Dienste, am besten gar keine Cloud. Vieles davon ist gut gemeint — und rechtlich nicht gefordert. Für administrative KI im Krankenhaus lohnt es sich, die echten Pflichten von der Überengineering-Folklore zu trennen.

Hinweis: Dieser Beitrag ist eine fachliche Einordnung, keine Rechtsberatung. Die abschließende Bewertung gehört zu Ihrer Datenschutzbeauftragten und Ihrem Justiziariat.

On-Premise ist eine Option, keine Pflicht

Für administrative Daten — Besprechungsprotokolle, Rechnungen, Verwaltungsdokumente — verlangt die DSGVO keine On-Premise-Installation und kein lokales Sprachmodell. Eine EU-Cloud-Architektur mit Auftragsverarbeitungsverträgen (Art. 28) und sauber geregelten Drittlandtransfers (Art. 44 ff. — DPF-Angemessenheit bzw. Standardvertragsklauseln plus Transfer-Impact-Assessment) ist rechtlich tragfähig. On-Prem und lokale Verarbeitung sind ein sinnvoller Vertrauens- und Vertriebshebel — aber eine Entscheidung, keine gesetzliche Vorgabe.

Was tatsächlich verpflichtend ist

—Auftragsverarbeitungsvertrag (AVV) mit jedem Anbieter — und eine Klausel, die das Training fremder Modelle mit Ihren Daten ausschließt.
—Saubere Drittland-Transfermechanik, wenn US-Subdienstleister im Spiel sind (DPF/SCC plus TIA).
—Berufsgeheimnis (§ 203 StGB) zusätzlich zur DSGVO: externe Dienstleister müssen gesondert zur Verschwiegenheit verpflichtet werden.
—Mitbestimmung: Werden Mitarbeitergespräche aufgezeichnet, ist das eine Kontrollmaßnahme — der Betriebs-/Personalrat muss zustimmen (§ 96 ArbVG bzw. § 87 BetrVG).

Der größte echte Stolperstein: der weite Gesundheitsdaten-Begriff

Die DSGVO definiert Gesundheitsdaten sehr breit. Erwähnt ein Leitungsprotokoll beiläufig einen Patienten und seinen Zustand, entstehen besondere Kategorien nach Art. 9 — auch wenn das Produkt 'nur administrativ' ist. Die saubere Antwort ist Design, nicht Etikett: Patientendaten vertraglich und technisch ausschließen (klare Aufnahme-Steuerung, keine verdeckte Aufzeichnung) und beiläufige Erwähnungen unter dem strengeren Regime behandeln.

Und der EU AI Act?

Reine Transkription und Zusammenfassung von Verwaltungsbesprechungen ist nicht 'hochriskant' im Sinne des EU AI Act — und administrative Dokumentation ist kein Medizinprodukt, fällt also nicht unter die MDR. Das ist ein Verkaufsargument, kein Hindernis: Sie bekommen den Nutzen ohne die Konformitäts-Last klinischer KI.

Die Quintessenz

Verlangen Sie das Richtige: AVV mit Trainings-Verbot, geregelte Transfers, Berufsgeheimnis-Bindung, Betriebsvereinbarung, EU-Datenresidenz. Verlangen Sie nicht reflexhaft On-Prem, wenn EU-Cloud genügt — und behandeln Sie Compliance als das, was sie hier ist: ein Wettbewerbsvorteil, kein Bremsklotz. Genau so baut Actio: europäisch, souverän, kein Training mit Ihren Daten.

Wollen Sie das vollständige Dossier?

Diese Architektur plus indikative Einsparung pro Agent für Ihr Haus. Sie wählen, welchen Agenten wir zuerst gemeinsam bauen.

Dossier anfordern→