DEEN
WZ-IT Logo

Lokale KI für Psychotherapie: §203 StGB, höchste Vertraulichkeit, RAG

Timo Wevelsiep
Timo Wevelsiep
#KI #Psychotherapie #Datenschutz #RAG #Schweigepflicht

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

Lokale KI für Psychotherapie: §203 StGB, höchste Vertraulichkeit, RAG

KI in der Therapie-Praxis, ohne die Schweigepflicht zu riskieren? Wir bauen lokale, §203-konforme KI auf Ihrer Hardware - siehe KI für Psychotherapeuten und KI für Berufsgeheimnisträger, oder direkt ein Erstgespräch vereinbaren.

Sitzungsdokumentation, Berichte an Gutachter, Anamnese strukturieren - nach jeder Stunde fällt Schreibarbeit an, und KI kann hier viel Zeit sparen. Das Problem ist nicht die KI, sondern wohin die Daten dabei fließen. Therapie-Inhalte gehören zu den sensibelsten Daten überhaupt - ihre Eingabe in Cloud-KI ist regelmäßig ein Verstoß gegen die psychotherapeutische Schweigepflicht.

Die gute Nachricht: Es gibt einen klaren, legalen Weg. Er führt über lokale KI, die die Praxis nie verlässt - schlüsselfertig, auch ohne eigenes IT-Team. Dieser Beitrag ordnet die Rechtslage ein, zeigt die erlaubten Betriebsmodelle und erklärt, wie wir eine RAG-Pipeline auf Ihr Praxiswissen bauen.

Inhaltsverzeichnis

Rechtslage 2026: §203 StGB und Art. 9 DSGVO

Die psychotherapeutische Schweigepflicht ist über §203 StGB strafbewehrt. Die Norm nennt Psychologische Psychotherapeuten sowie Kinder- und Jugendlichenpsychotherapeuten ausdrücklich. Therapie-Inhalte geben intime Einblicke in die psychische Verfassung von Patienten - sie unterliegen damit einem besonders hohen Schutzniveau. Gesundheitsdaten sind zusätzlich nach Art. 9 DSGVO besonders geschützt; für ihre Verarbeitung ist in der Regel eine ausdrückliche Einwilligung erforderlich.

Für die Einbindung externer KI-Dienstleister gilt §203 Abs. 3 S. 2 StGB: Eine mitwirkende Person darf Geheimnisse nur soweit erforderlich offenbart bekommen - und ist nach §203 Abs. 4 StGB selbst in die Strafbarkeit einbezogen. Wir verpflichten uns deshalb in Textform (§126b BGB) zur Verschwiegenheit und werden über die Straffolgen belehrt.

Die AVV nach Art. 28 DSGVO regelt nur den Datenschutz, nicht die strafbewehrte Schweigepflicht - beide Ebenen müssen erfüllt sein. Ab dem 2. August 2026 greifen zudem Transparenzpflichten des EU AI Act für Betreiber (Stand Juni 2026, EU-Kommission). Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.

Warum Cloud-KI für Therapie-Praxen zum Risiko wird

Bei kaum einer anderen Berufsgruppe ist Cloud-KI so problematisch:

  1. Maximale Sensibilität. Therapie-Inhalte sind Gesundheitsdaten der intimsten Art. Jede Übermittlung an Server Dritter ist ein erhebliches Risiko.
  2. Die Unterauftragnehmer-Kette. Ein KI-Anbieter nutzt selbst Unterauftragnehmer (Azure, AWS, weitere). Jeder müsste verpflichtet werden - praktisch nicht leistbar.
  3. Der CLOUD Act. US-Anbieter unterliegen dem US CLOUD Act; eine EU-Region schützt nicht, solange ein US-Mutterkonzern dahintersteht.

Bei lokaler KI in der Praxis entfällt das Cloud-Risiko: Die Daten verlassen den Raum nicht. Durch unseren Wartungszugriff bleiben wir mitwirkende Person - deshalb liefern wir das §203-Vertragspaket für die Aufbau- und Wartungsphase mit.

Betriebsmodelle für Therapie-Praxis-KI

Für die Einzel- oder kleine Gemeinschaftspraxis ist die Lösung bewusst einfach gehalten:

  • On-Premise-Appliance (AI Cube). Eine schlüsselfertige, leise KI-Box in Ihrer Praxis - vorkonfiguriert, ohne eigenes IT-Team, auf Wunsch vollständig offline (air-gapped). Für die Einzelpraxis ideal.
  • Dedizierter GPU-Server bzw. LLM-Hosting. Für größere Ausbildungsinstitute oder MVZ mit mehreren Behandlern.
  • Managed-Fallback. Wer keine eigene Hardware betreiben will, kann KI in unserer EU-Infrastruktur betreiben lassen - mit kurzer, kontrollierbarer Dienstleisterkette.

In allen Modellen kommen ausschließlich Open-Source-Bausteine zum Einsatz (kein Vendor Lock-in), und das §203-Vertragspaket ist Standard. Mehr zum branchenübergreifenden Rahmen unter KI für Berufsgeheimnisträger.

Die RAG-Pipeline: Komponenten Schritt für Schritt

Der eigentliche Wert entsteht nicht durch ein nacktes Sprachmodell, sondern durch Retrieval-Augmented Generation (RAG): Die KI beantwortet Fragen aus Fachliteratur und Ihren eigenen Vorlagen statt aus generischem Trainingswissen - mit Quellenbezug. So bauen wir die Pipeline (mehr unter Custom RAG):

  1. Ingestion. Dokumente werden eingelesen (Leitlinien, Fachliteratur, Vorlagen) und normalisiert.
  2. Chunking. Die Inhalte werden in sinnvolle Abschnitte zerlegt, an Kontext orientiert.
  3. Embeddings + Vektordatenbank. Jeder Abschnitt wird in einen Vektor übersetzt und in einer Vektordatenbank (Qdrant) gespeichert.
  4. Retrieval und Re-Ranking. Zu einer Anfrage werden die passendsten Abschnitte gesucht und per Re-Ranking sortiert.
  5. Generierung. Ein lokales Modell (Ollama oder vLLM) formuliert die Antwort - ausschließlich auf Basis der gefundenen Stellen, mit Quellenangabe.
  6. Observability und Qualität. Mit Langfuse messen wir Qualität und machen Antworten nachvollziehbar.

Genau diesen Stack betreiben wir auch selbst: Unser KI-Angebotsfinder auf wz-it.com ist ein produktives RAG-System auf Qdrant, LiteLLM/Mistral und Langfuse.

Mehrere Wissensquellen sicher anbinden

Wir binden mehrere Wissensquellen in dieselbe RAG-Pipeline ein - mit durchgesetzten Zugriffsrechten:

  • Eigene Vorlagen. Strukturen für Sitzungs- und Verlaufsdokumentation sowie Berichte an Gutachter.
  • Fachliteratur und Leitlinien. Soweit lizenzrechtlich zulässig, als RAG-Quelle.
  • Interne Wissensdatenbank. Praxis-Know-how und Abläufe zentral durchsuchbar.

Sitzungsinhalte selbst bleiben lokal und werden nie zum Training verwendet. Über Zugriffsrechte sieht jede Anfrage nur die Quellen, die sie sehen darf.

Unser Vorgehen bei WZ-IT

Wir liefern Praxis-KI als Lebenszyklus, nicht als Gerätekauf:

  1. Beraten und konzipieren. Kurzer Workshop, Sizing und der §203-Vertragsrahmen - schlank gehalten für die Einzelpraxis.
  2. Aufbauen und integrieren. Schlüsselfertige Einrichtung des AI Cube, RAG auf Ihren Vorlagen, Geheimhaltungsverpflichtung plus AVV.
  3. Betreiben und warten (optional). Updates und Pflege als Vertrag - oder Sie nutzen nach kurzer Einweisung selbst.

Die operativen Vertragstexte werden fachkundig erstellt; dieser Beitrag ersetzt keine Rechtsberatung im Einzelfall.

Weiterführende Guides

Bereit für KI, die Ihre Patienten schützt? Wir bauen sie lokal, §203-konform und schlüsselfertig. Jetzt Erstgespräch vereinbaren.

Quellen

Häufig gestellte Fragen

Antworten auf wichtige Fragen zu diesem Thema

Ja. §203 StGB führt Psychologische Psychotherapeuten sowie Kinder- und Jugendlichenpsychotherapeuten ausdrücklich als schweigepflichtige Berufe auf. Therapie-Inhalte sind besonders schützenswert; ihre unbefugte Offenbarung ist strafbar.

Therapie-Inhalte gehören zu den sensibelsten Daten überhaupt und sind nach Art. 9 DSGVO besonders geschützt. Eine Eingabe in öffentliche Cloud-KI ist regelmäßig ein Verstoß gegen §203 StGB und das Datenschutzrecht. Lokale Verarbeitung ist hier kein Komfort, sondern die saubere Lösung.

Nein. Die Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO regelt nur den Datenschutz. Die psychotherapeutische Schweigepflicht (§203 StGB) besteht zusätzlich. Wer einen Dienstleister einbindet, muss ihn nach §203 Abs. 3 S. 2 StGB in Textform verpflichten und über die Straffolgen belehren.

Für die Verarbeitung von Gesundheitsdaten verlangt Art. 9 DSGVO in der Regel eine ausdrückliche Einwilligung, schriftliche Form ist zu empfehlen. Bei lokaler KI bleibt der Kreis der Beteiligten klein und die Daten verlassen die Praxis nicht.

Nein. Wir liefern eine schlüsselfertige Einzelplatz-Lösung. Der AI Cube ist als Appliance vorkonfiguriert; Sie müssen keinen Server betreiben und kein IT-Team vorhalten.

Ja. Für die psychotherapeutische Einzelpraxis genügt der AI Cube als leise, lokale Appliance - auf Wunsch vollständig offline (air-gapped).

Retrieval-Augmented Generation kombiniert ein Sprachmodell mit einer durchsuchbaren Wissensbasis. Die KI zieht Antworten aus Fachliteratur, Leitlinien und Ihren eigenen Vorlagen - mit Quellenangabe. Sitzungsinhalte bleiben dabei lokal.

Der Einstieg läuft über den AI Cube zum Festpreis - ideal für die Einzelpraxis. Wiederkehrende Kosten entstehen nur bei optionaler Wartung - kein Cloud-Abo. Das Erstgespräch ist unverbindlich.

Timo Wevelsiep

Geschrieben von

Timo Wevelsiep

Co-Founder & CEO

Co-Founder von WZ-IT. Spezialisiert auf Cloud-Infrastruktur, Open-Source-Plattformen und Managed Services für KMUs und Enterprise-Kunden weltweit.

LinkedIn

Weitere Einblicke

Vorheriger Beitrag

Lokale KI für Arztpraxen: §203 StGB, DSGVO Art. 9 und der RAG-Weg

Nächster Beitrag

Lokale KI für Notariate: §18/§26a BNotO, §203 und der RAG-Weg

Zurück zur Übersicht

Lassen Sie uns über Ihre Idee sprechen

Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.

E-Mail
[email protected]

Führende Unternehmen vertrauen WZ-IT

  • Rekorder
  • Keymate
  • Führerscheinmacher
  • SolidProof
  • ARGE
  • Boese VA
  • NextGym
  • Maho Management
  • Golem.de
  • Millenium
  • Paritel
  • Yonju
  • EVADXB
  • Mr. Clipart
  • Aphy
  • Negosh
  • ABCO Water
Timo Wevelsiep & Robin Zins - CEOs of WZ-IT

Timo Wevelsiep & Robin Zins

Geschäftsführer

1/3 - Themenauswahl33%

Worum geht es bei Ihrer Anfrage?

Wählen Sie einen oder mehrere Bereiche, bei denen wir Sie unterstützen dürfen.