In der Klinik unterliegen viele Berufsträger §203, der Beschlagnahmeschutz erstreckt sich sogar auf den Gewahrsam der Krankenanstalt. KI gehört hier ins eigene Rechenzentrum.
Führende Unternehmen weltweit vertrauen WZ-IT
Entlassbriefe, Tumorboard-Vorbereitung und Kodierung im großen Volumen binden ärztliche Zeit.
Patientendaten dürfen das Klinik-Netz nicht verlassen - Cloud-KI ist keine Option.
Viele Fachabteilungen, viele Berufsträger: die Schweigepflicht zieht sich durch das ganze Haus.
Die meisten Anbieter sagen nur „§203 = keine Cloud“. Entscheidend ist die Mechanik dahinter - und wie man sie vertraglich und technisch sauber erfüllt.
§203 StGB stellt die unbefugte Offenbarung fremder Geheimnisse durch Berufsgeheimnisträger unter Strafe - Mandanten-, Patienten-, Beteiligtendaten, Geschäftsgeheimnisse. „Unbefugt“ heisst: ohne Einwilligung des Geheimnisherrn und ohne gesetzliche Befugnis. Strafrahmen: bis zu einem Jahr Freiheitsstrafe oder Geldstrafe (Abs. 1), bei Handeln gegen Entgelt bis zu zwei Jahre (Abs. 5). Antragsdelikt (§205 StGB), dazu berufsrechtliche Folgen bis zum Widerruf der Zulassung.
Eingaben in ChatGPT, Copilot & Co. werden auf Servern Dritter (oft in den USA) verarbeitet. Diese Übermittlung kann bereits eine Offenbarung im Sinne des §203 StGB sein - unabhängig davon, ob der Anbieter die Daten aktiv nutzt. Eine AVV nach Art. 28 DSGVO ändert daran nichts: §203 geht über das Datenschutzrecht hinaus und verbietet die Offenbarung an Dritte zusätzlich und eigenständig. AVV ist nicht §203 - beide sind nötig.
Seit der Neuregelung darf ein IT-Dienstleister als „sonstige mitwirkende Person“ (§203 Abs. 3 S. 2 StGB) Zugang zu geschützten Informationen erhalten, OHNE dass dies ein strafbares Offenbaren ist - wenn drei Voraussetzungen erfüllt sind: (1) Erforderlichkeit für die Dienstleistung, (2) Verpflichtung in Textform mit Belehrung über die Straffolgen (§126b BGB), (3) sorgfältige Auswahl, Überwachung und unverzügliche Beendigung bei Verstoss.
Wer die mitwirkende Person NICHT verpflichtet, macht sich nach §203 Abs. 4 Nr. 1 StGB selbst strafbar. Nicht der Mitarbeiter, der Daten in ein Tool eingibt, trägt die Verantwortung - sondern der Berufsträger (Kanzlei-/Praxisinhaber). Strafbar ist nicht die Eingabe in ein abgesichertes System, sondern die unterlassene vertragliche Absicherung.
Mit der Reform wird die mitwirkende Person selbst in die Strafbarkeit nach §203 Abs. 4 S. 2 StGB einbezogen. Als Ihr verpflichteter Dienstleister haften wir mit - das ist kein Risiko für Sie, sondern Ihre Absicherung.
Zieht ein Dienstleister selbst Unterauftragnehmer hinzu (Azure, AWS, Vercel), müssen DIESE ebenfalls in Textform verpflichtet werden. Bei US-Hyperscalern ist das praktisch nicht leistbar - zusätzlich greift der US CLOUD Act, der den Zugriff durch US-Behörden ermöglicht; EU-Residency schützt davor nicht. On-Premise auf Ihrer Hardware hat keine solche Kette: die Daten verlassen Ihr Haus nicht. Unser Fernwartungs-Zugriff macht uns weiterhin zur mitwirkenden Person - deshalb verpflichten wir uns vertraglich, für Aufbau- und Wartungsphase.
Standard-Bestandteil jedes Aufbau-/AI-Cube-Vertrags - für Aufbau- und Wartungsphase:
Datenschutz-Ebene
Textform + Strafbelehrung (§203/§126b)
kurze Kette / On-Prem
Dieser Inhalt ist allgemeine Information und keine Rechts- oder Steuerberatung. Die konkrete Verpflichtung mitwirkender Personen nach §203 StGB und den jeweiligen berufsrechtlichen Vorgaben ist im Einzelfall anwaltlich/steuerrechtlich zu prüfen.
Alles lokal auf Ihrer Hardware - kein Datenabfluss.
Souveräne KI ist ein Lebenszyklus, kein Gerätekauf - und alles bleibt auf Ihrer Infrastruktur.
Workshop, Sizing, Datenklassifizierung und §203-Vertragsrahmen. Wir verstehen Ihren Stack, Ihre Fachsoftware und Ihre Compliance-Anforderungen, bevor wir empfehlen.
On-Premise-Aufbau auf Ihrer Hardware, RAG auf Ihren Dokumenten mit Zugriffskontrolle, Integration in Ihre Fachsoftware, Geheimhaltungsverpflichtung + AVV.
Updates, Monitoring, Modell-Upgrades und RAG-Pflege als Wartungsvertrag - oder Sie betreiben vollständig selbst. Übergabe und Wissenstransfer inklusive.
Von Hardware und Inferenz über RAG und Integration bis zu Betrieb und Sicherheit - kein Schnittstellen-Ping-Pong zwischen Beratung, Aufbau und Betrieb.
Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.
Führende Unternehmen vertrauen WZ-IT
Timo Wevelsiep & Robin Zins
Geschäftsführer
