KI in der Psychotherapie: Eine Einordnung der rechtlichen und technischen Anforderungen

Der Einsatz von KI-gestützten Werkzeugen in der psychotherapeutischen Praxis wirft Fragen auf, die sowohl die technische Sicherheit als auch die berufliche Verantwortung berühren. Für eine fundierte Entscheidung benötigen Psychotherapeut:innen einen klaren Bewertungsrahmen. Dieser Artikel analysiert den rechtlichen Rahmen: die gesetzlichen Vorgaben (§ 393 SGB V), die Richtlinien der KBV und die Berufsordnungen der Kammern.
Lion Langer
19. Dez 2025

Es gibt unzählige KI-Tools am Markt, doch ebenso viele berechtigte Bedenken: Wie kann künstliche Intelligenz sowohl technisch sicher für sensible Patientendaten, als auch rechtssicher von PsychotherapeutInnen eingesetzt werden?

Statt Unsicherheit bietet uns der Standort Deutschland hier einen entscheidenden Vorteil: Eine klare Rechtslage, die qualifizierte Lösungen explizit ermöglicht – aber unter strengen, geprüften Bedingungen.

Doch wie sehen diese konkret aus?

Um fundiert zu entscheiden, ob und welche KI-Lösungen im sensiblen Praxisumfeld tatsächlich zulässig sind, benötigen Psychotherapeut:innen einen verlässlichen Bewertungsrahmen. Dieser Artikel analysiert dafür das juristische Fundament: die gesetzlichen Vorgaben (§ 393 SGB V), die Richtlinien der KBV und die Berufsordnungen der Kammern.

Das gesetzliche Fundament: § 393 SGB V

Die rechtliche Grundlage für den Einsatz von Cloud-Software zur Verarbeitung von Patientendaten ist spezifisch geregelt. Der Gesetzgeber hat hierfür einen eigenen Paragraphen geschaffen: § 393 SGB V (Cloud-Einsatz im Gesundheitswesen).
Dieser Paragraph erlaubt den Einsatz von Cloud-Diensten im Gesundheitswesen explizit, knüpft diese Erlaubnis jedoch an zwei Bedingungen:

  1. Der Ort der Datenverarbeitung muss in der Europäischen Union oder dem Europäischen Wirtschaftsraum (EWR) liegen (§ 393 Abs. 2 SGB V).
  2. Der Software-Anbieter muss durch ein aktuelles C5-Testat nachweisen, dass er die höchsten, staatlich definierten Sicherheitsmaßnahmen einhält (§ 393 Abs. 3 SGB V).

Was ist ein "C5-Testat"?

C5 steht für "Cloud Computing Compliance Criteria Catalogue" und wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als strengster deutscher Sicherheitsstandard für die Verarbeitung sensibler Daten in der Cloud entwickelt.
Der Katalog umfasst 121 spezifische Kontrollmaßnahmen in Bereichen wie Verschlüsselung und Schlüsselmanagement, Penetrationstests, Zugriffskontrollen, sichere Softwareentwicklung und Löschungsfristen. Die Einhaltung dieser 121 Kontrollen muss kontinuierlich durch zertifizierte, externe Wirtschaftsprüfer validiert werden. Ein C5-Testat ist also kein einmaliger Check, sondern ein fortlaufender Nachweis über ein aktiv umgesetztes Informationssicherheits-System.

Die Verantwortung der Psychotherapeut:innen und die Umsetzung bei VIA

§ 393 SGB V legt die Verantwortung für die Prüfung dieser Kriterien direkt in die Hände der Leistungserbringer – also etwa Psychotherapeut:innen in eigener Praxis, in Kliniken oder in Medizinischen Versorgungszentren (MVZ). Es muss sichergestellt werden, dass der gewählte Software-Anbieter selbst – und nicht nur dessen unterliegende Server-Infrastruktur – C5-zertifiziert ist.
VIA HealthTech ist als Unternehmen nach dem C5-Kriterienkatalog des BSI zertifiziert. Diese Zertifizierung umfasst unsere eigene Anwendung sowie die genutzte Server-Infrastruktur, die sich ausschließlich in Europa befindet. Damit erfüllt VIA die gesetzlichen Vorgaben.
Das vollständige C5-Testat ist im VIA Trust Center öffentlich einsehbar.

Für die strengen Sicherheitsanforderungen der Psychotherapie konzipiert.

Mehr erfahren

Die Anforderungen der Kassenärztlichen Bundesvereinigung (KBV)

Aufbauend auf der gesetzlichen Grundlage des § 393 SGB V hat die Kassenärztliche Bundesvereinigung (KBV) einen Praxisleitfaden zum Einsatz von KI veröffentlicht. Dieser übersetzt die Gesetzesanforderungen in konkrete Handlungsempfehlungen für den Praxisalltag und adressiert spezifische Anwendungsfälle wie die KI-gestützte Dokumentation in ärztlichen und psychotherapeutischen Praxen.


Der Leitfaden formuliert drei wesentliche Anforderungen an den Einsatz von Cloud- und KI-Diensten:

  1. Nachweis der IT-Sicherheit: Die KBV bekräftigt die gesetzliche Vorgabe aus § 393 SGB V und benennt das C5-Testat des Software-Anbieters als maßgeblichen Nachweis zur Gewährleistung der IT-Sicherheit.
  2. Ort der Verarbeitung: Die Datenverarbeitung muss nachweislich in der Europäischen Union oder dem Europäischen Wirtschaftsraum (EWR) erfolgen und die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten.
  3. Einwilligung der Patient:innen: Speziell für den Fall der KI-gestützten Dokumentation stellt die KBV klar, dass die Einwilligung der Patient:innen erforderlich ist. Laut Leitfaden ist hierfür eine mündliche Einwilligung ausreichend. Für eine erhöhte Rechtssicherheit und eine bessere Nachweisbarkeit ist eine schriftliche Dokumentation der Einwilligung jedoch empfehlenswert.

VIA erfüllt diese Anforderungen durch das C5-Testat des Unternehmens, die ausschließliche Nutzung von DSGVO-konformer EU-Infrastruktur und die Bereitstellung einer anwaltlich geprüften Vorlage für die Patienteneinwilligung.

Die Dokumentationspflicht laut Berufsordnung

Die beruflichen Pflichten zur Dokumentation sind in den Berufsordnungen der Landeskammern für Psychotherapeut:innen geregelt. Als repräsentatives Beispiel dient § 9 der Berufsordnung der PTK NRW, dessen Wortlaut sich in den Ordnungen anderer Kammern im Wesentlichen wiederfindet.
Dieser Paragraph (§ 9 Dokumentations- und Aufbewahrungspflicht) gliedert sich in drei zentrale Absätze:

  1. Absatz 1 regelt die Form der Aktenführung ("in Papierform oder elektronisch") und die Integrität bei Änderungen, die nachvollziehbar sein müssen (Revisionssicherheit).
  2. Absatz 2 definiert den inhaltlichen Umfang der Dokumentation (alle "wesentlichen Maßnahmen und deren Ergebnisse").
  3. Absatz 3 legt die zehnjährige Aufbewahrungsfrist nach Behandlungsabschluss fest.

Die Berufsordnung regelt also primär den Inhalt, die Aufbewahrungsfrist, die Speicherform und Revisionssicherheit vor. Sie macht keine Vorgaben dazu, welche Werkzeuge – ob Stift, Diktiergerät oder KI-Assistenz – zur Erstellung der Textentwürfe verwendet werden. Die Verantwortung der Therapeut:innen bezieht sich auf den finalen, von ihnen autorisierten Inhalt.


Im Prozess von VIA erstellt die Software einen Textvorschlag. Dieser wird anschließend von den Therapeut:innen geprüft, editiert und final autorisiert. Der finale Eintrag in der Patientenakte ist somit der vom Behandler verantwortete Text. Diese Einordnung wird durch den kommenden EU AI Act (Art. 50) gestützt, der eine Kennzeichnungspflicht für KI-Inhalte aufhebt, wenn diese von einer natürlichen Person redaktionell verantwortet werden.

Zusammenfassung: Ein klarer Prüfrahmen für die Praxis

Für Psychotherapeut:innen, die den Einsatz eines KI-Dokumentationswerkzeugs erwägen, existiert ein klarer rechtlicher und institutioneller Rahmen. Die Analyse von SGB V, KBV-Leitlinien und den Berufsordnungen ergibt eine konkrete Checkliste zur Bewertung von Software-Anbietern, um einen rechtssicheren Einsatz zu gewährleisten.
Die zentralen Prüfkriterien sind:

  1. C5-Zertifizierung des Software-Anbieters: Dies ist die wichtigste, gesetzlich verankerte Anforderung. Der Anbieter selbst, nicht nur seine Server-Infrastruktur, muss ein aktuelles C5-Testat des BSI vorweisen können.
  2. Standort in der EU/EWR: Der Anbieter und seine gesamte Infrastruktur müssen in der Europäischen Union oder dem Europäischen Wirtschaftsraum angesiedelt sein, um die Einhaltung der DSGVO zu gewährleisten.
  3. Ausrichtung auf die psychotherapeutische Praxis: Ein Anbieter mit Spezialisierung auf die deutsche Psychotherapie stellt sicher, dass die Prozesse der Berufsordnung entsprechen (der Therapeut behält die volle Kontrolle) und kann praktische Unterstützung, wie geprüfte Vorlagen für die Patienteneinwilligung, bereitstellen.

Die Beachtung dieser Punkte ermöglicht es Leistungserbringern, ihre Sorgfaltspflicht bei der Auswahl eines Dienstleisters zu erfüllen und KI-Werkzeuge rechtssicher als Unterstützung in den Praxisalltag zu integrieren.

VIA HealthTech entwickelt sichere, C5-zertifizierte KI-Assistenzsoftware für die Psychotherapie, die Behandler durch die automatisierte Erstellung von Sitzungsprotokollen und psychologischen Berichten unterstützt.
Bild: freepik
Das könnte Sie auch interessieren:
VIA HealthTech beim Parlamentarischen Frühstück der BAG Psychiatrie
Vertrauen in der digitalen Therapie: Wie sichere KI Patient:innen schützt
Produkt
Kostenlos ausprobierenDatenschutz
Features
DokumentationBerichterstellung
PreiseSystemstatus
Rechtliches & Datenschutz
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)
Rechtliches & Sicherheit
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)Trust Center
Unternehmen
KontaktierenTeamKarriereBlog
Rechtliches & Datenschutz
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)
Rechtliches & Datenschutz
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)
© 2025 VIA HealthTech UG. Alle Rechte vorbehalten.
ImpressumDatenschutzerklärung (Webseite)Datenschutzerklärung (VIA Software)