Warum Therapie-Dokumentation juristisch eine eigene Liga ist

Klinische Notizen, Diagnosen, Sitzungsverläufe — alles, was du über deine Klient:innen festhältst, fällt nach Artikel 9 der DSGVO unter besondere Kategorien personenbezogener Daten. Das ist die höchste Schutzstufe, die das europäische Datenschutzrecht kennt. Gesundheitsdaten dürfen grundsätzlich nicht verarbeitet werden, außer es greift eine der eng definierten Ausnahmen.

Für den Therapie-Kontext bedeutet das konkret: - Die Verarbeitung ist nur mit ausdrücklicher Einwilligung der Klient:in oder auf Basis einer gesetzlichen Pflicht (etwa der Dokumentationspflicht nach dem Psychotherapiegesetz bzw. Psychologengesetz) zulässig. - Eine stillschweigende oder durch AGB-Haken abgedeckte Einwilligung reicht nicht. - Die gesamte Verarbeitung muss innerhalb der EU bzw. des EWR bleiben — Drittstaaten-Transfers erfordern zusätzliche Garantien, die in der Praxis schwer wasserdicht zu gestalten sind.

Das ist keine theoretische Besorgnis. Sobald ein KI-Tool deine Sitzungsnotizen an einen Server in den USA oder Großbritannien sendet, bist du in der Beweispflicht, dass diese Übermittlung rechtskonform ist. Und diese Beweispflicht liegt bei dir — nicht beim Anbieter.

EU AI Act: Was seit Februar 2025 bereits gilt

Am 2. Februar 2025 sind die ersten Teile des EU AI Act verbindlich in Kraft getreten. Konkret gilt seither:

• Verbotene KI-Praktiken sind ab sofort unzulässig — darunter soziales Scoring und bestimmte Formen biometrischer Kategorisierung.
• KI-Kompetenz und Schulungspflicht: Unternehmen und Einzelpersonen, die KI-Systeme einsetzen, müssen nachweisbare Kenntnisse über die eingesetzten Systeme vorhalten. Für Therapeut:innen, die ein KI-Doku-Tool nutzen, heißt das: du musst verstehen, wie das System funktioniert, welche Daten es verarbeitet und welche Risiken es mit sich bringt.

Was noch aussteht — und noch nicht final ist

Für sogenannte Hochrisiko-KI-Systeme (darunter könnten KI-Tools im Gesundheitsbereich fallen) galten ursprünglich strengere Pflichten ab August 2026. Der sogenannte "Digital Omnibus" — ein europäisches Gesetzgebungspaket — hat am 7. Mai 2026 eine vorläufige politische Einigung erzielt, die zentrale Hochrisiko-Fristen auf den 2. Dezember 2027 verschieben soll.

Was bedeutet "Hochrisiko-KI" für Therapie-Tools?

KI-Systeme, die im Gesundheitsbereich zur Unterstützung klinischer Entscheidungen eingesetzt werden, können als Hochrisiko-Systeme eingestuft werden. Das betrifft KI, die aktiv Einfluss auf diagnostische oder therapeutische Entscheidungen nimmt.

Reine Dokumentations- und Transkriptions-Tools — also KI, die gesprochenes Wort verschriftlicht oder strukturiert, ohne inhaltliche Bewertung vorzunehmen — stehen rechtlich auf einem anderen Blatt. Trotzdem gilt: auch hier verarbeitest du Gesundheitsdaten, und alle DSGVO-Pflichten gelten uneingeschränkt.

Cloud-Lösungen: Echte Hilfe mit echtem Haken

Dass KI-gestützte Therapie-Dokumentation funktioniert, zeigen Angebote wie das Wiener Startup Theradocx, das KI explizit für die Therapiepraxis entwickelt. Solche Tools können den Dokumentationsaufwand erheblich reduzieren — und sie kommen aus dem europäischen Raum, was den Drittstaaten-Transfer-Stress schon mal minimiert.

Der Haken bleibt aber strukturell: Bei cloud-basierten Lösungen verlassen deine Klient:innen-Daten das Gerät. Sie wandern auf einen Server — auch wenn dieser in Österreich oder der EU steht. Das ist nicht automatisch ein Problem, aber es erzeugt Pflichten:

• Eine gesonderte Datenschutz-Information für Klient:innen mit konkreten Angaben zur Datenverarbeitung durch das KI-Tool.
• Ausdrückliche, informierte Einwilligung — vor der ersten Sitzung, in der das Tool genutzt wird.
• Einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter.
• Prüfung, ob der Anbieter Sub-Auftragsverarbeiter einsetzt (etwa ein zugrunde liegendes KI-Modell) — und wo diese sitzen.

Checkliste: Worauf du bei KI-Doku-Tools achten solltest

Bevor du ein Tool für die Therapie-Dokumentation einsetzt, geh diese Liste durch:

• Datenstandort: Wird ausschließlich innerhalb der EU/des EWR verarbeitet?
• Sub-Auftragsverarbeiter: Welche Drittanbieter (KI-Modelle, Hosting) kommen zum Einsatz und wo?
• AVV vorhanden: Stellt der Anbieter einen vollständigen Auftragsverarbeitungsvertrag bereit?
• Einwilligungsformat: Bietet das Tool Vorlagen oder Prozesse für die dokumentierte Klient:innen-Einwilligung?
• Datenlöschung: Können du oder deine Klient:innen Daten vollständig und nachweisbar löschen lassen?
• EU-AI-Act-Konformität: Ist der Anbieter transparent darüber, ob sein System als Hochrisiko-System eingestuft ist?
• Offline-Option: Kann das Tool auch ohne Internetverbindung arbeiten — und bleiben Daten dabei lokal?
• Verschlüsselung: Sind Daten auf dem Gerät und in der Übertragung verschlüsselt?
• Schulung: Verstehst du selbst, wie das System arbeitet? (KI-Kompetenz-Pflicht nach AI Act)

Wie lokale Dokumentation den Druck herausnimmt

Es gibt eine Klasse von Tools, die diesen ganzen Cloud-Compliance-Stress gar nicht erst entstehen lässt: Anwendungen, die vollständig auf dem eigenen Gerät laufen. Keine Datenübertragung, kein Server, keine AVV-Fragen.

TimeInvoicer wurde für Therapeut:innen und Psycholog:innen in Österreich entwickelt und läuft vollständig lokal auf dem eigenen Android-Gerät. Sitzungsnotizen, Diagnosen und Abrechnungsdaten werden automatisch strukturiert und bleiben auf deinem Telefon. Es gibt keine Cloud-Pflicht, keine Synchronisation mit Fremdservern. Das bedeutet: du musst keine gesonderte Klient:innen-Einwilligung für eine Cloud-Verarbeitung einholen — weil keine stattfindet.

Das macht TimeInvoicer nicht zum KI-Mitschrift-Tool. Es ist ein Dokumentations- und Abrechnungswerkzeug, das dir den administrativen Teil abnimmt — damit du während der Sitzung bei der Person sein kannst, nicht beim Notizbuch.

Quellen

• Theradocx — Wiener Startup bringt KI in die Therapiepraxis
• EU AI Act 2026 — Überblick für Österreich
• Europäische Kommission — EU AI Act Volltext und Zeitplan