Wie funktioniert die Einrichtung von Praxidesk?

Wir richten Praxidesk gemeinsam mit Ihnen ein, abgestimmt auf Ihre Sprechzeiten, Behandlungsarten und Abläufe. Die Einrichtung dauert in der Regel weniger als eine Woche.

Welche PVS-Systeme werden unterstützt?

Praxidesk lässt sich in Ihr bestehendes Praxisverwaltungssystem integrieren. Details auf Anfrage.

Ist Praxidesk DSGVO-konform?

Ja. Alle Daten werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert. Wir erfüllen alle Anforderungen der DSGVO.

Was passiert bei Notfällen oder Schmerzpatienten?

Schmerzpatienten und Notfälle werden sofort erkannt und direkt an Ihr Team durchgestellt. Sie definieren die Regeln, wann eine sofortige Weiterleitung erfolgt.

Ersetzt die KI meine MFAs?

Nein – Praxidesk entlastet Ihr Team, ersetzt es aber nicht. Ihre MFAs können sich auf die Patienten vor Ort konzentrieren, statt ständig ans Telefon zu gehen.

Bekommt jede Praxis einen eigenen Auftragsverarbeitungs-Vertrag?

Ja. Vor der Inbetriebnahme einer KI-Telefonrezeption muss die Praxis einen individuellen AVV nach Art. 28 DSGVO unterzeichnen. Seriöse Anbieter haben einen geprüften Standard-Entwurf vorliegen, der innerhalb weniger Werktage per E-Mail verschickt wird.

Wo werden Praxis- und Patientendaten gespeichert?

Bei DSGVO-konformen Anbietern in deutschen Rechenzentren — Microsoft Azure (Frankfurt/Berlin), Google Cloud (Frankfurt) und AWS (Frankfurt) bieten alle Hosting-Optionen in Deutschland. Der Standort Deutschland sollte im AVV ausdrücklich zugesichert sein. Anbieter, die ausschließlich US-Server einsetzen, scheiden für Patientendaten faktisch aus.

Werden die Anrufe aufgezeichnet?

Bei einer DSGVO-konform aufgesetzten KI-Telefonrezeption wird das Gespräch während des Anrufs in Echtzeit in Text übersetzt; die Tonspur wird unmittelbar danach gelöscht. Anbieter, die dauerhafte Audio-Mitschnitte ohne explizite Patienten-Einwilligung anlegen, verstoßen gegen Art. 9 DSGVO (biometrische Daten).

Wer ist nach DSGVO verantwortlich — die Praxis oder der Anbieter?

Die Praxis bleibt verantwortliche Stelle gegenüber dem Patienten — auch wenn ein externer technischer Dienstleister im Hintergrund Daten verarbeitet. Der Dienstleister handelt als sogenannter Auftragsverarbeiter (Art. 28 DSGVO) und darf Daten ausschließlich auf Weisung der Praxis und mit den im AVV festgelegten Regeln verarbeiten.

Wie lange dürfen Anrufdaten gespeichert werden?

Das hängt vom Verarbeitungszweck ab. Für reine Buchungs-Verläufe gilt das Datensparsamkeits-Gebot der DSGVO (Art. 5 Abs. 1 lit. c) — eine typische Löschfrist liegt zwischen 30 und 90 Tagen. Behandlungsrelevante Inhalte, die in die Patientenakte übernommen werden, fallen unter § 630f BGB und müssen 10 Jahre aufbewahrt werden. DSGVO-konforme Anbieter lassen die Praxis die konkrete Frist selbst festlegen.

Was bedeutet das Schrems-II-Urteil für die Telefon-Lösung einer Praxis?

Seit dem Urteil vom 16. Juli 2020 reichen Standardverträge alleine nicht mehr, um Patientendaten in die USA weiterzugeben. Praxen, die eine Telefonanlage mit US-Servern nutzen, müssen zusätzlich nachweisen, dass die Daten dort genauso geschützt sind wie in der EU — angesichts der US-Überwachungsbefugnisse (FISA 702) ist das in der Praxis kaum möglich. Wer auf Sicherheit bauen will, wählt einen Anbieter, der ausschließlich in deutschen Rechenzentren verarbeitet und das vertraglich zusichert.

Wie passt die kurze Löschfrist für Anruf-Verläufe zur 10-Jahres-Aufbewahrungspflicht für Patientenakten?

Es gibt keinen Konflikt. § 630f BGB verlangt, dass die Patientenakte 10 Jahre aufbewahrt wird — also die Behandlungsdokumentation im Praxisverwaltungs-System. Ein Anruf, in dem der Patient nur einen Termin bucht, ist keine Patientenakte. Behandlungsrelevante Inhalte übernimmt die Praxis aus dem schriftlichen Verlauf manuell in die PVS-Akte und führt sie dort weiter; der Roh-Verlauf beim KI-Anbieter unterliegt der DSGVO-Datensparsamkeit und wird nach Zweckdauer gelöscht.

DSGVO-konforme KI-Telefonrezeption für Zahnarztpraxen

Die DSGVO schützt Patientendaten besonders streng: Gesundheitsdaten gelten nach Art. 9 DSGVO als „besondere Kategorie" personenbezogener Daten und unterliegen einem grundsätzlichen Verarbeitungsverbot. Für eine Zahnarztpraxis stellt sich daraus am Telefon eine konkrete Frage: Was darf während eines Anrufs notiert, gespeichert oder weitergeleitet werden — und welche technischen Lösungen sind rechtlich überhaupt zulässig? Diese Seite erklärt die Rechtsgrundlagen, die möglichen Bußgelder, die Haftungsfrage, die Pflicht zum Datenschutzbeauftragten — und welche technischen Anforderungen eine konforme Lösung erfüllen muss.

Demo vereinbaren AVV anfordern

Editorial-Illustration: DSGVO-konforme KI-Telefonrezeption — verschlüsselter Datenfluss mit Schutz-Symbolik.

Warum gilt für Patientendaten am Telefon ein strengeres Datenschutz-Regime?

Die zahnärztliche Schweigepflicht ist nicht nur Berufsethik — sie ist strafbar, wenn man sie verletzt. § 203 Abs. 1 Nr. 1 StGB stellt es unter Strafe, wenn ein Zahnarzt ein Geheimnis aus dem Praxisalltag preisgibt: Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Seit der Reform 2017 gilt das nicht mehr nur für die behandelnde Person, sondern auch für „mitwirkende Personen" — also ZFA, Empfangskraft, Auszubildende und auch externe IT-Dienstleister, die im Praxisbetrieb mit Patientendaten in Kontakt kommen. Wer als Telefon- oder Cloud-Anbieter ohne schriftliche Schweigeverpflichtung Patientendaten verarbeitet, kann strafrechtlich mithaften.

Auf der DSGVO-Seite kommt eine zweite Verschärfung hinzu. Gesundheitsdaten zählen nach Art. 9 DSGVO zu den „besonderen Kategorien personenbezogener Daten" — die Verarbeitung ist grundsätzlich verboten und nur in eng umrissenen Ausnahmefällen erlaubt. Bei normalen Daten (Art. 6 DSGVO) reicht eine berechtigte Rechtsgrundlage; bei Gesundheitsdaten muss zusätzlich eine spezielle Erlaubnis greifen.

„Die Verarbeitung personenbezogener Daten, aus denen … Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person hervorgehen, ist untersagt." (Art. 9 Abs. 1 DSGVO)

Für die Heilbehandlung gibt es eine Ausnahme: Art. 9 Abs. 2 lit. h DSGVO erlaubt die Verarbeitung „für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheitsbereich". Diese Ausnahme gilt für die Praxis selbst — sie greift aber nicht automatisch für jeden technischen Dienstleister im Hintergrund. Die Praxis muss deshalb mit jedem Anbieter, der Patientendaten zu sehen bekommt, einen Auftragsverarbeitungs-Vertrag abschließen. Bei rund 39.114 Zahnarztpraxen in Deutschland (Quelle: KZBV Statistisches Jahrbuch 2024) und mehreren Dutzend Anrufen pro Praxis pro Tag ist das kein Randthema, sondern ein operativer Dauerprüfstand.

Welche Bußgelder drohen bei DSGVO-Verstößen im Gesundheitssektor?

DSGVO-Verstöße in der Patientenkommunikation sind keine theoretische Bedrohung. Drei Präzedenzfälle der letzten Jahre zeigen, wo die Behörden ansetzen — und in welchen Größenordnungen Bußgelder anfallen.

AOK Baden-Württemberg — 1.240.000 € (Juni 2020)

Der Landesbeauftragte für den Datenschutz Baden-Württemberg verhängte gegen die AOK Baden-Württemberg ein Bußgeld von 1,24 Millionen Euro. Hintergrund: Daten von mehr als 500 Gewinnspiel-Teilnehmern wurden ohne wirksame Einwilligung für Werbezwecke genutzt. Die zugrunde liegende Schutz-Architektur wurde als unzureichend eingestuft (Art. 32 DSGVO). Der Fall zeigt, dass die Behörden auch bei renommierten Gesundheitskassen keinen Bonus geben — und dass mangelhafte technische und organisatorische Maßnahmen kein Kavaliersdelikt sind.

Universitätsmedizin Mainz — 105.000 € (Dezember 2019)

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz belegte die Universitätsmedizin Mainz mit 105.000 Euro Bußgeld. Anlass war eine Patientenverwechslung im Aufnahmeprozess; in der nachfolgenden Prüfung wurden strukturelle Defizite in den technischen und organisatorischen Maßnahmen rund um das Patientenmanagement festgestellt. Bemerkenswert: Es ging nicht um einen einzelnen Datenleck, sondern um die generelle Prozess-Architektur, mit der eine Klinik Patientendaten handhabt.

1&1 Telecom — 9.550.000 € (reduziert auf 900.000 €, 2019/2020)

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit verhängte 2019 ein Bußgeld von 9,55 Millionen Euro gegen 1&1 Telecom — weil im Kundenservice ein einfacher Anrufer schon mit Name und Geburtsdatum Vertragsdaten Dritter erfragen konnte. Das Landgericht Bonn reduzierte den Betrag 2020 auf 900.000 Euro. Der Präzedenzcharakter bleibt: Wer am Telefon nicht zuverlässig die Identität prüft, gibt fremde Daten preis und macht damit denselben Fehler — auch eine Zahnarztpraxis, die Termin- oder Behandlungsdaten ohne saubere Authentifizierung herausgibt.

Wer haftet, wenn die Telefon-Lösung gegen die DSGVO verstößt?

Die Haftung läuft auf zwei Ebenen — datenschutzrechtlich und strafrechtlich — und sie verteilt sich auf mehrere Schultern. Im DSGVO-Sinn ist die Praxis Verantwortlicher (Art. 4 Nr. 7 DSGVO): Sie bestimmt, zu welchem Zweck und mit welchen Mitteln Patientendaten verarbeitet werden. Bußgelder nach Art. 83 DSGVO gehen damit zuerst gegen die Praxis als juristische oder natürliche Person, nicht gegen den technischen Dienstleister im Hintergrund.

Der externe Anbieter handelt als Auftragsverarbeiter (Art. 28 DSGVO). Verarbeitet er Daten ohne Auftragsverarbeitungs-Vertrag oder eigenmächtig zu eigenen Zwecken, wird er selbst zum Verantwortlichen — mit eigenem Bußgeld-Risiko. § 203 Abs. 4 StGB erstreckt zusätzlich die Strafbarkeit für die Verletzung der Schweigepflicht auf „mitwirkende Personen", zu denen nach herrschender Meinung auch externe IT-Dienstleister gehören. Anders gesagt: Ein Cloud-Anbieter, der ohne wirksame Schweigeverpflichtung Praxisdaten sieht, kann strafrechtlich belangt werden — unabhängig von Bußgeldern.

Auf Praxis-Seite trifft die Haftung typischerweise zuerst die Praxisinhaber als Geschäftsführer oder freiberuflich Niedergelassene. Bei groben Pflichtverletzungen kommen berufsrechtliche Konsequenzen über die zuständige Zahnärztekammer hinzu — im Extremfall bis zum Approbationsentzug. Zivilrechtlich können Patienten Schadensersatz nach Art. 82 DSGVO einfordern, einschließlich immateriellem Schaden. Die praktische Konsequenz für Praxen: Sorgfalt bei der Anbieterauswahl und ein wasserdichter AVV sind keine Formalität, sondern aktiver Eigenschutz.

Brauchen Zahnarztpraxen einen Datenschutzbeauftragten?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus zwei Vorschriften, die parallel zu prüfen sind. Nach § 38 Abs. 1 BDSG ist ein DSB verpflichtend, sobald in der Praxis mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dazu zählen alle, die im Tagesgeschäft mit dem Praxisverwaltungs-System, Terminbuchung oder elektronischer Patientenkommunikation arbeiten — Zahnärzte, ZFA, Empfangskräfte, Abrechnungspersonal.

Unabhängig von der Personenzahl greift Art. 37 Abs. 1 lit. c DSGVO: Eine DSB-Pflicht besteht, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) besteht — wozu Gesundheitsdaten gehören. In Aufsichtspraxis-Auslegung gilt: Eine durchschnittliche Zahnarztpraxis mit 1–2 Behandlern und einer überschaubaren Patientenzahl erreicht die Schwelle „in großem Umfang" meist nicht; eine MVZ-Praxis mit 5+ Behandlern und mehreren tausend Patienten dagegen schon.

In der Praxis ist es ratsam, auch unter beiden Schwellen einen externen Datenschutzbeauftragten zu bestellen — die Kosten liegen typischerweise bei 80–250 € monatlich, der Nutzen ist die Absicherung gegen Bußgelder durch dokumentierte Sorgfalt. Wer die DSB-Bestellung einsetzt, muss sie binnen zwei Wochen der zuständigen Aufsichtsbehörde melden (§ 38 Abs. 1 i.V.m. Art. 37 Abs. 7 DSGVO).

Welche Anforderungen muss eine konforme KI-Telefonrezeption erfüllen?

Klassische Telefon-Lösungen brechen DSGVO-Regeln an drei wiederkehrenden Stellen: beim Anrufbeantworter ohne Einwilligung (Art. 9 DSGVO, biometrische Daten), bei der Cloud-Telefonanlage mit US-Servern (Schrems II) und bei der Voicemail am offenen Empfangstresen (Art. 5 Vertraulichkeit). Aus diesen drei Fallen ergeben sich fünf konkrete Anforderungen, die jede konforme KI-Telefonrezeption erfüllen muss.

Drei DSGVO-Fallen klassischer Telefon-Lösungen in Zahnarztpraxen: Anrufbeantworter ohne Einwilligung, Cloud-Telefonanlage mit US-Servern, Voicemail am offenen Empfang. — Die drei häufigsten DSGVO-Probleme klassischer Telefon-Lösungen.

1. Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO)

Die Praxis bleibt für den Patienten weiter verantwortliche Stelle. Ein technischer Dienstleister handelt im Hintergrund als sogenannter Auftragsverarbeiter — und genau diese Rolle muss vor dem Start vertraglich geregelt sein. Im AVV steht, welche Daten verarbeitet werden, welche technischen Schutzmaßnahmen gelten, welche Unter-Dienstleister eingesetzt werden und wann Daten gelöscht werden müssen. Ohne unterschriebenen AVV darf die Praxis keine Patientendaten an einen externen Anbieter geben.

2. Datensparsamkeit (Art. 5 DSGVO)

Es dürfen nur die Daten verarbeitet werden, die für den Zweck wirklich nötig sind. Für eine Terminbuchung am Telefon reichen Name, Geburtsdatum, Telefonnummer und Anliegen — kein Stimmprofil, keine Stimmungsanalyse, keine biometrische Erkennung. Eine konforme KI-Telefonrezeption übersetzt das Gespräch in Echtzeit in Text, übernimmt die Buchungs-Daten in den Kalender und verwirft die Tonspur sofort danach.

Datenfluss-Diagramm einer DSGVO-konformen KI-Telefonrezeption: Anrufer-Audio wird in Echtzeit in Text übersetzt, das Audio wird verworfen, gespeichert wird ausschließlich der schriftliche Verlauf. — Datenfluss einer DSGVO-konformen KI-Telefonrezeption: Audio wird in Echtzeit zu Text — danach verworfen.

3. Server-Standort und eingesetzte Dienstleister

Seit dem Schrems-II-Urteil (EuGH 16. Juli 2020) sind europäische Server die Mindestanforderung für jede Lösung mit Gesundheitsdaten. Für Zahnarztpraxen ist die Standortbindung in Deutschland die sicherere Wahl: Datenbank, Sprachverarbeitung und alle eingebundenen Unter-Dienstleister laufen idealerweise ausschließlich in deutschen Rechenzentren. Welche Dienstleister konkret eingesetzt werden und wo deren Server stehen, gehört transparent in den AVV — als nachvollziehbare Auflistung pro Service-Komponente, nicht im Fließtext einer Allgemeinen Geschäftsbedingung.

4. Patientenrechte (Art. 15–22 DSGVO)

Jeder Patient kann von der Praxis verlangen, dass sie ihm zeigt, welche Daten gespeichert sind (Art. 15), dass sie diese berichtigt (Art. 16) oder löscht (Art. 17). Patienten können auch widersprechen, dass ihre Daten weiterverarbeitet werden (Art. 21), oder die Übertragung an einen anderen Anbieter verlangen (Art. 20). Solche Anfragen kommen direkt bei der Praxis an. Der externe Anbieter muss schnell genug reagieren, dass die gesetzliche Antwortfrist von einem Monat (Art. 12 Abs. 3 DSGVO) sicher eingehalten wird.

5. Nachvollziehbarkeit und Löschfristen

Jede Verarbeitung von Patientendaten muss nachweisbar sein. Eine konforme Lösung protokolliert jeden Zugriff und jede Änderung fälschungssicher. Wichtig zur Abgrenzung gegenüber der Patientenakte: § 630f BGB verlangt die 10-jährige Aufbewahrung der Behandlungsdokumentation im Praxisverwaltungs-System. Inhalte aus einem Anruf, die für die Behandlung relevant sind (z. B. eine Schmerz-Schilderung), übernimmt die Praxis manuell aus dem schriftlichen Verlauf in die PVS-Akte. Den Roh-Verlauf bei einem KI-Anbieter unterliegt der DSGVO-Datensparsamkeit und wird nach Zweckdauer gelöscht — typische Fristen liegen zwischen 30 und 90 Tagen.

Welche Daten darf eine KI-Telefonrezeption speichern — und welche nicht?

Datensparsamkeit nach Art. 5 DSGVO heißt: Es werden nur die Informationen verarbeitet, die für den Zweck unmittelbar nötig sind. Für eine Terminbuchung am Telefon ergibt sich daraus eine sehr klare Trennung zwischen dem, was eine konforme KI-Telefonrezeption speichert — und dem, was sie ausdrücklich nicht erheben sollte.

Wird gespeichert

Name, Geburtsdatum und Telefonnummer des Patienten — damit der richtige Termin im Kalender wiedergefunden wird
Anliegen (Kontrolle, Schmerz, Beratung) — damit die Praxis weiß, worum es geht
Datum und Uhrzeit des gebuchten Termins
Schriftlicher Verlauf des Anrufs (kein Ton)
Zeitpunkt und Dauer des Anrufs — als Beleg für die Abrechnung

Wird nicht gespeichert

Tonaufnahmen des Gesprächs
Stimmprofile oder biometrische Merkmale der Stimme
Gesundheitsdaten, die der Patient nicht selbst nennt
Anrufe, bei denen sich jemand verwählt oder nichts gesagt hat
Standort des Anrufers oder Informationen über sein Telefongerät

FAQ

Häufige Fragen

Was Praxen zur DSGVO-Konformität ihrer Telefon-Lösung wissen sollten.

Bereit für eine DSGVO-konforme Telefonrezeption?

Praxidesk ist eine KI-Telefonrezeption für Zahnarztpraxen, die entlang der oben genannten fünf Anforderungen gebaut wurde — Auftragsverarbeitungs-Vertrag inklusive, Server in Deutschland, kein Audio-Mitschnitt. Den AVV-Standard-Entwurf senden wir auf Anfrage in der Regel innerhalb von zwei Werktagen zu.

Demo vereinbaren AVV per E-Mail anfordern

Stand: 01. Mai 2026. Bei Fragen oder Korrekturwünschen kontakt@praxidesk.de. Verantwortlicher im Sinne von § 5 TMG: Daniel Kourie UG (haftungsbeschränkt), Rubensstraße 9, 12159 Berlin — Impressum.