Medizinische Diktate: § 203 StGB und Cloud-Transkription in Einklang bringen

Medizinische Diktate: § 203 StGB und Cloud-Transkription in Einklang bringen

In deutschen Krankenhäusern und Arztpraxen entstehen jeden Tag Millionen von Audio-Minuten medizinischer Diktate — Arztbriefe, OP-Berichte, Befundbeschreibungen, Visite-Protokolle. Die Verschriftlichung dieser Aufnahmen ist eine der zeitaufwendigsten Aufgaben in der ärztlichen Dokumentation, und der Druck zur Digitalisierung wächst mit jedem Förderbescheid nach dem Krankenhauszukunftsgesetz (KHZG).

Gleichzeitig stehen medizinische Inhalte unter dem schärfsten Schutz, den unsere Rechtsordnung kennt: § 203 StGB stellt die unbefugte Offenbarung anvertrauter Geheimnisse durch Ärzte und Angehörige eines Heilberufs unter Strafe — mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Eine falsche Architekturentscheidung in der Transkriptionspipeline kann nicht nur die DSGVO verletzen, sondern auch strafrechtliche Konsequenzen für die handelnden Personen auslösen.

Dieser Artikel zeigt, wie sich beide Welten — moderne Cloud-Transkription und ärztliche Schweigepflicht — in der Praxis vereinbaren lassen.

Die rechtliche Ausgangslage

§ 203 StGB: Ärztliche Schweigepflicht

§ 203 Abs. 1 Nr. 1 StGB stellt unter Strafe, wer unbefugt ein fremdes Geheimnis offenbart, das ihm als Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigem eines anderen Heilberufs anvertraut oder sonst bekannt geworden ist. Geschützt sind nicht nur Diagnosen, sondern auch alle weiteren Informationen, die im Behandlungszusammenhang bekannt werden: Patientenname, Adresse, soziale Situation, familiäre Hintergründe, finanzielle Verhältnisse.

Das Tatbestandsmerkmal "offenbaren" ist weit zu verstehen. Eine Offenbarung liegt bereits dann vor, wenn ein konkreter Dritter Kenntnis erlangt — auch wenn dieser Dritte selbst geheimhaltungspflichtig wäre. Das bedeutet: Wer eine Audio-Datei mit Patientendaten an einen Transkriptionsdienst übermittelt, offenbart das Geheimnis bereits durch die Übermittlung.

§ 203 Abs. 4 StGB: Die Ausnahme für externe Dienstleister

2017 wurde mit dem "Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" die Möglichkeit geschaffen, externe Dienstleister rechtssicher einzubinden. § 203 Abs. 3 und 4 StGB regeln seither:

1. Berufsgeheimnisträger dürfen Hilfskräfte und sonstige mitwirkende Personen einsetzen, soweit dies für die ordnungsgemäße Berufsausübung erforderlich ist (Abs. 3).
2. Die mitwirkende Person muss zur Geheimhaltung verpflichtet werden — schriftlich, und mit ausdrücklichem Hinweis auf die Strafbarkeit nach § 203 Abs. 4 StGB.
3. Verletzt die mitwirkende Person das Geheimnis, ist sie selbst strafbar (§ 203 Abs. 4 S. 3 StGB).

Das ist der entscheidende juristische Hebel, der überhaupt eine externe Transkription medizinischer Daten ermöglicht. Ohne diese Verpflichtung wäre jeder Upload zu einem externen Dienstleister potentiell strafbar.

DSGVO Art. 9: Gesundheitsdaten als besondere Kategorie

Parallel zum Strafrecht greift die DSGVO. Gesundheitsdaten zählen nach Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich verboten und nur unter den Ausnahmen des Art. 9 Abs. 2 zulässig. Für die ärztliche Tätigkeit greift insbesondere Art. 9 Abs. 2 lit. h DSGVO: Verarbeitung für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik und der Versorgung — sofern die Verarbeitung durch Fachpersonal erfolgt, das einer Geheimhaltungspflicht unterliegt (Art. 9 Abs. 3).

Diese Rechtsgrundlage trägt die ärztliche Dokumentation. Sie trägt auch die Einbindung eines Transkriptionsdienstleisters — vorausgesetzt, dieser unterliegt selbst einer Geheimhaltungspflicht und entsprechende vertragliche Regelungen sind getroffen.

KHZG und § 75c SGB V: IT-Sicherheit als Pflichtaufgabe

Mit dem Krankenhauszukunftsgesetz (KHZG, in Kraft seit September 2020) wurde § 75c SGB V eingeführt. Krankenhäuser müssen seit 1. Januar 2022 angemessene technische und organisatorische Maßnahmen zur IT-Sicherheit treffen — der branchenspezifische Sicherheitsstandard B3S für die Gesundheitsversorgung im Krankenhaus wird dabei als Mindeststandard anerkannt.

Für die Auswahl von Cloud-Diensten in Kliniken bedeutet das konkret:

• Dokumentierte Risikobewertung für jeden externen Datenverarbeiter.
• ISO 27001 oder vergleichbare Zertifizierung des Anbieters.
• Verschlüsselung at rest und in transit.
• Klare Vorgaben für Vorfallsmeldung und Forensik-Bereitschaft.

Ein Transkriptionsanbieter ohne diese Grundlage ist für den klinischen Einsatz nicht qualifiziert — unabhängig davon, wie überzeugend seine Marketing-Webseite wirkt.

Typische Risikoszenarien

Der unbedachte Sekretariats-Upload

Eine medizinische Schreibkraft, die unter Zeitdruck arbeitet, lädt OP-Diktate in einen kostenlosen Online-Transkriptionsdienst hoch. Sie tut das mit guter Absicht — es geht schneller, der Patient wartet auf den Arztbrief. Was rechtlich passiert:

• Strafbarkeit der Schreibkraft selbst (sie ist Gehilfin im Sinne des § 203 StGB).
• Strafbarkeit des verantwortlichen Arztes, wenn er von der Praxis Kenntnis hatte oder hätte haben müssen.
• DSGVO-Bußgeld gegen den Krankenhausträger.
• Berufsrechtliche Konsequenzen nach den Berufsordnungen der Ärztekammern.

Solche Fälle sind keine Theorie. Datenschutz-Aufsichtsbehörden haben mehrfach Bußgelder verhängt, wenn Patientendaten an US-Cloud-Dienste übermittelt wurden.

Der "vorübergehende Workaround" bei Personalmangel

In Phasen mit hoher Schreibkraftauslastung wird in vielen Kliniken auf externe Schreibbüros zurückgegriffen. Diese arbeiten teilweise wiederum mit Cloud-Spracherkennung im Hintergrund. Ohne sauberen Vertragsstapel (AVV mit dem Schreibbüro + § 203-Verpflichtung des Schreibbüros + AVV des Schreibbüros mit seinem Spracherkennungsanbieter + § 203-Verpflichtung dort) entsteht eine ungesicherte Datenkette, in der § 203 StGB-Verstöße in mehreren Knoten gleichzeitig drohen.

Sprachmodell-Halluzinationen in Befundtexten

Eine in der medizinischen Praxis unterschätzte Gefahr: generische Sprachmodelle (etwa Whisper aus dem Open-Source-Bereich) sind nicht auf medizinische Terminologie trainiert. Sie halluzinieren bei Diktaten mit lateinischer Anatomie, ICD-Codes oder Medikamentennamen. Im schlimmsten Fall entsteht ein OP-Bericht, der eine andere Operation beschreibt als die tatsächlich durchgeführte. Die ärztliche Aufklärungspflicht zur Korrektur solcher Texte liegt dann beim diktierenden Arzt — eine erhebliche zusätzliche Belastung.

Ein Anbieter, der für den medizinischen Einsatz gebaut ist, muss Custom Vocabulary für klinische Fachbegriffe unterstützen und transparent über Confidence-Werte berichten.

Workflow-Beispiele aus der medizinischen Praxis

Klinischer Arztbrief

Die Standardsituation: Ein Oberarzt diktiert nach Visite einen Arztbrief. Die Audiodatei wird über das Klinik-Diktatsystem (typischerweise Speech-to-Text-Integration im KIS) an den Transkriptionsdienst übergeben. Innerhalb weniger Minuten liegt ein Entwurf vor, der vom Arzt freigegeben wird.

Rechtssicher gestaltet:

• Schreibkraft und Klinik haben AVV mit dem Transkriptionsanbieter.
• Der Transkriptionsanbieter ist nach § 203 Abs. 4 StGB verpflichtet.
• Alle Mitarbeiter des Anbieters mit Zugriff auf Patientendaten sind individuell zur Verschwiegenheit verpflichtet.
• Audio-Datei wird nach erfolgreicher Transkription gelöscht; Transkript bleibt nur so lange im Cloud-Speicher, wie für die Freigabe nötig.

OP-Bericht

OP-Berichte enthalten besonders detaillierte Beschreibungen invasiver Eingriffe. Hier ist die Genauigkeit der Transkription kritisch — ein falsch transkribiertes Medikament, eine vertauschte Seitenangabe, ein verlorener Negationsausdruck können später juristische Relevanz haben (Aufklärungspflicht, Behandlungsfehler, Beweissicherung).

Für diesen Use Case sind Custom Vocabulary (chirurgische Terminologie), Wort-Level-Confidence (niedrig erkannte Wörter werden zur manuellen Prüfung markiert) und Sprecherindex (Trennung von Operateur und Assistenz) unverzichtbar.

Sprechstunden-Aufzeichnung mit Einwilligung

In der psychiatrischen und psychotherapeutischen Praxis werden zunehmend Sprechstunden mit Einwilligung des Patienten aufgenommen, um Therapieinhalte zu dokumentieren. Hier kommt zur ärztlichen Schweigepflicht die besondere Sensibilität psychischer Gesundheitsdaten. Ein klarer Lebenszyklus (Aufnahme → Transkription → Löschung Audio → Speicherung Transkript in Patientenakte → Löschung Transkript nach Aufbewahrungsfrist) ist Pflicht.

Was Kliniken und Praxen prüfen müssen

Vor der Beauftragung eines Transkriptionsanbieters:

• [ ] AVV nach Art. 28 DSGVO mit ausdrücklicher Klausel zur Verarbeitung von Gesundheitsdaten nach Art. 9 DSGVO.
• [ ] § 203 Abs. 4 StGB-Verpflichtung schriftlich, mit Belehrung über die Strafbarkeit, vor Beginn der ersten Verarbeitung.
• [ ] Individuelle Verpflichtung aller Mitarbeiter des Auftragsverarbeiters, die Zugriff auf Patientendaten haben können.
• [ ] Server ausschließlich in Deutschland oder EWR. Bei besonders sensiblen Daten (z. B. Forensik, Suchterkrankungen) Deutschland vorzugsweise.
• [ ] Keine US-Sub-Processors im Audio-Pfad. Keine OpenAI Whisper API, kein Google Speech-to-Text, kein AWS Transcribe im Backend.
• [ ] ISO 27001-Zertifizierung des Hosting-Anbieters (B3S-konform für Krankenhäuser).
• [ ] Verschlüsselung TLS 1.2+ in transit, AES-256 at rest.
• [ ] Custom Vocabulary für klinische Terminologie und hauseigene Begriffe (Abteilungsbezeichnungen, Studiennamen).
• [ ] Wort-Level-Confidence sichtbar im Transkript zur gezielten Nachkorrektur.
• [ ] Audit-Log über jeden Datenzugriff.
• [ ] Definierte Löschfristen für Audio (Standard: sofort nach Transkription) und Transkript (Standard: nach Freigabe in KIS, plus konfigurierbarer Puffer).
• [ ] Versicherungsschutz des Anbieters gegen Cyber- und Datenschutzvorfälle.

Wie DeepScript für medizinische Diktate aufgestellt ist

DeepScript wurde für regulierte Branchen entwickelt — die medizinische Anwendung ist einer unserer Hauptanwendungsfälle:

• Server in Deutschland. Hetzner-Rechenzentren in Falkenstein und Nürnberg, ISO 27001-zertifiziert, B3S-kompatibel.
• Keine US-Sub-Processors. Eigene Spracherkennungsmodelle, keine API-Aufrufe an OpenAI, Google oder AWS.
• AVV mit § 203-Klausel. Unser Standard-AVV für Gesundheitseinrichtungen enthält die Verpflichtung nach § 203 Abs. 4 StGB sowie eine Belehrung über die Strafbarkeit.
• Mitarbeiterverpflichtungen. Alle Mitarbeiter mit potentiellem Zugriff auf Verarbeitungsdaten sind individuell zur Verschwiegenheit verpflichtet — diese Erklärungen werden Kunden auf Anfrage zur Verfügung gestellt.
• Medizinische Custom Vocabularies. Unterstützung für ICD-10/11, lateinische Anatomie, Medikamenten-Wirkstoffnamen, hauseigene Abteilungs- und Studienkürzel.
• Wort-Level-Confidence. Jedes Wort enthält einen Confidence-Wert. Wörter unter einer konfigurierbaren Schwelle werden zur Nachkorrektur markiert.
• Konfigurierbare Aufbewahrung. Audio-Datei wird standardmäßig direkt nach erfolgreicher Transkription gelöscht. Transkripte unterliegen einer von Ihnen festgelegten Löschfrist.
• REST-API für KIS-Integration. Direkte Anbindung an gängige Krankenhausinformationssysteme über die DeepScript-API.

Fazit

Medizinische Transkription ist keine Frage von Convenience oder Modetrend. Sie ist eine Frage des Strafrechts. § 203 StGB lässt keinen Spielraum: Wer Patientendaten an einen unzureichend gesicherten Dienst übermittelt, riskiert strafrechtliche Verfolgung — unabhängig davon, wie groß die Klinik ist oder wie etabliert der Anbieter erscheint.

Der gangbare Weg ist klar definiert: AVV nach Art. 28 DSGVO + Verpflichtung nach § 203 Abs. 4 StGB + EU-Server + keine US-Sub-Processors + dokumentierte Löschung + medizinisches Custom Vocabulary. Wer einen Anbieter findet, der all das liefert, kann moderne Spracherkennung im Klinikalltag rechtssicher einsetzen.

DeepScript ist genau für diesen Anwendungsfall gebaut. Details zu unserem medizinischen Setup, Muster-AVV mit § 203-Klausel und ein Workflow-Beispiel für Kliniken finden Sie auf unserer Lösungsseite für Medical & Pharma.