KI-Content auf Arztwebsites: Was ist erlaubt, was ist riskant und worauf Praxen jetzt achten müssen

von | 4.03.2026 | Marketing & Kommunikation im Healthcare

Smartphones mit KI-Chatbot-Anwendungen

ChatGPT schreibt den Praxistext und der Arzt haftet. Klingt provokant? Ist aber die juristische Realität. Immer mehr Arztpraxen setzen KI-Tools ein, um Websitetexte zu erstellen, Chatbots einzubinden oder Bilder zu generieren. Die gute Nachricht: Das ist grundsätzlich erlaubt. Die schlechte: Wer die rechtlichen Spielregeln nicht kennt, riskiert Abmahnungen, Bußgelder und Reputationsschäden.

In diesem Artikel zeigen wir, welche Regeln für KI-generierte Inhalte auf Arztwebsites gelten, wo die größten Fallstricke liegen und wie Praxen KI sicher und rechtskonform einsetzen können.

Ist KI-Content auf Arztwebsites verboten?

Nein. Die Nutzung von KI-generierten Texten, Bildern, Stimmen oder Chatbots in der Patientenkommunikation ist in Deutschland nicht verboten. Aber sie ist strikt konditioniert. Vier Regelungsebenen greifen ineinander:

  • Datenschutz und ärztliche Schweigepflicht (DSGVO, StGB § 203)
  • Berufsrecht und Heilmittelwerbegesetz (MBO-Ä, HWG)
  • Urheber- und Persönlichkeitsrechte
  • EU-KI-Verordnung (AI Act): mit neuen Pflichten ab August 2026

Der zentrale Grundsatz: KI darf unterstützen, aber nicht eigenständig publizieren oder medizinisch „beraten“. Jeder Inhalt, der auf einer Praxiswebsite erscheint, bleibt rechtlich Praxiskommunikation – egal, ob ein Mensch oder eine KI ihn geschrieben hat.

Heilmittelwerberecht: Die unterschätzte Gefahr

Für viele Praxen ist das Heilmittelwerbegesetz (HWG) die gefährlichste Stolperfalle beim Einsatz von KI-Content. Denn generative KI formuliert von Natur aus überzeugend – und genau das wird zum Problem.

Was das HWG verbietet

Irreführende Werbung ist im Gesundheitsbereich verboten. Irreführend ist eine Aussage insbesondere dann, wenn sie Behandlungen Wirkungen zuschreibt, die nicht belegt sind, oder wenn der Eindruck entsteht, ein Erfolg sei sicher zu erwarten. Gerichte legen in medizinischen Werbesachen regelmäßig strenge Maßstäbe an.

Außerhalb der Fachkreise – also gegenüber Patienten – sind zusätzlich verboten:

  • Werbung mit Patientenempfehlungen oder Testimonials
  • Darstellung von Krankengeschichten als Werbemittel
  • Vorher-/Nachher-Bilder bei bestimmten plastisch-chirurgischen Eingriffen

Bei Verstößen gegen das Irreführungsverbot drohen nicht nur Abmahnungen, sondern auch strafrechtliche Konsequenzen.

Warum KI dieses Risiko verschärft

ChatGPT und ähnliche Tools produzieren Texte, die medizinisch fundiert klingen, es aber nicht immer sind. Die typischen Fehler: Wirkungsversprechen, die nicht evidenzbasiert sind. Superlative wie „beste Methode“ oder „sicher und schmerzfrei“. Indirekte Erfolgsgarantien durch übertrieben positive Formulierungen.

Im Heilmittelwerberecht reicht schon der Eindruck eines sicheren Behandlungserfolgs, um als irreführend zu gelten. Generative KI erhöht dieses Risiko erheblich, weil sie Erfolgsaussagen sprachlich sehr überzeugend verpackt.

Vorher-/Nachher-Bilder: Besonders heikles Terrain

Ein Spezialthema, das gerade im ästhetischen Bereich relevant ist: KI-generierte Bildstrecken. Auch wenn sie als „Simulation“ oder „Beispielbild“ gedacht sind, können sie schnell als vergleichende Darstellung des Aussehens vor und nach einem Eingriff eingestuft werden.

Das HWG verbietet solche Darstellungen bei bestimmten operativen Eingriffen außerhalb der Fachkreise. Behörden und Gerichte haben bereits Instagram-Story-Formate in diesem Kontext als unzulässige Werbung eingeordnet. Wer KI-Bilder postet, wirbt – auch wenn er es „nur illustrativ“ meint.

Datenschutz und Schweigepflicht: Die doppelte Hürde

Sobald KI-Tools Kontakt mit Patientendaten haben, wird es rechtlich besonders anspruchsvoll. Denn im Gesundheitswesen greifen zwei Schutzregime gleichzeitig: die DSGVO und die ärztliche Schweigepflicht.

Wann Patientendaten ins Spiel kommen

Patientendaten sind nicht nur Diagnosen und Befunde. Sobald jemand in einen Chatbot, ein Kontaktformular oder einen Terminassistenten Symptome, Medikamente oder Beschwerden eingibt, handelt es sich um Gesundheitsdaten im Sinne der DSGVO – also um besondere Kategorien personenbezogener Daten mit erhöhtem Schutzbedarf.

Was die DSGVO verlangt

Die Verarbeitung dieser Daten ist nur unter engen Ausnahmen zulässig: typischerweise für Zwecke der Gesundheitsvorsorge, Diagnostik oder Behandlung und unter Berufsgeheimnisbedingungen. Zusätzlich gelten Grundsätze wie Zweckbindung, Datenminimierung und Rechenschaftspflicht.

Wer einen externen KI-Anbieter einsetzt, muss einen Auftragsverarbeitungsvertrag abschließen. Dieser muss Zweck, Art der Verarbeitung, Weisungen, technische und organisatorische Maßnahmen sowie Subprozessoren regeln. Bei hohem Risiko ist eine Datenschutz-Folgenabschätzung erforderlich.

Das Problem mit Cloud-KI

Besonders brisant wird es bei internationalen Datentransfers. Viele KI-Tools verarbeiten Daten außerhalb der EU. Nach der DSGVO sind solche Übermittlungen nur zulässig, wenn das europäische Schutzniveau gewahrt bleibt. In der Praxis bedeutet das: Prompt-Inhalte und Chatverläufe dürfen nicht unkontrolliert aus dem EU-Raum abfließen.

Noch kritischer: Wenn der KI-Anbieter eingegebene Inhalte zur Modellverbesserung nutzt, kollidiert das regelmäßig mit Zweckbindung und Datenminimierung. Patientendaten gehören nicht in Consumer-LLMs ohne geprüfte vertragliche und technische Absicherung.

Schweigepflicht ist ein IT-Thema

Die ärztliche Schweigepflicht ist nicht nur ein ethisches Prinzip, sondern hat operative Konsequenzen für die IT-Infrastruktur. Bundesärztekammer und KBV betonen, dass schon die unverschlüsselte Übermittlung von Patientendaten per E-Mail oder Messenger eine relevante Risikolage für Schweigepflichtverletzungen eröffnet.

Wichtig: Ein Auftragsverarbeitungsvertrag nach DSGVO ersetzt nicht die strafrechtliche Befugnis im Sinne des Geheimnisschutzes. Beide Anforderungen – Datenschutz und Schweigepflicht – müssen parallel erfüllt werden.

Der AI Act: Neue Pflichten ab 2026

Mit der EU-KI-Verordnung kommt ab dem 2. August 2026 eine neue Transparenzschicht hinzu:

Chatbots müssen als KI gekennzeichnet werden. Anbieter von KI-Systemen zur direkten Interaktion mit Nutzern müssen sicherstellen, dass Personen darüber informiert werden, dass sie mit einer KI kommunizieren. Eine Ausnahme gilt nur, wenn dies aus den Umständen offensichtlich ist.

Synthetische Inhalte brauchen eine Kennzeichnung. Für KI-generierte Audio-, Bild-, Video- und Textinhalte bestehen Pflichten zur maschinell lesbaren Kennzeichnung. Bei veröffentlichten KI-Texten zu Themen öffentlichen Interesses ist eine Offenlegung erforderlich – es sei denn, eine menschliche redaktionelle Kontrolle und Verantwortung ist gegeben.

Hochrisiko-Einstufung bei Medizinprodukte-Nähe. Wenn ein KI-System als Sicherheitsbauteil eines Medizinprodukts eingesetzt wird oder selbst ein solches Produkt ist, gilt es als Hochrisiko-KI mit entsprechend strengen Anforderungen.

Für Praxen bedeutet das: Wer heute einen Chatbot einführt, sollte ihn von Anfang an AI-Act-ready gestalten.

Was KI auf Arztwebsites darf – und was nicht

Zulässige Einsatzbereiche

KI ist dort rechtlich unproblematisch, wo sie keine eigenständige medizinische Aussageautorität entfaltet:

Redaktionsassistenz: Gliederungsvorschläge, sprachliche Straffung, Lesbarkeitsoptimierung oder Umformulierung geprüfter Inhalte in patientenverständliche Sprache. Solange die veröffentlichte Information sachlich bleibt und nicht in anpreisende Werbung kippt, ist das berufsrechtlich zulässig.

SEO-Optimierung: KI darf Keyword-Strukturen vorschlagen und Meta-Beschreibungen entwerfen. Die inhaltliche Wahrheitspflicht – besonders bei Wirkungen und Erfolgsaussichten – bleibt beim ärztlichen Anbieter.

Übersetzungen: Mehrsprachige Inhalte sind ein sinnvoller Use Case. Allerdings ist das Fehlerrisiko bei medizinischer Terminologie real. Und sobald patientenbezogene Inhalte übersetzt werden, greift die Verarbeitung besonderer Kategorien personenbezogener Daten.

Organisatorische Chatbots: Ein Bot, der Sprechzeiten, Anfahrt und Terminbuchung kommuniziert und keine Gesundheitsdaten verarbeitet, ist rechtlich deutlich unkomplizierter als ein Symptomchecker.

Rote Linien

Keine ungeprüften medizinischen Aussagen. Jeder KI-Output muss fachlich kontrolliert werden, bevor er veröffentlicht wird.

Keine KI-generierten Testimonials. Erfundene Patientenbewertungen, Erfolgsgeschichten oder Dankesschreiben verstoßen gegen das HWG.

Keine „Deepfake“-Arztbilder. Synthetische Bilder realer Personen müssen offengelegt werden.

Keine Patientendaten in ungenehmigten Tools. Anamnesen, Befunde oder Symptomangaben haben in Consumer-LLMs nichts verloren.

10 Handlungsempfehlungen für die Praxis

Die richtige Strategie ist nicht „KI vermeiden“, sondern KI systematisch domestizieren: klare Zwecke, strenge Datenhygiene, menschliche Freigabe und dokumentierte Prozesse.

1. KI als Entwurfstool behandeln. Jede medizinische Aussage fachlich prüfen, bevor sie online geht.

2. Evidenzbasiert formulieren. Keine Wirkungen behaupten oder suggerieren, die nicht gesichert sind. Keine Superlative, keine Erfolgsgarantien.

3. Chatbots als KI kennzeichnen. Schon jetzt – nicht erst 2026.

4. Synthetische Bilder offenlegen. KI-Bilder nicht als echte Behandlungsdokumentation erscheinen lassen.

5. Auf gefälschte Testimonials verzichten. Keine KI-generierten Patientenbewertungen oder Empfehlungen.

6. Patientendaten aus KI-Tools heraushalten. Nur datenschutzgeprüfte Systeme mit Auftragsverarbeitungsvertrag nutzen.

7. Drittlandtransfers prüfen. Dokumentieren, wohin Daten fließen – besonders bei Cloud-KI.

8. Sichere Kommunikationskanäle nutzen. Für sensible Daten KIM/TI bevorzugen. Keine unverschlüsselten E-Mails mit Patientendaten.

9. Redaktionsrichtlinie erstellen. Verbindliche Vorgaben: keine Erfolgsgarantien, keine Superlative, keine Vergleichswerbung.

10. Verantwortlichkeiten festlegen. Freigabeprozesse dokumentieren. „Die KI war schuld“ ist juristisch keine Verteidigung.

Fazit: KI gehört in die Arztpraxis – aber mit Leitplanken

KI-Content ist im Arztmarketing nicht per se verboten – aber nur dann rechtlich tragfähig, wenn er dieselben Maßstäbe erfüllt wie jeder andere Praxisinhalt: Sachlichkeit, Transparenz und Nicht-Irreführung.

Wer KI richtig einsetzt, gewinnt Effizienz bei der Content-Erstellung, bessere Auffindbarkeit durch SEO und mehr Zeit für das, was wirklich zählt: die Patientenversorgung. Wer die Spielregeln ignoriert, riskiert Abmahnungen, Bußgelder und das Vertrauen seiner Patienten.

Die praxistauglichste Strategie: KI als Werkzeug nutzen, nicht als Autor. Mit klaren Prozessen, fachlicher Kontrolle und einem Bewusstsein dafür, dass im regulierten Gesundheitswesen andere Maßstäbe gelten als im restlichen Online-Marketing.

Sie möchten KI-Content für Ihre Praxiswebsite einsetzen – rechtssicher und wirksam? Wir beraten Sie zur Umsetzung, von der Content-Strategie bis zur AI-Act-Compliance. Jetzt Kontakt aufnehmen.

Kürsat Cifci

Kürsat Cifci

Onlinekommunikation und Information Science im Healthcare

Beschäftigt sich seit vielen Jahren mit Onlinekommunikation im Gesundheitswesen. Sein fachlicher Hintergrund liegt an der Schnittstelle von digitaler Information, Struktur und ärztlicher Versorgung.

Sein Fokus liegt nicht auf kurzfristiger Sichtbarkeit, sondern auf einer verlässlichen, rechtlich sauberen und strukturierten digitalen Basis, die Ärztinnen und Ärzte entlastet und Orientierung schafft. Die hier beschriebenen Einordnungen beruhen auf dieser langjährigen Begleitung von Praxisgründungen und -entwicklungen im deutschen Gesundheitswesen.

Mehr erfahren

Auch das könnte interessant für Sie sein

E

Praxismarketing PDF-Checkliste

E

Beispiele und Inhalte eines Webdesigns für Ärzte

E

Rechtsgrundlagen für das Praxismarketing in Deutschland

E

Typische DSGVO Fehler bei Praxiswebseiten

Datenschutz
Impressum | Datenschutzvereinbarungen
webinvasiv.de, Inhaber: Kürsat Cifci (Firmensitz: Deutschland), verarbeitet zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in der Datenschutzerklärung.
Datenschutz
Impressum | Datenschutzvereinbarungen
webinvasiv.de, Inhaber: Kürsat Cifci (Firmensitz: Deutschland), verarbeitet zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in der Datenschutzerklärung.