Diese Bestandsaufnahme bündelt den Stand von KI und Digitalisierung in der psychotherapeutischen und psychosozialen Praxis, wie er sich aus mehreren Monaten eigener Recherche und Sammlung ergibt (Stand Juni 2026) – nüchtern und quellengestützt. Die Befunde der einzelnen Themenfelder im Überblick:
Die Bestandsaufnahme versteht sich als sachliche Grundlage – technikoffen und zugleich professionsschützend. Die offenen Fragen und die Grenzen dieser Übersicht sind in Abschnitt 7 benannt.
Digitalisierung und Künstliche Intelligenz sind in der psychotherapeutischen Versorgung längst angekommen – nicht als Zukunftsfrage, sondern als gelebte Praxis. Vieles davon geschieht unausgesprochen: in der Dokumentation am Abend, im Umgang von Klient:innen mit Chatbots, in der stillen Einführung KI-gestützter Funktionen in Praxissoftware. Über Chancen wird laut gesprochen, über Risiken oft nur im kleinen Kreis.
Diese Landschaftskarte versucht, das Feld nüchtern zu ordnen: Wo stehen wir, was sagt die Forschung, welche rechtlichen und ethischen Fragen stellen sich, und wo verlaufen die Grenzen des Vertretbaren. Sie ist bewusst kein Manifest und keine Technikkritik um ihrer selbst willen. Sie ist auch keine Werbung für Technologie. Sie ist der Versuch, eine sachliche Grundlage zu schaffen, auf der sich eine fachlich fundierte Haltung bilden lässt – von der eigenen Praxis bis zur Berufspolitik. Sie ist dabei ausdrücklich kein wissenschaftliches Werk im strengen Sinn (dazu gleich mehr in der Methodik), sondern der verschriftlichte Versuch, mein über Monate zusammengetragenes Wissen – meinen persönlichen „Wissenshub“ zu diesem Thema – zu ordnen, verständlich vorzustellen und frei zur Verfügung zu stellen.
Schwerpunkt Psychotherapie. Ich bin selbst psychotherapeutisch tätig; entsprechend liegt der Fokus dieser Bestandsaufnahme auf der Psychotherapie. Viele Befunde gelten sinngemäß auch für angrenzende psychosoziale Berufsfelder – die klinische Psychologie, die Soziale Arbeit, die Pflege, die Arbeit mit besonders schutzbedürftigen Gruppen. Diese Felder haben jedoch teils eigene Risikoprofile, die eine gesonderte Betrachtung verdienen; auf sie gehe ich hier nur dort ein, wo es den Blick schärft (siehe Abschnitt 1.5).
Die Abschnitte 2 bis 5 behandeln vier Querschnitts-Dimensionen, die für jede Form des KI-Einsatzes gelten: Berufsethik und Beziehung (2), IT-Sicherheit und Architektur (3), Datenschutz und Recht (4) sowie der klinische Forschungsstand (5). Abschnitt 6 würdigt die Chancen fair, Abschnitt 7 benennt die offenen Fragen ehrlich. Wer wenig Zeit hat, findet in den jeweiligen Einleitungssätzen die Kernaussage; die Belege stehen in Abschnitt 8.
Diese Arbeit ist eine narrative Literaturübersicht, keine systematische Übersichtsarbeit im methodischen Sinne (kein PRISMA-Verfahren, keine vollständige, reproduzierbare Datenbankrecherche). Sie erhebt nicht den Anspruch wissenschaftlicher Vollständigkeit, sondern den einer fachlich kuratierten, transparent belegten Zusammenschau zum Stand Juni 2026.
Ausgangspunkt war die österreichische Fachdebatte – insbesondere das Positionspapier zur Digitalisierung in der Psychotherapie in Österreich (Böckle et al., 2025), das den Anstoß zu der hier dokumentierten, vertiefenden Recherche gab.
Die Quellen lassen sich in fünf Klassen einteilen, die ich im Text kenntlich halte: Primärrecht (Verordnungs- und Gesetzestexte), Judikatur (Gerichtsentscheidungen), regulatorische Leitlinien (z. B. Stellungnahmen von Datenschutz-Aufsichtsbehörden), peer-reviewte Forschung sowie Markt- und Kontextquellen (Berichte, Branchenanalysen). Wo eine Aussage nicht belegt, sondern eingeschätzt ist, kennzeichne ich sie als solche.
Drei Vorsichtsregeln durchziehen das Dokument. Erstens werden Wirksamkeitszahlen differenziert wiedergegeben: kleine Effektstärken bleiben kleine Effektstärken, und Befunde aus nicht repräsentativen oder kulturell entfernten Stichproben werden nicht auf den deutschsprachigen Raum hochgerechnet. Zweitens werden Korrelationen nicht zu Kausalitäten überdehnt – wo eine Studie einen zeitlichen Zusammenhang berichtet, behaupte ich keinen ursächlichen. Drittens wird auf Aktualität geachtet: Generative KI ist im breiten Alltag erst seit etwa 2024 präsent und entwickelt sich rasant; deshalb werden möglichst aktuelle Quellen bevorzugt, und ältere Arbeiten werden nur dort herangezogen, wo sie zeitlose Grundlagen betreffen (etwa zum Automation Bias oder zur Re-Identifizierbarkeit), nicht für Aussagen über den jeweiligen Stand der KI-Technik selbst.
Was dieses Dokument nicht behauptet
Es behauptet nicht, dass jede KI-Anwendung gefährlich ist, dass Cloud-Verarbeitung immer rechtswidrig ist, dass lokale Systeme automatisch fachlich gut oder betrieblich sicher sind, oder dass geprüfte digitale Gesundheitsanwendungen, klinisch begleitete Forschungssysteme und offene Consumer-Companion-Chatbots gleichzusetzen wären. Ebenso wenig wird behauptet, dass KI einzelne Schadensfälle kausal verursacht habe; wo Verfahren, Fallberichte oder Befragungen herangezogen werden, werden sie als Risiko- und Warnsignale gelesen, nicht als abgeschlossene Kausalbeweise.
Ich bin kein Jurist. Die rechtlichen Hinweise in diesem Dokument sind sorgfältig auf Quellen gestützte Prüfpunkte aus berufsangehöriger Sicht, keine Rechtsberatung im Einzelfall. Wo es um verbindliche juristische Bewertungen geht, ist eine fachjuristische Prüfung erforderlich.
Und eine zweite Transparenz-Anmerkung – eine Doppelrolle, die ich offen benenne, weil sie ein nachvollziehbarer Angriffspunkt ist: Ich entwickle parallel zu meiner therapeutischen Tätigkeit eine Local-First-Praxisverwaltungs-Software für psychotherapeutische Praxen, die auch als kommerzielles Produkt angeboten werden soll. Außerdem plane ich – sofern ich die zeitlichen Ressourcen finde –, dieses Wissen perspektivisch als Fortbildung anzubieten (schon aus Gründen der KI-Kompetenz, AI Literacy, die ich für notwendig halte). Wer für dezentrale, datensparsame Architekturen argumentiert und zugleich an einem Produkt baut, das dieser Logik folgt, steht in einem Interessenkonflikt – das ist mir bewusst. Ich versuche, meine Haltung und Verantwortung gegenüber der Berufsgruppe so weit wie möglich von meinen geschäftlichen Interessen zu trennen, und mache die Verflechtung deshalb hier sichtbar, statt sie zu verschweigen. Konkret nenne und bewerte ich in diesem Dokument kein Produkt aus dem Marktsegment, in dem ich selbst tätig bin (Praxisverwaltungs- und Dokumentationssoftware für Psychotherapie) – weder mein eigenes noch das von Mitbewerbern. Allzwecksysteme großer Technologiekonzerne (etwa allgemeine Chatbots oder klinische Diktiersysteme) nenne ich nur dort beim Namen, wo öffentlich dokumentierte Fakten es erfordern. Die Argumentation für dezentrale, datensparsame Architekturen stützt sich ausschließlich auf datenschutzrechtliche und berufsethische Erwägungen und ist anbieterunabhängig formuliert.
Und eine dritte, der Sache angemessene Offenlegung – zur Entstehung dieses Textes: Diese Bestandsaufnahme ist KI-gestützt erstellt, und zwar in einem engeren Sinn, als solche Formulierungen oft nahelegen. Die Haltung, die inhaltliche Auswahl, die Gewichtung und die Verantwortung für jede Aussage liegen bei mir als Mensch; die sprachliche Ausarbeitung – das Strukturieren, Glätten und Ausformulieren zu lesbaren Sätzen – ist überwiegend KI-gestützt entstanden. Vereinfacht gesagt: Der Gedanke, die Auswahl und die Prüfung sind meine, die geschliffene Formulierung ist oft die der Maschine. Der Grund ist schlicht: Für eine ausformulierte Fassung dieses Umfangs fehlt mir beides – die Zeit neben der Vollzeit-Praxis und, das sage ich offen, die schriftstellerische Übung. Genau dafür ist KI ein sinnvolles Werkzeug. Auch die Literaturrecherche erfolgte teils durch mich, teils KI-gestützt. Die Quellen und Aussagen habe ich nach bestem Wissen geprüft – unterschiedlich tief: die rechtlichen Kernaussagen und zentralen Studien-Kennzahlen vorrangig und möglichst an der Originalquelle, Markt- und Medienquellen weniger tief (im Quellenverzeichnis entsprechend gekennzeichnet) –, denn als in Vollzeit praktizierender Therapeut, der diese Arbeit nebenbei leistet, sind meine zeitlichen Ressourcen begrenzt. Deshalb sind Fehler möglich, und ich bin für jeden Hinweis und jede sachliche Kritik ausdrücklich dankbar, die hilft, die Qualität dieser Zusammenschau zu verbessern. Diese Arbeitsteilung ist übrigens genau die Grenze, die Abschnitt 2.2 zieht: Strukturieren und Formulieren als Unterstützung – Auswahl, Gewichtung und Prüfung als nicht delegierter Eigenanteil. Und dieses Dokument ist keine klinische Dokumentation; für diese gelten die strengeren Maßstäbe aus Abschnitt 2. Diese Offenlegung ist kein Beiwerk, sondern Programm: Ein Dokument, das Transparenz beim KI-Einsatz einfordert (Abschnitt 4.7), muss sie zuerst an sich selbst anlegen.
Bevor man über Chancen und Risiken streitet, lohnt der nüchterne Blick darauf, was tatsächlich geschieht. Die zentrale Beobachtung: KI ist im psychosozialen Alltag bereits breit präsent – überwiegend ungeregelt, oft unsichtbar, und auf beiden Seiten des Behandlungsverhältnisses.
Belastbare Zahlen aus Deutschland liefert eine repräsentative Befragung der Stiftung Deutsche Depressionshilfe und Suizidprävention vom Frühjahr 2026 unter 2.500 Personen zwischen 16 und 39 Jahren. Demnach hat bereits rund zwei Drittel (65 %) dieser Altersgruppe schon einmal mit einem KI-Chatbot über eigene psychische Belastungen gesprochen – wie mit einer vertrauten Person oder einer Beratungsinstanz. Unter den jüngeren Menschen mit einer Depression nutzt etwa ein Drittel (35 %) KI im Zusammenhang mit ihrer Erkrankung, ein Teil davon in längeren, dialogartigen Gesprächen. Das mit Abstand am häufigsten genutzte System war ein einzelner kommerzieller Chatbot-Dienst (rund drei Viertel der Nutzungen), gefolgt von zwei weiteren großen Anbietern (Stiftung Deutsche Depressionshilfe, 2026).
Zur Einordnung dieser Zahlen zwei Vorbehalte: Sie stammen aus der Pressefassung der Befragung, nicht aus einem vollständigen Methodenbericht, und sie beruhen auf Selbstauskunft. Für die Frage der bloßen Verbreitung sind sie dennoch aussagekräftig – und sie zeigen unmissverständlich, dass die Nutzung kein Randphänomen mehr ist, sondern für eine ganze Generation zum Repertoire gehört. Die klinisch heiklen Befunde derselben Studie werden in Abschnitt 5 behandelt.
Für Österreich zeichnen zwei aktuelle Erhebungen ein passendes Bild. Eine repräsentative Studie der EU-Initiative Saferinternet.at unter 500 Jugendlichen zwischen 11 und 17 Jahren fand: 94 % nutzen bereits KI-Chatbots – und das keineswegs nur als Schul-Werkzeug (durchgeführt vom Institut für Jugendkulturforschung im Auftrag von ÖIAT, ISPA und Rat auf Draht; Feldphase Oktober/November 2025, veröffentlicht 2026). 31 % besprechen mit der KI „Sorgen oder Probleme“. 25 % fällt es leichter, mit einem Chatbot über persönliche Themen zu sprechen als mit Menschen. 29 % halten KI für „eine Art Freundin oder Freund“. Und immerhin 56 % sorgen sich selbst, KI könnte die Fähigkeit zum eigenständigen Nachdenken schwächen (Saferinternet.at, 2026). In der erwachsenen Allgemeinbevölkerung wiederum hat laut einer österreichischen Gesundheitsstudie bereits rund ein Drittel KI bei Gesundheitsfragen genutzt – und jede zehnte Person hält KI-Auskünfte für vertrauenswürdiger als ärztliche Information (Wiener Städtische, 2025). Die Nutzung ist also weder auf eine Altersgruppe noch auf ein einzelnes Land beschränkt. Dass digital gestützte Formate im österreichischen psychosozialen Feld bereits breit verankert sind, zeigt eine ÖIF-Erhebung: Unter öffentlich geförderten Beratungsstellen bieten 98,5 % Telefonberatung, 82,1 % Videoberatung und 81,3 % E-Mail-Beratung an – wobei die Befragten zugleich davon ausgehen, dass diese Formate das persönliche Setting ergänzen, nicht ersetzen (Kapella & Hornung, 2024).
KI betrifft die Psychotherapie auf zwei grundverschiedene Weisen, die in der Debatte oft vermischt werden.
Auf der Seite der Behandler:innen geht es um KI als Werkzeug der eigenen Arbeit: das Strukturieren von Stichworten zu Verlaufsnotizen, das Transkribieren von Diktaten oder Sitzungsaufnahmen, das Entwerfen von Schreiben und Berichten, die Recherche, die Erstellung von Psychoedukations-Material. Hier entscheidet die Psychotherapeut:in aktiv über den Einsatz – und trägt die Verantwortung dafür.
Die empirische Befundlage zur Perspektive der Behandler:innen zeigt dabei eine vorsichtige, aufgabenspezifische Offenheit – weder pauschale Ablehnung noch Begeisterung. In einer deutschen Befragung von 126 Psychiater:innen (2025) gab rund die Hälfte (52 %) an, KI-Chatbots bereits zu nutzen, überwiegend für administrative Aufgaben wie Arztbriefe (22 %) und Medikamenteninformation (25 %), bei deutlicher Skepsis gegenüber einem Einsatz in diagnostischen oder therapeutischen Entscheidungen (Schwarz et al., 2025). Eine Befragung von 179 deutschen Psychotherapeut:innen bestätigt dieses Gefälle: KI-gestützte diagnostische Auswertung wurde als deutlich nützlicher eingeschätzt (Mittelwert 3,97 auf einer 6-Punkte-Skala) als die genuin therapeutische Funktion empathischer Unterstützung (1,77); zugleich bezeichneten sich 40 % als technisch nicht affin (Wagner & Schwind, 2025). Qualitative Befunde aus den USA verorten das Vertrauen der Behandler:innen weniger in der Technik selbst als in der eigenen Kontrolle über deren Einsatz: Administrative Entlastung wird akzeptiert, die klinische Fallkonzeption bleibt menschliche Domäne (Kuang et al., 2026).
Auf der Seite der Klient:innen geschieht etwas anderes: Menschen bringen KI von sich aus mit. Sie besprechen Symptome, Krisen und Beziehungsthemen mit einem Chatbot, oft zwischen den Sitzungen, manchmal als Ersatz für sie. Sie kommen mit Gesprächsprotokollen, mit „Diagnosen“, die ihnen ein System gestellt hat, mit der Erwartung oder der Sorge, ihre Therapeut:in könnte ähnlich arbeiten. Diese Seite entzieht sich der Steuerung durch die Praxis vollständig – sie ist Realität, ob man sie gutheißt oder nicht.
Dass so viele Menschen das tun, hat nachvollziehbare Gründe, die ernst zu nehmen sind: Ein Chatbot ist rund um die Uhr verfügbar, kostenlos oder günstig, ohne Wartezeit erreichbar und weitgehend schamfrei – man kann ihm Dinge anvertrauen, für die man sich bei einem Menschen geniert, ohne Angst vor Bewertung. Für Menschen mit Einsamkeit, schlechten Vorerfahrungen im Versorgungssystem, Sprachbarrieren oder in Regionen mit langen Wartezeiten kann das eine niederschwellige erste Anlaufstelle sein. Diese Bedürfnisse sind real; sie zu übergehen, hieße die Perspektive der Klient:innen zu verfehlen. Gerade deshalb greift bloße Abwehr zu kurz – fachlich geht es darum, diese Bedürfnisse anzuerkennen und zugleich die Risiken (Abschnitt 5) und die Grenzen des Vertretbaren klar zu benennen.
Beide Seiten brauchen unterschiedliche Antworten; dieses Dokument behandelt sie getrennt.
Für die fachliche Bewertung ist wichtig, diese Nutzung nicht vorschnell moralisch abzuwerten. Die genannten Motive machen ungeprüfte Systeme nicht sicherer – aber sie zeigen, dass eine professionelle Antwort nicht mit Belehrung beginnen sollte, sondern mit einer offenen Frage: Welche Funktion erfüllt die KI gerade, die im Versorgungssystem oder im Alltag nicht ausreichend erfüllt wird?
Was im psychosozialen Alltag als „KI“ begegnet, ist kein einheitliches Ding, sondern ein gestaffeltes Feld sehr unterschiedlicher Werkzeuge – mit sehr unterschiedlichem Risikoprofil. Ich ordne sie in sieben Kategorien. Eine Frage zieht sich als Leitkriterium durch alle: Wo werden die Daten verarbeitet? Verlassen die Inhalte das Gerät, oder nicht? An dieser Weiche entscheidet sich später fast die gesamte Datenschutz- und Verschwiegenheitsfrage (Abschnitte 3 und 4).
1. Allgemeine Sprachmodelle. Die bekannten, frei zugänglichen Chatbot-Dienste – etwa ChatGPT (OpenAI), Claude (Anthropic), Gemini (Google) oder das europäische Mistral. Sie sind nicht für die Gesundheitsversorgung gebaut, werden aber massenhaft dafür zweckentfremdet: Laut einer repräsentativen Bitkom-Erhebung (November 2025) haben bereits 45 % der Menschen in Deutschland KI-Chatbots für gesundheitliche Fragen genutzt (Bitkom, 2025). Eingaben werden in der Regel auf den Servern des Anbieters verarbeitet, häufig außerhalb der EU. Es gibt sie in zwei Spielarten: frei zugängliche Consumer-Versionen und Unternehmens-Varianten mit vertraglichen Zusatzgarantien (Auftragsverarbeitung, teils EU-Verarbeitung, teils Verzicht auf Trainingsnutzung).
2. Lokal betriebene Modelle. Dieselbe Technologie, aber auf dem eigenen Gerät oder einem praxiseigenen Server – die Daten verlassen das Gerät nicht. Dazu zählen quelloffene Sprachmodelle ebenso wie lokale Spracherkennung (Transkription/Diktat), die offline auf handelsüblicher Hardware arbeitet. Diese Kategorie ist datenschutzrechtlich grundverschieden von Kategorie 1 (mehr dazu in Abschnitt 3).
3. Praxis- und Dokumentationssoftware mit KI-Funktionen. Das derzeit am schnellsten wachsende Segment im psychotherapeutischen Markt. Die KI-Funktionen lassen sich als Stufenleiter zunehmender Eingriffstiefe verstehen: (a) reine Verwaltung/Abrechnung ohne KI; (b) zusätzlich Transkription/Diktat; (c) automatische Strukturierung und Zusammenfassung der Dokumentation; (d) Prozess- und Verlaufsanalyse (Symptom-Tracking über Sitzungen, Diagnose-Vorschläge); (e) konkrete Therapie-Empfehlungen. Bemerkenswert ist, dass die meisten Anbieter bewusst bei Stufe (c) haltmachen und sich als „Strukturieren, nicht Behandeln“ positionieren – Stufe (e) ist im Markt praktisch unbesetzt, sehr wahrscheinlich aus Haftungs- und regulatorischen Gründen (eigene, nicht systematische Marktsichtung, Stand Juni 2026 – einzelne Anbieter können mir entgangen sein). Architektonisch ist dieses Segment nach dieser Sichtung derzeit weit überwiegend cloud-basiert (meist EU-gehostet, mit Verschlüsselung und Lösch-Konzepten); echte lokale Verarbeitung auf dem Praxisrechner ist die Ausnahme. Wichtig zu wissen: „EU-Server“ und „lokal“ werden im Marketing oft vermischt – es ist nicht dasselbe. Ebenso ist „DSGVO-konform“, solange kein unabhängiges Audit oder eine Zertifizierung dahintersteht, zunächst eine Selbstauskunft des Anbieters – ein Marketing-Label, keine von außen geprüfte Tatsache. Für allgemeine Software gibt es keine verpflichtende Vorab-Kontrolle; die Verantwortung für die Prüfung bleibt bei der Praxis (Abschnitt 4.3).
4. Ambient-Scribe-Systeme. Eine Sonderform, die zunehmend in den Alltag drängt: KI, die das Gespräch im Hintergrund mithört und automatisch dokumentiert. Mit der allgemeinen Verfügbarkeit eines solchen Systems eines großen Tech-Konzerns im DACH-Raum seit dem 7. Oktober 2025 (Microsoft „Dragon Copilot“, zunächst für Kliniken und Praxen) (Microsoft, 2025) wird die Erwartung normalisiert, „die KI hört einfach zu“. Gerade diese Systeme werfen die schärfsten Einwilligungs- und Datenschutzfragen auf (Abschnitt 4.7).
5. Digitale Gesundheitsanwendungen (DiGAs). Der einzige geprüfte und erstattungsfähige Pfad von Software in die Versorgung. In Deutschland seit 2020 etabliert (ein behördlich geführtes Verzeichnis, derzeit gut zwei Dutzend Anwendungen im Bereich psychische Gesundheit; BfArM-DiGA-Verzeichnis, Stand 2026), in der Schweiz seit 2026 beginnend. In Österreich ist das Verfahren noch im Aufbau: Die eHealth-Strategie 2024 plant drei Stufen – CE-Konformitätsprüfung nach MDR, ein österreichisches „Vertrauenssiegel“ (voraussichtlich bei BASG und AGES angesiedelt) und eine Erstattungsregelung über den Dachverband der Sozialversicherungsträger. Nach abgeschlossener Pilotierung (bis November 2025) soll der gesetzliche Rahmen bis Ende 2026 stehen; ein regulärer Start ist ab etwa 2027 möglich (BMSGPK, eHealth-Strategie 2024). Wichtig: Die meisten dieser geprüften Anwendungen sind strukturierte, regelbasierte Programme (oft verhaltenstherapeutisch) – nicht offene generative KI-Chatbots, wie sie derzeit als Consumer-Companions populär sind. Eingesetzt werden sie häufig begleitend zur Präsenztherapie (Blended Therapy, Abschnitt 6.4) – der belegte Nutzen bleibt dabei an dieselbe Bedingung geknüpft: Er gilt für geprüfte Anwendungen, nicht für beliebige Apps, die man „nebenbei“ in die Behandlung einbezieht. Der geprüfte Weg und der KI-Hype fallen hier auseinander.
6. „Empathische KI“ und Companion-Chatbots. Ein boomendes, weitgehend ungeprüftes Consumer-Segment: Apps, die als „KI-Therapeut“, „empathischer Begleiter“ oder „immer für dich da“ vermarktet werden, teils mit emotional klingender Echtzeit-Stimme. Technisch ist manches beeindruckend; die Vermarktung verspricht jedoch regelmäßig mehr (Verständnis, Empathie, therapeutische Wirkung), als die Technik einlösen kann – und bewegt sich rechtlich häufig im „Wellness“-Bereich, um nicht als Medizinprodukt geprüft zu werden. Genau in diesem Segment werden die schwersten öffentlich dokumentierten Schadensfälle und Verfahren berichtet (Abschnitt 5).
Das Ausmaß dieses Graubereichs ist beträchtlich. Eine vom TÜV-Verband 2023 unter Bezug auf das BSI berichtete Größenordnung nennt rund 284.000 Gesundheits-Apps in den App-Stores; die Zahl ist als ältere Marktgrößenordnung, nicht als aktuelle 2026-Erhebung zu lesen. Ein großer Teil davon sind nicht als DiGA oder Medizinprodukt geprüfte Wellness-, Sport- oder Lifestyle-Anwendungen (TÜV-Verband/BSI, 2023). Software ist nämlich nur dann ein geprüftes Medizinprodukt, wenn der Hersteller ihr eine medizinische Zweckbestimmung (Diagnose, Überwachung, Behandlung, Linderung) zuschreibt; Angebote, die ihrem tatsächlichen Leistungsversprechen nach in die Nähe einer Medizinprodukte-Einstufung geraten könnten, werden teils als „Lifestyle“ deklariert und entgehen so der Prüfung – ein anerkanntes Verbraucherschutzrisiko, gerade weil dabei hochsensible Daten verarbeitet werden (gesundheitswirtschaft.at, 2025). Verschärft wird die Unübersichtlichkeit durch teils automatisiert erzeugte, mit generativer KI „hochgezogene“ Webseiten und Apps („KI-Slop“), deren Heilsversprechen faktisch in den therapeutischen Bereich reichen, technisch jedoch fragwürdig und berufsethisch heikel sind. Für Nutzer:innen verläuft die Grenze zwischen harmlosem Wellness-Angebot und faktischer Gesundheitsanwendung dabei oft unsichtbar – vom „digitalen Gesundheitsdschungel“ ist die Rede.
7. Verwaltungs- und Steuerungs-KI im Hintergrund. Schließlich Systeme, die Klient:innen nicht direkt begegnen, aber über sie wirken: KI bei Kranken- und Sozialversicherungsträgern (heute vor allem in der Verwaltung, perspektivisch denkbar auch bei der Bearbeitung von Anträgen) sowie – außerhalb der Psychotherapie, aber im psychosozialen Feld – algorithmische Entscheidungssysteme in Behörden (Abschnitt 1.5). Hier entscheidet sich weniger im Sprechzimmer als in der Infrastruktur dahinter. Hierher gehören auch Vermittlungs- und Verzeichnis-Plattformen, die Hilfesuchende per Fragebogen und Matching-Algorithmus an Therapeut:innen vermitteln (teils mit menschlichem Prüfschritt): Sie behandeln nicht, aber sie steuern den Zugang zur Versorgung mit. Kritisch ist dabei zweierlei – dass bei manchen Verzeichnissen die Sichtbarkeit der Behandler:innen von kostenpflichtigen Premium-Einträgen abhängt (bezahlte Top-Platzierungen sind nach der Rechtsprechung kennzeichnungspflichtig), und dass ein KI-gestütztes Matching eigene datenschutzrechtliche Fragen aufwirft (Abschnitt 4.3).
Für die weitere Lektüre genügen wenige Begriffe (ausführlicher im Glossar). Ein großes Sprachmodell (engl. Large Language Model, LLM) ist ein auf riesigen Textmengen trainiertes statistisches System, das auf eine Eingabe hin den jeweils wahrscheinlichsten nächsten Textbaustein erzeugt – es „versteht“ nicht im menschlichen Sinn, sondern setzt Muster fort. Generative KI bezeichnet solche Systeme, die neue Inhalte (Text, Bild, Audio) erzeugen. Der Unterschied zwischen lokaler und cloud-basierter Verarbeitung meint schlicht den Ort: Läuft das Modell auf dem eigenen Gerät, oder werden die Eingaben an einen externen Server übertragen? An dieser Frage entscheidet sich, ob therapeutische Inhalte das geschützte Setting verlassen.
Diese Landschaftskarte ist auf die Psychotherapie zugeschnitten. Doch dieselben Technologien werden im gesamten psychosozialen Feld eingesetzt – und dort stellen sich teils andere Kernfragen. In der Sozialen Arbeit wird ebenfalls viel im vertraulichen Eins-zu-eins gearbeitet, häufig mit besonders verletzlichen Menschen und Randgruppen; die Beziehungs- und Vertraulichkeitsfragen ähneln dort denen der Psychotherapie. Hinzu tritt jedoch eine Ebene, die der therapeutischen Praxis fremd ist: In Behörden wie dem Arbeitsmarktservice oder den Sozialämtern wird zunehmend KI eingesetzt, die über Menschen entscheidet – über Leistungsansprüche, Risikoeinstufungen, Zuteilungen. Hier droht, dass folgenreiche Entscheidungen über die Köpfe der Betroffenen hinweg an Systeme ausgelagert werden, die auch falsch liegen können – in einem Kontext, dem sich die Betroffenen kaum entziehen können. In der Pflege rückt die Einwilligungsfähigkeit von Menschen mit kognitiven Einschränkungen und das Spannungsfeld von Dauerüberwachung und Autonomie in den Vordergrund. In der Arbeit mit Kindern und mit Menschen mit Behinderung verschärft sich die Frage des Schutzes besonders verletzlicher Personen.
Diese Felder verdienen eine eigene, differenzierte Betrachtung, die den Rahmen dieser Bestandsaufnahme sprengen würde. Ich behandle sie an anderer Stelle gesondert. Festzuhalten ist hier nur: Die im Folgenden beschriebenen Grundprobleme – Vertraulichkeit, Kontrolle über Daten, Verantwortung, Beziehung – gelten überall; ihre konkrete Gestalt aber unterscheidet sich von Feld zu Feld.
Die wichtigste Frage beim KI-Einsatz in der Psychotherapie ist keine technische, sondern eine berufsethische: Was macht KI mit dem Kern dessen, was Psychotherapie ausmacht? Dieser Kern ist nicht die Verwaltung von Information, sondern die Beziehung zwischen zwei Menschen, das leiblich-emotionale Verstehen und der reflexive Prozess, in dem aus Wahrnehmung therapeutisches Handeln wird. An diesem Maßstab – nicht an der technischen Machbarkeit – entscheidet sich, was vertretbar ist.
Die Psychotherapieforschung zeigt seit Jahrzehnten konsistent, dass die Qualität der therapeutischen Beziehung – die Allianz zwischen Psychotherapeut:in und Klient:in – zu den robustesten Prädiktoren des Behandlungserfolgs gehört, weitgehend unabhängig vom Verfahren. Wirkung entsteht in der Begegnung: im Gehaltenwerden, im geteilten Affekt, in der Erfahrung, von einem realen Gegenüber verstanden zu werden.
Genau hier liegt die Grenze der KI. Ein Sprachmodell kann Empathie simulieren – verständnisvoll formulieren, Trost spenden, zuhören scheinen. Aber es ist kein fühlendes Gegenüber. Bemerkenswerterweise erleben Nutzer:innen diese Simulation oft als hilfreich, manche sogar als nah (siehe Abschnitt 5). Wie weit das reicht, zeigt eine Reihe präregistrierter Experimente: Unbeteiligte Dritte bewerteten KI-generierte Antworten als mitfühlender als die von Menschen – auch gegenüber erfahrenen Krisen-Helfer:innen, und selbst dann, wenn die KI-Urheberschaft offengelegt wurde (Ovsyannikova et al., 2025). Das ist kein Gegenbeweis, sondern der Kern des Problems: Was sich anfühlt wie Beziehung, ist eine statistische Mustererzeugung ohne Beziehungsfähigkeit. Für die Psychotherapie folgt daraus eine klare Unterscheidung – KI kann Werkzeug sein, das die Psychotherapeut:in entlastet; sie kann nicht Träger der therapeutischen Beziehung sein.
Diese Unterscheidung – Werkzeug ja, Beziehungsersatz nein – wird von drei ganz verschiedenen Seiten gestützt. Die Berufsvertretung: Der ÖBVP hält fest, dass KI eine menschliche Begegnung nicht ersetzen kann, in einzelnen Bereichen – organisatorische Abläufe, das Strukturieren eigener Gedanken, Psychoedukation – aber unterstützend wirken könne, ohne je den Eindruck zu erwecken, Psychotherapie oder die Beziehung zu ersetzen (ÖBVP, 2026). Die Fachliteratur: Eine Übersicht zu KI-gestützter Psychotherapie verortet die Wirkung im „Kontextmodell“ der gemeinsamen Wirkfaktoren (Allianz, Empathie, Erwartung, Ziele) – KI könne einzelne davon unterstützen, doch die „real relationship“ setze menschliche Präsenz voraus; KI verstärke die Wirkfaktoren bestenfalls, trage sie aber nicht (Giotakos, 2025). Und das österreichische Recht: Die „Richtlinie Online-Psychotherapie“ (BMASGPK, Stand 3. Juli 2025, auf Basis von § 39 PthG 2024) hält ausdrücklich fest, dass an einer psychotherapeutischen Leistung „zwei natürliche/echte/reale Personen“ beteiligt sind und Behandlungen „nicht durch KI-Systeme oder Apps durchzuführen“ sind (BMASGPK, 2025). Bemerkenswert ist die Reichweite dieser rechtlichen Klarstellung: Sie untersagt KI als Behandlungsersatz, lässt KI als Assistenz- und Dokumentationswerkzeug aber ungeregelt – genau jene Grauzone, um die es im Folgenden geht.
In diesen österreichischen Fachdiskurs reiht sich auch ein aktuelles Positionspapier zur Digitalisierung in der Psychotherapie in Österreich ein (Böckle et al., 2025), das Chancen, Anwendungsfelder und Rahmenbedingungen behandelt und u. a. Privacy by Design, Ende-zu-Ende-Verschlüsselung und einen „Human in the Loop“ fordert. Die vorliegende Landschaftskarte versteht sich als vertiefende Ergänzung dazu – sie leuchtet gerade die technischen, sicherheits- und datenschutzbezogenen Fragen (Klartextzugriff, Anbieterabhängigkeit, Aggregationsrisiko, Drittlandtransfer) schärfer aus.
Das Verfassen von Verlaufsdokumentation gilt vielen als lästige Pflicht – und ist genau deshalb der erste Kandidat für die Auslagerung an KI. Doch das Schreiben über eine Sitzung ist nicht bloß ein administrativer Akt. Es ist ein eigenständiger kognitiver Prozess: Im Formulieren verdichtet sich die Wahrnehmung, entstehen Hypothesen, verbindet sich Theorie mit dem konkreten Fall, ordnet sich das eigene Denken. Wer diesen Prozess vollständig an ein System abgibt, spart nicht nur Zeit – er gibt einen Reflexionsraum auf.
Das spricht nicht gegen jede Unterstützung. Dass eine KI Stichworte ordnet oder eine Rohfassung strukturiert, kann legitim sein. Entscheidend ist, dass die eigenständige fachliche Auseinandersetzung erhalten bleibt – dass die Psychotherapeut:in den Fall noch selbst durchdenkt und nicht nur ein generiertes Ergebnis abnickt. Die Grenze verläuft dort, wo das Werkzeug das Denken ersetzt statt es zu unterstützen.
Was für erfahrene Behandler:innen eine Frage der Arbeitsökonomie ist, wird in der Ausbildung zur Frage der Identität. Angehende Psychotherapeut:innen entwickeln ihre professionelle Kompetenz wesentlich über genau jene Prozesse, die sich am leichtesten auslagern lassen: das mühsame Ringen um die richtige Formulierung, das Aushalten von Unsicherheit, das Wahrnehmen eigener Resonanz im Beziehungsgeschehen. Wenn ein scheinbar objektives System früh „die Antwort“ liefert, droht eine Verschiebung – vom eigenen Wahrnehmen hin zur technischen Autorität.
Deshalb ist im Ausbildungskontext besondere Zurückhaltung geboten. Der geschützte Raum, in dem Irrtum, Suchbewegung und eigene Unsicherheit möglich sein müssen, darf nicht vorschnell durch automatisierte Bewertung oder vorgefertigte Lösungen verstellt werden. Kompetenz, die nie selbst erarbeitet wurde, lässt sich später nicht abrufen.
Ein verwandtes Risiko betrifft KI-gestützte Auswertungen – etwa automatisierte Video- oder Sitzungsanalysen – im Ausbildungs- und Supervisionskontext. Auch wenn solche Werkzeuge zusätzliche Perspektiven liefern können, droht eine Kultur permanenter Bewertung. Professionelles Wachstum braucht jedoch geschützte Räume, in denen Unsicherheit, Irrtum und Suchbewegungen möglich sind, ohne unmittelbar in Leistungskennzahlen übersetzt zu werden. Die Psychotherapie-Ausbildung sollte nicht zu einem datengestützten Leistungsmonitoring werden.
Wird KI im Behandlungskontext eingesetzt, der Klient:innen betrifft, verlangt das deren Aufklärung und je nach Konstellation deren Einwilligung (die rechtlichen Voraussetzungen behandelt Abschnitt 4). Berufsethisch kommt eine Dimension hinzu, die rein rechtlich oft übersehen wird: Die therapeutische Beziehung ist strukturell asymmetrisch. Klient:innen befinden sich in einer Position des Hilfesuchens; sie sind auf die Beziehung angewiesen.
Eine Bitte um Zustimmung zur KI-gestützten Dokumentation oder Analyse kann unter diesen Bedingungen schwer abzulehnen sein – nicht aus Überzeugung, sondern um die Allianz nicht zu belasten oder die Bezugsperson nicht zu enttäuschen. Eine Unterschrift ist dann formal vorhanden, aber nicht unbedingt Ausdruck einer freien Entscheidung. Das gilt verschärft für Menschen in akuten Krisen oder vulnerablen Zuständen. Die Fürsorgepflicht der Psychotherapeut:in lässt sich nicht durch das Einholen einer Unterschrift auf die Klient:in delegieren – sie verlangt, die Beziehungsdynamik bei der Frage des Einsatzes aktiv mitzudenken.
Gegen all dies wird oft eingewandt, die Letztverantwortung bleibe ja beim Menschen: KI schlage nur vor, prüfen und entscheiden tue die Fachperson. Dieses Prinzip ist richtig – seine praktische Wirksamkeit wird jedoch durch ein gut belegtes kognitives Phänomen begrenzt, den Automation Bias: die Tendenz, automatisierten Vorschlägen unkritisch zu vertrauen und widersprechende Hinweise zu übersehen.
Die Human-Factors-Forschung zeigt, dass dieser Effekt auch bei Expert:innen auftritt und sich durch bloßes Training nicht zuverlässig beseitigen lässt; unter Zeitdruck und hoher Belastung verstärkt er sich (Parasuraman & Manzey, 2010). Für das Gesundheitswesen ist belegt, dass klinische Entscheidungsträger:innen auch bei verfügbarer Gegenevidenz dazu neigen, fehlerhaften Systemempfehlungen zu folgen (Goddard, Roudsari & Wyatt, 2012). Daraus folgt zweierlei: Erstens darf die geforderte „eigenständige Prüfung“ nicht zur bloßen Verantwortungsformel werden, deren Einlösbarkeit man überschätzt. Zweitens ist der reflexive Eigenanteil – das selbst Durchdenken, das selbst Schreiben – kein verzichtbarer Luxus, sondern ein struktureller Schutz gegen das schleichende Verlernen (Deskilling).
Dass diese Themen keine Außenseiterposition sind, zeigt ihre berufsständische Verankerung: Das KI-Curriculum der deutschen Bundespsychotherapeutenkammer (Stand 13.2.2026) führt Automation Bias und Deskilling ausdrücklich als ethische Pflichtthemen – und stellt ihnen die „Nicht-Nutzungs-Ethik“ gegenüber, also die Frage, ob das Unterlassen nachweislich hilfreicher digitaler Verfahren ethisch vertretbar ist (BPtK-Curriculum, 2026). Berufsethik im Umgang mit KI ist damit zweiseitig: Sowohl die unkritische Übernahme als auch die pauschale Verweigerung sind begründungspflichtig.
Hinzu kommt eine grundsätzlichere Einschränkung des „Human in the Loop“-Prinzips: Verantwortung setzt Kenntnis und Kontrolle voraus. Wenn aber die Trainingsdaten eines Systems unbekannt sind, seine Entscheidungswege nicht nachvollziehbar und Modell-Updates ohne Zutun der Anwender:innen erfolgen – das System für die Anwender:in also eine Blackbox ist, erst recht bei Verarbeitung auf fremden Servern –, übernimmt die Psychotherapeut:in Verantwortung für ein System, dessen Grundlagen sie nicht kennt. Das macht Verantwortung nicht unmöglich – aber es verlangt, ihre Grundlage offen zu benennen, statt sie als selbstverständlich vorauszusetzen.
Aus den vorigen Überlegungen folgt eine praktische Frage, die in der Debatte oft zu kurz kommt: Wie wird die Qualität dessen gesichert, was KI produziert? Vier Punkte gehören zur Sorgfalt.
Output prüfen, nicht übernehmen. KI-Ausgaben – Transkripte, Zusammenfassungen, Entwürfe, Vorschläge – sind systematisch fehleranfällig: Sprachmodelle erzeugen plausibel klingende, aber falsche Inhalte („Halluzinationen“/Konfabulationen), und auch lokale Transkription produziert nachweislich erfundene Textpassagen und fehlerhafte Zuordnungen (Taubitz, Sehn & Alpers, 2025). Jede klinisch oder rechtlich relevante Ausgabe ist daher gegenzulesen; die Verantwortung für die Richtigkeit bleibt bei der Psychotherapeut:in.
Fehler bemerken und korrigieren. Damit die Prüfung nicht zur bloßen Formalie wird (siehe Automation Bias, 2.5), braucht es ein aktives Bewusstsein für typische Fehlerarten und einen Korrektur-Reflex – gerade dort, wo die Ausgabe flüssig und überzeugend klingt. Was übernommen wird, sollte die Fachperson auch verantworten können.
Modell-Updates im Blick behalten. KI-Systeme verändern sich ohne Zutun der Anwender:innen: Ein Update kann das Verhalten verschieben, sodass eine zuvor verlässliche Funktion plötzlich anders reagiert. Verlässlichkeit und Reproduzierbarkeit sind damit nicht dauerhaft garantiert – ein Grund, sich nicht blind auf eingespielte Routinen zu verlassen.
Nachvollziehbarkeit dokumentieren. Verantwortungsvolle Nutzung heißt auch, nachvollziehbar zu halten, was die KI beigetragen hat und was die Fachperson übernommen oder verworfen hat. Diese Trennung zwischen Vorschlag und Entscheidung ist nicht nur gute Praxis, sondern zunehmend eine regulatorische Erwartung an eine belegbare menschliche Aufsicht (vgl. die Kennzeichnungs- und Aufsichtslogik des EU AI Act, Abschnitte 4.6/4.7).
Dieser Abschnitt ist technischer als die übrigen – notwendigerweise, denn an technischen Details entscheidet sich, ob die Verschwiegenheit gewahrt bleibt. Die gute Nachricht: Man muss kein:e Informatiker:in sein, um die entscheidenden Fragen zu stellen. Es genügen wenige Unterscheidungen, die im Marketing gern verwischt werden.
„Verschlüsselt“ klingt beruhigend, sagt aber für sich genommen wenig. Entscheidend sind drei grundverschiedene Modelle. Erstens die Transportverschlüsselung (TLS, das Schloss-Symbol im Browser): Sie schützt die Daten unterwegs zwischen Gerät und Server – am Server liegen sie danach im Klartext vor. Das ist heute Mindeststandard, für hochsensible Inhalte aber unzureichend. Zweitens die serverseitige Verschlüsselung mit Anbieter-Schlüssel: Die Daten sind im Ruhezustand auf dem Server verschlüsselt, doch der Anbieter besitzt den Schlüssel und kann sie jederzeit entschlüsseln. Drittens die client-seitige oder Zero-Knowledge-Verschlüsselung: Der Schlüssel verbleibt ausschließlich beim Anwender; der Anbieter sieht nur kryptografisch verschlossene Daten und kann – strukturell, nicht nur vertraglich – keinen Klartext lesen.
Besonders irreführend ist der Begriff „Ende-zu-Ende-Verschlüsselung“. Bei einer laufenden Videokonferenz bedeutet er etwas anderes als bei gespeicherten Verlaufsdaten in einer Datenbank. Wer „Ende-zu-Ende-verschlüsselt“ liest und daraus schließt „dann ist es sicher“, übersieht möglicherweise, dass der Anbieter auf die gespeicherten Daten im Ruhezustand sehr wohl zugreifen kann. Diese Differenzierung ist im therapeutischen Kontext essenziell – sie schützt vor falscher Sicherheit.
Aus den drei Modellen folgt die eine Frage, die man jedem Anbieter stellen sollte: Kann der Anbieter die Inhalte im Klartext lesen – oder nicht? Es gibt ein einfaches Indiz. Wenn ein System „Passwort-Zurücksetzen ohne Datenverlust“ erlaubt, dann existiert in aller Regel ein serverseitiger Zugriffspfad auf die Daten – sonst wären die Inhalte nach einem vergessenen Passwort unwiederbringlich verloren. Ebenso setzen Komfort-Funktionen wie Support-Zugriff oder serverseitige KI-Verarbeitung voraus, dass der Anbieter die Daten entschlüsseln kann.
Zwei weitere Indizien helfen, Marketing von Architektur zu trennen. Erstens die Werbeaussage selbst: Ein Versprechen nach dem Muster „nur Sie können Ihre Daten lesen“ (hier als hypothetisches Lehrbeispiel formuliert) beschreibt ein client-seitiges Zero-Knowledge-Modell. Eine solche Aussage gerät in Erklärungsnot, sobald derselbe Dienst serverseitig Inhalte verarbeitet – denn Verarbeitung erfordert immer irgendwo Klartext: Spätestens jede serverseitige KI-Verarbeitung (Transkription, Analyse, Strukturierung) setzt zwingend voraus, dass das System die Inhalte im Klartext lesen kann; auch manche Komfort-Funktionen benötigen zumindest einzelne Daten im Klartext (eine E-Mail-Adresse etwa, um eine E-Mail zu versenden). Das gilt übrigens auch für lokale Software – der entscheidende Unterschied ist das Wo: Bei lokaler Verarbeitung bleibt der Klartext im Verantwortungsbereich der Praxis, von außen besteht grundsätzlich kein Zugriff; bei serverseitiger Verarbeitung existiert er beim Anbieter – mit allen Folgen, die die Abschnitte 3.4 bis 3.6 beschreiben. Einzelne Funktionen können durch besondere Architekturen anders gelöst sein (etwa Ende-zu-Ende-verschlüsselte Videotelefonie, die keinen Server-Klartext braucht); entscheidend ist, dass ein Anbieter die konkrete Architektur nachvollziehbar offenlegt. Zweitens ein häufig als Sicherheitsmerkmal genannter, anbieterbetriebener „Key-Management-Service“ – auch mit räumlich getrennter Schlüsselverwaltung: Er erhöht die Widerstandsfähigkeit gegen Außenangriffe, ändert aber nichts daran, dass der Anbieter die Schlüssel kontrolliert. Es bleibt serverseitige Verschlüsselung mit Anbieter-Schlüssel (Modell 2), nicht Zero-Knowledge (Modell 3). Wer ein Nur-Sie-können-lesen-Versprechen abgibt und zugleich serverseitige (KI-)Verarbeitung anbietet, sollte erklären können, wie beides zusammenpasst – diese Spannungslinie betrifft die gesamte Produktkategorie, kein einzelnes Angebot.
Das ist keine Unterstellung missbräuchlicher Zugriffe, sondern eine nüchterne Feststellung: Solange hochsensible Verlaufsdokumentation in extern betriebenen Strukturen liegt, deren Architektur einen Klartextzugriff ermöglicht, beruht ihre Vertraulichkeit wesentlich auf Vertrauen in Anbieterstrukturen – nicht auf technischer Unzugänglichkeit. Echte Zero-Knowledge-Architekturen, bei denen selbst der Anbieter nichts lesen kann, sind in klassischen Cloud-Anwendungen selten, weil sie mit Einschränkungen einhergehen (etwa unwiederbringlichem Datenverlust bei Passwortverlust) und sich mit serverseitiger KI-Verarbeitung kaum vereinbaren lassen.
Damit verschiebt sich der Blick auf die Grundsatz-Entscheidung lokal gegen Cloud. Bei lokaler Verarbeitung verlassen die Daten das Gerät nicht; ein Klartextzugriff durch einen externen KI- oder Cloud-Anbieter wird damit strukturell vermieden. Lange galt das als unrealistisch, weil KI angeblich Rechenzentren brauche. Das stimmt für eng begrenzte Anwendungsfälle nicht mehr: Eine im Fachjournal Verhaltenstherapie veröffentlichte Arbeit demonstrierte, dass sich Therapiegespräche vollständig lokal auf einem handelsüblichen Laptop transkribieren, Sprecher:innen zuordnen und zusammenfassen lassen – ohne dass Daten an externe Server gehen (Taubitz, Sehn & Alpers, 2025).
Aus dieser technischen Machbarkeit folgt jedoch nicht automatisch die fachliche Eignung. Dieselbe Arbeit zeigte auch die Grenzen: fehlerhafte Transkriptionen, „erfundene“ Textpassagen in Sprechpausen, falsche Diagnose-Vorschläge. Lokale Verarbeitung entschärft die Datenschutz-Frage – sie löst nicht die Qualitäts-Frage. Hinzu kommt, dass lokale Lösungen eigene Anforderungen an Wartung, Updates und IT-Kompetenz stellen, die in der Einzelpraxis nicht trivial sind. Sie haben datenschutzrechtlich regelmäßig klare Vorteile, bleiben aber betrieblich kein Selbstläufer.
Ein Aspekt wird in der Debatte fast durchgängig unterschätzt. In der analogen Welt lagern therapeutische Akten dezentral in hunderten Einzelpraxen; ein Einbruch oder Datenverlust betrifft die Akten einer Praxis – einige Dutzend bis wenige hundert Menschen. Bedient eine cloudbasierte Software hingegen tausend Praxen mit je dreißig Klient:innen, liegen dreißigtausend vollständige biografische Verläufe an einem Ort.
Das ist nicht nur eine quantitative, sondern eine qualitative Verschiebung des Risikoprofils – von verteilten Einzelrisiken hin zu einer systemischen Konzentration mit erhöhter Angriffsfläche („Honeypot-Effekt“). Ein solch aggregierter Datensatz ist von erheblichem Wert – für Angreifer ebenso wie potenziell für Versicherungen, Arbeitgeber oder datengetriebene Geschäftsmodelle. Das Beunruhigende daran: Dieses Risiko entsteht nicht durch eine einzelne Fehlentscheidung, sondern emergent aus der bloßen Summe vieler individuell nachvollziehbarer Einzelentscheidungen – ohne dass die Profession noch eine übergeordnete Steuerungsmöglichkeit hätte. Ein gravierender Sicherheitsvorfall bei einem großen Anbieter hätte entsprechend nicht nur individuelle, sondern berufsstandsweite Folgen für das Vertrauen in die Psychotherapie.
Dass dies kein theoretisches Szenario ist, zeigte im Frühjahr 2026 ein realer Fall aus Deutschland: Ein Cyberangriff traf den Abrechnungsdienstleister Unimed, der nach eigenen Angaben rund 95 % der deutschen Universitätskliniken bedient; bei mehreren Häusern flossen zehntausende Patientendatensätze ab (am Universitätsklinikum Freiburg etwa rund 54.000; insgesamt über 120.000 Privatpatient:innen deutscher Universitätskliniken) – darunter Namen, Geburts- und Rechnungsdaten, aus denen sich Diagnosen und Behandlungsarten ableiten lassen; in rund 1.500 Fällen wurden zudem Akteninhalte erfasst, also Gesundheitsdaten der besonderen Kategorie nach Art. 9 DSGVO (heise online, 2026). Ein einziger kompromittierter Dienstleister genügte, um sensible Gesundheitsdaten quer durch das Versorgungssystem zu exponieren – eben jene emergente, systemische Verwundbarkeit, die zentralisierte Strukturen erzeugen. Das Beispiel stammt aus der Klinik-Abrechnung, nicht aus der Psychotherapie-Software; das Strukturmuster – ein Dienstleister, viele Betroffene – ist jedoch dasselbe.
Ein verbreiteter Trugschluss lautet, das Entfernen von Namen mache einen therapeutischen Text anonym. Aus datenwissenschaftlicher Sicht ist das nicht haltbar. Psychotherapeutische Verlaufsnotizen haben eine außergewöhnliche biografische Dichte: seltene Lebensereignisse, spezifische Kombinationen aus Beruf, Herkunft, Symptomatik, Beziehungsgeschichte und zeitlichen Abläufen. Genau solche Merkmalskombinationen ermöglichen Re-Identifikation.
Eine vielzitierte Studie zeigte, dass sich Personen in einem Datensatz bereits anhand von 15 demografischen Merkmalen zu 99,98 % eindeutig wieder identifizieren ließen (Rocher, Hendrickx & de Montjoye, 2019). Dieser Befund ist nicht direkt auf narrative Therapietexte übertragbar – er arbeitet mit demografischen Attributen, nicht mit Fließtext –, stützt aber die Grundannahme: Datensätze hoher Merkmalsdichte bleiben auch nach Entfernung der Namen re-identifizierbar. Hinzu kommt ein zweites Risiko: Sprachmodelle können Teile ihrer Trainingsdaten wörtlich rekonstruieren (Carlini et al., 2021). Für die Praxis folgt daraus: Was als „anonymisiert“ weitergegeben wird, ist bei narrativen Therapietexten regelmäßig nur pseudonymisiert im Sinne von Art. 4 Abs. 5 DSGVO – und unterliegt damit weiterhin dem vollen Schutz der DSGVO und der Verschwiegenheitspflicht.
Schließlich ein Risiko, das nichts mit Hackern oder fehlerhafter Technik zu tun hat, sondern mit Ökonomie. Cloud-basierte Praxissoftware wird häufig von kleinen oder mittleren Unternehmen betrieben. Was geschieht mit den akkumulierten Verlaufsdaten im Fall einer Insolvenz, eines Verkaufs oder einer Geschäftsaufgabe? Diese Daten stellen einen erheblichen wirtschaftlichen Wert dar – einen regelrechten „Datenschatz“. Zur Einordnung: Die DSGVO gilt auch in der Insolvenz fort – eine zweckfremde Verwertung von Gesundheitsdaten wäre rechtswidrig. Das Restrisiko ist ein praktisches: Durchsetzung und Kontrolle hängen dann an einem Masseverwalter ohne fachlichen Bezug und gegebenenfalls an ausländischen Rechtsordnungen. Und sobald ein Anbieter schließt, verlieren die Behandler:innen oft jeden praktischen Zugriffspfad, um ihre Datenschutz- und Berufspflichten überhaupt noch wahrnehmen zu können.
Damit verbunden ist die Abhängigkeit vom Anbieter (Vendor-Lock-in): Wer seine gesamte Dokumentation in einem proprietären System hält, kann den Anbieter im Konfliktfall kaum wechseln, ohne Daten und Arbeitsfähigkeit zu gefährden. Die im Diskurs oft betonte „Datenhoheit“ der Patient:innen und Behandler:innen wird durch solche Szenarien faktisch relativiert. Verträge allein heilen das nicht – fehlt eine garantierte, technisch durchsetzbare Regelung für Datenherausgabe und -löschung bei Geschäftsaufgabe, bleibt ein strukturelles Risiko (vgl. zur Vendor-Lock-in-Problematik auch Berger, 2025).
Dieser Abschnitt ist der umfangreichste – und der, bei dem ich am deutlichsten betonen muss: Ich bin kein Jurist. Was folgt, sind auf Quellen gestützte Prüfpunkte, keine Rechtsberatung im Einzelfall. Der rote Faden lässt sich aber auch ohne juristisches Studium fassen: Es greifen drei verschiedene Ebenen ineinander – das Datenschutzrecht (DSGVO), das Berufsrecht (Verschwiegenheit) und, davon zu unterscheiden, die Berufsethik (Abschnitt 2). Eine Aussage wie „rechtlich erlaubt“ auf der einen Ebene bedeutet nicht automatisch „unbedenklich“ auf den anderen.
Daten über die psychische Gesundheit gehören nach Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich verboten – erlaubt nur, wenn eine eng definierte Ausnahme greift. Für die psychotherapeutische Dokumentation ist die einschlägige Ausnahme in aller Regel nicht die Einwilligung, sondern Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung und Behandlung) in Verbindung mit der berufsrechtlichen Dokumentationspflicht. Wichtig ist eine Bedingung, die Art. 9 Abs. 3 DSGVO daran knüpft: Diese Grundlage trägt nur, solange die Verarbeitung durch Fachpersonal erfolgt, das einer Berufsgeheimnispflicht unterliegt – oder unter dessen Verantwortung. Eine Auslagerung an Dienstleister ist damit nicht per se ausgeschlossen; sie verlangt aber, dass die Verarbeitung tatsächlich unter der Verantwortung der geheimnisgebundenen Fachperson bleibt (Weisungsbindung, Vertraulichkeitsverpflichtung, kein eigennütziger Zugriff des Anbieters). Je weniger das architektonisch sichergestellt ist – Klartextzugriff, Sekundärnutzung –, desto eher trägt diese Grundlage nicht mehr. Genau daran bemisst sich, wie gleich zu zeigen, der Unterschied zwischen lokaler und ausgelagerter Verarbeitung.
Eine der häufigsten praktischen Fragen lautet: Müssen Klient:innen der KI-Nutzung zustimmen, oder genügt Information? Die Antwort hängt an der Architektur (Abschnitt 3).
Bei rein lokaler Verarbeitung – die Daten verlassen das Gerät nicht – ist die KI nur ein internes Werkzeug derselben, ohnehin rechtmäßigen Dokumentations-Verarbeitung. Es entsteht kein neuer Empfänger, keine Übermittlung. Datenschutzrechtlich ist hier keine gesonderte Einwilligung zwingend; es greift die Informationspflicht nach Art. 13 DSGVO – die Datenschutzinformation der Praxis sollte die eingesetzten Verarbeitungsmittel transparent abbilden. Reine Aufklärung genügt also grundsätzlich (vorbehaltlich der Einzelfallprüfung, ob die KI-Nutzung einen neuen Zweck darstellt, was bei bloßer Strukturierung derselben Dokumentation regelmäßig zu verneinen ist). Davon zu trennen sind Ton- oder Videoaufnahmen und andere Eingriffe in die konkrete Behandlungssituation; dafür gelten zusätzliche Einwilligungs- und Aufklärungsschwellen (siehe 4.7).
Sobald ein Drittanbieter Gesundheitsdaten verarbeitet, wird die Lage deutlich anspruchsvoller. Datenschutzrechtlich ist dann mindestens ein tragfähiger Art.-28-AVV, eine nachvollziehbare Verarbeitungskette, eine Prüfung der Subunternehmer, der technischen Schutzmaßnahmen und der Übermittlungen erforderlich. Ob darüber hinaus eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO bzw. eine gesonderte Entbindung von der Verschwiegenheitspflicht nötig ist, hängt von Architektur, Klartextzugriff, Verwendungszweck und nationalem Berufsrecht ab; bei mithörenden Systemen oder Anbieter-Klartextzugriff sollte man diese Schwelle praktisch voraussetzen. Eine solche Einwilligung muss freiwillig sein: Nach Art. 7 Abs. 4 DSGVO und den Erwägungsgründen 42/43 ist eine Einwilligung nur dann freiwillig, wenn sie ohne Nachteil verweigert oder widerrufen werden kann. Die EDPB-Leitlinien 05/2020 konkretisieren das: „Freely given“ setzt eine echte, nachteilsfreie Wahl voraus; bei einem Machtungleichgewicht zwischen Verantwortlichem und betroffener Person gilt eine Einwilligung regelmäßig nicht als wirksame Rechtsgrundlage (EDPB, 2020a) – ein Punkt, der für das therapeutische Setting unmittelbar einschlägig ist (siehe 2.4). Konkret heißt das: Es muss eine gleichwertige KI-freie Behandlungsvariante geben – ein ausdrückliches Opt-in und ein folgenfreies Opt-out. Fehlt diese echte Wahlmöglichkeit, ist die Einwilligung angreifbar.
Drei Einschränkungen sind dabei wichtig: Eine Einwilligung heilt nicht automatisch einen unzulässigen Drittlandtransfer (dazu 4.5), sie ersetzt nicht die gesonderte Entbindung von der Verschwiegenheitspflicht (4.4), und sie steht unter dem Vorbehalt der in Abschnitt 2.4 beschriebenen Beziehungsdynamik.
Datenschutzrechtlich ist die Psychotherapeut:in (bzw. die Praxis oder der Träger) Verantwortliche(r) im Sinne von Art. 4 Z 7 DSGVO – sie bestimmt über Zweck und Mittel der Verarbeitung und haftet dafür. Ein extern eingesetzter Dienst (Cloud-Anbieter, KI-Tool) ist nur dann sauber als Auftragsverarbeiter (Art. 4 Z 8) einzuordnen, wenn er weisungsgebunden handelt und die Daten nicht für eigene Zwecke verwendet; bei Training, Produktverbesserung oder eigenständiger Auswertung kann die Rollenverteilung kippen. Diese Rollenfrage hat eine unbequeme Konsequenz: Die Verantwortung bleibt bei der Praxis, auch wenn die Verarbeitung ausgelagert ist. Der Anbieter handelt im Auftrag – die Pflichten gegenüber Klient:innen und Aufsichtsbehörde treffen die Behandler:innen.
Damit eine solche Auslagerung überhaupt zulässig ist, verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) – eine Vereinbarung, die Zweck, Dauer, Weisungsbindung, technische Schutzmaßnahmen und den Umgang mit Subunternehmern regelt. Fehlt ein AVV, ist die Verarbeitung bereits formal rechtswidrig. Hier liegt ein praktisches Kernproblem: Viele Anbieter setzen ihrerseits Subunternehmer (Sub-Auftragsverarbeiter) ein – Cloud-Infrastruktur, Modell-Betreiber, Analyse-Dienste –, die in den Vertragswerken oft nur pauschal, unvollständig oder gar nicht offengelegt werden. Wer den AVV nicht genau liest, weiß am Ende nicht, wo die Therapiedaten tatsächlich verarbeitet werden und wer alles Zugriff haben könnte. Die Verarbeitungskette transparent nachvollziehen zu können, ist daher keine Formalie, sondern Voraussetzung verantwortbarer Auslagerung.
Drei Aspekte werden dabei in der Praxis unterschätzt. Erstens genügt nicht jede „Datenschutz-Zusage“: Art. 28 Abs. 3 verlangt einen zweiseitig bindenden Vertrag (oder ein gleichwertiges Rechtsinstrument), der den Anbieter gegenüber der Praxis verpflichtet. Eine bloße einseitige „Selbstverpflichtungserklärung“ des Anbieters bindet nur eine Seite und dürfte einen AVV nach Auslegung der Datenschutz-Aufsichtsbehörden nicht ohne Weiteres ersetzen – der Abschluss kann zwar elektronisch bzw. über akzeptierte Vertragsbedingungen erfolgen, muss aber beide Seiten binden und feste Pflichtinhalte abdecken (u. a. Weisungsbindung, Vertraulichkeit der eingesetzten Personen, technisch-organisatorische Maßnahmen nach Art. 32, Unterstützung bei Betroffenenrechten und Meldepflichten sowie Löschung oder Rückgabe der Daten nach Auftragsende). Zweitens regelt Art. 28 Abs. 2 und 4 die Sub-Auftragsverarbeiter ausdrücklich: Der Anbieter darf weitere Subunternehmer nur mit – gesonderter oder allgemeiner – Genehmigung der Praxis hinzuziehen, muss bei allgemeiner Genehmigung über geplante Wechsel informieren und ein Einspruchsrecht einräumen, und er muss jedem Sub-Auftragsverarbeiter dieselben Datenschutzpflichten vertraglich auferlegen. Drittens entsteht so eine Haftungskette: Erfüllt ein Subunternehmer seine Pflichten nicht, haftet der Hauptanbieter dafür gegenüber der Praxis – was die Praxis jedoch nicht aus ihrer eigenen Verantwortlichkeit gegenüber den Klient:innen entlässt. Wer in der Kette also mitliest und auf welcher vertraglichen Grundlage, ist kein Kleingedrucktes, sondern Kern der Sorgfaltspflicht.
Eine letzte, oft übersehene Asymmetrie steckt in den Haftungsklauseln selbst. Anbieter begrenzen ihre eigene Haftung in den Nutzungsbedingungen regelmäßig stark – etwa auf den „typischen Wiederherstellungsaufwand“ oder eine Obergrenze im niedrigen vier- bis fünfstelligen Eurobereich. Der mögliche Schaden eines Vorfalls mit Gesundheitsdaten – behördliche Bußgelder (Art. 83) und Schadenersatz an Betroffene (Art. 82) – übersteigt das oft um ein Vielfaches, und dieser Rest verbleibt bei der verantwortlichen Praxis. Die vertragliche Risikoverteilung verstärkt damit genau jene Verantwortungs-Asymmetrie, die schon aus der DSGVO-Rollenverteilung folgt: Der Anbieter liefert das Werkzeug, die Haftung trägt am Ende die Behandler:in.
Eng damit verbunden ist die Frage der Sekundärnutzung. In den Nutzungsbedingungen kommerzieller KI-Dienste finden sich häufig weit gefasste Klauseln zur „Produktverbesserung“, „Qualitätssicherung“ oder „Weiterentwicklung der Dienste“. Deren Reichweite kann im Einzelfall bis zur Verwendung der Eingabedaten für das Training der Modelle reichen. Eine solche Nutzung therapeutischer Inhalte stellt datenschutzrechtlich eine Zweckänderung dar (Art. 5 Abs. 1 lit. b DSGVO), die mit dem ursprünglichen Behandlungsauftrag nicht vereinbar ist und nicht stillschweigend über die Akzeptanz von AGB als gedeckt gelten kann – erst recht nicht im Licht der Verschwiegenheitspflicht. Pauschale Trainings- oder Optimierungsklauseln auf therapeutischen Inhalten sind daher besonders kritisch zu prüfen und im Zweifel zu vermeiden. Eine aktuelle Arbeit (Larrauri, Martinez-Martin & Torous, 2026) zeigt, dass Anbieter zunehmend auf Therapie-Transkripten trainieren und sich dabei auf Nutzungsbedingungen stützen, die die tatsächliche Datennutzung verschleiern; sie fordert konsequent eine separate, ausdrückliche Opt-in-Einwilligung speziell für das Training auf Patientendaten sowie eine patientengeführte Daten-Governance.
Hinzu kommen die Meldepflichten bei einer Datenpanne: Eine Verletzung des Schutzes personenbezogener Daten ist nach Art. 33 DSGVO binnen 72 Stunden der Datenschutzbehörde zu melden; bei hohem Risiko sind nach Art. 34 zusätzlich die Betroffenen zu benachrichtigen. Diese Frist und diese Pflicht treffen die Verantwortliche(n) – also die Praxis, nicht den Anbieter. Ein Sicherheitsvorfall bei einem Cloud-Dienstleister kann damit unmittelbar zur Meldepflicht und zur Haftung der Psychotherapeut:in führen, auch wenn der Fehler beim Anbieter lag. Das unterstreicht, warum die Auswahl des Anbieters und die genaue Kenntnis der Verarbeitungskette zur beruflichen Sorgfaltspflicht gehören.
Eine eigene Konstellation sind KI-gestützte Vermittlungsplattformen (Abschnitt 1.3). Schon die Angabe, Psychotherapie zu suchen, dürfte nach weiter Auslegung des Art. 9 DSGVO (vgl. EuGH, Rs. C-184/20) ein Gesundheitsdatum sein – ein algorithmisches Matching verlangt daher regelmäßig eine ausdrückliche Einwilligung. Ob es zusätzlich unter das Verbot rein automatisierter Einzelentscheidungen (Art. 22 DSGVO) fällt, ist eine offene Einzelfallfrage: Bei einem verbindlichen menschlichen Prüfschritt und einem unverbindlichen Vorschlag dürfte Art. 22 eher nicht greifen; wo der Zugang faktisch über ein automatisiertes Ranking gesteuert wird, wären Schutzmaßnahmen wie menschliches Eingreifen, Anfechtbarkeit und Transparenz vorzusehen.
Neben dem Datenschutzrecht steht, eigenständig, die berufsrechtliche Verschwiegenheitspflicht nach § 45 Psychotherapiegesetz 2024 (BGBl. I Nr. 49/2024). Sie ist in mancher Hinsicht strenger als die DSGVO und das eigentliche Alleinstellungsmerkmal des geschützten Raums Psychotherapie. Für die KI-Frage ist die Konsequenz schlicht: Eine lokale Verarbeitung gibt nichts an einen externen Anbieter weiter und vermeidet damit das Offenbarungs- bzw. Drittzugriffsproblem dieser Art. Eine Cloud-Verarbeitung, bei der ein Anbieter potenziell Klartextzugriff hat (Abschnitt 3.2), berührt die Verschwiegenheit unmittelbar. Eine Patient:innen-Einwilligung kann von der Verschwiegenheit entbinden – aber nur bewusst, ausdrücklich und nicht stillschweigend im Datenschutz-Häkchen verborgen.
Werden Daten an einen Anbieter übermittelt, der US-Recht unterliegt, kommt eine eigene Problemschicht hinzu. Der US CLOUD Act (18 U.S.C. § 2713) kann US-Anbieter auf gerichtliche Anordnung zur Herausgabe gespeicherter Daten an US-Behörden verpflichten – unabhängig vom Speicherort. Es gelten Verfahrensgarantien und Anfechtungsmöglichkeiten (etwa bei Kollision mit ausländischem Recht); am Grundbefund ändert das nichts: Ein Server in Frankfurt oder Wien schützt für sich genommen nicht, wenn der Anbieter US-Jurisdiktion unterliegt – genau das war der Kern von Schrems II.
Die rechtliche Grundlage solcher Transfers ist historisch instabil. Der EuGH kippte zunächst das „Safe Harbor“-Abkommen (Schrems I, 2015), dann den „Privacy Shield“ (Schrems II, EuGH C-311/18, 2020). Die aktuelle Grundlage ist das EU-US Data Privacy Framework (DPF) von 2023 – doch auch dieses steht bereits wieder unter gerichtlicher Beobachtung: Eine Klage dagegen wurde vom Gericht der EU im September 2025 zwar abgewiesen (Rechtssache Latombe), die Berufung ist beim EuGH anhängig (C-703/25 P), und weitere Verfahren bzw. Beschwerden werden angekündigt oder vorbereitet. Auch Entwicklungen bei der US-Aufsicht (PCLOB) und der Geheimdienstbefugnis FISA §702 werden als zusätzliche Unsicherheitsfaktoren diskutiert. Das Muster bleibt: Die Transfer-Grundlage wurde zweimal gekippt, die dritte ist wieder vor Gericht. Wer Therapiedaten auf US-Cloud-Systeme legt, stützt sich daher auf eine Rechtslage, deren Stabilität laufend zu prüfen ist. Das ist ein gewichtiges Sachargument für lokale oder rein europäische Lösungen. Unabhängig vom DPF verlangen die EDPB-Empfehlungen 01/2020 als Folge von Schrems II ein sechsstufiges Transfer-Assessment: Der Verantwortliche muss prüfen, ob das Schutzniveau im Drittland – angesichts dortiger behördlicher Zugriffsbefugnisse – tatsächlich gleichwertig ist, und bei Defiziten ergänzende Maßnahmen wie starke Verschlüsselung ergreifen (EDPB, 2020b). Ein Drittlandtransfer ist damit keine Formalie, sondern löst eine aktive, dokumentierte Prüf- und Nachweispflicht aus. (Stand der Verfahren: Juni 2026 – vor verbindlicher Berufung auf den DPF ist der aktuelle Stand zu prüfen.)
Kaum ein Datum wird derzeit so aufgeregt diskutiert wie der 2. August 2026, ab dem der EU AI Act (Verordnung (EU) 2024/1689) „scharf“ werde. Für die meisten psychosozialen Praktiker:innen ist diese Zuspitzung irreführend – und hier lohnt die nüchterne Differenzierung.
Erstens: Die KI-Kompetenz-Pflicht (Art. 4) gilt nach aktuellem Recht bereits seit dem 2. Februar 2025. Sie verlangt, dass Anbieter und Betreiber für ein ausreichendes Kompetenzniveau im Umgang mit KI sorgen. Im Zuge des „Digital Omnibus“ gab es zwar einen Vorschlag, die allgemeine Pflicht für Organisationen abzuschwächen (hin zu einer Förderaufgabe von Mitgliedstaaten und Kommission); ob und wie das final umgesetzt wird, ist im Detail noch offen. Für die Praxis ist die Botschaft dennoch eindeutig – und sie wird in der fachjuristischen Diskussion betont: Man sollte sich nicht auf einen Wegfall verlassen. Art. 4 gilt bis zu einer formalen Änderung unverändert; für Betreiber von Hochrisiko-Systemen bleibt die Schulungspflicht ohnehin bestehen; und die Kompetenz-Anforderung ergibt sich unabhängig vom AI Act auch aus Berufsrecht, Sorgfalts- und Haftungserwägungen. Hinzu kommt eine inhaltliche Präzisierung, auf die etwa Kleiboldt (2026) hinweist: Art. 4 verlangt kontextspezifische Kompetenz – rein generische KI-Schulungen genügen dem Anspruch im sensiblen Gesundheits- und Therapiekontext nicht.
Zweitens, und entscheidend: Die viel zitierten Hochrisiko-Pflichten (Anhang III) sollen nach der politischen Einigung zum selben Omnibus auf den 2. Dezember 2027 verschoben werden (Anhang I sogar auf 2028; Amtsblatt-Fassung bei Veröffentlichung ergänzen). Was am 2.8.2026 tatsächlich wirksam wird, sind im Wesentlichen die Transparenzpflichten (Art. 50, dazu 4.7) und das Sanktionsregime. Für die typische Praxis bedeutet das: Eine rein administrative lokale Dokumentations- oder Transkriptions-KI ist regelmäßig kein Hochrisiko-System; sobald sie aber diagnostische, prognostische oder therapieentscheidende Funktionen übernimmt, ist die Einstufung neu zu prüfen. Der AI Act ändert für die meisten Behandler:innen am 2.8.2026 weniger als der Hype suggeriert.
Diese Feststellung entlastet aber nicht – sie verschiebt nur den Blick. Denn die wirklich scharfen Pflichten (DSGVO Art. 9, Verschwiegenheit, die instabile Transfer-Rechtslage) gelten längst und werden vom Omnibus nicht berührt. Das eigentliche Problem kommt nicht erst – es ist schon da.
Besonders konkret werden die Pflichten beim Mitschneiden und Auswerten von Audio – etwa bei Memo-Diktaten oder Sitzungsaufnahmen. Hier helfen vier gestufte Schwellen. Erstens, noch vor jeder KI: Die Tonaufnahme eines vertraulichen Gesprächs verlangt in der Praxis vorab die Einwilligung aller Beteiligten (Persönlichkeitsrecht; strafrechtlich berührt § 120 StGB – Prüfpunkt); die Stimme ist jedenfalls personenbezogen und wird erst dann zu einem biometrischen Datum im engeren Sinn, wenn sie zur eindeutigen Identifizierung oder Authentifizierung verarbeitet wird. Zweitens die reine Transkription (lokal): primär eine Datenschutzfrage; die Kennzeichnungspflicht des Art. 50 AI Act greift hier kaum, da die Klient:in nicht mit der KI interagiert und keine synthetischen Inhalte erzeugt werden. Drittens die Strukturierung/Zusammenfassung: wie zuvor, plus die in Abschnitt 2.2 beschriebene Reflexionsraum-Frage. Viertens – und hier wird es scharf – die Analyse (Affekt, Emotion, „Allianz-Ruptur-Erkennung“): Emotionserkennungssysteme lösen eine ausdrückliche Informationspflicht nach Art. 50 Abs. 3 AI Act aus; Art. 5 Abs. 1 lit. f verbietet Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen grundsätzlich – vorbehaltlich der eng auszulegenden Ausnahme für medizinische oder Sicherheits-Zwecke; ob ein therapienahes System darunter fiele, wäre im Einzelfall zu prüfen –, und biometrische Verarbeitung fällt unter Art. 9 DSGVO. Je mehr die KI vom bloßen Mitschreiben zum Deuten übergeht, desto höher die rechtliche Hürde – und desto näher kommt sie dem, was berufsethisch der Kern der Arbeit ist (Abschnitt 2).
Ein oft übersehener Punkt: KI-Systeme, die diagnostische, prognostische oder therapieunterstützende Funktionen wahrnehmen, fallen häufig in den Anwendungsbereich der EU-Medizinprodukteverordnung (Verordnung (EU) 2017/745, MDR). Nach der Klassifizierungs-Leitlinie MDCG 2019-11 ist Software, die Informationen zur Entscheidung über Diagnose oder Therapie liefert, in der Regel mindestens der Risikoklasse IIa zuzuordnen – mit entsprechenden Pflichten (CE-Konformitätsbewertung, klinische Bewertung, Risikomanagement). Praktisch bedeutet das: Der Hersteller-Hinweis „kein Medizinprodukt“ oder „nur Dokumentations-Werkzeug“ kann bei einer Funktion, die faktisch diagnose- oder therapienah ist, auf eine fehlerhafte Selbst-Klassifikation hindeuten. Hier lohnt ein kritischer Blick.
Der Einsatz neuer Technologien zur Verarbeitung besonderer Kategorien personenbezogener Daten löst nach Art. 35 DSGVO regelmäßig die Pflicht zu einer Datenschutz-Folgenabschätzung (DSFA) aus – sie ist nicht optional, sondern Teil der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Das klingt nach Bürokratie, ist aber zugleich ein praktisches Werkzeug: In der DSFA lassen sich genau die in dieser Landschaftskarte genannten Risiken (Datenstandort, Architektur, Re-Identifikation, Anbieter-Strukturrisiken) strukturiert dokumentieren und abwägen. Eine Mustervorlage durch die Berufsverbände würde die Umsetzung in der Einzelpraxis erheblich erleichtern.
Selten mitgedacht, aber praktisch bedeutsam: das Zusammenspiel mit der gesetzlich verpflichtenden Berufshaftpflichtversicherung (§ 16b PthG 2024). Die Verbands-Gruppenversicherung deckt gerechtfertigte Schadenersatzverpflichtungen im Rahmen der gesetzlichen Haftung. Für die KI-Frage sind aber drei Beschränkungen relevant: Erstens kann der Versicherungsschutz fraglich werden, wenn der schadensauslösende „Verstoß“ außerhalb Österreichs gesetzt wird – bei extraterritorialen Cloud-Verarbeitungen können sich hier Auslegungsfragen ergeben. Zweitens sind Ansprüche mit Strafcharakter und vorsätzliche/vorsatznahe Handlungen ausgeschlossen – behördliche Geldbußen (etwa nach Art. 83 DSGVO oder Art. 99 KI-Verordnung) sind damit regelmäßig nicht versicherbar und können zu persönlicher Vermögenshaftung führen. Drittens regeln die mir bekannten Bedingungen nicht ausdrücklich, ob und wieweit Schadenersatzansprüche von Patient:innen nach Art. 82 DSGVO erfasst sind. Eine Abstimmung der Berufsverbände mit ihren Versicherungspartnern – auch für die klinisch-psychologische Tätigkeit nach Psychologengesetz 2013 – könnte hier Rechtssicherheit schaffen.
Anbieter werben häufig mit Zertifikaten und Siegeln. Solche Nachweise gibt es tatsächlich – etwa nach ISO/IEC 27001 (Informationssicherheit), ISO/IEC 27017/27018 (Cloud-Sicherheit und Cloud-Datenschutz), nach dem deutschen BSI-C5-Katalog oder als DSGVO-Zertifizierung nach Art. 42 DSGVO. Sie sind ein wertvolles Indiz – aber kein Freibrief. Vier Punkte sind entscheidend:
Etwas konkreter als die Prozess-Norm ISO 27001 sind BSI C5 (cloud-spezifischer Kriterienkatalog mit Attestierung) und die DSGVO-Zertifizierung nach Art. 42 (datenschutzspezifisch). Doch auch sie schauen nicht standardmäßig in den Code oder die Datenflüsse. Wer das wirklich wissen will, braucht andere Prüfungen – und muss deren Grenzen kennen:
Kein gängiges Standard-Zertifikat deckt all das zusammen ab. Die Frage „wo und was mit den Daten geschieht“ lässt sich strukturell am verlässlichsten dort beantworten, wo die Daten gar nicht erst abfließen (lokale Verarbeitung), wo der Anbieter keinen Klartextzugriff hat (Zero-Knowledge) oder wo der Code offen einsehbar ist (Open Source). Die praktische Konsequenz: Ein Zertifikat ist ein Indiz, kein Beweis – entscheidend ist, was genau, bei wem und mit welchem Geltungsbereich geprüft wurde, und ob sich das Ergebnis nachvollziehen lässt.
Kompakt: Fünf Fragen, die vor dem Einsatz eines KI-Werkzeugs zu klären sind
Diese Übersicht bündelt die in den Abschnitten 3 und 4 entwickelten Prüfpunkte als praktische Orientierung:
Zwei vorausschauende Zusatzfragen: Was geschieht mit den Daten bei Sekundärnutzung/Training (AGB prüfen, 4.3) und bei Insolvenz oder Verkauf des Anbieters (3.6)?
Kompakt: Welcher Einsatz verlangt was? – Orientierung nach Anwendungsfall. Faustregel: Je tiefer der Eingriff in die Behandlung, desto höher die rechtliche und ethische Schwelle.
Was sagt die Forschung – nützt KI in der psychischen Gesundheit, und wo schadet sie? Die ehrliche Antwort ist zweigeteilt: Es gibt Hinweise auf messbare, aber kleine Nutzen-Effekte – und es gibt eine wachsende, zunehmend gut dokumentierte Liste ernster Risiken. Beides gehört nebeneinander auf den Tisch.
Mehrere Meta-Analysen zeigen, dass KI-Chatbots Symptome von Depression und Angst kurzfristig reduzieren können. Eine Meta-Analyse über 14 randomisierte Studien mit 6.314 Teilnehmenden fand eine statistisch signifikante, aber kleine Gesamteffektstärke (Hedges g = 0,30; 95 %-KI 0,004–0,59) (Zhang et al., 2025); eine weitere systematische Übersichtsarbeit über 39 Studien bestätigt die Richtung mit kleinen Effekten bei Depression (g = 0,31) und Angst (g = 0,28) (Sohn et al., 2026). „Wirksam“ heißt hier also: ein messbarer, aber bescheidener Effekt – kein Ersatz für Psychotherapie.
Entscheidend ist dabei die Frage, welche Art von System überhaupt getestet wurde – denn das wird in der öffentlichen Debatte fast immer übersprungen. Die breiteste und stabilste Studienbasis haben strukturierte, regelbasierte Programme: meist manualisierte, verhaltenstherapeutisch aufgebaute Chatbots, die einem festgelegten Gesprächsskript folgen (verwandt mit den geprüften DiGAs aus Abschnitt 1.3). Für generative Systeme gibt es inzwischen ebenfalls erste positive Befunde – die eingangs zitierte Meta-Analyse von Zhang et al. (2025) poolt ausdrücklich generative Chatbots –, doch stammen diese überwiegend aus eigens entwickelten, klinisch begleiteten Studien-Systemen, nicht aus den frei verfügbaren Consumer-„Companions“. Eine Meta-Analyse, die beide Bauarten direkt gegenüberstellt, zeigt vor allem eine Evidenzlücke: Regelbasierte Systeme erzielten bei Depression einen kleinen, statistisch gesicherten Effekt (g ≈ 0,27); für generative LLM-Chatbots lag der Punktschätzer zwar nominell sogar höher (g ≈ 0,41), war aber wegen weniger Studien und sehr breiter Streuung statistisch nicht gesichert – eine verlässliche Aussage ist hier noch nicht möglich (Du et al., 2025). Anders gesagt: Belegte Wirksamkeit gibt es bislang für geprüfte, regelhafte Anwendungen und einzelne klinisch begleitete generative Forschungssysteme; ausgerechnet für jene frei verfügbaren generativen Consumer-Chatbots, die am breitesten genutzt werden, fehlt ein belastbarer Wirksamkeitsnachweis – während die schwersten öffentlich dokumentierten Schadensfälle gerade aus diesem ungeprüften Segment berichtet werden (Abschnitt 5.4).
Eine wichtige Differenzierung liefert die erste randomisiert-kontrollierte Studie zu einem speziell für die Therapie entwickelten und klinisch begleiteten generativen Chatbot (Therabot, Dartmouth): Bei 210 Erwachsenen zeigten sich nach vierwöchiger Nutzung große Symptomreduktionen gegenüber einer Wartelisten-Kontrolle (Depression d ≈ 0,85; Angst d ≈ 0,80; erhöhtes Essstörungsrisiko d ≈ 0,63–0,82) (Heinz et al., 2025). Das Potenzial generativer Systeme ist also real – doch genau hier liegt der entscheidende Unterschied: Es handelt sich um ein eigens trainiertes, überwachtes Forschungssystem, nicht um einen frei verfügbaren Consumer-Chatbot. Und die Aussagekraft ist begrenzt: nur eine Wartelisten- statt einer aktiven Vergleichsgruppe, eine kurze Studiendauer, eine selbstselektierte Stichprobe – und die Autor:innen mahnen ausdrücklich klinische Aufsicht an. Ein erster Wirksamkeitsbeleg also, keine Freigabe für den ungeprüften Alltagseinsatz.
Drei Grenzen sind dabei mitzulesen. Erstens stammen viele Studien aus kulturell entfernten Kontexten und kurzen Anwendungszeiträumen; ihre Übertragbarkeit auf den deutschsprachigen Raum und auf längere Verläufe ist offen. Zweitens fehlen Langzeit-Studien (über mehrere Monate kontinuierlicher Begleitung) praktisch vollständig. Drittens zeigt sich in einer Meta-Analyse zu jungen Menschen ein bezeichnendes Muster: Der psychische Distress ging zurück (g = −0,28), das Wohlbefinden stieg jedoch nicht signifikant (g = 0,13) (Li et al., 2025) – Symptomreduktion ist nicht dasselbe wie Genesung.
Die bislang gründlichste Aufarbeitung der spezifischen Risiken stammt aus einer praktiker-informierten Untersuchung, die fünf Kategorien mit insgesamt fünfzehn Risiken beschreibt (Iftikhar et al., 2025): mangelndes Kontextverständnis, schlechte therapeutische Zusammenarbeit, trügerische Empathie, unfaire Diskriminierung sowie mangelnde Krisen- und Sicherheitskompetenz. Der für die Praxis wichtigste Befund dieser Arbeit: Diese Verstöße treten auch bei sorgfältiger Anweisung des Systems auf – besseres „Prompting“ behebt sie nicht. Das Problem sitzt tiefer als in der Bedienung.
Eine Analyse tausender Erfahrungsberichte aus Online-Foren liefert einen kontraintuitiven, für die Psychotherapie zentralen Befund (Aghakhani & Rezapour, 2026): Was Nutzer:innen die KI als „nützlich“ empfinden lässt, sind greifbare Ergebnisse, Verlässlichkeit und Antwortqualität – nicht das Gefühl emotionaler Verbundenheit. Im Gegenteil: Wer eine starke emotionale Bindung zur KI beschreibt, berichtet überdurchschnittlich häufig von Abhängigkeit und Symptomverschlechterung. Die emotionale „Nähe“ zur Maschine ist statistisch kaum mit einem guten Verlauf verknüpft, wohl aber mit Risiko.
Das verbindet sich unmittelbar mit Abschnitt 2.1: Was sich für Betroffene am hilfreichsten anfühlt – Verständnis, Nähe, ständige Verfügbarkeit –, kann klinisch gerade dort riskant werden, wo es professionelle Hilfe ersetzt oder emotionale Abhängigkeit verstärkt. Der subjektive Eindruck allein ist deshalb kein verlässlicher Sicherheitsindikator.
Über die statistischen Befunde hinaus sind konkrete Schäden dokumentiert – auch wenn die Forschung sie noch unzureichend erfasst: In einem systematischen Review zur Sicherheit digitaler psychischer Gesundheitsinterventionen erhob mehr als ein Drittel der eingeschlossenen Studien (8 von 23) überhaupt keine Sicherheitsdaten, obwohl Schäden wie Symptomverschlechterung, gesteigerte Angst oder das Auslösen traumatischer Erinnerungen belegt sind (Taher et al., 2023). Sicherheit darf bei digitalen Anwendungen also nicht stillschweigend vorausgesetzt werden. Eine Untersuchung aus Stanford fand, dass Chatbots in Krisensituationen deutlich häufiger klinisch unangemessen reagieren als menschliche Fachpersonen – und teils stigmatisierend antworten (Moore et al., 2025); die US-amerikanische Psychologen-Vereinigung warnt ausdrücklich, dass Chatbots kein tragfähiger Ersatz für menschliche Therapie sind (APA, 2025). In der klinischen Literatur werden zudem erstmals Fälle einer „KI-assoziierten Psychose“ beschrieben – Wahn- und Realitätsverlust-Symptome, die sich im intensiven Austausch mit Chatbots entwickelten und bei Beendigung der Nutzung zurückgingen (Pierre et al., 2025). Dieser Begriff ist ein emergentes Phänomen, kein etablierter Diagnosebegriff – aber ein ernstzunehmendes Warnsignal.
Am schwersten wiegen dokumentierte Fälle, in denen nach intensiver, bindungsartiger Chatbot-Nutzung ein Zusammenhang mit Suiziden – darunter bei Jugendlichen – geltend gemacht wird; mehrere Gerichtsverfahren gegen Anbieter sind anhängig, eine europäische Datenschutzbehörde verhängte gegen einen Companion-Anbieter ein Millionen-Bußgeld. Diese Fälle betreffen das in Abschnitt 1.3 beschriebene, weitgehend ungeprüfte Segment der „empathischen“ Companion-Apps – nicht geprüfte Versorgungsangebote. (Die Verfahren sind nicht abgeschlossen; die Darstellung beschränkt sich auf das öffentlich Berichtete.)
Wie aktuell und wie nah diese Fragen sind, zeigt die schon erwähnte repräsentative deutsche Befragung (Stiftung Deutsche Depressionshilfe, 2026). Sie macht die ganze Ambivalenz auf einem Blatt sichtbar. Auf der einen Seite: 85 % der jüngeren Nutzer:innen mit Depression beschreiben die Gespräche mit KI-Chatbots als hilfreich, die KI wird als verständnisvoll (92 %) und respektvoll (89 %) erlebt, viele empfanden „so etwas wie Nähe“. Auf der anderen Seite – und das ist alarmierend: 53 % berichteten, nach der Nutzung verstärkt Gedanken an Selbstverletzung oder Suizid gehabt zu haben, und 62 % meinten, die KI habe den Gang zu Arzt oder Psychotherapeut:in überflüssig gemacht.
Beide Befunde sind mit Vorsicht zu lesen: Es handelt sich um Selbstauskunft aus einer Pressefassung, und der Suizidgedanken-Befund ist ein zeitlicher, kein kausaler Zusammenhang – die Studie zeigt nicht, dass die KI die Gedanken verursacht hat. Doch in der Zusammenschau mit den vorigen Abschnitten ergibt sich ein konsistentes Bild: Das, was sich als hilfreich und verständnisvoll anfühlt, kann zugleich von professioneller Hilfe wegführen (Substitutionsrisiko) und in vulnerablen Phasen zusätzlich belasten. Genau hier liegt die fachliche Verantwortung – und der Grund, warum die Beziehung in Abschnitt 2 nicht nostalgisch, sondern als Schutzfaktor verteidigt wird.
Ein eigener Risikobereich betrifft Kinder und Jugendliche. Companion-Apps und „KI-Freund“-Chatbots werden in dieser Altersgruppe breit genutzt – eine US-Erhebung von 2025 berichtet, dass rund drei Viertel der Jugendlichen solche Anwendungen bereits verwendet haben (Common Sense Media, 2025). Fachgesellschaften verweisen darauf, dass Minderjährige besonders verletzlich sind: Sie hinterfragen Genauigkeit und Absicht eines Systems seltener und können simulierte Empathie schwerer von echter menschlicher Zuwendung unterscheiden, während intensive KI-Bindungen die Entwicklung realer Beziehungen verdrängen können (APA Health Advisory, 2025). Eine unabhängige Risikobewertung kam zu dem Schluss, dass „Social AI Companions“ für unter 18-Jährige nicht geeignet seien; die US-Handelsaufsicht FTC leitete im September 2025 eine formelle Untersuchung gegen mehrere Anbieter ein (FTC, 2025). Vor diesem Hintergrund sind in den USA mehrere Gerichtsverfahren anhängig, in denen Angehörige nach dem Suizid Jugendlicher einen Zusammenhang mit intensiver Chatbot-Nutzung geltend machen (u. a. Garcia v. Character Technologies, Klage 2024; Raine v. OpenAI, Klage 2025); die Vorwürfe sind gerichtlich nicht abschließend geklärt, und die beklagten Unternehmen weisen eine Haftung zurück. Für die psychotherapeutische Arbeit unterstreicht das zweierlei: dass frei zugängliche KI-Chatbots kein Ersatz für fachliche Begleitung sind und dass der Kinder- und Jugendbereich besondere Aufmerksamkeit verdient.
Ein Risiko, das in der Aufregung um Wirksamkeit und Datenschutz oft untergeht, betrifft die Verzerrung der Systeme selbst. KI-Modelle geben die Muster ihrer Trainingsdaten wieder – samt deren blinder Flecken. Die WHO warnt in ihrer Guidance zu großen multimodalen Modellen ausdrücklich vor systematischem Bias entlang von Herkunft, Ethnizität, Geschlecht, Geschlechtsidentität und Alter (WHO, 2024); das praktiker-informierte Risiko-Framework führt unfaire Diskriminierung als eigene Risiko-Kategorie (Iftikhar et al., 2025) (vgl. Abschnitt 5.2).
Für die Psychotherapie ist das besonders heikel. Die großen Modelle sind überwiegend auf englischsprachigem, westlich-mehrheitsgesellschaftlichem Material trainiert. Bei Menschen mit anderer Erstsprache, mit Migrationsgeschichte, aus marginalisierten Gruppen oder mit nicht-normativen Lebensentwürfen droht daher eine schlechtere Passung – fehlerhafte Einschätzungen, kulturell unpassende Antworten, stereotype Zuschreibungen. Die Verzerrung entsteht bereits in der Herkunft der Daten und wirkt sich erst in der Anwendung aus – und sie trifft tendenziell genau jene, die ohnehin Versorgungsnachteile haben. „Neutral“ oder „objektiv“ ist eine solche Technik nie; wer sie einsetzt, muss diese Schieflage aktiv mitdenken.
Wer so viele Risiken benennt, muss sich dem Verdacht der Technikfeindlichkeit stellen. Zu Unrecht: Es gibt reale Chancen, und sie zu ignorieren wäre genauso unredlich wie die Risiken zu verschweigen. Entscheidend ist, welche Anwendung in welcher Architektur – die meisten Chancen liegen dort, wo KI entlastet, ohne den Kern der Arbeit zu berühren.
Der naheliegendste Nutzen ist die Entlastung von Verwaltungsarbeit: das Strukturieren von Stichworten, das Entwerfen von Schriftverkehr, die Organisation des Praxisbetriebs. Hier kann KI Zeit zurückgeben, die der eigentlichen Arbeit zugutekommt – vorausgesetzt, die in Abschnitt 2.2 beschriebene Grenze wird gewahrt (Unterstützung des Schreibprozesses, nicht dessen Ersatz) und die Verarbeitung erfolgt datenschutzkonform (Abschnitt 3).
Über die reine Verwaltung hinaus kann KI auch Aufgaben vereinfachen, die bisher aufwändig oder rein händisch waren: das Erstellen strukturierter Darstellungen wie Genogramme, das Aufbereiten von Falldokumentationen oder das Verfassen umfangreicher Sozialberichte. Im psychosozialen Feld sind bereits Assistenzsysteme entstanden, die genau auf diese strukturierende Dokumentationsarbeit zielen (etwa KI-Schreibassistenten für die Soziale Arbeit; Sozial KI UG, 2026) – anbieter-neutral betrachtet zeigt sich hier ein realer, fachnaher Nutzen, sofern die Datenschutz- und Vertraulichkeitsfragen geklärt sind.
Ähnliches gilt für kreativ-reflexive Arbeitsformen wie Metaphern, Bildkarten, Genogramme, Rollenspiel, Externalisierung oder ein „Reflecting Team“. KI kann hier neue Darstellungs-, Perspektiv- und Übungsräume eröffnen – etwa indem innere Anteile visualisiert, Dialoge simuliert oder alternative Formulierungen ausprobiert werden. Gerade hier ist aber die Grenze zu gewöhnlichen Arbeitsmitteln wichtig: Ein Flipchart oder eine Bildkarte erzeugt keine eigenständigen Deutungen, speichert keine Interaktion, antwortet nicht scheinbar empathisch und kann keine Daten für Modelltraining oder Produktverbesserung verfügbar machen. Generative KI ist daher nicht einfach ein digitales Flipchart, sondern ein interaktiver, datenverarbeitender und deutender Akteur im Setting. Die Fachliteratur beschreibt dieses Phänomen als „digitalen Dritten“ bzw. artificial third im therapeutischen Raum; eine aktuelle Proof-of-Concept-Arbeit zu KI-gestützter Externalisierung betont das Potenzial, aber zugleich, dass die Integration in Kernprozesse der Psychotherapie bislang wenig erforscht ist und systematische Evaluation von Wirksamkeit, Generalisierbarkeit und ethischen Folgen noch aussteht (Haber et al., 2024; Haber et al., 2025). Für die Praxis heißt das: fachnahes Potenzial ja – aber kein routinemäßiger Einsatz ohne theoretische Einbettung, klare Methodik, Datenschutzprüfung, Supervision und Evaluation.
Diese Einschätzung ist breit abgestützt. Die WHO zählt in ihrer Guidance zu großen multimodalen Modellen (2024) administrative Tätigkeiten wie das Dokumentieren und Zusammenfassen von Behandlungskontakten ausdrücklich zu den sinnvollen Einsatzfeldern – warnt aber im selben Atemzug vor „Automation Bias“, bei dem Fehler übersehen oder schwierige Entscheidungen unzulässig an das Modell delegiert werden (WHO, 2024). Auf der operativen Ebene hat die deutsche Bundespsychotherapeutenkammer mit ihrer Praxis-Info „Administrative KI in Ihrer Praxis“ (Februar 2026) erstmals eine berufsständische Handreichung vorgelegt, die den Verwaltungseinsatz konkret regelt: Auftragsverarbeitungsvertrag, technisch-organisatorische Maßnahmen und Patienteneinwilligung sind systematisch zu prüfen, der On-premise-Betrieb wird dabei ausdrücklich als Option genannt (BPtK-Praxis-Info, 2026).
Bemerkenswert ist, dass selbst KI-aufgeschlossene Stimmen aus der Beratung diese Vorsicht teilen. Das aktuelle Fachbuch von Engelhardt und Kühne (2025) – durchgehend anwendungsfreundlich, teils sogar mit einem KI-Modell als Co-Autor – räumt ein, man wisse derzeit nicht, „wo unsere Daten landen, wer auf diese Daten Zugriff hat und zu welchen Zwecken sie dann verwendet werden“. Es rät, in Übungen ausschließlich mit konstruierten Fällen zu arbeiten. Und dass bislang erst wenige KI-Systeme in der Beratungspraxis im Einsatz seien, habe „vor allem datenschutzrechtliche Gründe“. Den eigenen Stand beschreibt es als „Pionierphase des Erkundens und Ausprobierens“, an die erst noch eine wissenschaftliche Durchleuchtung anschließen müsse. Wenn schon eine wohlwollende Quelle so deutlich auf fehlende Evidenz und ungelösten Datenschutz hinweist, ist Zurückhaltung vor einer breiten Normalisierung keine Technikfeindlichkeit, sondern fachliche Sorgfalt (Engelhardt & Kühne, 2025).
Die aus meiner Sicht fachlich bedeutsamste Chance ist ein eher stiller technischer Durchbruch: Leistungsfähige KI-Modelle – Sprachmodelle ebenso wie Spracherkennung und Transkription – laufen inzwischen lokal auf handelsüblicher Standard-Hardware, ohne teure Spezialtechnik und ohne dass die Daten in eine Cloud wandern müssen. Dass dies kein Wunschdenken ist, zeigt die bereits zitierte Arbeit zur lokalen Transkription auf Standard-Hardware (Taubitz, Sehn & Alpers, 2025).
Damit hat lokale Verarbeitung dort, wo es um Berufsgeheimnis und Vertraulichkeit geht, klare strukturelle Vorteile gegenüber vielen Cloud-Architekturen: Sie reduziert mehrere der in den Abschnitten 3 und 4 beschriebenen Probleme erheblich. Wo Daten das Gerät nicht verlassen, entstehen jedenfalls kein Drittland-Transfer-Problem und kein Anbieter-Klartextzugriff; auch das Aggregationsrisiko sinkt. Das heißt nicht, dass jede Anwendung zwingend lokal laufen muss oder lokale IT automatisch insgesamt sicherer wäre – Updates, Backups, Zugriffsschutz und Wartung bleiben anspruchsvoll. Für Aufgaben ohne Personenbezug (Abschnitt 6.3) sind Cloud-Werkzeuge vertretbar. Doch überall dort, wo sensible Klient:innen-Daten im Spiel sind, verschiebt die lokale Lauffähigkeit die Frage von „dürfen wir das datenschutzrechtlich überhaupt?“ zu „wie machen wir es fachlich gut und betriebssicher?“.
Außerhalb des sensiblen Klient:innen-Bezugs liegt ein breites, risikoarmes Feld: das Erstellen von Psychoedukations-Material, der Einstieg in fachliche Recherchen, die Strukturierung eigener Fortbildung. Solange keine personenbezogenen Klient:innen-Daten verarbeitet werden, sind hier auch Cloud-Werkzeuge vertretbar – mit dem üblichen Vorbehalt, dass KI Fakten und Quellen erfindet und eine fachliche Prüfung daher unerlässlich bleibt.
Ehrlicherweise gehört hierher auch das stärkste Argument der KI-Befürworter: Digitale Angebote können Versorgungslücken schließen – in ländlichen Regionen, bei Mobilitätseinschränkung, bei langen Wartezeiten, bei stark schambesetzten Themen, bei Sprachbarrieren oder beim Bedarf nach barriereärmerer Information. Dieser Versorgungsbedarf ist real, und Zurückhaltung hat ihren Preis (Wartezeit, unadressierter Leidensdruck). Das Potenzial ist auch wissenschaftlich ernst zu nehmen: Eine aktuelle Übersicht im führenden Fachjournal World Psychiatry ordnet generative KI, Smartphone-Apps und Virtual Reality als nächste Entwicklungsstufe der digitalen Versorgung ein – bei allerdings noch erheblichen Evidenzlücken und der Notwendigkeit von Co-Design, rigoroser Evaluation und belastbarer Datenschutz-Governance (Torous et al., World Psychiatry, 2025). Und das in Abschnitt 5.1 beschriebene Therabot-RCT zeigt, dass ein sorgfältig entwickeltes, klinisch begleitetes System messbar helfen kann. Doch die Dringlichkeit rechtfertigt keine Absenkung der Schutzstandards: Gerade weil Menschen in vulnerablen Lagen auf verlässliche Hilfe angewiesen sind, dürfen ihnen keine Systeme angeboten werden, deren Sicherheit und Wirksamkeit ungeprüft sind. Die Antwort auf Versorgungslücken sind geprüfte, begleitete und zugängliche Wege (etwa zugelassene digitale Anwendungen, Abschnitt 1.3) – nicht die Normalisierung ungeprüfter Consumer-Chatbots.
Eine besonders gut beforschte Form dieser „Chance mit Vorbehalt“ ist die Blended Therapy – die Verbindung klassischer Präsenztherapie mit strukturierten digitalen Bausteinen (etwa begleitende Online-Module oder Übungen zwischen den Sitzungen). Direktvergleiche legen nahe, dass solche kombinierten Behandlungen der reinen Präsenztherapie vergleichbar wirksam sein können – bei teils höherer Therapietreue und eingesparter Therapeut:innenzeit (Erbe et al., 2017); gegenüber Kontrollbedingungen zeigt eine Meta-Analyse bei Depression deutliche Effekte, bei Angststörungen dagegen keinen signifikanten Effekt (Nunes-Zlotkowski et al., 2024). Der entscheidende Vorbehalt ist derselbe wie in der gesamten Landschaftskarte: Diese Evidenz gilt für geprüfte, regulierte digitale Bausteine – zugelassene digitale Gesundheitsanwendungen oder als Medizinprodukt zertifizierte Programme (Abschnitte 4.8 und 4.11) –, nicht für beliebige Apps oder generische Chatbots, die man „nebenbei“ in die Behandlung einbezieht. Blended Therapy ist damit eine reale, belegte Chance – unter der Bedingung, dass das digitale Element denselben Maßstäben an Wirksamkeitsnachweis, Zertifizierung und Datenschutz genügt wie die Therapie, in die es eingebettet wird. Wo dieser Rahmen fehlt, kippt dieselbe Idee von der Chance ins Risiko.
Eine faire Chancen-Betrachtung muss auch die Gegenkraft benennen, die diese Chancen untergräbt. In vielen Consumer-Angeboten stehen Geschäftsmodell und Engagement-Anreize nicht automatisch im Einklang mit therapeutischer Sorgfalt; Bindung und Nutzungsdauer können wirtschaftlich belohnt werden, auch wenn sie klinisch problematisch sind. Das zeigte sich exemplarisch, als ein Modell-Update wegen übermäßiger Zustimmungsfreudigkeit („das Modell stimmt allem zu“) zurückgenommen werden musste – eine Eigenschaft, die in der psychischen Krise gefährlich ist. Und während Fachgesellschaften zur Vorsicht mahnen, kündigte der Marktführer an, ChatGPT für verifizierte Erwachsene auch erotische Inhalte zu erlauben (Altman/OpenAI, Oktober 2025) – ein Schritt, der die Engagement-Logik illustriert, Anfang 2026 aber laut Berichten vorerst wieder ausgesetzt wurde (Financial Times, 2026). Engagement-Optimierung und therapeutische Sorgfalt können also in entgegengesetzte Richtungen ziehen. Bezeichnend ist zugleich, dass selbst klinisch vorsichtiger konzipierte Angebote im Consumer-Markt wirtschaftlich und regulatorisch unter Druck stehen: Woebot Health stellte seine frei zugängliche App zum 30. Juni 2025 ein und verlagerte den Fokus auf andere Versorgungswege (MobiHealthNews/Woebot Health, 2025). Wer auf kommerzielle Anbieter setzt, sollte wissen, welche Anreize und Stabilitätsrisiken damit verbunden sind.
Ökonomisch unterfüttert wird diese Dynamik durch eine ausgeprägte Investitionswelle: Nach Branchenanalysen flossen allein 2024 rund 2,7 Mrd. US-Dollar Wagniskapital in den Sektor „digitale psychische Gesundheit“ – ein Plus von etwa 38 % gegenüber dem Vorjahr –, wobei KI-gestützte Lösungen weiterhin einen großen, aber nicht weiter wachsenden Anteil ausmachten (Galen Growth, 2024/2025). Solche Kapitalinteressen prägen vor allem Consumer-Angebote und Plattformen. Im Nischensegment der Praxis- und Dokumentationssoftware sind daneben auch kleine Teams aktiv – und die Eigentümer- und Finanzierungsstrukturen sind für Außenstehende oft schwer nachvollziehbar. Die pauschale Annahme „dahinter stehen immer große Geldgeber“ trifft also nicht durchgängig zu; problematisch ist eher die Intransparenz darüber, wer finanziert und welche Interessen mitlaufen.
Damit verbunden ist eine tiefere Entwicklung, die in der Digital-Health-Literatur als Datafizierung beschrieben wird: qualitative, leibliche, relationale und biografische Vorgänge werden in Datenpunkte, Muster, Scores oder Trainingsmaterial übersetzt. Van Dijck (2014) kritisiert an Datafizierung die Annahme, soziale Wirklichkeit lasse sich durch Daten hinreichend erfassen und berechenbar machen; Ruckenstein und Schüll (2017) zeigen für Gesundheit, dass datafizierte Praktiken klinische Versorgung, Selbstbeobachtung und kommerzielle Verwertung zugleich verändern. Für die Psychotherapie ist das besonders sensibel: Eine Sitzung ist nicht nur ein Informationsereignis. Wenn Stimme, Sprache, Pausen, Affekte, Beziehungsmuster und biografische Narrative zu analysierbaren Daten werden, verschiebt sich die Frage von „Wie dokumentieren wir verantwortlich?“ zu „Welcher Form des Menschenbildes und welcher Verwertungslogik geben wir Raum?“. Auch deshalb reichen Datenschutzformeln allein nicht aus; es geht um die professionelle Grenze zwischen hilfreicher Strukturierung und einer Datafizierung des therapeutischen Geschehens (van Dijck, 2014; Ruckenstein & Schüll, 2017).
Zu dieser Gegenkraft gehört noch eine zweite, weniger beachtete Dynamik: ein wachsender Markt, der gezielt mit Ängsten wirbt. Auf der einen Seite werden Fachkräfte mit ihrer beruflichen Existenzangst adressiert („Bekomme ich künftig noch Klient:innen, wenn ich nicht digitalisiere?“) und zum Kauf teils fragwürdiger Werkzeuge bewegt. Auf der anderen Seite werden Hilfesuchende mit dem Versprechen jederzeit verfügbarer „Unterstützung“ angesprochen – mit dem Effekt, dass Menschen an einen Chatbot gebunden werden, statt den Weg zu menschlicher Hilfe zu finden. Beide Muster nutzen reale Nöte kommerziell aus; eine faire Chancen-Betrachtung muss sie mitsehen. Hinzu kommt die schiere Vermarktungsintensität: Behandler:innen erhalten unaufgefordert und häufig Werbung für digitale Produkte – was, wenn ohne vorherige Einwilligung an berufliche Kontakte gerichtet, datenschutz- und wettbewerbsrechtlich als unzulässige Direktwerbung („Kaltakquise“) einzuordnen sein kann. Der so erzeugte Eindruck, „alle anderen setzen das längst ein“, verstärkt einen Übernahmedruck, der mit dem fachlichen Nutzen wenig zu tun hat.
Zur Redlichkeit gehört, die Grenzen der eigenen Darstellung zu benennen. Diese Landschaftskarte ist eine narrative Übersicht, kein systematisches Review; sie wählt aus, gewichtet und kann Lücken haben. Mehrere Fragen bleiben offen – und sind selbst ein Befund:
In der internationalen Fachliteratur zeichnen sich erste Rahmen für eine verantwortungsvolle Integration ab. Torous et al. (2025, JMIR Mental Health) etwa schlagen ein dreigliedriges Modell vor – Ausbildung (Education), menschliche „Digital Navigators“ als Begleitung und überprüfbare KI-Standards. Ihr Kernbefund passt zu dieser Übersicht: Nicht die Technik selbst, sondern fehlende Kompetenz und Begleitstrukturen seien das eigentliche Hindernis – ohne ausreichende Schulung und evidenzbasierte Orientierung bleibe Zurückhaltung berechtigt (Torous et al., JMIR Mental Health, 2025).
Als Verdichtung der vorangehenden Abschnitte lässt sich eine einfache Prüflogik formulieren. Über allen Einzelfragen steht dabei eine Leitfrage: Kann die Verschwiegenheit nicht nur vertraglich zugesichert, sondern technisch und strukturell tatsächlich gewahrt werden? Eine bloße vertragliche Zusicherung – „wir halten uns daran“ – ist dafür zu wenig; entscheidend ist, ob ein Klartextzugriff Dritter oder ein Datenabfluss strukturell ausgeschlossen ist (lokale Verarbeitung, Zero-Knowledge), nicht, ob er bloß versprochen wird. Vor diesem Maßstab lassen sich die Anwendungsfälle abstufen:
Diese offenen Fragen sind kein Grund zur Untätigkeit, sondern eine Forschungs- und Gestaltungsagenda. Sie zu benennen, ist ehrlicher, als eine Sicherheit zu behaupten, die es noch nicht gibt.
Die folgenden Quellen sind nach Art geordnet. Bei aktualitäts-sensiblen Quellen (insbesondere zum Digital Omnibus und zum Data-Privacy-Framework-Verfahren) ist der jeweils aktuelle Rechtsstand maßgeblich; Stand der Recherche ist Juni 2026.
Die folgenden Werke werden im Text nicht einzeln belegt, bieten aber vertiefende und teils kontrastierende Perspektiven zu KI in Psychotherapie und Beratung – von anwendungsoffen-praxisnah bis dezidiert kritisch. Sie spiegeln zugleich den Befund, dass die deutschsprachige Buchlandschaft bislang überwiegend anwendungsoffen ausgerichtet ist, während eine geschlossene, datenschutz- und verschwiegenheitskritische Gesamtdarstellung noch fehlt.