Ist ein KI-Therapeut HIPAA-konform? Was du prüfst, bevor du etwas teilst

Die meisten KI-Therapie-Apps sind nicht HIPAA-konform, und die seltenen, die es sind, sagen es dir in klarer Sprache und reichen dir die Unterlagen zum Nachweis. Wenn eine App der Frage ausweicht, „wir nutzen Verschlüsselung“ als vollständige Antwort behandelt oder das Thema drei Tipps tief vergräbt, geh davon aus, dass deine Gespräche nicht so geschützt sind, wie du denkst. Ob ein KI-Therapeut HIPAA-konform ist, läuft auf ein paar konkrete, überprüfbare Dinge hinaus – nicht auf ein Abzeichen auf der Startseite.

Kurz zur Einordnung für Leserinnen in Deutschland, Österreich und der Schweiz: HIPAA ist ein US-Gesetz und gilt hier nicht. Das hiesige Gegenstück ist die Datenschutz-Grundverordnung (DSGVO). Die Prüfungen unten funktionieren trotzdem, denn sie zielen auf das tatsächliche Verhalten einer App, nicht auf ein Siegel – und genau das schützt dich an einem beliebigen Dienstag.

Hier der unbequeme Teil. Du kannst um 1 Uhr nachts deine schlimmste Woche in ein Chatfenster schütten, dich leichter fühlen und nie merken, dass dieselben Worte irgendwo in einem Protokoll liegen, an deine E-Mail-Adresse geheftet, womöglich ein Modell trainierend. Die Lösung ist nicht Paranoia. Es sind fünf Minuten Lesen, bevor du dem Kasten vertraust.

Was „HIPAA-konform“ für einen KI-Therapeuten tatsächlich bedeutet

HIPAA ist ein US-Gesundheitsdatenschutzgesetz. Es regelt, wie „abgedeckte Stellen“ – Ärztinnen, Kliniken, Versicherer – und ihre „Geschäftspartner“ mit deinen geschützten Gesundheitsdaten umgehen. Der Ausdruck „KI-Therapeut HIPAA-konform“ wird lose herumgeworfen, also nagle ihn fest: Eine App ist nur dann wirklich abgedeckt, wenn sie als oder für einen Gesundheitsdienstleister handelt und die richtigen Verträge unterschrieben hat, um das zu untermauern.

Diese Unterscheidung zählt mehr, als sie klingt. Ein Wellness-Chatbot, der sich „Begleiter“ oder „Coach“ nennt, sitzt meist ganz außerhalb von HIPAA. Nicht weil er zwielichtig ist, sondern weil er nie behauptet hat, Gesundheitsversorgung zu sein. Das Gesetz, auf das du zählst, gilt also womöglich gar nicht für die App in deiner Tasche. (Bei einem in der EU angebotenen Dienst ist die einschlägige Frage ohnehin, ob er DSGVO-konform mit deinen Gesundheitsdaten umgeht.)

Zwei Dinge trennen ein konformes Setup von Marketingsprache:

• Ein Geschäftspartnervertrag (Business Associate Agreement, BAA). Das ist der Vertrag, der einen Anbieter rechtlich bindet, deine Gesundheitsdaten zu schützen. Kein BAA in der Kette, kein HIPAA-Schutz – Punkt.
• Definierte Schutzmaßnahmen. Zugriffskontrollen, Audit-Protokolle, Verschlüsselung, Pflichten zur Meldung von Datenpannen. Echte, niedergeschrieben, nicht durch ein Schloss-Symbol angedeutet.

Ist mein KI-Therapeut HIPAA-konform? Die 6 Prüfungen, die es dir wirklich verraten

Mach diese, bevor du etwas teilst, das du einem Fremden im Bus nicht sagen würdest.

1. Lies, als wer sie sich ausgeben. Durchsuch die Website und den App-Store-Eintrag nach „HIPAA“, „abgedeckte Stelle“ und „Geschäftspartner“. Ein konformer Dienst sagt es direkt. Vage Wellness-Sprache („Unterstützung“, „Selbstverbesserung“, „kein medizinischer Dienst“) ist selbst eine Antwort – meist „nein“.

2. Finde den BAA-Pfad. Ein Werkzeug in klinischer Qualität nennt seinen BAA oder erklärt, wie geschützte Gesundheitsdaten vertraglich gehandhabt werden. Verbraucher-Apps bieten Einzelnutzerinnen fast nie einen an. Wenn du das Wort nicht findest, behandle die Antwort als nein.

3. Öffne die Datenschutzrichtlinie und nutze Strg-F. Such nach „Dritte“, „verkaufen“, „teilen“, „Werbung“ und „Training“. Wenn deine Nachrichten zum Training von Modellen genutzt oder mit Werbepartnern geteilt werden können, sagt dir das, wie das Unternehmen deine Daten tatsächlich sieht – als Vermögenswert, nicht als Vertrauen.

4. Prüfe, wo die Daten liegen und wie lange. Halt Ausschau nach einer Aufbewahrungsfrist und einer echten Löschoption. „Wir bewahren Daten so lange wie nötig auf“ ohne Ausschalter heißt, dass dein Geständnis von 1 Uhr nachts dein Interesse an der App überleben könnte.

5. Schau dir den Login und das Schloss an. Verschlüsselung bei der Übertragung (HTTPS) ist Grundvoraussetzung. Verschlüsselung im Ruhezustand, Zwei-Faktor-Login und die Möglichkeit, ein Pseudonym zu nutzen, sind Zeichen, dass jemand an die Person hinter dem Konto gedacht hat.

6. Finde den Pannenplan. Konforme Betriebe legen dar, was passiert, wenn Daten lecken, und wie schnell sie es dir sagen. Schweigen hier ist eine rote Flagge mit ruhigem Gesicht.

Wenn eine App ein, zwei davon besteht und den Rest verpatzt, ist sie nicht konform. Sie ist hoffnungsvoll.

HIPAA-konform vs. tatsächlich privat: nicht dasselbe

Hier die Linie, die es sich lohnt, auf die Innenseite der Augenlider zu tätowieren: HIPAA-Konformität ist nicht dasselbe wie Privatsphäre. Eine App kann vollständig konform sein und trotzdem rechtmäßig Daten teilen oder verkaufen, von denen du nicht wusstest, dass du sie übergeben hast, je nach den Einwilligungen, die du weggeklickt hast. Und eine App kann zutiefst privat sein – minimale Daten, starke Verschlüsselung, keine Werbepartner – und dabei gar nicht HIPAA-konform, schlicht weil sie nie als Gesundheitsversorgung betrieben wurde.

Hör also auf, „HIPAA-konform“ als Synonym für „sicher“ zu benutzen. Stell zwei getrennte Fragen. Deckt das Gesetz das ab? Und unabhängig vom Gesetz: Was tut dieses Unternehmen tatsächlich mit meinen Worten? Die zweite Frage ist die, die dich an einem beliebigen Dienstag schützt.

Für die meisten Verbraucher-KI-Tools für die psychische Gesundheit ist die ehrliche Einordnung diese: Sie sind privat per Richtlinie, nicht per Gesetz. Das kann völlig in Ordnung sein. Es heißt nur, dass du den Entscheidungen und der Technik eines Unternehmens vertraust statt einem Gesetz. Entscheide das mit Absicht, nicht aus Versehen.

Was das bedeutet, bevor du etwas Echtes tippst

Pass deine Ehrlichkeit dem Schutz an, den du überprüfen kannst. Eine nützliche Faustregel:

• Volle Details (Namen, die Notizen deiner Therapeutin, konkrete Krankengeschichte) gehören nur in ein Werkzeug, das du als HIPAA-konform mit BAA (oder als nachweislich DSGVO-konform) bestätigt hast, oder in eine Sitzung mit einem zugelassenen Menschen.
• Themen und Gefühle („mir graut seit einer Weile vor Sonntagen“, „meine Brust wird vor Meetings eng“) sind meist sicher mit einer seriösen Verbraucher-App zu erkunden, deren Richtlinie du tatsächlich gelesen hast.
• Alles, bei dessen Leck du in Panik geraten würdest, sollte dich innehalten und diese Liste zuerst noch einmal lesen lassen.

Du musst nicht zwischen Hilfe bekommen und dich schützen wählen. Du musst nur wissen, durch welche Art Tür du gehst.

Wenn du in unmittelbarer Gefahr bist oder daran denkst, dir etwas anzutun, wende dich jetzt an deine örtliche Notrufnummer oder eine Krisenhotline – in Deutschland die Telefonseelsorge rund um die Uhr kostenlos unter 0800 111 0 111 oder 0800 111 0 222, in Österreich unter 142, in der Schweiz die Dargebotene Hand unter 143, bei unmittelbarer Gefahr der Notruf 112. Das ist ein Moment für einen Menschen, nicht für ein Chatfenster.

FAQ

Sind KI-Therapie-Apps standardmäßig HIPAA-konform?

Nein. Die meisten Verbraucher-KI-Therapie- und „Begleiter“-Apps sind nicht HIPAA-konform, und viele fallen nicht einmal unter HIPAA, weil sie nicht als Gesundheitsdienstleister auftreten. Konformität ist etwas, das ein Dienst bewusst aufbauen und dokumentieren muss, einschließlich eines Geschäftspartnervertrags. Geh davon aus, dass eine App nicht konform ist, bis sie das Gegenteil schriftlich beweist.

Woran erkenne ich, ob ein KI-Therapeut HIPAA-konform ist?

Halt Ausschau nach einer klaren Aussage auf der Website oder im App-Eintrag, einem benannten Geschäftspartnervertrag, einer Datenschutzrichtlinie, die Teilen und Verkaufen begrenzt, einer echten Aufbewahrungs- und Löschrichtlinie, Verschlüsselung bei Übertragung und im Ruhezustand sowie einem festgelegten Prozess zur Meldung von Datenpannen. Wenn das fehlt oder vage ist, behandle es als nicht konform. Ein wirklich konformer Dienst macht es leicht, das zu bestätigen, statt schwer.

Ist eine HIPAA-konforme App dasselbe wie eine private?

Nein, und beides gleichzusetzen ist der häufige Fehler. HIPAA ist ein rechtlicher Rahmen, der gelten kann oder nicht; Privatsphäre ist das, was das Unternehmen tatsächlich mit deinen Daten tut. Eine App kann konform sein und trotzdem Daten teilen, denen du zugestimmt hast, oder sehr privat sein, ohne überhaupt unter HIPAA zu fallen. Prüfe sowohl den rechtlichen Status als auch die echten Datenpraktiken.

Was sollte ich einem nicht konformen KI-Chatbot nicht erzählen?

Halt stark identifizierende oder sensible Einzelheiten – vollständigen Namen, exakte Krankengeschichte, die Notizen einer Behandlerin, alles, dessen Leck dich alarmieren würde – aus jeder App heraus, die du nicht überprüft hast. Allgemeine Gefühle und Muster zu teilen ist mit einem seriösen Werkzeug meist risikoarm. Der Punkt ist, anzupassen, wie viel du preisgibst, an wie viel Schutz du tatsächlich bestätigt hast.