Das Mikrofon im Untersuchungszimmer

Ein Bundesgericht in San Francisco liess diese Woche eine Sammelklage gegen Sutter Health und MemorialCare zu. Der Kernvorwurf: das AI-Transkriptionssystem Abridge AI zeichnete Arzt-Patient-Gespräche auf, übermittelte sie an Dritte und verarbeitete sie ausserhalb der klinischen Umgebung—ohne dass die Betroffenen klare Zustimmung erteilten. Die Kläger nennen dies einen Verstoss gegen Bundesrecht und das California Invasion of Privacy Act (CIPA), das die Zustimmung aller an Aufzeichnungen beteiligten Parteien verlangt. Abridge AI—mit einem Wert von 5,3 Milliarden US-Dollar seit Juni 2025—hat nicht Stellung genommen.

←HEUTE: Abridge läuft bereits bei Kaiser Permanente, Mayo Clinic und Duke Health; Sutter Health ist seit zwei Jahren Partner.
→3012: In Zürich-3012 sind Zustimmungsschichten in AI-Systemen architektonisch codiert—Klang, Licht, Display—bevor das Mikrofon öffnet.
Fulcrum: Zustimmung ist nicht ein Formular. Das ist ein Interface-Design-Problem.

Abridge tut genau das, was der Markt seit 2022 verlangt: es zeichnet das Gespräch auf, transkribiert es, fasst es zusammen und generiert klinische Notizen. Der Arzt spart Zeit; das Spital spart Kosten. Das Geschäftsmodell ist solide—das Zustimmungsproblem auch. Wie Ars Technica berichtet, erteilte der Journalist selbst in Kaiser-Einrichtungen Zustimmung, was zeigt: Zustimmungsprozesse existieren irgendwo im System. Die Frage ist, ob sie bei Sutter und MemorialCare unzureichend implementiert oder bewusst anders konzipiert wurden. Dieser Unterschied ist der Kern des Falles.

Das Kontrollproblem liegt nicht im Algorithmus; es liegt in der Standardeinstellung. Wenn Aufzeichnung der Standardzustand ist und Ablehnung einen aktiven Schritt erfordert, den der Patient in einer verletzlichen Situation nicht kennt, dann ist das kein Versehen—das ist Systemgestaltung. Liz Madison, Sprecherin von Sutter, betonte, dass die Technologie “im Einklang mit geltendem Recht” eingesetzt wird. Diese Formulierung lässt offen, ob der geltende Standard ausreichend oder nur ausreichend dokumentiert ist.

Was dies für DACH-Architekturbüros bedeutet

PAZ-Leser, die keine Kliniken entwerfen, könnten versucht sein, diesen Fall als US-Rechtsproblem abzuschreiben. Falsch. Der strukturelle Mechanismus—AI-Aufzeichnungstool läuft in der Praxis, Daten verlassen die kontrollierte Umgebung, Zustimmung ist unklar—ist identisch mit dem, was gerade jetzt in jedem zweiten Architekturbüro läuft.

Otter.ai, Microsoft Copilot, Zoom AI Companion, Firefly: diese Tools transkribieren Kundengespräche, Wettbewerbsbriefings, Bauleitung-Anrufe. Projektnamen, Kostenstrukturen, Kundendaten—das landet alles auf Servern von Dritten. Das ist kein Worst-Case-Szenario; es ist der Standard-Betriebsmodus. Die überarbeitete nDSG (Schweiz, seit September 2023 in Kraft) und die GDPR klassifizieren Gespräche mit identifizierbaren Personen als Personendaten. Wer öffentliche Auftraggeber bedient—Kantone, Gemeinden—schuldet ihnen Transparenz über welche AI-Systeme ihre Kommunikation verarbeiten. Das ist keine Meinung; das ist Vertragsrisiko.

Der EU AI Act, dessen Hochrisiko-Anforderungen 2026 vollständig in Kraft treten, klassifiziert AI-Systeme, die sensible Personendaten in Hochrisiko-Kontexten verarbeiten, als Hochrisiko-Systeme—mit obligatorischer Konformitätsbewertung und Transparenzdokumentation. Die Kliniken in diesem Rechtsfall hätten diese Anforderungen in einem europäischen Kontext kaum erfüllt.

Atelier: Bevor Ihre Praxis ein AI-Transkriptionswerkzeug für Projektbesprechungen einsetzt, klären Sie drei Dinge schriftlich: Wo werden die Daten verarbeitet (Serverstandort und Unterauftragsverarbeiter-Kette)? Welche ist die Standardeinstellung—Aufzeichnung an oder aus? Und welche Partei im Servicevertrag trägt die nDSG-Verantwortung, wenn Kundenkommunikation an Server von Drittanbietern gesendet wird? Ohne diese Klarheit sind Sie Sutter Health.

Besorgen Sie sich sofort die Datenschutzerklärung und die Datenverarbeitungsvereinbarung (DPA) des eingesetzten Werkzeugs. Lesen Sie den Abschnitt über Unterauftragsverarbeiter. Wenn Sie ihn nicht finden oder nicht verstehen, ist das die Antwort.

Quelle: Ars Technica