ZDF Magazin Royale: Doctolib, KI und unsere Gesundheitsdaten –

ZDF Magazin Royale ist seit Jahren bekannt für investigative Recherchen und kritische Gesellschaftskritik – die Sendung von Jan Böhmermann setzt Standards im deutschen Fernsehen, wenn es um Aufdeckungen im Bereich Gesundheit, Datenschutz und Konzernmacht geht. Die aktuelle Folge zum Thema Doctolib, künstliche Intelligenz und unsere Gesundheitsdaten ist mehr als ein weiteres Video über digitale Risiken: Sie ist ein Weckruf, der zeigt, wie fahrlässig wir mit dem wertvollsten Rohstoff des 21. Jahrhunderts umgehen – unseren medizinischen Daten. Drei Jahre nach der Doctolib-Übernahme durch den französischen Tech-Konzern und inmitten des KI-Booms wird deutlich, wie wenig Transparenz und Kontrolle wir als Patienten tatsächlich haben. Das ist nicht nur ein technisches Problem – es ist ein Vertrauensbruch im Gesundheitssystem.

Das sagt ZDF Magazin Royale im Kern

• Doctolib als Datensammler: Die Terminbuchungsplattform sitzt auf einem Datenschatz von über 35 Millionen Deutschen und erfasst nicht nur Termine, sondern auch sensitive Gesundheitsinformationen – Diagnosen, Impfstatus, psychische Erkrankungen.
• KI-Training ohne Einwilligung: Es gibt ernsthafte Hinweise darauf, dass Patientendaten zur Trainierung von Sprachmodellen und KI-Systemen genutzt werden könnten, ohne dass Nutzer darüber informiert sind.
• Regulatorische Leerstelle: Die deutschen und europäischen Datenschutzbehörden haben bislang nicht ausreichend eingegriffen – es gibt Graubereiche zwischen DSGVO-Regelwerk und praktischer Anwendung.
• Monopolisierung im Gesundheitswesen: Doctolib kontrolliert inzwischen über 60 Prozent aller Online-Arzttermine in Deutschland – damit ist eine Ausweichposition für Patienten kaum noch möglich.
• Transparenz-Defizit: Ärzte, Patienten und Behörden wissen oft nicht, welche Daten wie lange gespeichert und an wen weitergegeben werden.
• Strukturelle Abhängigkeit: Niedergelassene Ärzte, die Doctolib einmal integriert haben, können die Plattform kaum ohne erheblichen Aufwand wechseln – das schafft eine Lock-in-Dynamik, die dem Konzern strukturelle Macht verleiht.
• Fehlende Aufklärung: Patienten klicken Datenschutzerklärungen weg, ohne zu verstehen, was sie eigentlich erlauben – und Doctolib unternimmt keine erkennbaren Anstrengungen, das zu ändern.

Unsere Einordnung: Faktencheck und kritische Perspektive

Was die Recherche richtig trifft

Die Investigative des ZDF-Teams adressiert ein echtes, systematisches Problem. Doctolib ist nicht böswillig – das Unternehmen agiert im Rahmen eines Geschäftsmodells, das Tech-Konzerne weltweit nutzen: Kostenlose oder günstige Services für Nutzer, Datenmonetarisierung für Investoren. Dass ein französischer Konzern über die Gesundheitsdaten von 35 Millionen Deutschen verfügt, ist faktisch korrekt und beunruhigend. Die Frage nach KI-Training ist legitim: ChatGPT, Claude und andere Sprachmodelle wurden teilweise mit Daten trainiert, die ohne explizite Einwilligung gesammelt wurden. Warum sollte Doctolib anders verfahren? Diese Frage ist nicht paranoid – sie ist strukturell berechtigt.

Auch die Monopol-These ist empirisch belegt. Im April 2025 hatte Doctolib Anteile von über 62 Prozent bei digitalen Arztterminvergaben in Deutschland. Das ist nicht nur ein Marktkonzentrationsproblem – es ist ein Sicherheitsproblem. Wenn eine einzelne Plattform ausfällt, bricht das System zusammen. Und wenn eine Plattform Daten missbraucht, haben Patienten faktisch keine Alternative. Wer über die Risiken der Digitalisierung im Gesundheitswesen nachdenkt, kommt an diesem Punkt nicht vorbei: Marktmacht und Datenmacht sind in diesem Sektor zwei Seiten derselben Medaille.

Besonders stark ist die Sendung dort, wo sie konkret wird: Die Visualisierung des Datenflusses – von der Terminbuchung über Serverstandorte bis hin zu potenziellen Drittparteien – macht abstrakte Datenschutzrisiken greifbar. Das ist öffentlich-rechtliches Fernsehen auf dem Niveau, das es braucht, um gesellschaftliche Debatten wirklich anzustoßen. Und diese Debatte ist überfällig, wie wir bereits in unserem Bericht über KI in der Medizin und ethische Grenzen dargelegt haben.

Wo wir differenzieren müssen

Allerdings sollten wir auch auf die Grauzone hinweisen: Doctolib arbeitet mit Ärzten zusammen, die DSGVO-konform sein müssen. Das heißt, dass viele Ärzte und Arztpraxen durchaus Datenschutzvereinbarungen mit Doctolib haben, in denen festgehalten ist, dass Patientendaten nicht zu Werbezwecken oder KI-Training genutzt werden dürfen. Das Problem: Diese Vereinbarungen sind heterogen, oft nicht transparent und schwer zu prüfen. Eine Vereinbarung auf dem Papier ist kein Schutz, wenn niemand ihre Einhaltung kontrolliert.

Ein zweiter Punkt: Die deutschen Datenschutzbehörden sind nicht untätig. Die Hamburger Datenschutzbehörde (HmbBfDI) hat sich intensiv mit Doctolib beschäftigt. Im März 2025 einigten sich Doctolib und Behörden auf neue Compliance-Standards. Das ist kein großer Sieg, aber es ist auch nicht „gar nichts". Dennoch bleibt die Kontrolle fragmentarisch und reaktiv statt proaktiv. Das Grundproblem – dass Behörden immer hinter der technologischen Entwicklung herlaufen – ist hier exemplarisch sichtbar. Ähnliche Muster kennen wir aus der DSGVO-Bilanz nach sieben Jahren: Regelwerk vorhanden, Durchsetzung lückenhaft.

Dritter Differenzierungspunkt: Die Sendung legt nahe, dass der KI-Einsatz mit Patientendaten bereits stattfindet. Das ist eine ernsthafte Behauptung, die in der Folge mit Indizien, aber nicht mit abschließenden Beweisen untermauert wird. Das ist journalistisch vertretbar – aber als Rezipienten sollten wir den Unterschied zwischen „es gibt Hinweise darauf" und „es ist bewiesen" im Blick behalten. Die Frage ist berechtigt, der Befund jedoch noch nicht abgeschlossen.

Das größere Bild: Warum dieser Weckruf gerade jetzt kommt

Es ist kein Zufall, dass diese Reportage im Frühjahr 2026 erscheint. Der europäische AI Act ist seit Anfang 2025 schrittweise in Kraft getreten und schafft erstmals verbindliche Kategorien für risikoreiche KI-Anwendungen im Gesundheitsbereich. Gleichzeitig läuft die politische Diskussion über die Elektronische Patientenakte (ePA) auf Hochtouren – ein Projekt, das enormes Potenzial hat, aber auch strukturell ähnliche Risiken birgt wie das Doctolib-Ökosystem. Wer verstehen will, warum Datensouveränität im Gesundheitswesen keine Nischenfrage ist, sollte sich auch unsere Analyse zur elektronischen Patientenakte und ihren Risiken ansehen.

Die eigentliche Brisanz liegt nicht darin, dass Doctolib ein schlechtes Unternehmen ist. Die Brisanz liegt darin, dass das System so gebaut ist, dass selbst ein gut gemeintes Unternehmen strukturell incentiviert wird, Daten maximal zu nutzen. Investoren erwarten Rendite. KI-Modelle brauchen Trainingsdaten. Wachstum erfordert Skalierung. In diesem Umfeld sind individuelle Versprechen über Datenschutz wenig wert, wenn die systemischen Anreize in eine andere Richtung zeigen.

Was jetzt gefordert ist – von Politik, Ärzten und uns allen

ZDF Magazin Royale endet – wie so oft – mit einem impliziten Appell. Aber wer ist eigentlich in der Pflicht? Die Antwort ist unbequem: alle. Die Politik muss den AI Act konsequent durchsetzen und Gesundheitsdaten als Sonderkategorie behandeln, die stärkeren Schutz verdient als Einkaufsdaten. Ärzte müssen aufhören, Datenschutzvereinbarungen als bürokratisches Übel zu betrachten, und anfangen, sie als Teil ihrer ärztlichen Sorgfaltspflicht zu verstehen. Und wir als Nutzer müssen akzeptieren, dass „kostenlos" im digitalen Raum selten wirklich kostenlos ist.

Wer sich fragt, was konkret zu tun ist, findet in unserem Überblick zu digitaler Selbstverteidigung im Gesundheitsbereich praktische Schritte: von der Auskunftspflicht gegenüber Plattformen bis hin zu Alternativen bei der Terminbuchung. Das Wissen ist vorhanden – es fehlt an struktureller Verankerung und politischem Willen.

Fazit: Starke Sendung, offene Fragen, dringender Handlungsbedarf

Diese Folge von ZDF Magazin Royale ist eine der stärksten Datenschutz-Reportagen, die das deutsche Fernsehen in den letzten Jahren produziert hat. Sie ist nicht perfekt – einige Behauptungen zum KI-Training bleiben im Bereich der plausiblen Spekulation statt gesicherter Erkenntnis. Aber sie stellt die richtigen Fragen zur richtigen Zeit. Und sie erinnert uns daran, dass Datenschutz im Gesundheitswesen keine technische Fußnote ist, sondern eine fundamentale gesellschaftliche Frage: Wem gehört unser Körper – und wem gehören die Daten darüber?

Die Antwort darauf werden wir nicht im Fernsehen finden. Aber ohne Sendungen wie diese würden wir sie wahrscheinlich noch viel seltener stellen.