KI-Verordnung in der Medizin: Pflichten für Arztpraxen und MVZ
Kurz zusammengefasst: Medizinische KI-Systeme gehören zu den am strengsten regulierten Anwendungen unter der KI-Verordnung (VO (EU) 2024/1689). Diagnostische KI, KI-gestützte Befundung und Triage-Systeme fallen als Hochrisiko-Systeme unter Anhang III Nr. 5. Arztpraxen und MVZ sind als Betreiber (Deployer) verpflichtet, menschliche Aufsicht sicherzustellen, Grundrechts-Folgenabschätzungen durchzuführen und die Überschneidung mit DSGVO und Medizinprodukteverordnung (MDR) zu beachten. Die KI-Kompetenzpflicht nach Art. 4 gilt bereits seit Februar 2025. Auch die Hochrisiko-Pflichten gelten laut KI-VO ab August 2026 (der Digital Omnibus zur Verschiebung auf Dez. 2027 ist vorerst gescheitert).
KI im medizinischen Alltag: Mehr als Zukunftsmusik
Künstliche Intelligenz ist in deutschen Arztpraxen und MVZ längst angekommen. Laut einer Studie des Bundesministeriums für Gesundheit (2025) setzen bereits über 15 % der Arztpraxen in Deutschland mindestens ein KI-gestütztes Tool ein. Die Bandbreite reicht von trivialer Terminverwaltung bis zu lebenskritischer Diagnostik.
Typische KI-Anwendungen in der Medizin:
- Diagnostik-KI: Bildgebende Diagnostik (Radiologie, Dermatologie, Pathologie) -- KI erkennt Auffälligkeiten in Röntgenbildern, CT-Scans, Hautläsionen
- Triage- und Priorisierungssysteme: KI bewertet Patientensymptome und priorisiert die Dringlichkeit
- Spracherkennung und Dokumentation: KI-basierte Diktiersysteme für Arztbriefe und Befunde
- Terminmanagement: KI-gestützte Terminvergabe mit No-Show-Prognose
- Abrechnungs-KI: Automatische Kodierung (ICD-10, EBM, GOÄ) und Plausibilitätsprüfung
- Medikamenteninteraktionsprüfung: KI prüft Wechselwirkungen bei Polypharmazie
- ChatGPT und LLMs: Für Patienteninformationen, Arztbriefe, Recherche
Die entscheidende Frage für jede Praxis: Welche dieser Systeme sind Hochrisiko -- und was bedeutet das?
Hochrisiko-Einstufung: Anhang III Nr. 5 der KI-VO
Die KI-Verordnung stuft KI-Systeme, die als Sicherheitskomponente von Medizinprodukten dienen oder selbst Medizinprodukte sind, explizit als Hochrisiko ein [Art. 6 Abs. 1 i.V.m. Anhang I Abschnitt A KI-VO]. Zusätzlich erfasst Anhang III Nr. 5 KI-Systeme, die im Bereich „Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten" eingesetzt werden -- dazu gehört die Gesundheitsversorgung [Anhang III Nr. 5 lit. a KI-VO, ErwGr. 54-55].
| KI-System | Risikoklasse | Rechtsgrundlage |
|---|---|---|
| Diagnostik-KI (Bildgebung) | Hochrisiko | Art. 6 Abs. 1 + Anhang I (Medizinprodukt); Anhang III Nr. 5 lit. a |
| Triage-/Priorisierungssystem | Hochrisiko | Anhang III Nr. 5 lit. a (Zugang zu Gesundheitsdiensten) [ErwGr. 54] |
| KI-Medikamenteninteraktion | Hochrisiko | Art. 6 Abs. 1 + Anhang I (Medizinprodukt-Software) |
| Spracherkennung / Diktiersystem | Minimales Risiko | Reine Dokumentationshilfe; keine Entscheidung über Patienten |
| KI-Terminmanagement | Minimales Risiko | Administrative Unterstützung ohne Grundrechtsrelevanz |
| KI-Abrechnung (EBM/GOÄ) | Begrenztes Risiko | Finanzielle Auswirkung möglich; aber keine direkte Patientenentscheidung |
| ChatGPT für Arztbriefe | Minimales Risiko* | Textentwurf mit ärztlicher Prüfung; *DSGVO-Risiko bei Patientendaten! |
KMU-Tipp: Entscheidend für die Hochrisiko-Einstufung ist nicht nur die KI-VO, sondern auch die Medizinprodukteverordnung (MDR, VO (EU) 2017/745). Software, die eine diagnostische oder therapeutische Funktion hat, ist in der Regel ein Medizinprodukt der Klasse IIa oder höher [Art. 6 Abs. 1 KI-VO i.V.m. Anhang I Abschnitt A Nr. 11]. Das bedeutet: Ihr Anbieter muss die CE-Kennzeichnung unter MDR und die KI-VO-Anforderungen erfüllen. Als Betreiber müssen Sie prüfen, ob beides vorliegt.
Dreifach-Compliance: KI-VO, DSGVO und MDR
Medizinische Einrichtungen stehen vor einer einzigartigen Herausforderung: Drei Regulierungsrahmen greifen gleichzeitig.
KI-VO + DSGVO: Patientendaten und KI
Gesundheitsdaten sind nach Art. 9 DSGVO besondere Kategorien personenbezogener Daten. Ihre Verarbeitung durch KI-Systeme erfordert:
- Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO -- typischerweise lit. h (Gesundheitsversorgung) oder ausdrückliche Einwilligung
- Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO -- bei systematischer Verarbeitung von Gesundheitsdaten durch KI zwingend
- Auftragsverarbeitungsvertrag mit dem KI-Anbieter [Art. 28 DSGVO]
- Grundrechts-Folgenabschätzung nach Art. 27 KI-VO -- für Hochrisiko-Betreiber zusätzlich zur DSFA erforderlich
KI-VO + MDR: Doppelte Konformität
KI-Systeme, die als Medizinprodukte gelten, müssen sowohl die MDR-Anforderungen (Konformitätsbewertung, CE-Kennzeichnung, Vigilanz) als auch die KI-VO-Anforderungen (Risikomanagement, Datenverwaltung, Transparenz, menschliche Aufsicht) erfüllen [Art. 6 Abs. 1, Art. 16 KI-VO, ErwGr. 49-50].
KMU-Tipp: Die KI-VO enthält eine wichtige Erleichterung: Wenn ein KI-System bereits eine Konformitätsbewertung nach MDR durchlaufen hat, gelten die KI-VO-Anforderungen als weitgehend erfüllt, sofern der Hersteller die KI-spezifischen Elemente (Art. 9-15 KI-VO) in die MDR-Bewertung integriert hat [Art. 43 Abs. 3 KI-VO]. Fragen Sie Ihren Anbieter explizit: „Ist Ihr Produkt KI-VO-konform?"
Pflichten für Arztpraxen und MVZ als Betreiber
1. KI-Kompetenz des medizinischen Personals (Art. 4 KI-VO)
Alle Mitarbeiter, die KI-Systeme nutzen oder beaufsichtigen, müssen ausreichend geschult sein [Art. 4 Abs. 1 KI-VO]. Für Praxen bedeutet das:
- Ärztinnen und Ärzte verstehen, wie die Diagnostik-KI zu ihren Ergebnissen kommt
- MFA wissen, wie das Triage-System funktioniert und wann manuell eingegriffen werden muss
- Alle Beteiligten kennen die Grenzen der KI (False Positives, False Negatives, Bias bei bestimmten Patientengruppen)
2. Menschliche Aufsicht bei Hochrisiko-Systemen (Art. 14 KI-VO)
Die KI-VO verlangt ausdrücklich, dass Hochrisiko-Systeme so gestaltet sind, dass sie von natürlichen Personen wirksam beaufsichtigt werden können [Art. 14 Abs. 1 KI-VO, ErwGr. 73]. Konkret: Kein KI-Befund ohne ärztliche Validierung. Die KI ist ein Hilfsmittel, keine Entscheidungsinstanz.
3. Grundrechts-Folgenabschätzung (Art. 27 KI-VO)
Betreiber von Hochrisiko-Systemen, die öffentliche Stellen sind oder „Dienste von öffentlichem Interesse" erbringen, müssen vor dem Einsatz eine Grundrechts-Folgenabschätzung durchführen [Art. 27 Abs. 1 KI-VO]. Für Praxen im kassenärztlichen Bereich kann dies relevant sein.
4. Protokollierung und Aufbewahrung (Art. 26 Abs. 5 KI-VO)
Automatisch generierte Protokolle (Logs) von Hochrisiko-Systemen müssen mindestens sechs Monate aufbewahrt werden [Art. 26 Abs. 5 KI-VO]. Bei medizinischen Systemen empfiehlt sich eine Aufbewahrung analog zur Patientenakte (10 Jahre nach § 630f BGB).
5. Transparenz gegenüber Patienten (Art. 50 KI-VO)
Patienten müssen darüber informiert werden, wenn sie einem KI-System ausgesetzt sind [Art. 50 KI-VO]. Das gilt insbesondere für Emotionserkennung oder biometrische Kategorisierung -- in der Praxis z. B. bei KI-gestützter Hautkrebs-Erkennung per Foto.
Sonderfall: ChatGPT und LLMs in der Arztpraxis
Immer mehr Ärztinnen und Ärzte nutzen ChatGPT für die Formulierung von Arztbriefen, Patienteninformationen oder medizinische Recherche. Hier gelten besondere Vorsichtsmaßnahmen:
- Niemals Patientendaten eingeben: Name, Geburtsdatum, Diagnose, Befund -- nichts davon gehört in ein öffentliches LLM. Das ist ein schwerer DSGVO-Verstoß [Art. 9, Art. 5 Abs. 1 lit. f DSGVO].
- Anonymisierte oder fiktive Daten nutzen: Formulieren Sie den Prompt ohne identifizierbare Patientendaten.
- Ergebnis immer ärztlich prüfen: LLMs halluzinieren -- bei medizinischen Inhalten kann das lebensgefährlich sein. Die ärztliche Sorgfaltspflicht (§ 630a BGB) bleibt vollständig bestehen.
- Dokumentation: Halten Sie fest, welche Texte KI-unterstützt erstellt wurden [Art. 4 KI-VO].
Checkliste: KI-Compliance für Arztpraxen und MVZ
- KI-Inventar erstellen: Alle KI-Systeme in der Praxis erfassen -- inklusive Software in Medizingeräten, PVS-Modulen und Kommunikationstools.
- Risikoklassifizierung durchführen: Für jedes System prüfen: Ist es ein Medizinprodukt? Fällt es unter Anhang III Nr. 5? Hat der Anbieter eine KI-VO-Konformitätserklärung?
- Anbieter-Compliance prüfen: Fordern Sie von jedem Anbieter medizinischer KI schriftlich die KI-VO-Konformität und die MDR-CE-Kennzeichnung ein.
- DSGVO-KI-Schnittstellenprüfung: Für jedes KI-System: Welche Patientendaten werden verarbeitet? Liegt eine DSFA vor? Besteht ein AVV mit dem Anbieter?
- Schulungen durchführen und dokumentieren: Ärzte, MFA, Verwaltung -- jeder, der KI nutzt, wird geschult [Art. 4 KI-VO]. Dokumentation mit Datum, Inhalten, Teilnehmern.
- Menschliche Aufsicht formalisieren: Festlegen und dokumentieren: Welcher Arzt validiert welche KI-Ergebnisse? Wie wird bei Unstimmigkeiten verfahren?
- Grundrechts-Folgenabschätzung erstellen: Für Hochrisiko-Systeme verpflichtend [Art. 27 KI-VO] -- parallel zur DSFA durchführen.
- Patienten informieren: Datenschutzerklärung um KI-Hinweis ergänzen. Bei direkter KI-Interaktion: Patienteninformation bereitstellen.
KI-Compliance für medizinische Einrichtungen
Das KI-Compliance-Kit enthält Risikoanalyse-Vorlagen, Schulungsnachweise, DSFA-Templates und Checklisten -- branchenübergreifend einsetzbar und optimiert für die Anforderungen deutscher KMU und Praxen.
Zum Compliance Kit (ab 149 €)Fazit: Medizinische KI braucht besondere Sorgfalt
Die Medizin ist der Bereich, in dem die KI-Verordnung ihre volle Wirkung entfaltet. Das ist berechtigt: Fehlentscheidungen einer Diagnostik-KI können Menschenleben kosten. Für Arztpraxen und MVZ bedeutet das eine dreifache Compliance-Verantwortung -- KI-VO, DSGVO und MDR.
Die gute Nachricht: Viel Compliance-Arbeit liegt beim Anbieter der KI-Software (Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung). Ihre Rolle als Betreiber konzentriert sich auf:
- Prüfen, ob Ihr Anbieter compliant ist
- Schulen, damit Ihr Team die KI kompetent nutzt
- Aufsicht sicherstellen -- kein KI-Ergebnis ohne ärztliche Kontrolle
- Dokumentieren, was Sie einsetzen und wie Sie es überwachen
Handeln Sie jetzt: Die KI-Kompetenzpflicht nach Art. 4 gilt bereits seit Februar 2025. Auch die Hochrisiko-Pflichten gelten laut KI-VO ab August 2026 — der geplante Digital Omnibus (Verschiebung auf Dezember 2027) ist vorerst gescheitert. Nutzen Sie die verbleibende Zeit, um Ihre KI-Prozesse strukturiert aufzusetzen.
Weiterlesen
Stand: April 2026. Dieser Artikel dient der Information und ersetzt weder eine Rechtsberatung noch eine medizinische Fachberatung. Für verbindliche Auskünfte zu Ihrer konkreten Situation konsultieren Sie einen auf KI-Regulierung spezialisierten Rechtsanwalt, Ihre KV oder die zuständige Aufsichtsbehörde.