Krankenhäuser & Gesundheitsversorgung: AI Act, Data Act & DSGVO-Pflichten
Krankenhäuser & Gesundheitsversorgung sind nach dem AI Act meist BETREIBER hochrisiko-KI (Medizinprodukte-Diagnostik-KI, Patientenüberwachung, Therapie-Unterstützung) und unterliegen Betreiber-Pflichten (Art. 26 — menschliche Aufsicht, Eingabe-Relevanz, Überwachung). Die KI selbst ist hochriskant nach Anhang I AI Act + MDR (Medizinprodukte-VO). Pflichten: Betreiber erfüllt Art. 26, Medizinprodukte-Hersteller erfüllt Art. 8–15. Überlagert: DSGVO (Gesundheitsdaten Art. 9 — besondere Kategorie, DSFA bei hochriskanter Verarbeitung), Berufsrecht (ärztliche Schweigepflicht, ärztliche Verantwortung — KI unterstützt Ärztin/Arzt, entscheidet nicht), SGB V/Versorgungsrecht (Erstattung), Patientenrecht. Aufsichtlich: Datenschutz-Aufsichten (DSK), Ärztekammern, Marktüberwachung. Eine sorgfältige Betreiber-Compliance schützt Patientinnen/Patienten, Ärztinnen/Ärzte und das Krankenhaus.
Steve Baka
Betreiber hochrisiko-KI
Krankenhäuser & Gesundheitsversorgung sind meist BETREIBER hochrisiko-KI — sie verwenden KI-Systeme (Medizinprodukte) unter eigener Aufsicht. Beispiele: KI-gestützte Bildgebung (Tumor-Erkennung), Diagnostik-KI (Hautkrebs-Screening, EKG-Auswertung), Patientenüberwachung (Sturzerkennung, Vitalparameter-Alarme), Therapie-Unterstützung (Dosis-Berechnung), Triage-KI. Die KI ist hochriskant nach Anhang I AI Act + MDR (Medizinprodukte-VO); der Medizinprodukte-Hersteller erfüllt Art. 8–15-Pflichten, das Krankenhaus als Betreiber erfüllt Art. 26-Pflichten. Plus: Personalplanungs-KI (Anhang III Nr. 4 Beschäftigung), Verwaltungs-KI (oft begrenzt/minimal). Eine genaue Klassifizierung je Einsatz ist entscheidend; bei Hochrisiko (medizinischer Zweck) ist die MDR-Schnittstelle kritisch.
Praxis: DSGVO Art. 9 und Berufsrecht
Praktisch: (1) Betreiber-Pflichten Art. 26 — menschliche Aufsicht (ärztliche Letztverantwortung Art. 14 — Ärztin/Arzt prüft, entscheidet, dokumentiert), Eingabe-Relevanz (Patientendaten-Plausibilität), Systemüberwachung (Performance-Tracking); (2) Aufklärung/Beschwerde-Rechte (Art. 86 Erläuterung individueller Outputs); (3) DSGVO — Gesundheitsdaten Art. 9 (besondere Kategorie — Verarbeitung nur unter engen Ausnahmen: ausdrückliche Einwilligung, Gesundheitsfürsorge, öffentliches Interesse), Rechtsgrundlage, DSFA bei hochriskanter Verarbeitung, Informations-/Auskunftspflichten; (4) Berufsrecht — ärztliche Schweigepflicht (§ 203 StGB), ärztliche Verantwortung (BOÄ/MBO), KI als Werkzeug ärztlicher Tätigkeit (unterstützt, entscheidet nicht); (5) SGB V/Versorgungsrecht (Erstattungsfähigkeit KI-gestützter Leistungen); (6) Patientenrecht (Aufklärung, Selbstbestimmung, Behandlungsfehler-Haftung). Aufsichtlich: Datenschutz-Aufsichten (DSK-Mitglieder — Datenschutz im Gesundheitswesen ist streng überwacht), Ärztekammern (Berufsrecht), Marktüberwachung (AI Act/MDR), Medizinischer Dienst (Qualitätssicherung). Eine sorgfältige Betreiber-Compliance schützt Patientinnen/Patienten (Sicherheit, Rechte), Ärztinnen/Ärzte (Verantwortung/Beihilfe) und das Krankenhaus (Haftung/Reputation).
Grenzen: Ärztliche Letztverantwortung und klinische Ethik
Die Grenze der Krankenhaus-KI ist die ärztliche Letztverantwortung: die KI ist Werkzeug ärztlicher Tätigkeit, sie entscheidet nicht autonom. Ärztin/Arzt prüft die KI-Vorschläge kritisch, entscheidet eigenständig, dokumentiert die Entscheidung und begründet sie gegenüber Patientin/Patient. Vollautomatisierte Diagnosen/Therapieentscheidungen ohne menschliche Überprüfung sind unzulässig (Art. 14, § 630e BGB Aufklärung, ärztliches Berufsrecht). Ethik: bei Hochrisiko-Medizin-KI sind Ethikkommissionen (bei Forschung/Pilot), Klinische Ethikkomitees (im Klinikalltag) und Patienteneinbindung etablierte Instrumente. Vulnerable Gruppen (Kinder, Demenz-Patientinnen/Patienten, Notfallpatientinnen/-patienten) brauchen besonderen Schutz. Eine KI, die ärztliche Verantwortung aushöhlt oder Patientenautonomie untergräbt, ist rechtswidrig und ethisch inakzeptabel — Compliance und Ethik sind im Medizin-KI-Bereich untrennbar.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. KI-Politik und Beratung in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Häufige Fragen
Welche Rolle hat das Krankenhaus im AI Act?
Meist BETREIBER hochrisiko-KI (Medizinprodukte). Betreiber-Pflichten nach Art. 26 (menschliche Aufsicht, Eingabe-Relevanz, Überwachung). Hersteller erfüllt Art. 8–15.
Greift DSGVO Art. 9?
Ja stark. Gesundheitsdaten sind besondere Kategorie — Verarbeitung nur unter engen Ausnahmen (Einwilligung, Gesundheitsfürsorge). DSFA bei hochriskanter Verarbeitung. Datenschutz im Gesundheitswesen streng überwacht.
Wer haftet bei KI-Fehlern?
Hersteller (Produkthaftung), Krankenhaus/Betreiber (Behandlungsfehler, Aufklärung), Ärztin/Arzt (ärztliche Verantwortung). KI unterstützt Ärztin/Arzt, entscheidet nicht. Sorgfältige Dokumentation ist Haftschutz.
KI-Compliance für Krankenhäuser & Gesundheitsversorgung?
Wenn du im Sektor Krankenhäuser & Gesundheitsversorgung KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.