Innovation trifft Vorschrift: das Abenteuer „Smart Hospital“

Who we areNewsPress & MediaNewslettersNewsletter „Healthcare“Newsletter „Healthcare“ 2/2025

Innovation trifft Vorschrift: „Smart Hospital“

Krankenhäuser stehen vor der Herausforderung, innovative Technologien wie künstliche Intelligenz (KI) einzusetzen und gleichzeitig strengste regulatorische und branchenspezifische Anforderungen zu erfüllen. Dieser Fachbeitrag zeigt Lösungsansätze für Krankenhausmanager*innen, IT-Leiter*innen und Jurist*innen im Gesundheitswesen auf, um den Spagat zwischen Innovationsdrang und Compliance zu bewältigen.

KI-Systeme im Smart Hospital der Zukunft

Die Digitalisierung im Gesundheitswesen schreitet mit rasanten Schritten voran. KI-gestützte Bildanalyse zur Unterstützung der Diagnose, automatisiertes Aufnahme- und Entlassmanagement, intelligente Patientenzimmer mit Sprachassistenten oder ferngesteuerte Robotik für chirurgische Eingriffe – die Einsatzmöglichkeiten von KI-Systemen in einem „Smart Hospital" der Zukunft sind vielfältig und versprechen erhebliche Vorteile.

Die Implementierung solcher Systeme bietet zahlreiche Chancen: präzisere Diagnosen durch Algorithmen, die Muster erkennen können, die dem menschlichen Auge entgehen, Entlastung des ohnehin knappen medizinischen Personals von Dokumentationsaufgaben, nachvollziehbare und transparente Verwaltungsprozesse, mehr Zeit für die direkte Patientenbetreuung und effizienteres Ressourcenmanagement. All diese Faktoren können in ihrer Gesamtheit zu einer Kostenreduzierung bei gleichzeitiger Verbesserung der Patientenversorgung führen.

Doch mit zunehmender Digitalisierung und dem Einsatz von KI-Technologien steigen auch die regulatorischen Anforderungen spürbar an. Die rechtlichen Rahmenbedingungen erstrecken sich über verschiedene Rechtsgebiete – vom Datenschutz über Informationssicherheit und das Medizinprodukterecht bis hin zur Einhaltung der neuen KI-Verordnung der EU. Diese Verordnung stellt einen Meilenstein in der Regulierung von KI-Systemen dar und wird erhebliche Auswirkungen auf den Einsatz von KI im Gesundheitssektor haben.

Für das Krankenhausmanagement und die IT-Verantwortlichen entsteht dadurch eine komplexe Herausforderung: Wie können innovative Technologien wertschöpfend und effektiv umgesetzt werden, ohne dabei die Compliance des Unternehmens zu gefährden? Die Balance zwischen dem Streben nach Innovation und der Einhaltung regulatorischer Vorgaben erfordert ein strategisches Vorgehen und fundiertes Wissen über die rechtlichen Rahmenbedingungen.

Rechtliche Einordnung: Medizinprodukt oder „nur Software"?

202507_Health_Care_NL_Grafiken_Seite_1.jpg

Ein zentrales Thema bei der Digitalisierung der Prozesse im Krankenhaus ist die rechtliche Einordnung der eingesetzten digitalen Werkzeuge. Die entscheidende Frage lautet: Handelt es sich bei der eingesetzten Software um ein Medizinprodukt oder um eine reine Verwaltungssoftware? Diese Unterscheidung hat weitreichende rechtliche Konsequenzen und beeinflusst maßgeblich die Anforderungen an den Betrieb der Prozesse und die Wartung von IT-Systemen.

Für die Einstufung als Medizinprodukt ist die Zweckbestimmung durch den Hersteller ausschlaggebend. Sobald eine Software diagnostische oder therapeutische Zwecke verfolgt, wird sie zur Medical Device Software (MDSW) gemäß der Medizinprodukte-Verordnung (MDR). Das Krankenhaus übernimmt in diesem Fall die Rolle des Betreibers mit allen damit verbundenen Pflichten und Verantwortlichkeiten.

Die Konsequenzen aus dieser Einstufung sind erheblich. Das Krankenhaus muss insbesondere sicherstellen, dass die Software ordnungsgemäß gemäß MDR zertifiziert ist. Zudem müssen umfangreiche Betreiberpflichten erfüllt werden, darunter die fachgerechte Installation, die regelmäßige Wartung und kontinuierliche Überwachung der Software, die adäquate Schulung des Personals, die Durchführung regelmäßiger Sicherheitsüberprüfungen sowie die Einhaltung von Meldepflichten bei auftretenden Zwischenfällen.

Besondere Vorsicht ist geboten, wenn an der Software oder ihrer Zweckbestimmung Änderungen vorgenommen werden. Selbst geringfügige Modifikationen wie beispielsweise die Weiterentwicklung mit hausinternen Patientendaten können dazu führen, dass das Krankenhaus unbeabsichtigt in die Rolle des Herstellers wechselt. Dies zieht umfangreiche zusätzliche Verpflichtungen nach sich, darunter die Notwendigkeit einer CE-Zertifizierung und des Aufbaus spezifischer Risiko- und Qualitätsmanagementsysteme sowie diverse behördliche Meldepflichten.

Spezifische Anforderungen für KI-Systeme

202507_Health_Care_NL_Grafiken_Seite_3.jpg

Enthält die im Krankenhaus eingesetzte Software KI-Komponenten, müssen zusätzliche regulatorische Anforderungen gemäß der EU-KI-Verordnung (KI-VO) beachtet werden. Entscheidend für die Anwendbarkeit dieser Verordnung ist, ob das System Autonomie und Adaptivität bei der Entscheidungsfindung aufweist – Merkmale, die moderne KI-Systeme nicht nur im Gesundheitssektor zunehmend charakterisieren.

Medizinprodukte, die KI-Komponenten enthalten, fallen regelmäßig in den Bereich der Hochrisikosysteme gemäß der KI-VO. Diese Einstufung ist folgerichtig, da fehlerhafte Entscheidungen im medizinischen Kontext schwerwiegende Folgen für Patient*innen haben können. Für solche Hochrisikosysteme ist eine umfassende Konformitätsbewertung und Zertifizierung durch eine „benannte Stelle“ (eine offiziell anerkannte Organisation) obligatorisch, bevor sie in den Verkehr gebracht werden dürfen.

Krankenhäuser, die solche KI-Systeme einsetzen, müssen umfangreiche Betreiberpflichten beachten. Dazu gehören ein verpflichtendes kontinuierliches Monitoring der Systeme im laufenden Betrieb, um mögliche Fehlfunktionen oder Verzerrungen frühzeitig zu erkennen, umfassende Dokumentations- und Aufbewahrungspflichten für alle relevanten Vorgänge und Entscheidungen sowie die Durchführung einer Datenschutz-Folgenabschätzung und einer KI-Auswirkungsanalyse. Diese Maßnahmen dienen dazu, potenzielle Risiken zu identifizieren und zu minimieren.

202507_Health_Care_NL_Grafiken_Seite_3_1.jpg

Für rein administrative KI-Systeme, die weder als Medizinprodukte noch als eigenständige Hochrisiko-KI-Systeme nach Anhang III KI-VO eingestuft sind, gelten hingegen die erleichterten KI-Kompetenz- und Transparenzpflichten. Diese Differenzierung ermöglicht es Krankenhäusern, in administrativen Bereichen wie Terminplanung oder Ressourcenmanagement innovative KI-Lösungen mit geringerem regulatorischen Aufwand einzusetzen.

 

 

 

ISO 42001: strukturiertes KI-Management

202507_Health_Care_NL_Grafiken_Seite_4.jpg

Die Sicherstellung der Compliance mit der neuen KI-Verordnung stellt für Krankenhäuser eine anspruchsvolle Aufgabe dar, die nicht nebenbei erledigt werden kann. Nach der Identifizierung der spezifischen Anforderungen und Pflichten muss ein strukturierter Ansatz entwickelt werden, um deren kontinuierliche Einhaltung zu gewährleisten. Hierbei bietet die internationale Norm ISO 42001:2023 „Artificial Intelligence Management System" einen wertvollen Orientierungsrahmen.

Diese Norm schafft eine für integrierte Managementsysteme praxisbewährte Struktur, die sich in vier zentrale Ebenen gliedert:

  1. Die Governance-Ebene umfasst die strategische Steuerung und die grundlegenden Regelungswerke für den Einsatz von KI-Systemen.
  2. Die Aufbauorganisation definiert klar die Rollen und Verantwortlichkeiten sowie die damit verbundenen Pflichten und Befugnisse innerhalb der Organisation.
  3. Die Ablauforganisation beschreibt detailliert die Prozesse, Verfahren, Aufgaben und standardisierten Abläufe, die für ein effektives KI-Management erforderlich sind.
  4. Die Unterstützungsorganisation stellt schließlich die notwendigen Vorlagen und Werkzeuge bereit, um alle erforderlichen Nachweise nachvollziehbar zu verwalten.

Ein besonderer Vorteil des ISO-42001-basierten Ansatzes liegt in den Synergieeffekten mit anderen Managementsystemen. Integrierte Managementsysteme profitieren voneinander, indem sie ein komplexes, aber effizientes Zusammenspiel zwischen verschiedenen Bereichen wie Qualitäts-, Dokumenten-, Lieferanten-, Risiko-, Informationssicherheits-, Datenschutz- und KI-Management ermöglichen. Diese integrative Herangehensweise vermeidet Doppelstrukturen und reduziert den Gesamtaufwand erheblich.

Für Krankenhäuser, die bereits etablierte Managementsysteme in anderen Bereichen betreiben, ergibt sich ein weiterer Vorteil: Neue, integrierte Managementsysteme können schneller und mit geringerem Ressourceneinsatz eingeführt werden, da viele übergreifende Bestandteile bereits vorhanden sind und für das KI-Management adaptiert werden können. Dies ermöglicht einen effizienten und strukturierten Umgang mit den komplexen Anforderungen der KI-Regulatorik.

Eigenherstellung von Medizinprodukten

Entwicklung ohne CE-KennzeichnungTest mit VersorgungsdatenÜberführung in ein zertifiziertes Produkt
Krankenhäuser dürfen Medizinprodukte eigenständig entwickeln und intern nutzen, ohne ein vollständiges Konformitätsverfahren durchführen zu müssen. Diese Ausnahme bietet wertvolle Flexibilität und verkürzt die Produktentwicklungszyklen, solange keine vergleichbare Lösung auf dem Markt verfügbar ist.Die Eigenherstellung ermöglicht es Kliniken, innovative Software zunächst intern zu entwickeln und im klinischen Alltag anhand realer Versorgungsdaten zu testen und zu optimieren. Dies bietet wertvolle Erkenntnisse unter realistischen Bedingungen.Bei erfolgreicher Validierung kann die intern entwickelte Software in ein zertifiziertes und marktfähiges Medizinprodukt überführt werden. Dies erfordert dann die Erfüllung aller regulatorischen Anforderungen für ein marktzugelassenes Medizinprodukt.

Ein besonders relevanter Aspekt für innovative Krankenhäuser ist die Möglichkeit der Eigenherstellung von Medizinprodukten. Die gesetzlichen Regelungen erlauben es Gesundheitseinrichtungen, unter bestimmten Voraussetzungen Medizinprodukte – darunter auch Software – eigenständig zu entwickeln und intern zu nutzen, ohne das komplexe und zeitaufwendige Konformitätsbewertungsverfahren durchlaufen zu müssen, das normalerweise für eine CE-Kennzeichnung erforderlich wäre.

Diese regulatorische Ausnahme bietet Krankenhäusern wertvolle Flexibilität bei der Entwicklung innovativer Lösungen und verkürzt die Entwicklungszyklen erheblich. Allerdings ist die Eigenherstellung an wichtige Bedingungen geknüpft: Es darf kein vergleichbares Produkt mit gleichem Funktionsumfang und Leistungsprofil auf dem Markt verfügbar sein und die Nutzung muss strikt auf den internen Bereich der Einrichtung beschränkt bleiben. Eine kommerzielle Vermarktung oder Weitergabe an andere Einrichtungen ist ohne reguläre CE-Zertifizierung nicht zulässig.

Der Vorteil dieses Ansatzes liegt auf der Hand: Krankenhäuser können innovative Software zunächst in einem kontrollierten Umfeld entwickeln und im klinischen Alltag anhand realer Versorgungsdaten testen. Diese Möglichkeit ist besonders wertvoll für Einrichtungen mit spezifischen Anforderungen, für die keine standardisierten Lösungen existieren, oder für Universitätskliniken mit Forschungsschwerpunkten in der digitalen Medizin.

Bei erfolgreicher interner Validierung besteht zudem die Option, die entwickelte Software in einem zweiten Schritt in ein vollständig zertifiziertes und marktfähiges Medizinprodukt zu überführen. Dieser Weg ermöglicht es Krankenhäusern, als Innovatoren im Gesundheitssektor zu agieren und gleichzeitig die Patientensicherheit durch die initial interne Nutzung und Erprobung zu gewährleisten. Allerdings müssen auch bei der Eigenherstellung grundlegende Sicherheits- und Leistungsanforderungen beachtet werden und es sind entsprechende Dokumentationen zu führen.

Datenschutz und Informationssicherheit 

Regulatorische KomplexitätPrivacy by Design

Gesundheitsdaten unterliegen höchsten Datenschutzanforderungen. In Deutschland ist das Datenschutzrecht stark föderal geprägt, was zu einer komplexen Rechtslage führt. Neben der EU-Datenschutz-Grundverordnung (DSGVO) gelten je nach Trägerschaft zusätzlich kirchliche, landeskrankenhaus- oder hochschulrechtliche Regelungen.

 

Ein entscheidender Ansatz zur effektiven Umsetzung der Datenschutzanforderungen ist das Prinzip „Privacy by Design". Dieses Konzept sieht vor, dass Datenschutzmaßnahmen bereits bei der Konzeption und Gestaltung digitaler Prozesse und Systeme berücksichtigt werden müssen und nicht erst nachträglich implementiert werden sollten.

In der Praxis führt diese Komplexität häufig zu Unsicherheiten, was viele Krankenhäuser zur Vorsicht und somit zu teils übermäßig zurückhaltenden Entscheidungen veranlasst, wenn es um innovative Nutzungsmöglichkeiten geht. Mit dem Gesundheitsdatennutzungsgesetz (GDNG) wurden jedoch Erleichterungen für Forschungs-, Qualitäts- und Statistikzwecke geschaffen.

 

Technische und organisatorische Maßnahmen (TOM) sollten von Beginn an integraler Bestandteil der IT-Architektur eines Krankenhauses sein. Dadurch wird Datenschutz nicht als hinderliches Element, sondern als eingebauter Schutzmechanismus betrachtet – vergleichbar mit einem Airbag in einem Fahrzeug, der selbstverständlich integriert ist und im Bedarfsfall Schutz bietet.

 

Für Krankenhäuser, die zum KRITIS-Sektor Gesundheit gehören, hat die Deutsche Krankenhausgesellschaft e. V. (DKG) den Branchenspezifischen Sicherheitsstandard (B3S) entwickelt. Dieser bietet eine praxisorientierte Leitlinie zur Umsetzung der gesetzlichen Anforderungen an die IT-Sicherheit in Krankenhäusern. Im Zuge der Umsetzung der EU-NIS2-Richtlinie zur Cybersicherheit von Netz- und Informationssystemen stehen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die DKG derzeit in engem Austausch über notwendige Anpassungen des B3S. Bis zur Prüfung und Eignungsfeststellung für die neue Version des B3S können Krankenhäuser weiterhin die letzte genehmigte Version als Orientierungsrahmen nutzen. Diese enthält bereits die wesentlichen Anforderungen an die Informationssicherheit und bildet somit das Fundament für die technischen und organisatorischen Maßnahmen, die Krankenhäuser implementieren müssen.

Bei der Verarbeitung von Gesundheits- und Sozialdaten in Cloud-Infrastrukturen haben sich die regulatorischen Anforderungen mit dem seit Juli 2024 geltenden § 393 SGB V konkretisiert. Demnach müssen alle Leistungserbringer sicherstellen, dass die datenverarbeitende Stelle über ein aktuelles C5-Testat (Cloud Computing Compliance Criteria Catalogue) des BSI verfügt. Nach Sinn und Zweck der Regelung handelt es sich bei der datenverarbeitenden Stelle um den Cloud-Anbieter, sodass Krankenhäuser, die sich C5-testierter Cloud-Dienste bedienen, auf die Einhaltung der Anforderungen des Auftragsverarbeiters rekurrieren können, sofern die genutzten Services vom Scope des Testats erfasst sind und sämtliche Endnutzerkontrollen beachtet und implementiert wurden. Anders verhält es sich, wenn Krankenhäuser eine eigene Cloud-Infrastruktur betreiben. Dann ist zunächst zu prüfen, ob diese Infrastruktur die Anforderungen an einen Cloud-Computing-Dienst im Sinne des § 384 Nr. 5 SGB V erfüllt; ist dies der Fall, müssen die Krankenhäuser selbst die Vorgaben des C5-Katalogs erfüllen.

Fazit und Handlungsempfehlungen

202507_Health_Care_NL_Grafiken_Seite_5.jpg

Die Transformation zum Smart Hospital erfordert einen ausgewogenen Ansatz, der Innovation ermöglicht und gleichzeitig die umfangreichen regulatorischen Anforderungen erfüllt. Der Schlüssel zum Erfolg liegt in einer strukturierten Herangehensweise, die bei der rechtlichen Einordnung der eingesetzten Technologien beginnt und in ein umfassendes, integriertes Managementsystem mündet.

Die korrekte Klassifizierung der eingesetzten Software als Medizinprodukt, KI-System oder administrative Anwendung bildet das Fundament für alle weiteren Schritte. Nur auf dieser Basis können Krankenhäuser ihre spezifischen Compliance-Pflichten präzise ableiten und zielgerichtet umsetzen. Besondere Aufmerksamkeit verdient dabei der Umgang mit KI-Systemen, deren Regulierung durch die KI-VO der EU neue Anforderungen mit sich bringt.

Die Implementierung integrierter Managementsysteme nach internationalen Standards bietet einen bewährten Rahmen für die systematische Umsetzung der Compliance-Anforderungen. Dabei sollten Krankenhäuser bestehende Systeme für Qualität, Risikomanagement und Dokumentation nutzen und erweitern, um Synergien zu erschließen und Doppelstrukturen zu vermeiden.

Wer frühzeitig auf strukturierte Compliance-Strategien setzt, regulatorische Entwicklungen aktiv verfolgt und die entsprechenden organisatorischen Strukturen schafft, wird langfristig von einer effizienteren Umsetzung neuer Anforderungen profitieren. Dies legt den Grundstein für eine innovative und gleichzeitig rechtssichere digitale Klinik, die sowohl den Patient*innen als auch dem Personal zugutekommt. Die digitale Transformation des Gesundheitswesens ist kein Sprint, sondern ein Marathon – mit der richtigen Vorbereitung und Strategie können Krankenhäuser diesen erfolgreich meistern und die Chancen der Digitalisierung voll ausschöpfen.

Für eine umfassende Beratung und Unterstützung bei der Umsetzung dieser Anforderungen steht Ihnen das Team von Forvis Mazars gerne zur Verfügung. Kontaktieren Sie uns, um Ihre smarte Klinik zukunftssicher zu gestalten.

Autoren: Sebastian Retter, Argyro Tsapakidou und Dr. Roman Krepki

Dies ist ein Beitrag aus unserem Healthcare-Newsletter 2-2025. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.

Want to know more?