KI-Verordnung trifft Gesundheitswirtschaft: Was Krankenhäuser, Ärzte und MedTech-Unternehmen jetzt wissen müssen

Who we areNewsPress & MediaNewslettersNewsletter „Healthcare“Newsletter „Healthcare“ 4/2025

KI-Verordnung trifft Gesundheitswirtschaft

KI-Verordnung trifft Gesundheitswirtschaft: Was Krankenhäuser, Ärzte und MedTech-Unternehmen jetzt wissen müssen

Einführung: Ein neuer Rechtsrahmen für Künstliche Intelligenz im Gesundheitswesen

Am 1. August 2024 ist die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über harmonisierte Vorschriften für Künstliche Intelligenz (auch AI-Act oder KI-Verordnung genannt) in Kraft getreten. Die Verordnung schafft (erstmalig) einen einheitlichen Rechtsrahmen für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen in der Union mit dem Ziel, einen einheitlichen Binnenmarkt für KI-gestützte Waren und Dienstleistungen zu schaffen, Innovationen zu fördern und gleichzeitig ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit und Grundrechte zu gewährleisten.

Für die Gesundheitswirtschaft bedeutet dies einen fundamentalen Wandel: Von KI-gestützten Diagnosesystemen über intelligente Pflegeroboter bis hin zu algorithmischen Entscheidungshilfen in der Patientenversorgung – all diese Anwendungen unterliegen künftig einem strengen europäischen Regelwerk.

Um die Vorgaben der (europäischen) KI-Verordnung umzusetzen, hat die Bundesregierung nunmehr einen Referentenentwurf für ein (nationales) Gesetz zur Durchführung der KI-Verordnung vorgelegt, dessen Artikel 1 das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) bildet.

Hintergrund: Die KI-Verordnung – risikobasierter Ansatz mit besonderer Relevanz für die Gesundheit

Grundprinzipien der Verordnung

Die KI-Verordnung folgt einem risikobasierten Ansatz und enthält insbesondere Verbote bestimmter Praktiken im KI-Bereich, besondere Anforderungen an Hochrisiko-KI-Systeme und Verpflichtungen für Akteure bezüglich solcher Systeme, Transparenzanforderungen für bestimmte KI-Systeme sowie Maßnahmen zur Innovationsförderung mit besonderem Fokus auf kleine und mittlere Unternehmen und Start-ups.

Zu den Zielen gehören die Schaffung eines einheitlichen Binnenmarkts für KI-gestützte Waren und Dienstleistungen, die Förderung von Innovationen und gleichzeitig die Gewährleistung eines hohen Schutzniveaus in Bezug auf Gesundheit, Sicherheit und Grundrechte, einschließlich Demokratie, Rechtsstaatlichkeit und Umweltschutz.

Besondere Relevanz hat die KI-Verordnung für Medizinprodukte mit einer höheren Risikoklasse als Risikoklasse I, da diese automatisch als Hochrisiko-KI-System nach der KI-Verordnung eingestuft werden.

Zeitplan: Gestaffelte Inkrafttretensregelungen

Die Bestimmungen der KI-Verordnung gelten grundsätzlich ab dem 2. August 2026 unmittelbar. Die Vorschriften in Kapitel I und II der KI-Verordnung gelten jedoch bereits ab dem 2. Februar 2025. Für die Umsetzung der KI-Verordnung muss jeder Mitgliedstaat bis zum 2. August 2025 mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde, einschließlich einer Marktüberwachungsbehörde, die als zentrale Anlaufstelle für die KI-Verordnung fungiert, als zuständige nationale Behörden einrichten oder benennen.

Für die Gesundheitswirtschaft bedeutet dies:

  • Seit 2. Februar 2025: Verbotene KI-Praktiken dürfen nicht mehr angewendet werden
  • Bis 2. August 2025: Deutschland muss Aufsichtsbehörden benennen und Sanktionsregeln festlegen
  • Ab 2. August 2026: Vollständige Anwendung aller Anforderungen an Hochrisiko-KI-Systeme

Wesentliche Inhalte des Referentenentwurfs: Die deutsche Umsetzungsarchitektur

Zwar entfaltet die KI-Verordnung in Deutschland unmittelbar Wirkung und bedarf keines weiteren Umsetzungsaktes in Deutschland. Die KI-Verordnung bestimmt aber, dass einige Regelungen auf nationaler Ebene getroffen werden müssen. Mit dem in Rede stehenden Referentenentwurf ist die Bundesregierung dieser Aufgabe nunmehr nachgekommen und trifft Regelungen zu Zuständigkeiten, Bußgeldern und Überwachungspflichten.

Hybride Behördenstruktur statt zentraler KI-Behörde

Die KI-Verordnung ist im Kern eine Produktregulierung und greift mit dem System der nachträglichen Marktüberwachung und der Konformitätsbewertung und Notifizierung auf bereits anderweitig bekannte Regulierungskonzepte aus Marktüberwachungsbehörden, notifizierenden Behörden und notifizierten Stellen zurück. Art. 28 der KI-Verordnung sieht vor: „Jeder Mitgliedstaat sorgt für die Benennung oder Schaffung mindestens einer notifizierenden Behörde, die für die Einrichtung und Durchführung der erforderlichen Verfahren zur Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig ist.“

In § 2 und § 3 des Referentenentwurfs werden einerseits die bereits bestehenden Behörden mit ihrer Expertise als Marktüberwachungsbehörden und notifizierende Behörden gemäß der KI-Verordnung benannt. Andererseits wird mit der Bundesnetzagentur ergänzend eine zentrale Behörde benannt, der über ihre Aufgaben als Marktüberwachungsbehörde und notifizierende Behörde hinaus auch eine Koordinierungs- und Kompetenzfunktion zukommen soll.

Für Medizinprodukte mit KI-Komponenten gilt: § 2 Absatz 2 benennt die zuständigen Marktüberwachungsbehörden für den Anwendungsbereich des Anhang I Abschnitt A der KI-Verordnung. Für Hochrisiko-KI-Systeme und verwandte Produkte, die unter bestimmte EU-Vorschriften fallen, ist die Marktüberwachungsbehörde, die in diesen bestimmten EU-Vorschriften genannt wird, auch für die Überwachung nach der KI-Verordnung zuständig.

Dies bedeutet: Die bereits für Medizinprodukte zuständigen Behörden bleiben auch für KI-basierte Medizinprodukte zuständig – ein wichtiger Aspekt für Kontinuität und Expertise. Für die jeweils durchzuführenden Konformitätsbewertungsverfahren bleibt somit die Zuständigkeit bei einer Behörde.

Bundesnetzagentur als zentrale Koordinierungsstelle

Die Bundesnetzagentur wird im Rahmen der KI-Verordnung künftig eine zentrale Rolle als zuständige Marktüberwachungsbehörde übernehmen und wird als zentrale Anlaufstelle im Sinne von Artikel 70 Absatz 2 Satz 3 der KI-Verordnung benannt. Sie wird hierbei unter anderem für die Einhaltung der Pflichten verantwortlich sein und Meldungen entgegennehmen, sowie diese durchsetzen (z. B. durch Mangelbeseitigungen oder Produktrückrufe).

Koordinierungs- und Kompetenzzentrum KI-VO (KoKIVO)

Um der begrenzten Verfügbarkeit von KI-Fachkräften zu begegnen und Ressourcen und KI-Expertise zu bündeln, wird in § 5 Satz 1 bei der Bundesnetzagentur ein zentrales Koordinierungs- und Kompetenzzentrum („Koordinierungs- und Kompetenzzentrum KI-VO“ – „KoKIVO“) für die KI-Verordnung eingerichtet. Geplant sind hierbei auch Reallabore für Tests unter Realbedingungen.

Aufgaben des KoKIVO mit Relevanz für die Gesundheitswirtschaft

Das KoKIVO unterstützt die Marktüberwachungsbehörden, notifizierenden Behörden und Akkreditierungsstellen bei komplexen Entscheidungen im Rahmen der KI-Verordnung mit Expertise auf Anfrage, wofür es andere betroffene Bundesbehörden in Einzelfällen einbeziehen und externe Expertise konsultieren kann.

Es koordiniert die Zusammenarbeit der zuständigen Behörden und wirkt darauf hin, dass horizontale Rechtsfragen einheitlich beantwortet werden.

Unabhängige KI-Marktüberwachungskammer (UKIM)

Ferner wird bei der Bundesnetzagentur für die Fälle des Artikel 74 Absatz 8 der KI-Verordnung eine Unabhängige KI-Marktüberwachungskammer (UKIM) eingerichtet, die die Marktüberwachung durchführt.

Die UKIM setzt sich zusammen aus dem Präsidenten der Bundesnetzagentur als Vorsitzendem und den beiden Vizepräsidenten der Bundesnetzagentur als sitzende Mitglieder. Die Entscheidungen der UKIM werden mit einfacher Mehrheit der Mitglieder getroffen.

Die UKIM handelt völlig unabhängig. Sie unterliegt weder direktem noch indirektem externen Einfluss und erbittet oder nimmt keine Weisungen entgegen.

Relevanz für Gesundheitswesen: Die UKIM ist zuständig für besonders grundrechtsrelevante KI-Anwendungen, was biometrische Identifizierungssysteme in Krankenhäusern oder KI-Systeme zur Patientenüberwachung betreffen kann.

Zentrale Beschwerdestelle für Bürger und Patienten

Unbeschadet der Vorgaben des Artikels 85 der KI-Verordnung können Beschwerden wegen eines Verstoßes gegen die KI-Verordnung bei der Bundesnetzagentur eingereicht werden. Betrifft die Beschwerde die Zuständigkeit einer nach § 2 Absatz 2 bis 5 zuständigen Behörde, so leitet die Bundesnetzagentur die Beschwerde an diese weiter.

Zur Erfüllung ihrer Aufgaben als zentrale Beschwerdestelle richtet die Bundesnetzagentur ein Beschwerdemanagementsystem ein, das leicht zugänglich, barrierefrei und benutzerfreundlich ist und die Einreichung hinreichend präziser und angemessen begründeter Beschwerden ermöglicht.

Für Patienten bedeutet dies: einen niedrigschwelligen Zugang zur Rechtsdurchsetzung bei Problemen mit KI-Systemen im Gesundheitswesen.

Bußgelder

Die Verhängung von Bußgeldern wird künftig über das Ordnungswidrigkeitengesetz (OwiG) abgewickelt. Hierdurch werden auch die allgemeinen Aufsichtspflichten relevant. Neben den Unternehmensbußgeldern ist es nämlich möglich, dass auch persönliche Bußgelder wegen Aufsichtspflichtverletzungen verhängt werden. Dies ist im Folgenden insbesondere für den Vorstand und die Geschäftsführung relevant.

Auswirkungen auf die Gesundheitswirtschaft: Welche Rollen haben die Beteiligten?

Krankenhäuser und Gesundheitseinrichtungen

Krankenhäuser, die KI-Systeme einsetzen, werden in der Regel als Betreiber im Sinne der KI-Verordnung tätig. Dies betrifft:

  • KI-gestützte Diagnosesysteme (z. B. Bildgebungsanalyse, Pathologie-Auswertung)
  • Intelligente Patientenüberwachungssysteme
  • KI-basierte Entscheidungsunterstützung bei Therapieempfehlungen
  • Biometrische Zugangskontrollsysteme
  • KI-gestützte Pflegedokumentation und -planung

Die Zuständigkeit der Marktüberwachungsbehörden erstreckt sich auf die Aufsicht über verbotene Praktiken im KI-Bereich, die Hochrisiko-KI-Systeme und die Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme.

Besondere Herausforderung: Die Befugnisse der Marktüberwachungsbehörden beschränken sich auf die Überprüfung der sich aus der KI-Verordnung ergebenden Anforderungen und beinhalten nicht die Befugnis, in das behördliche/hoheitliche Handeln der von ihnen beaufsichtigten Akteure einzugreifen. Dies schafft Klarheit über die Abgrenzung zwischen KI-Aufsicht und medizinischer Fachaufsicht.

Niedergelassene Ärzte und Arztpraxen

Auch niedergelassene Ärzte, die KI-Systeme in ihrer Praxis einsetzen, werden als Betreiber tätig. Relevante Anwendungsfälle:

  • KI-gestützte Befundung (z. B. Hautkrebs-Screening-Apps)
  • Digitale Gesundheitsanwendungen (DiGA) mit KI-Komponenten
  • Praxisverwaltungssysteme mit KI-gestützter Terminplanung oder Abrechnungsoptimierung
  • Telemedizinische Anwendungen mit KI-basierter Triage
  • Die Betreiberpflichten sind mit denen der Krankenhäuser gleichzusetzen, weswegen diesbezüglich nach oben verwiesen wird.

Medizintechnik-Hersteller und Digital-Health-Unternehmen

Hersteller von KI-basierten Medizinprodukten sind als Anbieter (vergleichbar dem Hersteller im Sinne des Medizinprodukterechts) im Sinne der KI-Verordnung besonders umfassenden Pflichten unterworfen:

In erster Linie sind sie für die Durchführung der jeweiligen Konformitätsverfahren verantwortlich. Hierzu gehören unter anderem die technische Dokumentation sowie die Etablierung eines Qualitäts- und Risikomanagementsystems nach den jeweils einschlägigen Vorschriften.

Für Medizinprodukte mit KI-Komponenten bleiben die bereits in den Harmonisierungsvorschriften der Union benannten Behörden als notifizierende Behörden zuständig. Bestehende Behördenstrukturen werden genutzt.

Die notifizierenden Behörden sind grundsätzlich für die Einrichtung und Durchführung der erforderlichen Verfahren zur Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig.

§ 5 Medizinprodukte-Durchführungsgesetz bleibt unberührt – dies bedeutet, dass die bestehenden Dokumentationspflichten für Medizinprodukte weiterhin gelten und durch die KI-spezifischen Anforderungen ergänzt werden.

Bei KI-Systemen, die in den Anwendungsbereich der Verordnung (EU) 2024/2847 (Cyberresilienz-Verordnung) fallen und nach Artikel 6 der KI-Verordnung als Hochrisiko-KI-Systeme eingestuft sind, sind die für die Zwecke der KI-Verordnung benannten Marktüberwachungsbehörden auch für die nach der Verordnung (EU) 2024/2847 erforderlichen Marktüberwachungstätigkeiten zuständig. Die Anforderungen an Hochrisiko-KI-Systeme ergeben sich aus den Artikeln 9 bis 15 der KI-Verordnung, einschließlich der Cybersicherheitsanforderungen.

Cybersicherheit ist für medizinische KI-Systeme von höchster Bedeutung, da Sicherheitslücken direkte Auswirkungen auf die Patientensicherheit haben können.

Patienten als Betroffene

Patienten profitieren von mehreren Schutzinstrumenten:

  1. Zentrale Beschwerdestelle bei der Bundesnetzagentur für niedrigschwelligen Zugang
  2. Whistleblower-Schutz: Verstöße gegen Vorschriften der KI-Verordnung werden in das Hinweisgeberschutzgesetz aufgenommen, sodass Mitarbeiter im Gesundheitswesen geschützt Verstöße melden können
  3. Transparenzpflichten für KI-Systeme, die mit Patienten interagieren

Chancen und Herausforderungen für die Gesundheitswirtschaft

Chancen: Innovationsförderung und Rechtssicherheit

KI-Reallabore für medizinische Innovationen

Ein KI-Reallabor ist ein kontrollierter Testrahmen, in dem neue KI-Systeme entwickelt, trainiert, getestet und validiert werden können – und zwar unter realen Bedingungen, aber ohne sofort alle gesetzlichen Vorgaben erfüllen zu müssen. Ziel ist es, Innovation zu fördern, ohne die Sicherheit oder Grundrechte zu gefährden.

Die Bundesnetzagentur errichtet und betreibt mindestens ein KI-Reallabor nach den Artikeln 57 und 58 der KI-Verordnung. Dies lässt die Einrichtung und den Betrieb von KI-Reallaboren durch andere Behörden unberührt.

Die Bundesnetzagentur gewährt kleinen und mittleren Unternehmen und Start-ups, die ihren Sitz oder eine Zweigniederlassung in der Union haben, vorrangigen Zugang zu dem KI-Reallabor.

Für die Gesundheitswirtschaft bedeutet dies:

  • Möglichkeit zur Erprobung innovativer KI-Systeme unter kontrollierten Bedingungen
  • Besonders relevant für Digital-Health-Start-ups und MedTech-KMU
  • Potenzial für spezialisierte Gesundheits-Reallabore (z. B. für KI-gestützte Diagnostik, Therapieplanung)

Tests unter Realbedingungen mit Genehmigungsfiktion

Bevor (zukünftige) Anbieter die in Anhang III der KI-Verordnung genannten Hochrisiko-KI-Systeme selbst oder in Zusammenarbeit mit einem oder mehreren (zukünftigen) Betreibern unter Realbedingungen testen, müssen sie den Plan für den Test unter Realbedingungen bei der zuständigen Marktüberwachungsbehörde vorlegen. Die Bundesnetzagentur genehmigt den Test unter Realbedingungen und den Plan für den Test unter Realbedingungen, wenn die Vorgaben des Artikels 60 Absatz 4 der KI-Verordnung eingehalten sind. Die Genehmigung der Bundesnetzagentur gilt als erteilt, wenn der Anbieter oder zukünftige Anbieter binnen 30 Tagen nach Eingang des Plans gemäß Satz 1 keine Antwort erhalten hat.

Vorteil: Die 30-Tage-Genehmigungsfiktion beschleunigt klinische Studien und Erprobungen von KI-Medizinprodukten erheblich.

Innovationsfördernde Maßnahmen

Die Bundesnetzagentur stellt allgemeine Informationen und Anleitungen zur Anwendung der KI-Verordnung (EU) für die Adressaten der Verordnung, insbesondere für kleinere und mittlere Unternehmen (KMU) sowie Start-ups, bereit. Zur Innovationsförderung führt die Bundesnetzagentur Sensibilisierungs- und Schulungsmaßnahmen betreffend die KI-Verordnung durch.

Für Gesundheitsakteure: Kostenlose Beratung und Schulungen zur Compliance – besonders wertvoll für kleinere Arztpraxen und regionale Kliniken.

Rechtssicherheit durch einheitliche Standards

Die KI-Verordnung fördert das reibungslose Funktionieren des Binnenmarktes, indem sie einen horizontalen Rechtsrahmen für KI-Modelle und -Systeme schafft. Die Etablierung verlässlicher rechtlicher Rahmenbedingungen fördert zudem Innovationen, die es ermöglichen, die Zukunft mit neuen Lösungen nachhaltig zu gestalten.

Herausforderungen: Compliance-Aufwand und Sanktionsrisiken

Hohe Bußgelder und Management-Haftung

Für Unternehmen bedeutet dies: KI-Compliance ist Chefsache. Verstöße können hohe Bußgelder auslösen – bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes (bei leichteren Verstößen bis zu 15 Millionen Euro oder drei Prozent). Und: Unter Umständen droht auch eine persönliche Haftung für das Management, wenn Aufsichtspflichten im Rahmen der Compliance verletzt werden.

Die allgemeinen Aufsichtspflichten von Führungspersonal spielen im OWiG eine praktisch nicht zu unterschätzende Rolle. Fehlt es an einer angemessenen Organisation für die Einhaltung der KI-Verordnung (Use-Case-Inventar, Risikoprozesse, Kontrollen, Dokumentation), drohen neben Unternehmensbußgeldern auch persönliche Verfahren wegen Aufsichtspflichtverletzung.

Für Krankenhausgeschäftsführer und Praxisinhaber bedeutet dies:

  • Persönliche Haftungsrisiken bei unzureichender KI-Governance
  • Notwendigkeit robuster Compliance-Strukturen
  • Dokumentationspflichten auf Vorstandsebene

Vorsatz und Fahrlässigkeit werden gleichermaßen sanktioniert

Artikel 99 Absatz 3 bis 5 der KI-Verordnung erfasst sowohl vorsätzliches als auch fahrlässiges Handeln. Die Verordnung setzt somit voraus, dass auch fahrlässiges Handeln geahndet wird und eine nur fahrlässige Begehungsform lediglich im Rahmen der Zumessung der Geldbuße Berücksichtigung findet.

Praktische Konsequenz: Auch unbeabsichtigte Verstöße durch mangelnde Kenntnis oder unzureichende Prozesse können sanktioniert werden.

Komplexe Zuständigkeitsstrukturen

Neben der Bundesnetzagentur werden in bestimmten Bereichen auch die bereits bestehenden Behörden als Marktüberwachungsbehörden und notifizierende Behörden gemäß der KI-Verordnung benannt. Das betrifft die Bereiche, in denen die in Anhang I Abschnitt A genannten Harmonisierungsrechtsvorschriften der Europäischen Union Anwendung finden, und den Finanzdienstleistungsbereich. Hierdurch entsteht aufgrund der Vielzahl unterschiedlicher Behörden ein sehr hoher Bedarf an KI-Fachkräften.

Herausforderung für Gesundheitsakteure: Navigation durch ein komplexes Behördengeflecht – je nach KI-Anwendung können unterschiedliche Behörden zuständig sein (Medizinproduktebehörden, Datenschutzbehörden, Bundesnetzagentur).

Cybersicherheitsanforderungen

Im Wege der Zusammenarbeit informiert die nach Artikel 52 Absatz 2 der KI-Verordnung benannte Marktüberwachungsbehörde die jeweils nach diesem Gesetz zuständige Marktüberwachungsbehörde über Verdachtsfälle hinsichtlich der fehlenden Einhaltung von Anforderungen an die Cybersicherheit bei Hochrisiko-KI-Systemen.

Für Krankenhäuser: Erhöhte Anforderungen an IT-Sicherheit und Datenschutz bei KI-Systemen, die kritische Gesundheitsdaten verarbeiten oder in die Patientenversorgung eingreifen.

Aufbewahrungspflichten auch bei Insolvenz

Gemäß Artikel 18 Absatz 2 der KI-Verordnung ist eine Regelung zur Aufbewahrung der Dokumentation im Fall des Konkurses oder der Geschäftsaufgabe zu treffen. Im Fall einer Insolvenz geht diese Pflicht gesetzlich auf den Insolvenzverwalter über.

Relevanz: Auch bei Praxisaufgabe oder Klinikschließung müssen KI-Dokumentationen aufbewahrt werden.

Handlungsempfehlungen: Was Gesundheitsakteure jetzt tun sollten

1. Vollständige Bestandsaufnahme aller KI-Systeme

Vollständige Erfassung aller KI-Anwendungen (einschließlich Piloten, Drittanbieter-Tools, Schatten-IT) und Einordnung in die Risikokategorien nach der KI-Verordnung sowie Bestimmung der Rolle des Unternehmens und der zu beachtenden Pflichten.

Konkret für Krankenhäuser:

  • Inventarisierung aller KI-gestützten Systeme (Radiologie, Labor, Pflege, Verwaltung)
  • Prüfung, ob Systeme als Hochrisiko-KI einzustufen sind
  • Klärung der Rolle: Betreiber, Anbieter oder beides?

2. Risikoanalyse und Compliance-Prozesse etablieren

Entwicklung eines Prozesses durch Umsetzung der zu beachtenden Pflichten nach der KI-Verordnung, gegebenenfalls Einbettung in bestehende Prozesse, zum Beispiel im Bereich der Datensicherheit.

Empfehlung:

  • Integration in bestehende Risikomanagement-Systeme (z. B. klinisches Risikomanagement)
  • Verknüpfung mit Datenschutz-Folgenabschätzungen (DSFA)
  • Etablierung von KI-spezifischen Kontrollmechanismen

3. Governance-Struktur auf Leitungsebene schaffen

Rollen und Verantwortlichkeiten im Unternehmen definieren (Vorstand, Use-Case-Owner, IT-Betrieb, Recht, Datenschutzbeauftragter, InfoSec, Compliance), RACI definieren und Eskalationswege festlegen, gegebenenfalls Konzernrichtlinien erstellen und verankern.

Für Krankenhäuser:

  • Benennung eines KI-Verantwortlichen auf Vorstandsebene
  • Einrichtung eines KI-Governance-Gremiums (Geschäftsführung, Ärztliche Direktion, Pflegedirektion, IT, Datenschutz, Recht)
  • Klare Eskalationswege bei KI-Vorfällen

4. Verträge mit Technologieanbietern überprüfen

Vertragliche Absicherung der Compliance, zum Beispiel durch entsprechende Verpflichtung von Lieferanten zur Mitwirkung, Regelung der Nutzung von KI-Tools bei der Erbringung von Dienstleistungen, Ausbau oder Begrenzung von Haftungsregelungen gegenüber Kunden und Lieferanten.

Praxistipp:

  • Sicherstellung, dass Medizintechnik-Lieferanten KI-VO-Konformität garantieren
  • Klärung der Haftungsverteilung bei KI-bedingten Schäden
  • Service-Level-Agreements für KI-Systeme anpassen

5. Schulung und Sensibilisierung des Personals

Die Bundesnetzagentur führt Sensibilisierungs- und Schulungsmaßnahmen für die Anwendung der Verordnung durch.

Empfehlung:

  • Teilnahme an BNetzA-Schulungen
  • Interne Fortbildungen für Ärzte, Pflegekräfte und Verwaltungspersonal
  • Sensibilisierung für Meldepflichten und Beschwerdewege

6. Frühzeitige Kontaktaufnahme mit Behörden

Im Blick behalten, welche nationale Behörde in Deutschland künftig für Ihre KI-Themen zuständig sein wird – z. B. die Bundesnetzagentur oder eine zentrale Beschwerdestelle.

Für Medizinprodukte-Hersteller:

  • Kontakt zu notifizierenden Behörden und Konformitätsbewertungsstellen aufnehmen
  • Klärung der Zertifizierungsanforderungen für KI-Medizinprodukte

Schlussfolgerung und Ausblick

Die KI-Verordnung und das deutsche Durchführungsgesetz markieren einen Paradigmenwechsel für die Gesundheitswirtschaft. Erstmals existiert ein umfassender, verbindlicher Rechtsrahmen für den Einsatz von Künstlicher Intelligenz in der Patientenversorgung.

Zentrale Erkenntnisse

  1. Zeitdruck: Die Durchsetzung der KI-Verordnung in Deutschland wird konkret, und das nun ins Auge gefasste Durchführungsgesetz enthält scharfe Schwerter. Vorstände und Geschäftsführer sollten (spätestens) jetzt ihre Hausaufgaben machen und im Blick haben, dass verbotene Praktiken seit dem 2. Februar 2025 nicht mehr eingesetzt werden dürfen.
  2. Hybride Aufsichtsstruktur: Die Kombination aus bestehenden Fachbehörden (z. B. für Medizinprodukte) und zentraler Koordinierung (Bundesnetzagentur, KoKIVO) soll Expertise und Effizienz verbinden.
  3. Innovationsförderung: Durch KI-Reallabore, Genehmigungsfiktionen und KMU-Förderung will Deutschland den Innovationsstandort stärken – eine Chance für Digital-Health-Unternehmen.
  4. Sanktionsrisiken: Mit Bußgeldern bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes und persönlicher Management-Haftung sind die Konsequenzen bei Verstößen erheblich.
  5. Patientenschutz: Durch zentrale Beschwerdestellen, Whistleblower-Schutz und Transparenzpflichten werden Patientenrechte gestärkt.

Nächste Schritte im Gesetzgebungsprozess

Es ist zu erwarten, dass der Entwurf ohne große Änderungen beschlossen wird. .

Der Referentenentwurf ist ein wichtiger Meilenstein, aber noch keine finale gesetzgeberische Entscheidung. In den kommenden Monaten wird sich zeigen, wie die nationalen Regelungen im Detail ausgestaltet werden – insbesondere hinsichtlich Sanktionen, Behördenstruktur und Übergangsregelungen.

Fazit

Wer dies zeitnah umsetzt, kann dem Durchführungsgesetz, in welcher Form auch immer, gelassen entgegensehen.

Für die Gesundheitswirtschaft gilt: Jetzt handeln, nicht abwarten. Die Kombination aus strengen Anforderungen und umfassenden Unterstützungsangeboten bietet die Chance, KI-Systeme sicher, transparent und innovativ in die Patientenversorgung zu integrieren. Wer frühzeitig in Compliance-Strukturen investiert, schützt nicht nur Patienten und vermeidet Sanktionen, sondern positioniert sich auch als vertrauenswürdiger Akteur in einer zunehmend KI-gestützten Gesundheitsversorgung.

Forvis Mazars Healthcare-Team steht Ihnen für Fragen zur KI-Compliance im Gesundheitswesen gerne zur Verfügung.

Autor*innen: Sebastian Retter, Marina Schulte

Dies ist ein Beitrag aus unserem Healthcare-Newsletter 4-2025. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.

Want to know more?