KI-Betreiberpflichten: Was Ärzten und MVZ-Betreibern bei Verstößen droht

Die Schonzeit für medizinische KI ist vorbei. Die KI-Literacy-Pflicht (Art. 4) gilt seit Februar 2025. Die strengen Vorgaben für Hochrisiko-Systeme nach Art. 26 rücken näher. Wer die Betreiberpflichten ignoriert, riskiert gleichzeitig Bußgelder, Schadensersatzklagen und berufsrechtliche Konsequenzen.

Montagmorgen, 8:30 Uhr. Sprechstunde.

Ihr KI-gestütztes Diagnosetool analysiert Röntgenbilder seit acht Monaten. Die Ärzte verlassen sich darauf. Es funktioniert einfach.

Dann passiert es: Ein Rundherd wird nicht erkannt. Der Patient klagt. Die Staatsanwaltschaft ermittelt. Die Ärztekammer lädt Sie vor. Und die Marktüberwachungsbehörde will wissen, warum Sie keine Risikoanalyse durchgeführt haben.

Drei Verfahren. Gleichzeitig. Weil Sie ein System einsetzen, das als Hochrisiko-KI gilt. Und weil Sie nicht wussten, dass Sie Betreiber sind.

Was das Gesetz von Ihnen verlangt: Die Betreiberpflichten

Der EU AI Act unterscheidet zwischen Anbietern (Herstellern) und Betreibern (Deployers). Als niedergelassener Arzt oder MVZ-Betreiber, der KI-Systeme in der Patientenversorgung einsetzt, sind Sie Betreiber. Artikel 26 AI Act definiert präzise, was das bedeutet:

KI-Kompetenz fördern und dokumentieren (Art. 4 AI Act)

Diese Pflicht gilt für alle KI-Systeme ohne Ausnahme bereits seit dem 2. Februar 2025. Der Digital Omnibus on AI (Einigung Mai 2026) hat Art. 4 von einer Erfolgs- auf eine Bemühungspflicht umgestellt: Entscheidend ist nicht mehr, ob Ihr Personal nachweislich kompetent ist, sondern ob Sie dokumentierte Schulungsmaßnahmen ergriffen haben. Ihr Personal soll verstehen, wie das System funktioniert, wo seine Grenzen liegen und wie man es korrekt bedient. Für Verstöße gegen Art. 4 allein sieht der AI Act keine direkten Bußgelder vor. Allerdings kann das Fehlen jeder Dokumentation bei behördlichen Prüfungen negativ bewertet werden und zivilrechtliche Haftung begründen.

Human Oversight sicherstellen (Art. 26 Abs. 2 AI Act)

Sie müssen die menschliche Aufsicht natürlichen Personen zuweisen, die über die nötige Kompetenz, Ausbildung und Befugnis verfügen. "Der Algorithmus sagt das" ist keine Aufsicht. Ihre Ärzte müssen KI-Ausgaben kritisch prüfen, einordnen und bei Bedarf eingreifen können.

Eingabedaten auf Relevanz prüfen (Art. 26 Abs. 4 AI Act)

Wenn Ihre dermatologische KI nur auf hellhäutigen Patienten trainiert wurde, Sie aber in einem multikulturellen Umfeld arbeiten, dürfen Sie das System nicht einsetzen.

Kontinuierliche Überwachung und Meldepflicht (Art. 26 Abs. 5 AI Act)

Wenn Ihre Radiologie-KI ungewöhnlich viele Fehlalarme produziert, ist das ein meldepflichtiger Vorfall. Sie müssen dokumentieren, wann Sie es bemerkt haben und was Sie unternommen haben.

Protokollierung mindestens 6 Monate (Art. 26 Abs. 6 AI Act)

Ohne Logs können Sie im Haftungsfall nicht beweisen, dass das System korrekt funktionierte und ein Arzt die Ausgabe geprüft hat.

Datenschutz-Folgenabschätzung und Grundrechte-Folgenabschätzung

Hier greifen zwei Instrumente parallel:

Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist für private Praxen und MVZs, die KI mit Patientendaten einsetzen, zwingend. Der Hersteller kann Informationen liefern, aber die konkrete Folgenabschätzung für Ihren Betrieb müssen Sie durchführen, weil nur Sie wissen, wie das System in Ihrer Organisation eingebunden ist.

Die Grundrechte-Folgenabschätzung (GRFA) nach Art. 27 AI Act verlangt der AI Act von Einrichtungen des öffentlichen Rechts und von privaten Einrichtungen, die öffentliche Dienste erbringen. Das betrifft auch Gesundheitsdienstleister. Eine niedergelassene Praxis oder ein MVZ kann unter diese Kategorie fallen. Die Abgrenzung ist noch nicht abschließend geklärt, aber der Erwägungsgrund 96 des AI Act zählt die Gesundheitsversorgung ausdrücklich als Bereich öffentlicher Dienstleistungen auf. Wenn Sie auf der sicheren Seite sein wollen, führen Sie beide Folgenabschätzungen durch.

Patienten und Personal informieren

Der AI Act fordert Transparenz, differenziert aber klar: Bevor Sie Hochrisiko-KI am Arbeitsplatz einsetzen, müssen Sie zwingend Ihre Beschäftigten darüber informieren (Art. 26 Abs. 7 AI Act). Gegenüber Ihren Patienten fordert der AI Act eine Information primär nur bei direkter KI-Interaktion, etwa bei Symptom-Checkern oder Chatbots (Art. 50). Dennoch kommen Sie um die Patientenaufklärung nicht herum: Spätestens aus dem ärztlichen Behandlungsvertrag (§ 630c BGB) und der DSGVO ergibt sich eine strikte Transparenzpflicht. Ein pauschales "Wir nutzen moderne Technologie" reicht nicht. Sie müssen verständlich erklären, welches System konkret eingesetzt wird und wie es die ärztliche Entscheidung beeinflusst.

Das ist der Pflichtenkatalog. Wer dagegen verstößt, riskiert Konsequenzen auf drei Ebenen gleichzeitig.

Ebene 1: Verwaltungsrechtliche Sanktionen (AI Act & Medizinprodukterecht)

Bußgeldrahmen: Bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes (Art. 99 Abs. 4 AI Act). Der Gesetzgeber hat bewusst auf Bagatellgrenzen verzichtet; auch Einzelpraxen können theoretisch siebenstellige Bußgelder treffen. Allerdings: Für KMU und Startups sieht Art. 99 Abs. 6 eine Begrenzung auf den jeweils niedrigeren Wert (Festbetrag oder Prozentsatz) vor. Bei der Bemessung müssen die Behörden zudem die Umstände des Einzelfalls berücksichtigen (Art. 99 Abs. 7).

Zuständig: Die nationale Marktüberwachung wird durch das KI-Maßnahmen- und Innovationsgesetz (KI-MIG) geregelt, das die Bundesregierung im Februar 2026 beschlossen hat. Für KI, die als Medizinprodukt klassifiziert ist, liegt die Zuständigkeit voraussichtlich beim Bundesinstitut für Arzneimittel und Medizinprodukte und den zuständigen Landesbehörden, während die Bundesnetzagentur als zentrale Koordinierungsstelle wirkt. Die genaue Zuständigkeitsverteilung ist zum Zeitpunkt der Veröffentlichung noch nicht abschließend geklärt.

Abgestufte Sanktionen:

• Verwarnung
• Anordnung konkreter Maßnahmen
• Bußgeld
• Untersagung der KI-Nutzung. Sie müssen Ihre Prozesse sofort zurücksetzen.

Realistische Einschätzung:

• Einzelpraxis: Niedrig fünfstellig bei Verstoß ohne Schulung/DSFA
• MVZ-Verbund: Mittlerer bis hoher fünfstelliger Bereich bei fehlender Compliance-Dokumentation
• Klinik: Sechsstellig bei strukturellem Compliance-Versagen

Ebene 2: Zivilrechtliche Haftung

Arzthaftung (§ 630a BGB)

Die KI is Ihr Werkzeug. Wenn sie versagt und Sie keine Human Oversight sichergestellt haben, haften Sie.

Beweislastumkehr (§ 630h BGB)

Bei grobem Behandlungsfehler müssen Sie beweisen, dass der Fehler nicht kausal war. KI-Einsatz ohne Human Oversight kann ein grober Fehler sein.

Organisationsverschulden

Als MVZ-Betreiber haften Sie für Organisationsmängel. Keine Schulung, keine Logs, keine Qualitätskontrolle; das ist organisatorisches Versagen.

Produkthaftung entlastet Sie nicht

Der Hersteller haftet parallel. Aber Sie durchlaufen das Verfahren trotzdem. Und wenn Sie das System falsch bedient haben, haften nur Sie. Die neue EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853), die bereits im Oktober 2024 verabschiedet wurde und bis Dezember 2026 in nationales Recht umgesetzt werden muss, verschärft die Beweislast zulasten des Betreibers zusätzlich. Die ursprünglich geplante KI-Haftungsrichtlinie wurde von der Kommission im Kontext des Digital Omnibus zurückgezogen; die allgemeinen Haftungsregeln und die neue Produkthaftungsrichtlinie gelten aber weiterhin.

Schadenshöhen:

• Kleinere Schäden: Niedrig bis mittlerer fünfstelliger Bereich
• Schwere Schäden (übersehener Tumor): Sechsstellig
• Todesfall bei grobem Fehler: Siebenstellig

Versicherungsschutz: Lesen Sie Ihre Police. Viele Versicherungen schließen Schäden durch nicht ordnungsgemäß betriebene Software aus.

Ebene 3: Berufsrecht, die unterschätzte Dimension

Das ist der Teil, den die meisten übersehen. Und der existenziell werden kann.

Sorgfaltspflicht (§ 2 Abs. 2 MBO-Ä)

Behandlung nach dem anerkannten Stand der Wissenschaft. Wenn Sie KI einsetzen, ohne zu verstehen, wie sie funktioniert, verstoßen Sie gegen diese Pflicht.

Fortbildungspflicht (§ 4 MBO-Ä)

250 Fortbildungspunkte in fünf Jahren. Umfasst das künftig AI Literacy? Vermutlich ja. Einige Ärztekammern bieten bereits Fortbildungen an.

Dokumentationspflicht (§ 10 MBO-Ä)

Sie müssen dokumentieren: Welches System? Welche Eingaben? Welches Ergebnis? Wie wurde es ärztlich geprüft?

Widerruf der Approbation (§ 5 BÄO)

Bei systematischem, vorsätzlichem Ignorieren grundlegender Sorgfaltspflichten kann die Approbation widerrufen werden. Selten, aber möglich. Und endgültig.

Zulassungsentzug (§ 95 Abs. 6 SGB V)

Der Zulassungsausschuss kann bei gröblicher Pflichtverletzung die Kassenzulassung entziehen. Keine Kassenpatienten mehr. Für die meisten Praxen das wirtschaftliche Aus.

Sanktionen durch die Landesärztekammer (die konkreten Höchstbeträge variieren je nach Landesrecht):

• Rüge (förmliche Missbilligung)
• Verwarnung
• Geldbuße (bis zu 50.000 Euro, je nach Heilberufegesetz des jeweiligen Bundeslandes)
• Berufsgerichtliches Verfahren (öffentlich, Reputationsschaden)

Die Verzahnung: Wenn alles gleichzeitig eskaliert

Szenario: Ein Radiologe setzt ein KI-Befundungstool ohne Schulung, ohne DSFA, ohne Logs ein. Ein Befund wird übersehen. Der Patient erleidet bleibende Schäden.

Die folgenden Zahlen sind illustrativ und sollen die Größenordnungen verdeutlichen. Vergleichbare Fälle existieren in dieser Konstellation noch nicht.

Was folgt:

• Zivilrecht: Schadensersatzklage. Grober Behandlungsfehler. Beweislastumkehr. 250.000 Euro Schmerzensgeld und Schadensersatz.
• AI Act: Bußgeldverfahren. Keine DSFA, keine Schulung, keine Logs, keine Human Oversight. 80.000 Euro Bußgeld. System wird stillgelegt.
• Berufsrecht: Ärztekammer leitet Verfahren ein. Verstoß gegen Sorgfalts- und Dokumentationspflicht. 30.000 Euro Geldbuße. Verpflichtende Fortbildung.
• Strafrecht: Staatsanwaltschaft prüft fahrlässige Körperverletzung. Verfahren wird eingestellt, läuft aber monatelang.
• Vertragsarztrecht: Kassenärztliche Vereinigung prüft. Förmliche Verwarnung. Weiterer Vorfall hat Konsequenzen.

Bilanz:

110.000 Euro Bußgelder. 40.000 Euro Anwaltskosten. Reputationsschaden. Psychische Belastung. Patientenverlust. Hätte er vorher in Compliance investiert, wäre ihm das alles erspart geblieben.

Was jetzt zu tun ist

• Inventur: Listen Sie alle KI-Systeme auf. Fragen Sie Anbieter: Enthält das System KI? Ist es Hochrisiko-KI?
• DSFA und ggf. GRFA durchführen: Die Datenschutz-Folgenabschätzung ist Pflicht. Prüfen Sie zusätzlich, ob Sie als Gesundheitsdienstleister auch eine Grundrechte-Folgenabschätzung nach Art. 27 AI Act durchführen müssen. Dokumentieren. Aktuell halten.
• Human Oversight implementieren: Prozesse einführen, die sicherstellen, dass Ärzte KI-Ausgaben kritisch hinterfragen. Kompetente Personen mit Befugnis zum Eingreifen benennen.
• Personal schulen: Dokumentiert. Regelmäßig. Inhalte: Wie funktioniert das System? Was kann es? Was kann es nicht?
• Logs aktivieren: Fordern Sie das vom Hersteller ein. Etablieren Sie Monitoring.
• Patienten informieren: Verständlich. Kein Juristendeutsch.
• Verträge prüfen: Wo liegen die Daten? Wer haftet? Wie werden Updates kommuniziert?
• Externe Hilfe holen: Wenn nötig. Ein Datenschutzbeauftragter. Ein Legal Engineer. Ein Fachanwalt.
• Digital Omnibus beobachten: Die mögliche Fristverlängerung auf Dezember 2027 ist kein Grund, abzuwarten. Die inhaltlichen Anforderungen bleiben identisch. Wer jetzt anfängt, hat genug Vorlauf, egal welches Datum am Ende gilt.

Fazit

Die Betreiberpflichten des AI Act sind konkret, messbar und durchsetzbar. Behörden werden prüfen. Patienten werden klagen. Kammern werden Verfahren einleiten.

Es geht nicht darum, KI zu vermeiden, sondern darum, sie richtig zu machen. Mit Sorgfalt, Transparenz und mit Respekt vor den Rechten der Patienten. Das ist die Grundlage dafür, dass KI in der Medizin funktioniert. Für alle.

Häufig gestellte Fragen (FAQ)

Welche Betreiberpflichten verlangt the EU AI Act von Ärzten nach Art. 26?

Sieben konkrete Pflichten: Human Oversight sicherstellen, Eingabedaten auf Relevanz prüfen, kontinuierliche Überwachung und Meldepflicht, Protokollierung für mindestens 6 Monate, Datenschutz-Folgenabschätzung, AI Literacy des Personals und Patienteninformation über den KI-Einsatz.

Welche Bußgelder drohen Ärzten bei Verstößen gegen den EU AI Act?

Der Bußgeldrahmen reicht bis 15 Millionen Euro. Realistisch sind für Einzelpraxen niedrig fünfstellige Beträge, für MVZ-Verbünde mittlere bis hohe fünfstellige Beträge und für Kliniken sechsstellige Summen bei strukturellem Compliance-Versagen.

Kann ein Arzt seine Approbation verlieren, wenn er KI ohne Compliance einsetzt?

Ja, in extremen Fällen. Bei systematischem, vorsätzlichem Ignorieren grundlegender Sorgfaltspflichten kann die Approbation nach § 5 BÄO widerrufen werden. Zusätzlich kann der Zulassungsausschuss die Kassenzulassung entziehen, was für die meisten Praxen das wirtschaftliche Aus bedeutet.

Wie wirken verwaltungsrechtliche, zivilrechtliche und berufsrechtliche Konsequenzen bei KI-Verstößen zusammen?

Bei einem KI-Vorfall ohne Compliance können drei Verfahren gleichzeitig laufen: Schadensersatzklage mit Beweislastumkehr, AI-Act-Bußgeldverfahren mit Systemstilllegung und berufsrechtliches Verfahren der Ärztekammer. Die Gesamtkosten können sechsstellig werden.

Was muss ein Arzt konkret tun, um AI-Act-konform zu sein?

Acht Schritte: KI-Inventur durchführen, DSFA erstellen, Human-Oversight-Prozesse implementieren, Personal dokumentiert schulen, Logs beim Hersteller einfordern, Patienten informieren, Verträge prüfen und bei Bedarf externe Hilfe holen. Investitionskosten von ca. 20.000 € verhindern sechsstellige Gesamtrisiken.