KI-Anbieter Due Diligence für Ärzte

Kurzantwort

"DSGVO-konform" auf der Website ist kein Nachweis. Viele KI-Anbieter im Healthcare-Bereich haben ihre Hausaufgaben zur Compliance nicht vollständig gelöst; die Haftung verbleibt jedoch als Betreiber stets bei Ihnen.

Stellen Sie vor jedem Vertragsabschluss vier kritische Kernfragen zur Datenlokalisierung, zur Haftungsverteilung, zum AI-Act-Sicherheitskonzept und zu den integrierten Prüf-Logs.

Nur so schützen Sie Ihre Praxis vor Bußgeldern und behördlichen Stilllegungen, während Sie gleichzeitig die Plausibilitätsprüfung (Human Oversight) revisionssicher dokumentieren.

Dienstagvormittag. Verkaufsgespräch. Ein junger Mann in Sneakers und Hoodie sitzt Ihnen gegenüber. Sein Laptop glänzt mit Stickern von Tech-Konferenzen, die Sie nicht kennen.

Er zeigt Ihnen eine Demo. Eine KI, die Ihre Anrufe annimmt, Termine vergibt, Rezeptbestellungen entgegennimmt. Alles automatisch. Die Stimme klingt erstaunlich menschlich. Die MFA neben Ihnen sagt: "Das wäre ein Traum."

Sie fragen: "Wo genau liegen die Patientendaten während der Verarbeitung?"

Der junge Mann blinzelt. "Äh... in der Cloud?"

"Welche Cloud? Wo steht der Server?"

"Das muss ich nachschauen. Aber keine Sorge, wir sind voll DSGVO-konform."

Sie nicken höflich. Das Gespräch geht weiter. Zwei Wochen später unterschreiben Sie einen Zweijahresvertrag für 24.000 Euro.

Drei Monate später sitzt ein Brief vom Landesdatenschutzbeauftragten auf Ihrem Schreibtisch. Die gute Nachricht: Das KI-Tool funktioniert technisch einwandfrei. Die schlechte: Sie dürfen es nicht benutzen.

Das ist keine Dystopie. Das ist Alltag.

Die unbequeme Wahrheit über KI-Anbieter im Gesundheitswesen

Hier ist, was Ihnen niemand beim Verkaufsgespräch erzählt:

Die meisten KI-Anbieter, die gerade auf den Healthcare-Markt drängen, sind technisch brillant. Ihre Software funktioniert. Ihre Demos beeindrucken. Ihre Versprechen klingen verlockend.

Aber viele von ihnen haben ihre juristische Hausaufgaben nicht gemacht.

Nicht aus Bosheit. Sondern weil sie aus einer Welt kommen, in der "DSGVO-konform" ein Buzzword auf der Landing Page ist. Kein Konzept. Keine Architektur-Entscheidung. Kein Design-Prinzip.

In anderen Branchen mag das funktionieren. In Healthcare nicht.

Und hier kommt der Punkt, an dem es unangenehm wird: Wenn etwas schiefgeht, haften nicht die. Sie haften.

Warum "DSGVO-konform" auf der Website nichts bedeutet

Sie kennen das vom Autokauf. Verkäufer verspricht: "Unfallfrei, Originalzustand, TÜV-frisch." Dann schauen Sie in die Papiere. Oder lassen es jemanden anschauen, der sich auskennt. Und plötzlich stellt sich heraus: Wurde mal seitlich touchiert, Motor läuft unrund, TÜV läuft in zwei Monaten ab.

Bei Software ist es dasselbe. Nur dass niemand unter die Motorhaube schaut.

"DSGVO-konform" ist das neue "klimaneutral". Jeder schreibt es auf die Website. Die wenigsten können erklären, was das konkret bedeutet. Und noch weniger können es beweisen.

Hier ist, was in vielen Fällen dahintersteckt:

Formale Fassade

Sieht gut aus

Juristischer Text auf der Webseite

Ein Anwalt hat eine ansehnliche Datenschutzerklärung entworfen, die standardmäßig alle gesetzlichen Buzzwords enthält.

✓Standard-AVV liegt als Download bereit
✓Werbeslogan "DSGVO-konform" platziert

Technische Realität

Katastrophe

Intransparente Datenströme

Keine Prüfung der tatsächlichen Schnittstellen, Datenabflüsse in Drittländer (USA/Cloud Act) und ungesicherter Umgang mit Patientendaten.

✗Server-Standorte unklar ("in der Cloud")
✗Fehlende technische Verschlüsselung

Das Problem ist nicht, dass die Anbieter böse sind. Das Problem ist, dass sie nicht aus Healthcare kommen.

In der normalen Tech-Welt ist Datenschutz ein Compliance-Thema. Etwas, das man abhakt, bevor man launcht. In Healthcare ist es Betriebsgrundlage.

Die vier Fragen, die Ihr Anbieter beantworten können muss

Wenn Sie das nächste Mal in einem KI-Verkaufsgespräch sitzen, stellen Sie diese vier Fragen. In dieser Reihenfolge. Und beobachten Sie die Reaktion.

Wo genau liegen meine Patientendaten während der Verarbeitung?

Die Antwort 'in der Cloud' ist keine Antwort. Das ist wie 'irgendwo in Europa'.

!Steht der Server in der EU? (Wenn nicht: Rote Flagge!)
!Welcher Anbieter hostet? AWS, Google Cloud, Microsoft Azure? (Legitim, aber dann brauchen Sie vertragliche Details.)
!Werden Daten in Drittländer übertragen? (USA ist kompliziert. Andere Länder ohne Angemessenheitsbeschluss: Ein absolutes K.o.-Kriterium.)

So klingt eine gute Antwort

"Wir nutzen Server in Frankfurt, gehostet bei [konkreter Anbieter], Daten verlassen nie die EU. Hier ist unser schriftliches Datenschutzkonzept."

Rote Flagge

Wenn Ihr Anbieter nicht in 30 Sekunden erklären kann, wo Ihre Patientendaten landen, ist das Gespräch vorbei.

Wer haftet, wenn Ihre KI einen Fehler macht?

Die unbequeme Wahrheit: Sie. Nicht der Anbieter. Das Landgericht Kiel hat 2024 klargestellt: Wer ein Werkzeug nutzt, haftet für das Ergebnis. Die KI ist rechtlich ein Werkzeug.

!Kann ich jeden Output der KI prüfen, bevor er freigegeben wird? (Wenn nicht: Rote Flagge!)
!Gibt es eine automatisierte 'Auto-Send'-Funktion? (Wenn ja: Noch größere rote Flagge!)
!Kann ich die KI-Entscheidungen nachvollziehen? (Stichwort: Erklärbarkeit, Versionierung).

Haben Sie ein Datenschutzkonzept nach EU AI Act?

Der AI Act gilt. KI im Gesundheitsbereich ist meist als Hochrisiko-Kategorie eingestuft. Das bedeutet: Dokumentationspflichten, Konformitätsbewertungen, menschliche Aufsicht.

!Die Hochrisiko-Pflichten greifen nach dem Digital Omnibus voraussichtlich ab Dezember 2027 (Anhang-III-Systeme) bzw. August 2028 (MDR-Route).
!Wenn Ihr Anbieter jetzt sagt: 'Machen wir bis dahin', übersetzen Sie das mental mit: 'Haben wir noch nicht.'

Wie dokumentiere ich, dass ich die KI-Outputs geprüft habe?

Das ist die wichtigste und am häufigsten übersehene Frage. Im Haftungsfall reicht die Behauptung 'Ich habe es geprüft' nicht aus. Sie müssen es revisionssicher beweisen.

!Gibt es integrierte Audit-Logs, die dokumentieren, wann Sie welche KI-Ausgabe freigegeben haben?
!Kann ich dokumentieren, dass mein Praxisteam im Umgang mit der KI geschult wurde (AI-Literacy-Nachweis)?
!Bietet das System eine Möglichkeit zur Abgrenzung und Dokumentation von KI-Grenzen?

Was die Antworten über Ihren Anbieter verraten

Die meisten KI-Anbieter sind keine Betrüger. Sie sind Optimisten. Sie glauben fest daran, dass ihr Produkt brillant ist. Und oft stimmt das sogar. Technisch.

Aber viele von ihnen haben nie in einer Arztpraxis gearbeitet. Sie wissen nicht, was passiert, wenn der Datenschutzbeauftragte anruft. Deshalb: Stellen Sie die vier Fragen oben. Nicht, weil Sie misstrauisch sein müssen. Sondern weil Sie Ihre Praxis schützen müssen.

Der eigentliche Produktivitätsgewinn

Die KI, die wirklich Zeit spart, ist nicht die mit der beeindruckendsten Demo. Es ist die, bei der Sie nachts ruhig schlafen können. Weil Sie wissen: Die Daten liegen richtig. Die Haftung ist geklärt. Die Dokumentation steht.

Das ist der wahre Produktivitätsgewinn. Nicht zwei Stunden mehr am Tag. Sondern null Stunden vor Gericht.

Fahrplan für Ihre Praxis

1
KI in der Evaluierung
Drucken Sie sich die 4 Fragen aus. Nehmen Sie diese zwingend mit in Ihr nächstes Verkaufsgespräch und verlangen Sie schriftliche Antworten.
2
KI bereits im Einsatz
Stellen Sie diese vier Fragen umgehend Ihrem aktuellen Anbieter. Klären Sie offene Punkte, bevor ein behördlicher Prüfprozess startet.
3
Verbleibende Unsicherheit
Lassen Sie Ihre Verträge und Datenflüsse von Experten prüfen, die sowohl Technik als auch Medizinrecht verstehen. Eine präventive Beratung schützt vor Bußgeldern.

Fazit

KI ist keine Magie. Sie ist Werkzeug. Und wie bei jedem Werkzeug gilt: Wer es nutzt, muss wissen, was es kann. Und was es nicht kann. Und wer haftet, wenn es schiefgeht. Ihr Anbieter verkauft Ihnen das Werkzeug. Aber die Verantwortung verkauft er nicht mit. Die behalten Sie. Also stellen Sie die Fragen. Bevor Sie unterschreiben.

Häufig gestellte Fragen (FAQ)

Welche Fragen sollte ich meinem KI-Anbieter vor Vertragsabschluss stellen?

Vier Kernfragen: Wo genau liegen meine Patientendaten während der Verarbeitung? Wer haftet bei KI-Fehlern? Haben Sie ein Datenschutzkonzept nach EU AI Act? Wie dokumentiere ich, dass ich KI-Outputs geprüft habe? Wenn der Anbieter nicht sofort antworten kann, ist Vorsicht geboten.

Haftet der KI-Anbieter, wenn sein Produkt einen Fehler macht?

Nein, primär haften Sie als Betreiber. Das LG Kiel hat 2024 klargestellt: Wer ein Werkzeug nutzt, haftet für das Ergebnis. Der Hersteller haftet parallel über die Produkthaftung, aber Sie müssen trotzdem das Verfahren durchlaufen.

Was bedeutet es, wenn ein KI-Anbieter „DSGVO-konform" auf seiner Website schreibt?

Oft wenig. In vielen Fällen hat ein Anwalt die Datenschutzerklärung geschrieben, aber niemand hat geprüft, ob die tatsächliche Software macht, was die Erklärung verspricht. Fragen Sie nach konkreten Nachweisen: Serverstandort, Auftragsverarbeitungsverträge, technische Maßnahmen.

Warum ist der Serverstandort bei KI-Tools im Gesundheitswesen so wichtig?

Gesundheitsdaten sind besonders schützenswürdige Daten nach Art. 9 DSGVO. Server außerhalb der EU oder bei US-Anbietern (Cloud Act) stellen ein erhebliches Compliance-Risiko dar. Der Anbieter muss in 30 Sekunden erklären können, wo genau Ihre Patientendaten verarbeitet werden.

Wie kann ich nachweisen, dass ich KI-Outputs geprüft habe?

Sie brauchen Logs, die zeigen, wann Sie welches Dokument freigegeben haben. Zusätzlich müssen Sie nachweisen, dass Ihr Team im Umgang mit der KI geschult wurde und dass Sie die Grenzen der KI kennen. Fragen Sie Ihren Anbieter, ob das System diese Audit-Funktionen bietet.

Ihr KI-Anbieter weiß nicht, ob sein Produkt legal ist. (Und Sie haften trotzdem.)

Auf einen Blick