KI in der Apotheke: EU AI Act, Betreiberpflichten & § 203 StGB

Kurzantwort

Sobald eine Apotheke KI einsetzt, wird sie Betreiber im Sinne des EU AI Act. Das betrifft den Interaktionscheck und die Bestellvorschläge in der Warenwirtschaft, die AMTS-Software, den Beratungs-Chatbot und die ersten Telepharmazie-Formate.

Die Pflicht zur KI-Kompetenz nach Art. 4 gilt seit Februar 2025 für alle, die mit den Systemen arbeiten. Über allem liegt die Schweigepflicht nach § 203 StGB, die den Apotheker und das gesamte Team erfasst.

Wegen des Fremdbesitzverbots ist der approbierte Inhaber zugleich Entscheider und persönlich haftender Betreiber. Ein generisches KI-Seminar bildet diese Lage nicht ab.

Für die Hygiene gibt es einen Plan, für den Datenschutz eine Beauftragte und für die Betäubungsmittel ein Buch. Für die KI, die in der Apotheke längst mitläuft, gibt es bislang oft das Bauchgefühl. Das hat selten mit Nachlässigkeit zu tun und viel mit Tempo, denn die meisten KI-Funktionen kamen leise mit einem Software-Update, ohne dass jemand einen Antrag gestellt hätte.

Dieser Beitrag ordnet ein, wo KI in der Apotheke konkret sitzt, wann ein System Medizinprodukt ist, was die Schweigepflicht für den KI-Einsatz bedeutet und welche Schritte einen prüfungsfesten Stand schaffen. Die kompakte Übersicht für Inhaber steht auf der Seite KI-Compliance für Apotheken.

Wo die KI in der Apotheke sitzt

Anders als in der Arztpraxis, wo KI meist über das Praxisverwaltungssystem kommt, hat die Apotheke ihre eigenen Einfallstore. Drei sind im Alltag am wichtigsten.

Warenwirtschaft

KI-gestützte Bestellvorschläge, Retax-Prüfung und der Interaktionscheck kommen aus dem Warenwirtschaftssystem, oft mit dem Update. Genau hier beginnt die Betreiberstellung, ohne dass jemand bewusst ein KI-System eingeführt hat.

AMTS und Medikationsanalyse

Software für die individualisierte Prüfung auf Wechselwirkungen und Kontraindikationen ist als Entscheidungsunterstützung häufig Medizinprodukt der Klasse IIa. Setzt sie lernende KI ein, kann zusätzlich die Hochrisiko-Einstufung greifen.

Beratungs-Chatbot

Der Chatbot auf der Website oder im Botendienst-Prozess darf Routineauskünfte geben, nicht aber pharmazeutisch beraten. Nach Art. 50 AI Act muss erkennbar sein, dass eine KI antwortet.

Jedes dieser Systeme erzeugt Betreiberpflichten. Wer nicht weiß, welche Module KI nutzen, kann die Pflichten nicht erfüllen, und das ist der häufigste Ausgangspunkt: Die KI ist da, nur niemand hat sie als KI eingeordnet.

Medizinprodukt oder nicht, das entscheidet die Pflichten

Die wichtigste Weiche ist die Einordnung als Medizinprodukt. Software, die individualisiert auf Wechselwirkungen, Kontraindikationen und Anwendungsbeschränkungen prüft und daraus Hinweise für den konkreten Fall ableitet, ist als klinisches Entscheidungsunterstützungssystem regelmäßig Medizinprodukt der Klasse IIa nach der Medizinprodukteverordnung. Etablierte AMTS-Module sind genau deshalb zertifiziert.

Setzt eine solche Software lernende KI ein, kann zusätzlich die Hochrisiko-Einstufung nach dem AI Act greifen, mit weiteren Betreiberpflichten wie der dokumentierten menschlichen Aufsicht. Ein reiner Bestellmengen-Algorithmus dagegen ist in der Regel kein Medizinprodukt und trägt eine deutlich leichtere Pflichtenlast. Diese Unterscheidung pro System ist die Grundlage für alles Weitere, und sie wird in generischen Schulungen schlicht nicht getroffen.

Die Schweigepflicht liegt über allem

Die Schweigepflicht nach § 203 StGB erfasst den Apotheker und alle berufsmäßig tätigen Gehilfen, vom approbierten Personal über PTA und PKA bis ins Backoffice. Wer Kundendaten in ein Cloud-KI-System gibt, ohne die Offenbarung abzusichern, riskiert eine Verletzung dieser Pflicht. Entscheidend sind die Vertragsgestaltung mit dem Anbieter, der Verarbeitungsort und die Frage, ob überhaupt personenbezogene Gesundheitsdaten in das System gelangen.

Dazu kommt die Apothekenbetriebsordnung und die Aufsicht der Apothekerkammer samt Amtsapotheker. Das ist ein anderer Rahmen als die ärztliche Welt, und ein Praxis- oder Allzweckkonzept bildet ihn nicht ab.

Art. 4 ist eine Dokumentationspflicht, keine Sanktionsdrohung

Die KI-Kompetenzpflicht nach Art. 4 verlangt, dass jede Person, die mit einem KI-System arbeitet, es im Rahmen ihrer Rolle versteht. Sinnvoll gelesen ist das eine Bemühungs- und Dokumentationspflicht: Die Apotheke weist nach, dass sie ihr Team strukturiert geschult und den Stand festgehalten hat. Genau dieser Audit-Trail ist der Wert, nicht die Angst vor einem Bußgeld.

Im Filialverbund mit bis zu vier Betriebsstätten zählt, dass dieser Nachweis einheitlich ist. Bei einer Begehung liegt dann ein konsistenter Stand vor, kein Patchwork aus einzelnen Bescheinigungen zu verschiedenen Zeitpunkten.

Drei Schritte zu einem tragfähigen Stand

Welche Systeme nutzen KI?

Bestandsaufnahme über Offizin, Backoffice und Botendienst. Erst wenn klar ist, welche Module KI einsetzen, lassen sich die Pflichten überhaupt erfüllen.

Medizinprodukt oder nicht?

Die Einordnung jedes Systems entscheidet über die Pflichtenkette. Eine AMTS-Software trägt andere Anforderungen als ein reiner Bestell-Algorithmus.

Schweigepflicht gewahrt?

Wo gelangen Gesundheitsdaten in ein System? § 203 StGB erfasst den Apotheker und alle Gehilfen. Verarbeitungsort und Vertrag mit dem Anbieter sind der Prüfpunkt.

Die gute Nachricht ist, dass dieses Risiko das am leichtesten lösbare in der Apotheke ist. Einmal sauber festhalten, welches System KI nutzt, wer schult und wer beaufsichtigt, einheitlich über alle Betriebsstätten. Danach kann das Team jedes Tool nutzen, das den Tag erleichtert, und der Inhaber weiß, dass es trägt.

Häufige Fragen

Gilt der EU AI Act auch für Apotheken?

Ja. Der EU AI Act gilt für jeden Betreiber eines KI-Systems, ausdrücklich auch für kleine Betriebe wie Apotheken. Sobald die Apotheke ein KI-System einsetzt, greift die Pflicht zur KI-Kompetenz nach Art. 4 der KI-Verordnung für alle Personen, die mit dem System arbeiten. Diese Pflicht ist seit Februar 2025 wirksam und hängt nicht an den verschobenen Hochrisiko-Fristen.

Ist eine AMTS- oder Interaktionscheck-Software ein Medizinprodukt?

Häufig ja. Software, die individualisiert auf Wechselwirkungen, Kontraindikationen und Anwendungsbeschränkungen prüft und daraus Hinweise für den Einzelfall ableitet, ist als klinisches Entscheidungsunterstützungssystem regelmäßig Medizinprodukt der Klasse IIa nach der MDR. Etablierte AMTS-Module sind entsprechend zertifiziert. Nutzt eine solche Software lernende KI, kann zusätzlich die Hochrisiko-Einstufung nach AI Act greifen.

Wer haftet, wenn ein KI-System in der Apotheke einen Fehler macht?

Die fachliche Verantwortung bleibt beim pharmazeutischen Personal. Ein Interaktionshinweis oder eine Chatbot-Auskunft entlastet die Apotheke nicht von der eigenen Prüfung. Der Inhaber trägt zusätzlich die organisatorische Verantwortung dafür, dass das Team geschult und die Aufsicht über die KI dokumentiert ist. Wegen des Fremdbesitzverbots ist der approbierte Inhaber zugleich Entscheider und Haftungsträger.

Was bedeutet § 203 StGB für KI in der Apotheke?

Die Schweigepflicht nach § 203 StGB erfasst den Apotheker und alle berufsmäßig tätigen Gehilfen, also das gesamte Team. Wer Kundendaten in ein Cloud-KI-System gibt, ohne die Offenbarung abzusichern, riskiert eine Verletzung der Schweigepflicht. Entscheidend sind Vertrag, Verarbeitungsort und die Frage, ob überhaupt personenbezogene Gesundheitsdaten in das System gelangen.

Reicht ein allgemeines KI-Seminar als Nachweis?

Für die Apotheke selten. Ein generisches Seminar erzeugt eine Teilnahmebescheinigung, ordnet aber die konkret genutzten Systeme nicht ein und bildet die Betriebsordnung und die Schweigepflicht nicht ab. Der Art.-4-Nachweis trägt erst dann, wenn er den tatsächlichen Einsatzkontext der Apotheke abbildet.

KI in der Apotheke: Was der EU AI Act für Inhaber bedeutet

Auf einen Blick