Bin ich auch Betreiber, wenn die KI in meiner PVS schon enthalten ist?

Ja. Sobald Sie eine KI-Funktion in Ihrer Praxissoftware aktivieren oder bewusst nutzen, etwa einen ICD-Vorschlag oder ein Ambient-Scribing-Modul, sind Sie Betreiber im Sinne von Art. 3 Nr. 4. Die Anbieterstellung des PVS-Herstellers ändert daran nichts.

Wann werde ich vom Betreiber zum Anbieter?

Nach Art. 25 AI Act in drei Konstellationen. Erstens, wenn Sie ein KI-System unter eigenem Namen oder eigener Marke in Verkehr bringen. Zweitens, wenn Sie die Zweckbestimmung wesentlich ändern. Drittens, wenn Sie das System wesentlich modifizieren, etwa durch Fine-Tuning oder Verkettung mit anderen Systemen.

Welche Pflichten habe ich als Betreiber nach Art. 26?

Sechs Pflichten. Erstens, Einsatz gemäß der Gebrauchsanweisung des Anbieters. Zweitens, menschliche Aufsicht durch geschultes und befugtes Personal. Drittens, Eingabedatenqualität sicherstellen, soweit Sie Kontrolle haben. Viertens, das System überwachen und Vorfälle melden. Fünftens, automatische Protokolle mindestens sechs Monate aufbewahren. Sechstens, vor Einsatz von Hochrisiko-KI eine DSFA durchführen.

Was ist mit Art. 4 KI-Literacy, gilt das nur für Anbieter?

Nein. Art. 4 verpflichtet sowohl Anbieter als auch Betreiber, ein ausreichendes Maß an KI-Kompetenz beim eingesetzten Personal sicherzustellen. Seit dem Digital Omnibus von Mai 2026 ist die Pflicht als Bemühungspflicht ausgestaltet. Entscheidend ist die dokumentierte Durchführung von Schulungsmaßnahmen.

Betreiber (Deployer) nach EU AI Act: Wann eine Arztpraxis zum KI-Betreiber wird

Im EU AI Act die natürliche oder juristische Person, die ein KI-System unter eigener Verantwortung einsetzt — im Gesundheitswesen typischerweise Arztpraxis, MVZ oder Krankenhaus.

Definition

Betreiber, im englischen Originaltext Deployer, ist nach Art. 3 Nr. 4 EU AI Act jede natürliche oder juristische Person, die ein KI-System unter eigener Verantwortung einsetzt. Im Gesundheitswesen sind das typischerweise Arztpraxen, Medizinische Versorgungszentren (MVZ) und Krankenhäuser.

Die Betreiberstellung entsteht kraft Gesetzes mit der ersten Nutzung des KI-Systems im beruflichen Kontext. Sie verlangt weder ein Bekenntnis des Arztes noch einen Vertrag mit dem Anbieter, der die Rolle festschreibt. Wer eine KI-Funktion in der PVS aktiviert, wird in diesem Moment Betreiber.

Abgrenzung zum Anbieter

Anbieter und Betreiber unterscheiden sich nach der Rolle in der Wertschöpfungskette. Der Anbieter entwickelt und bringt das KI-System in Verkehr. Der Betreiber setzt es in seiner eigenen Tätigkeit ein. Beide Rollen haben getrennte Pflichten, die parallel laufen und sich nicht gegenseitig aufheben.

Anbieterpflichten befreien Betreiber nicht. Selbst wenn der PVS-Anbieter die volle MDR- und AI-Act-Konformität nachweist, bleibt die Praxis als Betreiber für den konkreten Einsatz verantwortlich. Sie muss schulen, beaufsichtigen, dokumentieren, melden und Logs aufbewahren.

Aus dem Betreiber wird nach Art. 25 ein Anbieter, wenn drei Voraussetzungen vorliegen. Erstens, Inverkehrbringen unter eigenem Namen. Zweitens, wesentliche Änderung der Zweckbestimmung. Drittens, wesentliche Modifikation des Systems, etwa durch Fine-Tuning oder Verkettung. Die zweite und dritte Konstellation trifft Praxen und MVZ häufiger, als ihnen bewusst ist.

Die sechs Pflichten aus Art. 26

Erstens, Einsatz gemäß Gebrauchsanweisung. Wer ein KI-System abweichend von den Vorgaben des Anbieters verwendet, riskiert nicht nur die Anbieterhaftung nach Art. 25 zu übernehmen, sondern verstößt zusätzlich gegen Art. 26 Abs. 1.

Zweitens, menschliche Aufsicht. Die Aufgabe muss qualifizierten und befugten Personen übertragen werden. Im ärztlichen Kontext typischerweise dem behandelnden Arzt.

Drittens, Eingabedatenqualität, soweit der Betreiber Kontrolle hat. Wer einen KI-Triage-Assistenten einsetzt, muss sicherstellen, dass die übermittelten Anamnesedaten dem trainierten Verwendungszweck entsprechen.

Viertens, Monitoring und Meldepflichten. Schwerwiegende Vorfälle und Fehlfunktionen müssen an den Anbieter und gegebenenfalls die Aufsichtsbehörde gemeldet werden.

Fünftens, Aufbewahrung der automatisch erzeugten Protokolle für mindestens sechs Monate, soweit sie unter Kontrolle des Betreibers stehen. Bei medizinischen Anwendungen können längere Aufbewahrungsfristen aus dem Berufsrecht oder dem Sozialgesetzbuch greifen.

Sechstens, Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vor Einsatz von Hochrisiko-KI. Bei mehreren Standorten kann eine DSFA pro Standort und System nötig sein.

Besonderheiten im MVZ

MVZ bringen drei Besonderheiten in die Betreiberrolle ein. Erstens, mehrere Standorte mit unterschiedlichen Konfigurationen. Die Pflichten gelten für jeden Standort, die DSFA muss die standortspezifischen Risiken abbilden. Zweitens, mehrere KI-Systeme parallel, was ein zentrales KI-Register notwendig macht. Drittens, die Gesellschafterstruktur, die die Haftungsfrage zwischen Geschäftsführung, ärztlicher Leitung und Gesellschaftern verteilt.

Ohne klare interne Zuordnung der Betreiberpflichten zwischen Geschäftsführung und ärztlicher Leitung droht im Schadensfall ein Zuständigkeitsstreit, der die Verteidigung schwächt.

Was Betreiber jetzt schon tun sollten

Drei Schritte sind unmittelbar umsetzbar, unabhängig von der Verschiebung der Hochrisiko-Fristen. Ein zentrales KI-Register, das alle eingesetzten Systeme dokumentiert. Eine dokumentierte AI-Literacy-Schulung des gesamten Personals, die seit Februar 2025 ohnehin Pflicht ist. Und eine Verfahrensbeschreibung der menschlichen Aufsicht für die wichtigsten KI-Anwendungen.

Wer diese drei Punkte hat, ist regulatorisch nicht voll abgedeckt, aber an den drei prüfungsanfälligsten Stellen aufgestellt. Der formelle Hochrisiko-Pflichtenkanon greift dann ab Dezember 2027 nach aktuellem Stand des Digital Omnibus.

Betreiber (Deployer)

Auf einen Blick