Was sind die Betreiberpflichten nach dem EU AI Act?

Art. 26 EU AI Act verpflichtet Betreiber zu: AI Literacy (Art. 4, seit Feb 2025), Human Oversight, Überprüfung der Eingabedaten, kontinuierlichem Monitoring, Protokollierung (min. 6 Monate), Datenschutz-Folgenabschätzung und Patienteninformation. Verstöße können mit bis zu 15 Millionen Euro oder 3% des Jahresumsatzes geahndet werden.

Was passiert berufsrechtlich, wenn ich KI ohne Compliance einsetze?

Die Ärztekammer kann eine Rüge, eine Geldbuße bis 50.000 Euro oder ein berufsgerichtliches Verfahren einleiten. In schweren Fällen droht der Approbationsentzug nach § 5 BÄO und der Entzug der kassenärztlichen Zulassung nach § 95 Abs. 6 SGB V.

Rechtslage ab August 2026

KI-Haftung in der Arztpraxis.

Q: Bin ich als Arzt für KI-Fehler in meiner Praxis haftbar?

Ja. Ärzte, die KI-Systeme einsetzen, werden nach Art. 3 Nr. 4 EU AI Act zum Betreiber — und haften nach § 630a BGB als Vertragspartner des Patienten für KI-bedingte Behandlungsfehler. KI entlastet nicht von der Haftung, sondern schafft neue Sorgfaltspflichten.

Ärzte, die KI-Systeme einsetzen, werden nach Art. 3 Nr. 4 EU AI Act zum Betreiber — und haften nach § 630a BGB als Vertragspartner des Patienten für KI-bedingte Behandlungsfehler. KI entlastet nicht von der Haftung. Sie schafft neue Sorgfaltspflichten.

Die Grundregel

Wer ist Betreiber?

Jede natürliche oder juristische Person, die ein KI-System in eigener Verantwortung einsetzt. Das gilt für die Einzelpraxis, das MVZ und die Klinik — unabhängig davon, ob die Software vom Praxissoftware-Anbieter mitgeliefert wird.

Art. 3 Nr. 4 EU AI Act

Wer haftet?

Der Arzt — als Vertragspartner des Patienten nach § 630a BGB. Haftet der Hersteller parallel (Produkthaftung), entschuldigt das den Betreiber nicht. Beide können gleichzeitig in Anspruch genommen werden.

§ 630a, § 823 BGB / § 630h BGB

Drei Haftungsebenen

Jede Ebene greift unabhängig von den anderen. Ein einziger Fehler kann alle drei gleichzeitig auslösen.

Zivilrecht

Arzthaftung & Schadensersatz

KI ist ein Werkzeug des Arztes. Bei fehlendem Human Oversight gilt dies als grober Behandlungsfehler — mit Beweislastumkehr nach § 630h BGB: Der Arzt muss beweisen, dass der KI-Fehler nicht ursächlich für den Schaden war.

Schwere Schäden6-stellig

Todesfall (grob)7-stellig

Rechtsgrundlage§§ 630a, 630h BGB

Verwaltungsrecht

Bußgelder & Sanktionen

Der EU AI Act ermächtigt Behörden zur direkten Sanktionierung von Betreibern. Zuständig sind das Bundesinstitut für Arzneimittel und Medizinprodukte (bei KI als Medizinprodukt) und die Bundesnetzagentur als Koordinierungsstelle.

Max. Bußgeld15 Mio. € / 3 %

Einzelpraxis (realist.)5-stellig

RechtsgrundlageArt. 99 EU AI Act

Berufsrecht

Approbation & Zulassung

Die häufig unterschätzte Ebene. Die Ärztekammer handelt unabhängig von zivilem Ausgang. Bei systematischem Ignorieren der Sorgfaltspflichten droht der Approbationsentzug — der wirtschaftliche Totalschaden für jede Praxis.

Kammergeldbußebis 50.000 €

MaximumApprobationsentzug

Rechtsgrundlage§ 5 BÄO / § 95 SGB V

Die 7 Betreiberpflichten

Art. 26 EU AI Act definiert sieben konkrete Pflichten für Betreiber von Hochrisiko-KI — abgestuft nach Zeitpunkt des Inkrafttretens.

AI Literacy sicherstellen

Art. 4 EU AI Actseit Feb. 2025

Personal muss Funktionsweise, Grenzen und korrekte Bedienung des KI-Systems verstehen. Schulungen dokumentieren — fehlende Dokumentation verschärft die zivilrechtliche Haftung.

Human Oversight implementieren

Art. 26 Abs. 2ab Aug. 2026

Kompetente Personen mit Befugnis zum Eingreifen benennen. KI-Ausgaben müssen kritisch hinterfragt werden. „Der Algorithmus sagt das“ ist keine zulässige Aufsicht.

Eingabedaten auf Relevanz prüfen

Art. 26 Abs. 4ab Aug. 2026

Sicherstellen, dass das KI-System für die tatsächliche Patientenpopulation geeignet ist. Eine Dermatologie-KI, die nur auf hellhäutigen Patienten trainiert wurde, ist in einem multikulturellen Umfeld nicht zulässig einsetzbar.

Kontinuierliches Monitoring & Meldepflicht

Art. 26 Abs. 5ab Aug. 2026

Abnormale Häufigkeiten (z.B. ungewöhnlich viele Fehlalarme) dokumentieren und melden. Kein passiver Betrieb ohne Qualitätskontrolle.

Protokollierung mindestens 6 Monate

Art. 26 Abs. 6ab Aug. 2026

Nachweis der korrekten Systemfunktion im Haftungsfall. Ohne Logs kein Beweis der ordnungsgemäßen Nutzung — bei Beweislastumkehr nach § 630h BGB ein gravierender Nachteil.

Datenschutz- & Grundrechts-Folgenabschätzung

Art. 35 DSGVO / Art. 27 AI Actab Aug. 2026

DSFA nach Art. 35 DSGVO ist Pflicht für Praxen und MVZs, die Hochrisiko-KI einsetzen. GRFA nach Art. 27 AI Act gilt für Gesundheitsdienstleistungen. Beide Dokumente müssen aktuell gehalten werden.

Patienten & Personal informieren

Art. 26 Abs. 7 / § 630c BGBab Aug. 2026

Beschäftigte zwingend vor dem KI-Einsatz informieren. Patienten bei direkter KI-Interaktion oder wegen des Behandlungsvertrags (§ 630c BGB) konkret und verständlich aufklären.

Was im Ernstfall passiert

Illustratives Fallszenario

Der Radiologe ohne Compliance

KI-Befundungstool im Einsatz. Keine Schulung, keine Datenschutz-Folgenabschätzung, keine Logs, kein dokumentiertes Human-Oversight-Verfahren. Ein Rundherd wird übersehen. Der Patient erleidet bleibende Schäden.

Zivilrecht

Grober Fehler, Beweislastumkehr § 630h BGB

250.000 €

AI Act / Verwaltung

Keine DSFA, keine Schulung, keine Logs, kein Oversight

80.000 €

Berufsrecht

Verstoß gegen Sorgfalts- & Dokumentationspflicht

30.000 €

Anwalts- & Verfahrenskosten

Drei parallele Verfahren

ca. 40.000 €

Strafrecht

Fahrlässige Körperverletzung

Verfahrenslast

Kassenärztliche Vereinigung

Verwarnung, Eskalationspotenzial

offen

Gesamtbilanz: Über 360.000 Euro an Bußgeldern und Schadensersatz — plus Reputationsverlust, Patientenabgang und psychische Belastung durch drei parallele Verfahren. Compliance-Investition vorab: ca. 20.000 Euro.

Wie Sie sich schützen

Der erste Schritt ist eine strukturierte KI-Inventur — bevor August 2026 die Pflichten vollständig in Kraft treten.

KI-Inventur

Alle Systeme auflisten. Beim Anbieter nachfragen: Enthält die Software KI? Ist sie als Medizinprodukt klassifiziert?

DSFA & GRFA durchführen

Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und Grundrechts-Folgenabschätzung (Art. 27 AI Act) erstellen und dokumentieren.

Human Oversight formalisieren

Schriftliche Prozesse: Wer prüft KI-Ausgaben? Wer darf eingreifen? Wie wird die Überprüfung dokumentiert?

Schulungen dokumentieren

Wer hat wann was gelernt. Inhalte: Funktionsweise, Möglichkeiten, Grenzen. Regelmäßig wiederholen.

Logs aktivieren & sichern

Vom Hersteller einfordern. Mindestens 6 Monate aufbewahren. Im Haftungsfall ist das der entscheidende Nachweis.

Verträge mit Anbietern prüfen

Datenlagerung, Haftungsverteilung, Update-Kommunikation klären. Betreiberpflichten lassen sich vertraglich nicht vollständig delegieren.

Was das für Ihre Software bedeutet

Betreiberpflichten sind nicht abstrakt — sie hängen davon ab, welche KI-Module in Ihrer Praxissoftware aktiv sind. Die AGBs der großen Anbieter schieben die Verantwortung systematisch auf Sie.

tomedo

zollsoft GmbH

Hochrisiko

·Sprechstunden-Assistent
·intellimago (Hautkrebserkennung)
·Abrechnungsvorschläge GOÄ/EBM

Betreiberpflichten analysieren →

medatixx

medatixx GmbH & Co. KG

Hochrisiko

·x.scribe (Echtzeit-Transkription)
·medatixx-Copilot
·CDSS (in Entwicklung)

Betreiberpflichten analysieren →

CGM

CompuGroup Medical

Hochrisiko

·DokuAssistent
·Telefonassistent
·CGM Health Assistant

Betreiberpflichten analysieren →

Der erste Schritt

Alle Pflichten verstehen. In 90 Minuten.

Sie kennen jetzt die drei Haftungsebenen und die 7 Betreiberpflichten. Was fehlt: ein systematischer Fahrplan für die Umsetzung in Ihrer Praxis. Genau das liefert der Kurs — mit Fallbeispielen, Checklisten und 3 CME-Punkten.

Für Ärzte und das gesamte Praxisteam. Zertifiziert durch die ÄKWL.

Zum Kurs Oder: Erstgespräch für individuelle Beratung →