DUE DILIGENCEJAN 2026

Ihr KI-Anbieter weiß nicht, ob sein Produkt legal ist. (Und Sie haften trotzdem.)

Daniel Kleiboldt — Legal Engineer

Auf einen Blick

  • 01"DSGVO-konform" auf der Website ist kein Compliance-Nachweis
  • 02Sie haften als Betreiber — auch wenn der Anbieter die Fehler macht (LG Kiel 2024)
  • 03Vier Fragen an jeden KI-Anbieter: Serverstandort, Haftung, AI-Act-Konzept, Audit-Logs

Dienstagvormittag. Verkaufsgespräch. Ein junger Mann in Sneakers und Hoodie sitzt Ihnen gegenüber. Sein Laptop glänzt mit Stickern von Tech-Konferenzen, die Sie nicht kennen.

Er zeigt Ihnen eine Demo. Eine KI, die Ihre Anrufe annimmt, Termine vergibt, Rezeptbestellungen entgegennimmt. Alles automatisch. Die Stimme klingt erstaunlich menschlich. Die MFA neben Ihnen sagt: "Das wäre ein Traum."

Sie fragen: "Wo genau liegen die Patientendaten während der Verarbeitung?"

Der junge Mann blinzelt. "Äh... in der Cloud?"

"Welche Cloud? Wo steht der Server?"

"Das muss ich nachschauen. Aber keine Sorge, wir sind voll DSGVO-konform."

Sie nicken höflich. Das Gespräch geht weiter. Zwei Wochen später unterschreiben Sie einen Zweijahresvertrag für 24.000 Euro.

Drei Monate später sitzt ein Brief vom Landesdatenschutzbeauftragten auf Ihrem Schreibtisch. Die gute Nachricht: Das KI-Tool funktioniert technisch einwandfrei. Die schlechte: Sie dürfen es nicht benutzen.

Das ist keine Dystopie. Das ist Alltag.

Die unbequeme Wahrheit über KI-Anbieter im Gesundheitswesen

Hier ist, was Ihnen niemand beim Verkaufsgespräch erzählt:

Die meisten KI-Anbieter, die gerade auf den Healthcare-Markt drängen, sind technisch brillant. Ihre Software funktioniert. Ihre Demos beeindrucken. Ihre Versprechen klingen verlockend.

Aber viele von ihnen haben ihre juristische Hausaufgaben nicht gemacht.

Nicht aus Bosheit. Sondern weil sie aus einer Welt kommen, in der "DSGVO-konform" ein Buzzword auf der Landing Page ist. Kein Konzept. Keine Architektur-Entscheidung. Kein Design-Prinzip.

In anderen Branchen mag das funktionieren. In Healthcare nicht.

Und hier kommt der Punkt, an dem es unangenehm wird: Wenn etwas schiefgeht, haften nicht die. Sie haften.

Warum "DSGVO-konform" auf der Website nichts bedeutet

Sie kennen das vom Autokauf. Verkäufer verspricht: "Unfallfrei, Originalzustand, TÜV-frisch." Dann schauen Sie in die Papiere. Oder lassen es jemanden anschauen, der sich auskennt. Und plötzlich stellt sich heraus: Wurde mal seitlich touchiert, Motor läuft unrund, TÜV läuft in zwei Monaten ab.

Bei Software ist es dasselbe. Nur dass niemand unter die Motorhaube schaut.

"DSGVO-konform" ist das neue "klimaneutral". Jeder schreibt es auf die Website. Die wenigsten können erklären, was das konkret bedeutet. Und noch weniger können es beweisen.

Hier ist, was in vielen Fällen dahintersteckt:

  • Ein Anwalt hat die Datenschutzerklärung geschrieben. (Gut.)
  • Niemand hat geprüft, ob die tatsächliche Software macht, was die Datenschutzerklärung verspricht. (Weniger gut.)
  • Der Server steht irgendwo. Keiner weiß genau wo. Aber "Cloud" klingt modern. (Katastrophe.)

Das Problem ist nicht, dass die Anbieter böse sind. Das Problem ist, dass sie nicht aus Healthcare kommen.

In der normalen Tech-Welt ist Datenschutz ein Compliance-Thema. Etwas, das man abhakt, bevor man launcht. In Healthcare ist es Betriebsgrundlage.

Die vier Fragen, die Ihr Anbieter beantworten können muss

Wenn Sie das nächste Mal in einem KI-Verkaufsgespräch sitzen, stellen Sie diese vier Fragen. In dieser Reihenfolge. Und beobachten Sie die Reaktion.

Frage 1: "Wo genau liegen meine Patientendaten während der Verarbeitung?"

Die Antwort "in der Cloud" ist keine Antwort. Das ist wie "irgendwo in Europa".

Was Sie wissen müssen:

  • Steht der Server in der EU? (Wenn nicht: rote Flagge.)
  • Welcher Anbieter hostet? AWS, Google Cloud, Microsoft Azure? (Legitim, aber dann brauchen Sie Details.)
  • Werden Daten in Drittländer übertragen? (USA ist kompliziert. Andere Länder ohne Angemessenheitsbeschluss: vergessen Sie es.)

Die richtige Antwort klingt so: "Wir nutzen Server in Frankfurt, gehostet bei diesem konkreten Anbieter, Daten verlassen nie die EU. Hier ist unser Datenschutzkonzept."

Wenn Ihr Anbieter nicht in 30 Sekunden erklären kann, wo Ihre Patientendaten landen, ist das Gespräch vorbei.

Frage 2: "Wer haftet, wenn Ihre KI einen Fehler macht?"

Die unbequeme Wahrheit: Sie. Nicht der Anbieter.

Das hat das Landgericht Kiel 2024 sehr klar gesagt: Wer ein Werkzeug nutzt, haftet für das Ergebnis. Die KI ist ein Werkzeug.

Das bedeutet konkret:

  • Kann ich jeden Output der KI prüfen, bevor er rausgeht? (Wenn nicht: rote Flagge.)
  • Gibt es eine "Auto-Send"-Funktion? (Wenn ja: noch größere rote Flagge.)
  • Kann ich nachvollziehen, was die KI gemacht hat? (Audit-Logs, Versionierung, Dokumentation.)

Frage 3: "Haben Sie ein Datenschutzkonzept nach EU AI Act?"

Seit August 2024 gilt der AI Act. KI im Gesundheitsbereich ist Hochrisiko-Kategorie. Das bedeutet: Dokumentationspflichten, Konformitätsbewertungen, menschliche Aufsicht. Ab dem 2. August 2026 wird das voll durchgesetzt.

Wenn Ihr Anbieter jetzt sagt: "Machen wir bis dahin", übersetzen Sie das mental mit: "Haben wir noch nicht."

Frage 4: "Wie dokumentiere ich, dass ich die KI-Outputs geprüft habe?"

Das ist die Frage, die kaum jemand stellt. Aber sie ist die wichtigste. Denn im Haftungsfall reicht es nicht zu sagen: "Ich hab's geprüft." Sie müssen es beweisen.

Das bedeutet:

  • Gibt es Logs, die zeigen, wann ich welches Dokument freigegeben habe?
  • Kann ich nachweisen, dass mein Team im Umgang mit der KI geschult wurde?
  • Kann ich dokumentieren, dass ich die Grenzen der KI kenne?

Was die Antworten über Ihren Anbieter verraten

Die meisten KI-Anbieter sind keine Betrüger. Sie sind Optimisten. Sie glauben fest daran, dass ihr Produkt brillant ist. Und oft stimmt das sogar. Technisch.

Aber viele von ihnen haben nie in einer Arztpraxis gearbeitet. Sie wissen nicht, was passiert, wenn der Datenschutzbeauftragte anruft. Deshalb: Stellen Sie die vier Fragen oben. Nicht, weil Sie misstrauisch sein müssen. Sondern weil Sie Ihre Praxis schützen müssen.

Der eigentliche Produktivitätsgewinn

Die KI, die wirklich Zeit spart, ist nicht die mit der beeindruckendsten Demo. Es ist die, bei der Sie nachts ruhig schlafen können. Weil Sie wissen: Die Daten liegen richtig. Die Haftung ist geklärt. Die Dokumentation steht.

Das ist der wahre Produktivitätsgewinn. Nicht zwei Stunden mehr am Tag. Sondern null Stunden vor Gericht.

Was Sie jetzt tun können

Wenn Sie gerade KI evaluieren: Drucken Sie sich die vier Fragen aus. Nehmen Sie sie mit ins nächste Verkaufsgespräch.

Wenn Sie schon KI nutzen: Stellen Sie die Fragen Ihrem Anbieter. Jetzt. Nicht morgen. Nicht nächsten Monat.

Wenn Sie unsicher sind: Lassen Sie es jemanden anschauen, der beide Seiten versteht. Technik und Recht. Das kostet ein paar Stunden Beratung. Das ist deutlich günstiger als ein Bußgeld.

Fazit

KI ist keine Magie. Sie ist Werkzeug. Und wie bei jedem Werkzeug gilt: Wer es nutzt, muss wissen, was es kann. Und was es nicht kann. Und wer haftet, wenn es schiefgeht. Ihr Anbieter verkauft Ihnen das Werkzeug. Aber die Verantwortung verkauft er nicht mit. Die behalten Sie. Also stellen Sie die Fragen. Bevor Sie unterschreiben.

Häufig gestellte Fragen (FAQ)

Welche Fragen sollte ich meinem KI-Anbieter vor Vertragsabschluss stellen?

Vier Kernfragen: Wo genau liegen meine Patientendaten während der Verarbeitung? Wer haftet bei KI-Fehlern? Haben Sie ein Datenschutzkonzept nach EU AI Act? Wie dokumentiere ich, dass ich KI-Outputs geprüft habe? Wenn der Anbieter nicht sofort antworten kann, ist Vorsicht geboten.

Haftet der KI-Anbieter, wenn sein Produkt einen Fehler macht?

Nein, primär haften Sie als Betreiber. Das LG Kiel hat 2024 klargestellt: Wer ein Werkzeug nutzt, haftet für das Ergebnis. Der Hersteller haftet parallel über die Produkthaftung, aber Sie müssen trotzdem das Verfahren durchlaufen.

Was bedeutet es, wenn ein KI-Anbieter „DSGVO-konform" auf seiner Website schreibt?

Oft wenig. In vielen Fällen hat ein Anwalt die Datenschutzerklärung geschrieben, aber niemand hat geprüft, ob die tatsächliche Software macht, was die Erklärung verspricht. Fragen Sie nach konkreten Nachweisen: Serverstandort, Auftragsverarbeitungsverträge, technische Maßnahmen.

Warum ist der Serverstandort bei KI-Tools im Gesundheitswesen so wichtig?

Gesundheitsdaten sind besonders schützenswürdige Daten nach Art. 9 DSGVO. Server außerhalb der EU oder bei US-Anbietern (Cloud Act) stellen ein erhebliches Compliance-Risiko dar. Der Anbieter muss in 30 Sekunden erklären können, wo genau Ihre Patientendaten verarbeitet werden.

Wie kann ich nachweisen, dass ich KI-Outputs geprüft habe?

Sie brauchen Logs, die zeigen, wann Sie welches Dokument freigegeben haben. Zusätzlich müssen Sie nachweisen, dass Ihr Team im Umgang mit der KI geschult wurde und dass Sie die Grenzen der KI kennen. Fragen Sie Ihren Anbieter, ob das System diese Audit-Funktionen bietet.

Systematisch vorbereitet. In 90 Minuten.

Der KI-Compliance-Kurs für Ärzte und Praxisteams

Betreiberpflichten, KI-Literacy-Nachweis und 3 CME-Punkte — mit Fallbeispielen, Checklisten und konkretem Fahrplan für die Praxis.

Zum KursOder: Erstgespräch buchen →

Weiterlesen

PRAXISSOFTWAREIhre IT hat gestern ein Update installiert. Heute sind Sie Betreiber eines Hochrisiko-KI-Systems.AI ACTIhr Software-Vertrag läuft bis 2026? Dann haben wir ein Thema.DATENSCHUTZ§ 203 StGB trifft Cloud-KI: Wenn der Arztbrief in ChatGPT zum Straftatbestand wird
Alle ArtikelZum Kurs