EU AI Act für Krankenhäuser: Compliance-Leitfaden für KRITIS-Betreiber

Krankenhäuser gehören als Betreiber kritischer Infrastrukturen (KRITIS) zu den Organisationen, die vom EU AI Act besonders betroffen sind. Sie setzen nicht nur einzelne KI-Systeme ein, sondern betreiben oft eine heterogene Landschaft aus dutzenden Systemen verschiedener Hersteller: von der radiologischen Bildanalyse über die Laborautomation bis zur prädiktiven Patientensteuerung. Der EU AI Act bringt für diese Multi-System-Landschaft umfangreiche neue Pflichten mit sich.

Dieser Artikel analysiert die spezifischen Herausforderungen für Krankenhäuser und bietet eine praktische Compliance-Roadmap. Er ergänzt den allgemeinen Überblick zum EU AI Act im Gesundheitswesen um die KRITIS-spezifische Perspektive.

KRITIS-spezifische Herausforderungen

Krankenhäuser ab einer bestimmten Größe (derzeit ab 30.000 vollstationären Fällen pro Jahr) gelten als KRITIS-Betreiber. Das verschärft die Anforderungen des EU AI Act in mehrfacher Hinsicht:

• Betreiberpflichten: Krankenhäuser sind in den meisten Fällen "Betreiber" (Deployer) von KI-Systemen, nicht Anbieter (Provider). Der EU AI Act weist Betreibern von Hochrisiko-KI-Systemen eigene Pflichten zu – insbesondere die Pflicht zur Grundrechte-Folgenabschätzung (Art. 27), die nur für bestimmte Betreiber gilt.
• Verfügbarkeitsanforderungen: Als KRITIS-Betreiber müssen Krankenhäuser die Verfügbarkeit ihrer Systeme sicherstellen. Ein KI-Systemausfall in der Notaufnahme hat andere Konsequenzen als in einem Büroumfeld. Fallback-Prozesse für jeden KI-gestützten klinischen Workflow sind zwingend erforderlich.
• Mehrdimensionale Regulierung: Neben dem EU AI Act gelten gleichzeitig KRITIS-Anforderungen nach BSI-Gesetz, NIS2-Umsetzungsgesetz, Krankenhausstrukturgesetz und landesspezifische Regelungen. Die Compliance-Anforderungen multiplizieren sich.
• Ressourcenbegrenzung: Im Gegensatz zu Technologieunternehmen verfügen Krankenhäuser typischerweise nicht über spezialisierte KI-Compliance-Teams. Die Umsetzung muss mit den vorhandenen Strukturen – IT-Abteilung, Medizintechnik, Qualitätsmanagement – leistbar sein.

Grundrechte-Folgenabschätzung nach Art. 27

Art. 27 EU AI Act verpflichtet bestimmte Betreiber von Hochrisiko-KI-Systemen zur Durchführung einer Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment, FRIA). Krankenhäuser sind als Einrichtungen, die öffentlich zugängliche Dienstleistungen erbringen, von dieser Pflicht betroffen.

Was die FRIA umfassen muss

• Beschreibung der Prozesse: In welchen klinischen Prozessen wird das KI-System eingesetzt? Welche Entscheidungen werden durch das System beeinflusst?
• Betroffene Personengruppen: Welche Patientengruppen sind betroffen? Besondere Aufmerksamkeit gilt vulnerablen Gruppen (Kinder, ältere Menschen, Menschen mit Behinderungen, Schwangere).
• Betroffene Grundrechte: Welche Grundrechte sind potenziell betroffen? Im Krankenhaus typisch: Recht auf Gesundheit, Recht auf Nichtdiskriminierung, Menschenwürde, Datenschutz, Recht auf eine gute Verwaltung.
• Risikominderungsmaßnahmen: Welche Maßnahmen werden ergriffen, um identifizierte Risiken zu minimieren? Human Oversight, Monitoring, Beschwerdemechanismen.
• Überwachungsplan: Wie wird die Einhaltung der Grundrechte laufend überprüft?

Wichtig: Die FRIA ist vor der Inbetriebnahme des KI-Systems durchzuführen und bei wesentlichen Änderungen zu aktualisieren. Sie ist der zuständigen Marktüberwachungsbehörde auf Anfrage zur Verfügung zu stellen.

Praktischer Ansatz für Krankenhäuser

Angesichts der Vielzahl eingesetzter KI-Systeme empfiehlt sich ein risikoorientierter Ansatz: Systeme mit direktem Einfluss auf Behandlungsentscheidungen (z.B. Diagnose-KI, Therapieempfehlungssysteme) erhalten eine vertiefte FRIA. Systeme mit geringerem Grundrechtsrisiko (z.B. Bettenbelegungsoptimierung) können mit einer vereinfachten Bewertung abgedeckt werden.

KI-Kompetenz nach Art. 4: Hunderte Mitarbeiter schulen

Art. 4 EU AI Act verpflichtet Anbieter und Betreiber, sicherzustellen, dass ihr Personal über eine ausreichende KI-Kompetenz ("AI Literacy") verfügt. Für ein Krankenhaus mit hunderten oder tausenden Mitarbeitern, die mit KI-Systemen interagieren, ist das eine erhebliche organisatorische Herausforderung.

Zielgruppenspezifische Schulungskonzepte

Ein einheitliches Schulungsprogramm für alle Mitarbeiter ist weder praktikabel noch sinnvoll. Stattdessen sollten Krankenhäuser ein abgestuftes Konzept entwickeln:

• Basismodul (alle Mitarbeiter): Grundverständnis von KI, Erkennen von KI-generierten Ergebnissen, Grenzen der KI, Meldewege bei Auffälligkeiten. Umfang: ca. 2-4 Stunden, als E-Learning skalierbar.
• Anwendermodul (klinisches Personal): Systemspezifische Schulung für jedes eingesetzte KI-System. Interpretation von KI-Ergebnissen, Umgang mit Unsicherheiten, Dokumentationspflichten, Override-Szenarien. Umfang: je 4-8 Stunden pro System.
• Führungsmodul (Chefärzte, Abteilungsleiter): Fachliche Aufsichtspflichten, Risikobewertung, Eskalationsprozesse, regulatorische Grundlagen. Umfang: 1-2 Tage.
• Expertenmodul (IT, Medizintechnik, QM): Technische Überwachung, Incident Response, Compliance-Monitoring, Zusammenarbeit mit Herstellern. Umfang: 2-3 Tage plus regelmäßige Updates.

Die Schulungspflicht ist keine einmalige Maßnahme: Art. 4 verlangt, dass die KI-Kompetenz "angemessen" ist – das bedeutet regelmäßige Auffrischungen, insbesondere bei neuen Systemen oder aktualisierten Modellen. Dafür braucht es ein strukturiertes KI-Governance-Framework.

Multi-System-Landschaft: Inventarisierung und Klassifizierung

Bevor ein Krankenhaus seine AI-Act-Compliance planen kann, muss es wissen, welche KI-Systeme es überhaupt einsetzt. In der Praxis zeigt sich, dass viele Häuser keinen vollständigen Überblick über ihre KI-Landschaft haben. KI-Funktionalitäten sind oft in größere Softwaresysteme eingebettet – das radiologische PACS, das Laborinformationssystem oder die elektronische Patientenakte können KI-Komponenten enthalten, ohne dass diese explizit als solche beschafft wurden.

Schritt 1: KI-Inventar erstellen

• Systematische Befragung aller Abteilungen und Fachbereiche
• Überprüfung aller Softwareverträge auf KI-Komponenten
• Einbeziehung von Forschungsprojekten und Pilotprogrammen
• Identifikation von "Shadow AI" – KI-Nutzung ohne zentrale IT-Kenntnis

Schritt 2: Risikoklassifizierung

Jedes identifizierte KI-System muss nach dem EU AI Act klassifiziert werden. Für Krankenhäuser sind typischerweise folgende Kategorien relevant:

• Hochrisiko (Anhang III): KI-Systeme, die als Medizinprodukte oder als Sicherheitskomponenten von Medizinprodukten fungieren. Das betrifft den Großteil der klinischen KI-Anwendungen. Weitere Details zur Hochrisiko-Klassifizierung.
• Begrenztes Risiko: KI-Systeme mit Transparenzpflichten, z.B. Chatbots für die Patientenkommunikation.
• Minimales Risiko: KI-Systeme ohne spezifische Anforderungen, z.B. Spam-Filter oder einfache Textvorschläge.

Schritt 3: Pflichten pro System dokumentieren

Für jedes System werden die anwendbaren Betreiberpflichten dokumentiert: Nutzung gemäß Gebrauchsanweisung, Human Oversight sicherstellen, Eingabedaten prüfen, Logs aufbewahren, Betroffene informieren, Grundrechte-Folgenabschätzung (bei Hochrisiko), Meldepflichten bei Vorfällen. Diese Dokumentation bildet die Basis für das KI-Register, das Krankenhäuser aufbauen müssen.

Praktische Compliance-Roadmap für Krankenhäuser

Phase 1: Bestandsaufnahme und Organisation (Q1-Q2)

• KI-Governance-Struktur etablieren: Verantwortlichkeiten definieren, Budget sichern
• KI-Inventar erstellen und Risikoklassifizierung durchführen
• Gap-Analyse: Welche Pflichten gelten bereits, was fehlt?
• Priorisierung: Hochrisiko-Systeme mit dem größten Handlungsbedarf zuerst

Phase 2: Dokumentation und Prozesse (Q2-Q3)

• Grundrechte-Folgenabschätzungen für priorisierte Hochrisiko-Systeme durchführen
• Betriebsanweisungen und Human-Oversight-Prozesse pro KI-System definieren
• Protokollierungs- und Aufbewahrungskonzepte implementieren
• Incident-Response-Prozesse für KI-Vorfälle definieren (in Abstimmung mit CIRS)
• Hersteller einbinden: Welche Informationen und Logs werden vom Hersteller bereitgestellt?

Phase 3: Schulung und Kompetenzaufbau (Q3-Q4)

• Schulungskonzept nach Art. 4 entwickeln und mit der Personalentwicklung abstimmen
• E-Learning-Module für das Basismodul entwickeln oder beschaffen
• Systemspezifische Schulungen für Anwender planen und durchführen
• Führungskräfte-Workshops zur KI-Governance
• Dokumentation der durchgeführten Schulungen (Nachweis der AI Literacy)

Phase 4: Laufender Betrieb und Verbesserung (fortlaufend)

• Regelmäßiges Monitoring der KI-Systeme gemäß Betriebsanweisungen
• Jährliche Überprüfung der Grundrechte-Folgenabschätzungen und der Haftungsrisiken
• Aktualisierung des KI-Inventars bei neuen Systemen oder Updates
• Erfahrungsaustausch mit anderen Krankenhäusern und Fachgesellschaften
• Vorbereitung auf Audits durch Marktüberwachungsbehörden

Fazit: Strukturiert statt überfordert

Der EU AI Act stellt Krankenhäuser vor erhebliche Herausforderungen – aber vor lösbare. Der Schlüssel liegt in einem strukturierten Vorgehen: zuerst verstehen, was man hat (Inventar), dann verstehen, was man muss (Klassifizierung und Pflichten), dann priorisiert umsetzen (Roadmap). Die größte Gefahr besteht nicht in der Komplexität der einzelnen Anforderungen, sondern darin, zu spät anzufangen.

Krankenhäuser, die jetzt eine solide KI-Governance-Struktur aufbauen, schaffen nicht nur Compliance, sondern auch die Grundlage für einen verantwortungsvollen und effektiven KI-Einsatz in der Patientenversorgung.

Häufig gestellte Fragen (FAQ)

Welche besonderen EU-AI-Act-Pflichten gelten für Krankenhäuser als KRITIS-Betreiber?

Krankenhäuser müssen zusätzlich zu den allgemeinen Betreiberpflichten eine Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 durchführen, Verfügbarkeitsanforderungen mit Fallback-Prozessen sicherstellen und die mehrdimensionale Regulierung (BSI-Gesetz, NIS2, Krankenhausstrukturgesetz) parallel erfüllen.

Was ist die Grundrechte-Folgenabschätzung (FRIA) nach Art. 27 EU AI Act?

Die FRIA beschreibt, welche Prozesse und Patientengruppen betroffen sind, welche Grundrechte tangiert werden und welche Risikominderungsmaßnahmen ergriffen werden. Sie muss vor Inbetriebnahme durchgeführt und bei Änderungen aktualisiert werden.

Wie setzt ein Krankenhaus die AI-Literacy-Pflicht nach Art. 4 EU AI Act um?

Empfohlen wird ein abgestuftes Schulungskonzept: Basismodul für alle Mitarbeiter (2–4 Stunden E-Learning), Anwendermodul für klinisches Personal (4–8 Stunden pro KI-System), Führungsmodul für Chefärzte (1–2 Tage) und Expertenmodul für IT/Medizintechnik (2–3 Tage).

Wie erstelle ich ein KI-Inventar für mein Krankenhaus?

Systematische Befragung aller Abteilungen, Überprüfung aller Softwareverträge auf KI-Komponenten, Einbeziehung von Forschungsprojekten und Identifikation von Shadow AI. Anschließend Risikoklassifizierung jedes Systems nach EU AI Act.

Welche Compliance-Roadmap empfiehlt sich für Krankenhäuser beim EU AI Act?

Eine Vier-Phasen-Roadmap: Phase 1 (Q1–Q2) Bestandsaufnahme und KI-Governance-Struktur, Phase 2 (Q2–Q3) FRIA und Prozessdokumentation, Phase 3 (Q3–Q4) Schulung und Kompetenzaufbau, Phase 4 (fortlaufend) Monitoring und jährliche Reviews.