MVZFEB 2026

EU AI Act für MVZs: Der Betreiber-Leitfaden für Multi-Standort-Compliance

Daniel Kleiboldt — Legal Engineer

Auf einen Blick

  • 01MVZs sind als Betreiber besonders betroffen: heterogene IT, Multi-Standort, Gesellschafterstruktur
  • 02Ab August 2026 gelten 6 Betreiberpflichten nach Art. 26 EU AI Act — auch für MVZs
  • 03Pragmatischer 90-Tage-Plan: Inventur → Risikobewertung → Governance-Struktur → Dokumentation

Dienstagmorgen. Gesellschafterversammlung. Tagesordnungspunkt 7: "Sachstand KI-Regulierung".

Der geschäftsführende Gesellschafter eines MVZ mit vier Standorten und 23 angestellten Ärzten bekommt eine einfache Frage gestellt: "Wie ist unser KI-Compliance-Status mit Blick auf den EU AI Act?"

Stille.

Nicht weil er inkompetent wäre. Sondern weil die Frage in einem MVZ-Kontext zehnmal komplizierter ist als in einer Einzelpraxis. Unterschiedliche Standorte, unterschiedliche Software, unterschiedliche Konfigurationen. Und eine Gesellschafterstruktur, die bei Haftungsfragen zum Minenfeld wird.

Dieser Leitfaden gibt die Antwort, die er in dieser Gesellschafterversammlung gebraucht hätte.

Warum MVZs besonders betroffen sind

Ein Medizinisches Versorgungszentrum ist keine große Praxis. Es ist ein Unternehmen. Mit Geschäftsführung, Gesellschaftern, Standorten und — zunehmend — einer heterogenen IT-Landschaft, die über Jahre gewachsen ist.

Genau das macht MVZs zum perfekten Stresstest für den EU AI Act:

  • Multi-Standort-Problematik: Standort A nutzt ein KI-gestütztes Diktiersystem. Standort B hat ein CDSS (Clinical Decision Support System) im Einsatz. Standort C experimentiert mit ChatGPT für Arztbriefe. Drei Standorte, drei Risikoprofile, drei unterschiedliche Compliance-Anforderungen.
  • Heterogene IT: Verschiedene PVS-Systeme, verschiedene Schnittstellen, verschiedene Versionsstände. Was an einem Standort als Niedrigrisiko-Anwendung läuft, kann an einem anderen Standort — mit anderem Konfigurationsstand — plötzlich als Hochrisiko-System gelten.
  • Gesellschafterstruktur: Wer haftet? Der Geschäftsführer? Die Gesellschafter? Die ärztliche Leitung am jeweiligen Standort? Der EU AI Act kennt klare Betreiberpflichten — aber die interne Zuordnung im MVZ ist alles andere als klar.

Betreiber vs. Anbieter: Wann wird ein MVZ zum Anbieter?

Der EU AI Act unterscheidet fundamental zwischen Anbieter (Provider) und Betreiber (Deployer). Die meisten MVZs gehen davon aus, dass sie Betreiber sind. Sie kaufen Software, setzen sie ein, fertig.

Das stimmt. Meistens. Aber nicht immer.

Gemäß Art. 25 EU AI Act wird ein Betreiber zum Anbieter, wenn er:

  • Ein KI-System unter seinem eigenen Namen oder seiner eigenen Marke auf den Markt bringt
  • Die Zweckbestimmung eines bereits auf dem Markt befindlichen Hochrisiko-KI-Systems wesentlich ändert
  • Eine wesentliche Änderung am KI-System vornimmt

Für MVZs ist besonders der zweite und dritte Punkt kritisch. Beispiele aus der Praxis:

  • Custom-Konfiguration: Ihr Radiologie-Standort trainiert ein vorhandenes KI-Modell mit eigenen Datensätzen nach (Fine-Tuning). Das kann als "wesentliche Änderung" gewertet werden. Plötzlich sind Sie Anbieter — mit allen Pflichten: CE-Kennzeichnung, Konformitätsbewertung, technische Dokumentation.
  • Eigene KI-Pipelines: Ihr IT-Team baut eine Automatisierung, die mehrere KI-Modelle verkettet — etwa ein Sprachmodell für Arztbriefe, kombiniert mit einem Klassifikationsmodell für Diagnosecodes. Diese Pipeline ist ein neues KI-System. Und Sie sind der Anbieter.
  • Zweckentfremdung: Sie nutzen ein als Diktiersystem zugelassenes KI-Tool, um damit klinische Zusammenfassungen zu erstellen, die in die Therapieentscheidung einfließen. Die Zweckbestimmung hat sich geändert. Sie tragen die Anbieterverantwortung.

Die Konsequenz ist gravierend: Anbieterpflichten sind um ein Vielfaches umfangreicher als Betreiberpflichten. Risk Management, Datenqualitätsanforderungen, technische Dokumentation, Post-Market-Monitoring. Für ein MVZ ohne dedizierte Compliance-Abteilung ist das kaum leistbar.

Die 6 Betreiberpflichten ab August 2026

Für MVZs, die im Regelfall Betreiber bleiben, definiert Art. 26 EU AI Act sechs zentrale Pflichten. Jede einzelne hat MVZ-spezifische Implikationen:

1. Technische und organisatorische Maßnahmen (Art. 26 Abs. 1)

Sie müssen sicherstellen, dass das KI-System gemäß der beigefügten Gebrauchsanweisung verwendet wird. Klingt trivial. Bedeutet aber: Jeder Standort muss die gleiche Version, die gleiche Konfiguration und die gleiche Schulung haben. Abweichungen sind Compliance-Verstöße.

2. Menschliche Aufsicht (Art. 26 Abs. 2)

Sie müssen Personen benennen, die die menschliche Aufsicht über das KI-System ausüben. Diese Personen müssen kompetent, geschult und befugt sein. Im MVZ: Wer ist das? Der ärztliche Leiter am Standort? Der Geschäftsführer? Ein externer KI-Beauftragter? Die Entscheidung müssen Sie treffen und dokumentieren.

3. Eingabedatenqualität (Art. 26 Abs. 4)

Wenn Sie Kontrolle über die Eingabedaten haben — und das haben Sie bei medizinischen KI-Systemen fast immer —, müssen Sie sicherstellen, dass die Eingabedaten dem Verwendungszweck entsprechen und hinreichend repräsentativ sind. Bei einem MVZ mit mehreren Fachrichtungen und Standorten eine echte Herausforderung.

4. Monitoring und Meldepflichten (Art. 26 Abs. 5)

Sie müssen das KI-System überwachen und bei Fehlfunktionen den Anbieter und die zuständige Behörde informieren. Das setzt voraus: Logging, Protokollierung, Auswertung. An jedem Standort. Für jedes System. Haben Sie die Infrastruktur dafür?

5. Aufbewahrung der Protokolle (Art. 26 Abs. 6)

Automatisch erzeugte Protokolle des KI-Systems müssen mindestens sechs Monate aufbewahrt werden. Bei medizinischen Anwendungen können längere Fristen gelten. Storage, Datenschutz, Zugriffsrechte — alles muss geregelt sein.

6. Datenschutz-Folgenabschätzung (Art. 26 Abs. 9)

Vor dem Einsatz eines Hochrisiko-KI-Systems müssen Sie eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchführen. Und hier wird es für MVZs besonders komplex: Eine DSFA pro System reicht möglicherweise nicht. Wenn sich die Einsatzbedingungen an verschiedenen Standorten unterscheiden, brauchen Sie eine DSFA pro Standort pro System.

MVZ-spezifische Risiken: Was in der Praxis schiefgeht

Aus unserer Beratungserfahrung kennen wir die typischen Stolperfallen, die speziell MVZs betreffen:

  • Standortübergreifende Versionsunterschiede: Standort A hat das letzte Update eingespielt, Standort B nicht. Die KI verhält sich unterschiedlich. Der Betreiber haftet für beide Versionen — aber die Dokumentation passt nur zu einer.
  • Shadow IT: Ein Arzt an Standort C nutzt ChatGPT auf seinem privaten Smartphone für Arztbriefe. Niemand weiß davon. Das MVZ haftet trotzdem — als Betreiber im weiteren Sinne und als Arbeitgeber. Wir beleuchten die strafrechtliche Dimension in unserem Beitrag zu § 203 StGB und Cloud-KI.
  • Fehlende zentrale KI-Governance: Jeder Standort entscheidet selbst, welche KI eingesetzt wird. Es gibt kein zentrales Register, keine einheitlichen Freigabeprozesse, keine übergreifende Risikobewertung.
  • Unklare Haftungsverteilung: Der Gesellschaftsvertrag schweigt zur KI-Compliance. Im Schadensfall streiten Geschäftsführer und Gesellschafter über die Verantwortung.

Haftungsverteilung: GF vs. Gesellschafter vs. Anbieter

Die Haftungsfrage in einem MVZ ist vielschichtig. Grundsätzlich gilt wie auch in unserem Beitrag zur KI-Haftung im Gesundheitswesen dargestellt:

  • Der Geschäftsführer haftet für die ordnungsgemäße Organisation des Unternehmens. Dazu gehört die Einhaltung regulatorischer Pflichten. Wenn der GF kein KI-Compliance-System etabliert hat, haftet er persönlich — auch gegenüber den Gesellschaftern (Innenhaftung).
  • Die Gesellschafter haften im Regelfall nicht operativ. Aber: Wenn die Gesellschafterversammlung bewusst entscheidet, kein Budget für KI-Compliance bereitzustellen, und daraus ein Schaden entsteht, kann eine Mitverantwortung konstruiert werden.
  • Die ärztliche Leitung haftet für die klinische Anwendung. Wenn ein KI-System fehlerhaft eingesetzt wird und ein Patient zu Schaden kommt, steht der behandelnde Arzt in der Verantwortung — unabhängig von der regulatorischen Compliance.
  • Der KI-Anbieter haftet für Mängel des Produkts und die Einhaltung der Anbieterpflichten. Aber: Wenn das MVZ das System zweckentfremdet oder falsch konfiguriert, entfällt die Anbieterhaftung.

Die bittere Wahrheit: Im Schadensfall wird jeder auf den anderen zeigen. Wer dann keine Dokumentation hat, verliert.

Pragmatischer 90-Tage-Plan für MVZ-Compliance

Compliance-Projekte in MVZs scheitern oft an zwei Dingen: zu abstrakt und zu teuer. Hier ist ein konkreter Plan, der mit vorhandenen Ressourcen umsetzbar ist:

Tage 1-30: Inventur

  • Erstellen Sie ein zentrales KI-Register: Welche KI-Systeme sind an welchem Standort im Einsatz? Inklusive Shadow IT — fragen Sie aktiv nach ChatGPT, Copilot und Co.
  • Dokumentieren Sie für jedes System: Anbieter, Version, Zweckbestimmung, Risikokategorie nach AI Act, Datenfluss (lokal vs. Cloud), bestehende Verträge.
  • Identifizieren Sie die drei bis fünf kritischsten Systeme (Hochrisiko, Cloud-basiert, patientennah).

Tage 31-60: Risikobewertung und Governance

  • Führen Sie für die kritischen Systeme eine Risikobewertung durch: Ist das System Hochrisiko? Sind wir Betreiber oder (unbeabsichtigt) Anbieter?
  • Erstellen Sie eine KI-Governance-Richtlinie: Wer darf KI-Systeme beschaffen? Wer gibt den Einsatz frei? Wer überwacht?
  • Benennen Sie einen KI-Beauftragten — oder zumindest eine verantwortliche Person pro Standort.
  • Beginnen Sie mit den DSFAs für die kritischsten Systeme.

Tage 61-90: Umsetzung und Dokumentation

  • Stellen Sie die menschliche Aufsicht sicher: Dokumentierte Schulung der aufsichtsführenden Personen.
  • Implementieren Sie Logging und Monitoring für Hochrisiko-Systeme.
  • Standardisieren Sie Versionen und Konfigurationen standortübergreifend.
  • Erstellen Sie eine Eskalationsmatrix: Was passiert, wenn ein KI-System fehlerhaft arbeitet?
  • Passen Sie Arbeitsverträge und Dienstanweisungen an: Klare Regeln zur KI-Nutzung für alle Mitarbeiter.

Checkliste: MVZ AI Act Readiness

Zum Abschluss die verdichtete Checkliste für die nächste Gesellschafterversammlung:

  • KI-Register vorhanden? Zentrales Verzeichnis aller KI-Systeme an allen Standorten, inklusive Risikokategorie und Betreiber-/Anbieterstatus.
  • Betreiber- oder Anbieterstatus geklärt? Für jedes System dokumentiert, ob das MVZ Betreiber oder (durch Konfiguration/Fine-Tuning) zum Anbieter geworden ist.
  • Menschliche Aufsicht geregelt? Benannte, geschulte und befugte Personen für jedes Hochrisiko-System an jedem Standort.
  • DSFAs durchgeführt? Für jedes Hochrisiko-System, ggf. standortspezifisch bei unterschiedlichen Einsatzbedingungen.
  • Logging und Monitoring aktiv? Automatische Protokolle werden erzeugt und mindestens sechs Monate aufbewahrt.
  • KI-Governance-Richtlinie verabschiedet? Beschaffung, Freigabe, Nutzung und Überwachung von KI sind geregelt.
  • Haftungsverteilung dokumentiert? Gesellschaftsvertrag und Geschäftsführervertrag adressieren KI-Compliance-Verantwortung.
  • Mitarbeiter geschult? Alle Ärzte und MFA kennen die Regeln zur KI-Nutzung — insbesondere das Verbot unkontrollierter Cloud-KI-Nutzung.
  • Anbieterverträge geprüft? Verträge enthalten Klauseln zur AI-Act-Konformität, Informationspflichten und Haftungsverteilung.
  • Budget eingeplant? KI-Compliance ist kein einmaliges Projekt, sondern ein laufender Prozess. Personal, Tools und externe Beratung kosten Geld.

Der EU AI Act ist für MVZs keine abstrakte Regulierung. Er trifft die tägliche Praxis: Jedes KI-Tool, jeder Standort, jeder Arzt. Wer jetzt anfängt, hat noch genügend Vorlaufzeit bis August 2026. Wer wartet, wird improvisieren müssen.

Und Improvisation ist das Gegenteil von Compliance.

Häufig gestellte Fragen (FAQ)

Warum sind MVZs vom EU AI Act besonders betroffen?

MVZs haben mehrere Standorte mit unterschiedlicher Software, unterschiedlichen Konfigurationen und heterogener IT. Das führt zu verschiedenen Risikoprofilen und Compliance-Anforderungen, während die Gesellschafterstruktur die Haftungsfrage zusätzlich verkompliziert.

Wann wird ein MVZ vom Betreiber zum Anbieter nach dem EU AI Act?

Ein MVZ wird zum Anbieter, wenn es ein KI-Modell mit eigenen Daten nachtrainiert (Fine-Tuning), eigene KI-Pipelines baut oder ein zugelassenes System zweckentfremdet. Die Anbieterpflichten sind deutlich umfangreicher als Betreiberpflichten.

Wer haftet im MVZ bei KI-Compliance-Verstößen?

Die Haftung verteilt sich auf mehrere Ebenen: Der Geschäftsführer haftet für fehlende Organisation, die ärztliche Leitung für die klinische Anwendung, und Gesellschafter können bei bewusster Budget-Verweigerung mitverantwortlich sein.

Was ist der erste Schritt zur AI-Act-Compliance für ein MVZ?

Erstellen Sie in den ersten 30 Tagen ein zentrales KI-Register aller Systeme an allen Standorten, inklusive Shadow IT wie ChatGPT oder Copilot. Dokumentieren Sie Anbieter, Version, Zweckbestimmung, Risikokategorie und Datenfluss für jedes System.

Braucht ein MVZ eine eigene Datenschutz-Folgenabschätzung pro Standort?

Möglicherweise ja. Wenn sich die Einsatzbedingungen eines Hochrisiko-KI-Systems an verschiedenen Standorten unterscheiden, brauchen Sie eine DSFA pro Standort pro System. Eine einzige DSFA reicht nur, wenn die Bedingungen überall identisch sind.

Systematisch vorbereitet. In 90 Minuten.

Der KI-Compliance-Kurs für Ärzte und Praxisteams

Betreiberpflichten, KI-Literacy-Nachweis und 3 CME-Punkte — mit Fallbeispielen, Checklisten und konkretem Fahrplan für die Praxis.

Zum KursOder: Erstgespräch buchen →

Weiterlesen

PRAXISSOFTWAREIhre IT hat gestern ein Update installiert. Heute sind Sie Betreiber eines Hochrisiko-KI-Systems.DUE DILIGENCEIhr KI-Anbieter weiß nicht, ob sein Produkt legal ist. (Und Sie haften trotzdem.)AI ACTIhr Software-Vertrag läuft bis 2026? Dann haben wir ein Thema.LEITFADENEU AI Act im Gesundheitswesen 2026: Betreiberpflichten, Hochrisiko-Klassifizierung und Stufenplan
Alle ArtikelZum Kurs