Kontakt
CONTACT

KI im Gesundheitswesen: Bewältigung regulatorischer Komplexität

AI in Health Care

Im Juli 2025 veröffentlichte die Europäische Kommission ihren Abschlussbericht Study on the Deployment of AI in Healthcare, eine 241-seitige Analyse darüber, wie KI-Tools in der klinischen Praxis eingesetzt werden (oder eben nicht). Wie der Bericht betont, stehen moderne Gesundheitssysteme unter akutem Druck, etwa durch alternde Bevölkerungen, chronische Krankheiten, Personalmangel, Kosteneinschränkungen und KI verspricht, Effizienz und Diagnostik zu verbessern. Trotz des rasanten Wachstums der KI-Forschung und neuer Produkte bleibt der tatsächliche klinische Einsatz jedoch langsam. Die Studie kategorisiert die Herausforderungen als technologisch (Datenqualität, Integration), rechtlich/regulatorisch, organisatorisch sowie sozial und kulturell. Besonders wird hervorgehoben, dass das Gesundheitswesen zu den am stärksten regulierten Sektoren gehört und „rechtliche und regulatorische Komplexitäten“ ein zentrales Hemmnis für die Einführung darstellen.

Dieser Blogartikel skizziert kurz den Umfang und die wichtigsten Erkenntnisse der Studie und beleuchtet anschließend die regulatorische Komplexität. Wir untersuchen, wie sich mehrere neue und bestehende EU-Vorschriften, insbesondere der EU-KI-Verordnung (AI Act), die Medizinprodukteverordnung (MDR) und die In-vitro-Diagnostika-Verordnung (IVDR), die DSGVO, der Europäische Gesundheitsdatenraum (EHDS) sowie die aktualisierten EU-Haftungsregeln für Produkte sich überschneiden und miteinander verzahnen.

Ziel und wichtigste Ergebnisse der Studie

Die EU-Studie hatte das Ziel, die Landschaft der KI im europäischen Gesundheitswesen zu erfassen und daraus zu lernen. Der Bericht identifiziert vier Kategorien von Hindernissen:

  1. Technische/Datenbezogene Probleme: Schwierigkeiten beim Zugang zu hochwertigen, interoperablen Gesundheitsdaten; Mangel an Standards.

  2. Rechtliche/Regulatorische Probleme: Ein Flickenteppich von Vorschriften zu KI-Produkten, Datenschutz, Medizinprodukten usw.

  3. Organisatorische/Wirtschaftliche Probleme: Finanzierungslücken, unklare Erstattung von KI-Tools, Schulungsbedarf des Personals.

  4. Soziale/Kulturelle Probleme: Vertrauen von Ärzten, Akzeptanz bei Patienten, digitale Kompetenz und Haftungsängste.

Obwohl die Technologie existiert, betont die Study on the Deployment of AI in Healthcare, dass Europas Regulierungsrahmen zwischen verschiedenen Disziplinen oft unkoordiniert ist, was sicherlich keine Untertreibung ist. Innovatoren sehen sich einem komplexen Labyrinth aus EU-Anforderungen gegenüber, teils überlappend, teils neu, teils noch in Entwicklung , was die Einführung von KI verzögert oder ganz verhindert. Dennoch hebt die Studie zahlreiche positive Beispiele hervor, in denen Krankenhäuser Hindernisse mithilfe juristischer Unterstützungseinheiten oder interdisziplinärer Ausschüsse überwanden.

Fazit: Die EU ist grundsätzlich gut aufgestellt, um eine sichere, ethische und skalierbare Einführung von Gesundheits-KI zu unterstützen, es braucht jedoch Maßnahmen zur Harmonisierung von Datenstandards, zur Verbesserung regulatorischer Klarheit und zur Überwachung des Fortschritts.

Überlappende Rechtsrahmen

Eine zentrale Erkenntnis ist, dass KI-Anwender häufig mit mehreren parallelen Regimen umgehen müssen. Besonders Gesundheitsdienstleister und KI-Unternehmen stehen vor einem „Schichtkuchen“ an Verpflichtungen, darunter:

  • Der EU-KI-Gesetz (Verordnung (EU) 2024/1689) klassifiziert KI-Systeme nach Risikostufen. Hochrisiko-KI (z. B. Systeme, die kritische Entscheidungen beeinflussen) muss strenge Anforderungen an Datenqualität, Dokumentation, Risikomanagement, Transparenz und menschliche Aufsicht erfüllen. Jede KI, die Bestandteil eines regulierten Produkts ist, gilt automatisch als „Hochrisiko“. Artikel 6 legt fest, dass ein KI-System, das eine Sicherheitskomponente eines Produkts ist (z. B. Software in einem Medizinprodukt), oder selbst das Produkt darstellt, als Hochrisiko gilt, wenn das Produkt einer Konformitätsbewertung durch Dritte unterliegt. Diese Einstufung löst Pflichten aus wie Risikomanagementsystem, technische Dokumentation, Cybersicherheitsstandards, Folgenabschätzungen, Transparenzpflichten (Art. 13: Nutzer müssen die Ergebnisse der KI verstehen können) und menschliche Aufsicht (Art. 14: Design für Überwachbarkeit).

  • EU-Medizinprodukteverordnung und In-vitro-Diagnostika-Verordnung (MDR 2017/745 und IVDR 2017/746) sind die bestehenden Rechtsgrundlagen für Medizinprodukte und Diagnostika. Software mit medizinischer Zweckbestimmung kann als „Medizinprodukt“ (nach MDR) oder „In-vitro-Diagnostikum“ (nach IVDR) gelten. Besonders wichtig ist Regel 11, die Software-Klassifizierung: Software, die Informationen für diagnostische oder therapeutische Entscheidungen liefert oder physiologische Funktionen überwacht, wird automatisch in eine höhere Risikoklasse eingestuft. Konformität mit MDR/IVDR bedeutet die Erfüllung der grundlegenden Sicherheits- und Leistungsanforderungen (Anhang I), klinische Bewertungen und meist eine Prüfung durch eine Benannte Stelle vor dem Inverkehrbringen. Für höherklassige Geräte ist dieser Prozess streng und vergleichbar mit einem formellen Zulassungsverfahren.

  • Die DSGVO (Verordnung (EU) 2016/679) ist das zentrale Datenschutzgesetz der EU. Praktisch alle Gesundheits-KI-Systeme verarbeiten personenbezogene, oft hochsensible Gesundheitsdaten. Die DSGVO verlangt eine rechtmäßige Grundlage für die Verarbeitung und schreibt strenge Prinzipien vor (Datenminimierung, Zweckbindung, Rechenschaftspflicht, Transparenz). Sie gewährt Patienten Rechte (Zugang zu Daten, Erklärung automatisierter Entscheidungen usw.). Betreiber müssen sicherstellen, dass KI-Projekte DSGVO-konform sind, z. B. durch gültige Einwilligungen oder Anwendung der Ausnahmen nach Art. 9 DSGVO, sowie durch transparente Information der Betroffenen. Auch Sicherheits- und Meldepflichten bei Datenschutzverletzungen gelten.

  • Die Verordnung über den Europäischen Gesundheitsdatenraum (EHDS, Verordnung (EU) 2025/327) ist der neue Rahmen für Gesundheitsdaten, 2025 verabschiedet und ab 2027 anwendbar. Der EHDS schafft Mechanismen speziell für die Zweitnutzung elektronischer Gesundheitsdaten zu Forschungs-, Innovations- oder Public-Health-Zwecken. Er ersetzt die DSGVO nicht, sondern ergänzt sie. In jedem Mitgliedstaat sollen Gesundheitsdaten-Zugangsstellen eingerichtet werden, die „Datenbewilligungen“ ausstellen, wenn Forschende oder Unternehmen Daten über die unmittelbare Versorgung hinaus nutzen wollen. Der EHDS bietet dafür eine ausdrückliche Rechtsgrundlage (im Einklang mit Art. 9 DSGVO) mit Schutzvorkehrungen sowie Opt-out-Rechte für bestimmte Nutzungen. Praktisch bedeutet das: Ein KI-Unternehmen, das große Patientendatensätze aus EU-Krankenhäusern benötigt, muss zusätzlich zu DSGVO-Vorgaben auch EHDS-Verfahren durchlaufen – eine weitere Komplexitätsebene.

  • Die überarbeitete Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) dehnt die Haftung explizit auf Software und KI aus. Software gilt nun als „Produkt“. Damit wird eine bisherige Lücke geschlossen. Die Richtlinie erleichtert zudem den Nachweis von Kausalität, etwa durch Beweisvermutungen (Art. 10), wenn Defekt und Schadenstyp zusammenpassen und der Nachweis unzumutbar ist. Dadurch können Geschädigte leichter gegen KI-Entwickler vorgehen. Diese neue Regelung befindet sich jedoch noch in der Umsetzung durch die Mitgliedstaaten, und die separate „KI-Haftungsrichtlinie“ wurde zurückgezogen, es bleibt also Unsicherheit. KI-Unternehmen müssen sich auf strengere Haftungsregeln einstellen, auch wenn die genaue Zuweisung von Verantwortlichkeiten noch im Fluss ist.

Alle diese Regelwerke greifen bei vielen KI-Anwendungen im Gesundheitswesen ineinander. Beispielsweise ist KI-basierte Diagnosesoftware meist sowohl ein Medizinprodukt (MDR) als auch ein Hochrisiko-KI-System (AI Act). Sie benötigt CE-Kennzeichnung nach MDR und eine technische Dokumentation nach AI Act Art. 11 – faktisch eine doppelte Dokumentation. Verarbeitet sie Patientendaten, greifen zugleich DSGVO und EHDS. Und bei Fehldiagnosen kann der Entwickler nach der neuen Produkthaftungsrichtlinie haftbar sein, zusätzlich zur ärztlichen Haftung nach Deliktsrecht.

Mehr Klarheit ist wünschenswert

Angesichts dieser Hürden bietet die Studie konkrete Vorschläge, um mehr Klarheit und Koordination im EU-KI-Gesundheitswesen zu schaffen, was ein Schritt in die richtige Richtung ist.

Zentrale Empfehlungen beinhalten:

    • Harmonisierte Standards und Leitlinien. Einheitliche EU-Standards für Gesundheitsdaten und KI würden Reibungen verringern. Empfohlen wird insbesondere die Festlegung gemeinsamer technischer Standards für Datenverwaltung, Formate und Interoperabilität. Vereinheitlichte Datenformate und -protokolle erleichtern sicheren Datenaustausch (DSGVO/EHDS) und KI-Entwicklung. Ebenso werden Leitlinien zur Bias-Minderung und Datenqualität gefordert. Die EU arbeitet bereits daran: Die Kommission hat CEN/CENELEC mit der Entwicklung von Standards für KI-Systemaufsicht beauftragt (z. B. „human-in-the-loop“-Design).

    • Zentrale Beratung und Unterstützung („One-Stop-Shop“). Laut Bericht würden klarere Zuständigkeiten und Leitfäden erheblich helfen; 67 % der befragten Ärzte sahen dies als „gute Praxis“ an.

    • Kapazitätsaufbau in Gesundheitseinrichtungen. Juristisches und Compliance-Fachpersonal für digitale Gesundheit beschleunigt Prozesse. EU-Mittel sollten daher Kompetenzzentren oder Fachnetzwerke für Healthtech-Recht fördern, um Best Practices zu teilen und Schulungen anzubieten.

    • Regulatorische Sandboxes und adaptive Rahmenbedingungen. Der AI Act erlaubt Testumgebungen („Sandboxes“) für Hochrisiko-KI unter Aufsicht. Die Studie empfiehlt, diese gezielt für Gesundheits-KI zu nutzen, um klinische Testverfahren zu ermöglichen, und mahnt zur schnellen Finalisierung der zugehörigen Leitlinien und delegierten Rechtsakte.

    • Harmonisierung der EU-Gesetzgebung. Bessere Koordination zwischen Gesetzgebungssträngen (z. B. AI Act und MDR/IVDR) ist nötig. Möglich wäre ein kombiniertes Bewertungsverfahren: Eine Benannte Stelle könnte MDR- und AI-Act-Prüfung gemeinsam durchführen.

    • Klarheit bei Haftung und Versicherung. Zur Reduzierung von Haftungsängsten sollte präzisiert werden, wie die neuen Produkthaftungsregeln angewendet werden. Bis dahin sollten Entwickler Best Practices zur Risikominderung befolgen.

Fazit

Der EU-Bericht benennt das Offensichtliche: Die aktuelle regulatorische Landschaft wirkt für Gesundheitsdienstleister und KI-Unternehmen frustrierend und risikoreich. Vielversprechende Projekte stocken unter der Last überlappender Pflichten; Ressourcen fließen in Papierarbeit statt in klinische Validierung. Führungskräfte sorgen sich um Patientensicherheit, Reputation und unvorhersehbare Haftung, während Ärzte den Einsatz nicht eindeutig zugelassener Tools scheuen.

Bis das rechtliche Bild klarer ist, können wir unterstützen. Pragmatisch, ergebnisorientiert und risikomindernd. Konkret bedeutet das:

    • eine dringende regulatorische Triage, um festzustellen, welche Regime gelten (AI Act, MDR/IVDR, DSGVO, EHDS, Produkthaftung),

    • eine priorisierte Compliance-Roadmap, und

    • schnell einsetzbare Dokumente (technische Unterlagen, Datenschutz-Folgenabschätzungen, Einwilligungstexte, Pläne zur Marktüberwachung).

Wir koordinieren mit klinischen und IT-Teams, um Aufsichts- und Auditprozesse zu gestalten, die mehreren Vorschriften zugleich genügen, beraten zu Zertifizierungsverfahren und Benannten Stellen, navigieren EHDS-Zugangsverfahren für Sekundärdaten und helfen, vertragliche und versicherungstechnische Risiken zuzuordnen und zu mindern. Unser Ansatz: Wir übersetzen Unsicherheit in klare, schrittweise Maßnahmen, damit Organisationen weiterhin sicher und evidenzbasiert innovieren können – während die regulatorische Harmonisierung voranschreitet.

Kontaktieren Sie uns, um Ihr Anliegen zu besprechen.

 

Haftungsausschluss:
Die Inhalte dieses Blogs dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar. Obwohl wir uns bemühen, die Informationen aktuell und korrekt zu halten, können sie nicht die neuesten rechtlichen Entwicklungen oder die spezifische Situation Ihres Unternehmens berücksichtigen. Leser sollten auf Grundlage der hier bereitgestellten Informationen nicht handeln, ohne vorher professionelle Rechtsberatung einzuholen. Durch die Nutzung oder das Vertrauen auf die Inhalte dieses Blogs entsteht kein Mandatsverhältnis

 

more posts:
Kategorien
Schlagwörter