KI-Kompetenz
seit 2. Februar 2025
Art. 4 verpflichtet Krankenhäuser, MVZ, Diagnostik-Teams und externe Betreiber bereits heute zu ausreichender KI-Kompetenz bei allen Personen, die KI-Systeme nutzen oder beaufsichtigen.
← Zur Branchen-Übersicht
Gesundheitswesen
AI Act im Gesundheitswesen: Was für Diagnostik, Kliniken und Patientenmanagement gilt.
Für Kliniken, MVZ, Diagnostik-Anbieter und medizinische Leitungen gilt: KI-Kompetenz nach Art. 4 EU-VO 2024/1689 ist seit dem 2. Februar 2025 Pflicht. Ob ein System als Hochrisiko gilt, entscheidet im Gesundheitswesen vor allem die konkrete Funktion als Medizinprodukt, Sicherheitskomponente oder Notfall- und Triage-System.
Veröffentlicht: 19. Januar 2026Letzte Aktualisierung: 11. März 2026Gesundheitswesen
AI Act GesundheitswesenKI Verordnung KrankenhausAI Act MedizinprodukteKI Schulung KrankenhausKI Diagnostik Regulierung
Diagnostische KI
oft Hochrisiko
Wenn KI Teil eines Medizinprodukts oder einer Sicherheitskomponente ist, greift Art. 6 Abs. 1 in Verbindung mit Anhang I. Die verbleibenden Produktregeln werden am 2. August 2027 anwendbar.
Notfall- und Triage-Systeme
ab 2. August 2026
KI für Notrufe, Disposition und priorisierte Erstversorgung kann unter Anhang III Nr. 5 fallen. Für diese eigenständigen Hochrisiko-Systeme startet die volle Anwendbarkeit am 2. August 2026.
Typische KI-Systeme
Radiologie- und Bildanalyse-KI
KI für CT-, MRT-, Röntgen- oder Mammographie-Auswertung ist regelmäßig kritisch, wenn sie als Medizinprodukt oder Sicherheitskomponente qualifiziert.
Relevant ist nicht das Marketing des Herstellers, sondern der vorgesehene medizinische Zweck, die klinische Wirkung und die MDR-Einordnung.
Klinische Entscheidungsunterstützung
Systeme, die Diagnosen, Therapieempfehlungen oder Risikoeinschätzungen für Behandler generieren, können Hochrisiko sein, wenn sie medizinische Entscheidungen substanziell beeinflussen.
Je näher die KI an Diagnose, Priorisierung oder Behandlung rückt, desto strenger sollten Einsatzgrenzen, Aufsicht und Dokumentation geprüft werden.
Symptom-Checker und Patientenchatbots
Patientennahe Systeme lösen mindestens Transparenzpflichten nach Art. 50 aus, weil Nutzer erkennen müssen, dass sie mit einer KI interagieren.
Wenn der Funktionsumfang in Richtung Diagnose oder klinischer Steuerung geht, reicht die Transparenzbetrachtung allein oft nicht mehr aus.
Notfall- und Triage-Logik
KI für Notrufannahme, Priorisierung und Ersthelfer-Steuerung ist besonders sensibel und kann als Hochrisiko nach Anhang III Nr. 5 behandelt werden.
Klinikinterne Priorisierung ist nicht automatisch identisch mit Notrufdisposition, sollte aber funktional ebenso streng bewertet werden, wenn sie Versorgungsentscheidungen lenkt.
Betten-, OP- und Ressourcenplanung
Administrative Optimierung ist nicht automatisch Hochrisiko. Entscheidend ist, ob das System nur plant oder unmittelbar über Zugang, Versorgung oder Patientensicherheit mitentscheidet.
Je weiter das System von individuellen Gesundheitsentscheidungen entfernt bleibt, desto eher liegt begrenztes oder minimales Risiko nahe.
Kodierung und Dokumentationsunterstützung
KI für DRG-Vorschläge, Zusammenfassungen oder Dokumentation ist oft kein klassischer Hochrisiko-Fall, solange keine klinischen Entscheidungen oder Patientenselektion automatisiert werden.
Auch hier bleiben Datenschutz, interne Richtlinien und saubere menschliche Freigaben relevant.
Praktische Maßnahmen
KI-Einsatz nach Funktion inventarisieren
Sie sollten jedes System danach klassifizieren, ob es Diagnosen, Triage, Versorgungsprioritäten oder administrative Hilfstätigkeiten unterstützt. Ohne sauberes Funktionsinventar bleibt die Risikoeinstufung unzuverlässig.
Art. 4 für Klinikrollen konkret umsetzen
Sie sollten ärztliche Leitung, Pflege, Qualitätsmanagement, Medizintechnik, Einkauf, Datenschutz und IT nur mit rollenbezogener KI-Kompetenz arbeiten lassen. Ein allgemeiner Awareness-Vortrag reicht bei klinischer KI regelmäßig nicht aus.
Herstellerunterlagen und Zweckbestimmung prüfen
Sie sollten bei diagnostischer KI gezielt prüfen, welche Zweckbestimmung, MDR-Klasse, Nutzungsgrenzen und Sicherheitshinweise der Anbieter dokumentiert. Diese Unterlagen entscheiden mit darüber, ob ein System unter Art. 6 Abs. 1 fällt.
Menschliche Aufsicht und Eskalationspfade festlegen
Sie sollten für jede sensible Anwendung benennen, wer KI-Ausgaben prüft, wer sie überstimmen darf und wann auf einen rein menschlichen Fallback umgestellt wird. Art. 14 verlangt mehr als bloßes Mitlesen.
Transparenz, Monitoring und Vorfallwege absichern
Sie sollten Patiententransparenz, internes Monitoring, Logging und Meldeprozesse vor dem breiten Rollout definieren. Gerade im Zusammenspiel mit Medizinprodukt- und Qualitätsprozessen braucht KI eine belastbare Betriebsroutine.
KI im Gesundheitswesen ist kein einheitlicher Risikofall, sondern eine Funktionsfrage. Für Kliniken, MVZ und Diagnostik-Anbieter bedeutet das: Art. 4 der EU-VO 2024/1689 verlangt seit dem 2. Februar 2025 ausreichende KI-Kompetenz, während Hochrisiko-Pflichten je nach System entweder am 2. August 2026 oder am 2. August 2027 scharf werden. Entscheidend ist, ob die KI nur organisatorisch unterstützt oder ob sie Diagnose, Priorisierung, Behandlung oder Patientenzugang substanziell beeinflusst.
Welche KI im Gesundheitswesen besonders kritisch ist
Diagnostische KI ist besonders relevant, wenn sie als Medizinprodukt oder Sicherheitskomponente eingesetzt wird. Das betrifft typischerweise radiologische Bildanalyse, klinische Entscheidungsunterstützung und andere Systeme, die medizinische Aussagen mit unmittelbarer Wirkung auf Behandler oder Patienten liefern. In diesen Fällen läuft die Einordnung häufig über Hochrisiko-KI-Systeme nach Art. 6 Abs. 1 in Verbindung mit Anhang I der EU-VO 2024/1689 und dem Zusammenspiel mit der Medizinprodukteverordnung.
Notfall- und Triage-Systeme sind ebenfalls sensibel, aber aus einem anderen Grund. Wenn KI für Notrufannahme, Ersthelfer-Dispositionslogik oder priorisierte Notfallsteuerung eingesetzt wird, kann Anhang III Nr. 5 greifen. Für diese eigenständigen Hochrisiko-Fälle ist der Stichtag der 2. August 2026. Kliniken sollten deshalb nicht nur auf klassische Medizinprodukte schauen, sondern auch auf alle KI-Funktionen, die im Ernstfall Reihenfolgen, Prioritäten oder Zugänge zur Versorgung bestimmen.
Administrative Systeme sind dagegen nicht automatisch Hochrisiko. KI für Bettenplanung, OP-Slots, Kodierung, Dokumentationshilfe oder allgemeine Textunterstützung kann außerhalb des Hochrisiko-Regimes liegen, solange das System nicht faktisch über Versorgung, Rechte oder Sicherheit einzelner Personen mitentscheidet. Genau diese funktionale Trennung ist für den internen Systemkatalog wichtig.
Was Kliniken schon heute tun sollten
Art. 4 gilt bereits. Krankenhäuser, MVZ und diagnostische Einrichtungen sollten deshalb jetzt dokumentieren können, wer welche KI-Systeme nutzt, mit welchem Zweck und mit welchem Schulungsstand. Für den Gesundheitsbereich ist das wichtiger als in weniger sensiblen Branchen, weil medizinische Fehlanwendungen schneller zu Patientenrisiken, Haftungsfragen und Aufsichtsproblemen führen können. Ein sauberer Schulungsnachweis hilft hier mehr als bloße Awareness.
Die erste praktische Maßnahme ist ein Systeminventar nach Funktion. Erfassen Sie, welche KI-Systeme diagnostisch, priorisierend, dokumentierend oder administrativ arbeiten. Die zweite Maßnahme ist eine Rollenmatrix: Ärztliche Leitung, Pflege, Qualitätsmanagement, Datenschutz, Einkauf und IT brauchen nicht dieselbe Tiefe, aber jeweils ausreichende Kenntnisse für ihren tatsächlichen Einsatzkontext. Die dritte Maßnahme ist eine klare Menschliche Aufsicht, also echte Prüf- und Override-Rechte statt rein formaler Freigaben.
Auch Herstellerunterlagen sollten früh geprüft werden. Für klinisch relevante Systeme sind Zweckbestimmung, Nutzungsgrenzen, Warnhinweise, Validierungslogik und Monitoring-Pfade entscheidend. Wo die Unterlagen unklar bleiben, steigt das Risiko, dass ein Krankenhaus ein System falsch klassifiziert oder später ohne belastbaren Betriebspfad nutzt. Genau an dieser Stelle sind Konformitätsbewertung und klare Betreiberpflichten wichtig, selbst wenn die primären Anbieterpflichten beim Hersteller liegen.
Wo Transparenz und begrenztes Risiko im Vordergrund stehen
Patientenchatbots, Terminassistenten und Symptom-Checker sind nicht automatisch Hochrisiko, aber nie regulatorisch neutral. Sobald Patienten mit einer KI interagieren, greift mindestens die Transparenzlogik aus Art. 50. Nutzer müssen erkennen können, dass keine natürliche Person antwortet. Wenn ein System darüber hinaus Symptome bewertet, Diagnosen nahelegt oder Prioritäten für Behandlung oder Zugänge bildet, sollte die Einordnung neu geprüft werden.
Für Dokumentations- und Verwaltungs-KI bleibt die Kernfrage dieselbe: Unterstützt das System nur Abläufe oder trifft es faktisch patientenrelevante Entscheidungen mit? Reine Formulierungshilfe, Zusammenfassungen oder Kodier-Vorschläge sind meist anders zu behandeln als Systeme, die Behandler aktiv in Diagnose oder Triage steuern. Diese Differenzierung sollten Kliniken intern sauber festhalten, damit Beschaffung, Datenschutz, IT und Fachbereich dieselbe Risikologik verwenden.
Was bis August 2026 und August 2027 vorbereitet sein sollte
Bis zum 2. August 2026 sollten Gesundheitsorganisationen alle Systeme markieren, die als eigenständige Hochrisiko-KI nach Anhang III in Betracht kommen. Dazu zählen vor allem Funktionen in Notfall-, Priorisierungs- oder Zugangslogiken. Bis dahin sollten außerdem Zuständigkeiten, Aufsicht, Incident-Handling, interne Freigaben und Schulungsmaßnahmen belastbar dokumentiert sein.
Bis zum 2. August 2027 rücken die verbleibenden produktregulierten Systeme nach Art. 6 Abs. 1 und Anhang I stärker in den Mittelpunkt. Für Diagnostik und klinische Entscheidungsunterstützung ist deshalb schon jetzt sinnvoll, gemeinsam mit Herstellern und internen Fachbereichen zu prüfen, welche Nachweise, Gebrauchsanweisungen, Monitoring-Prozesse und Eskalationswege tatsächlich vorliegen. Wer erst kurz vor dem Stichtag anfängt, verliert im Gesundheitswesen wertvolle Zeit zwischen Medizinproduktlogik, Beschaffung und klinischem Betrieb.
Warum sich der Kurs für Gesundheitswesen-Teams lohnt
Das Gesundheitswesen braucht keine abstrakte KI-Debatte, sondern belastbare Rollen- und Systementscheidungen. Ein Kurs ist dann sinnvoll, wenn er Ärztinnen und Ärzte, Pflege, Qualitätsmanagement, Datenschutz und IT auf dieselbe Rechts- und Risikologik bringt, ohne falsche Sicherheit zu verkaufen. Genau dafür verknüpft der Kurs Art. 4, Hochrisiko-Systeme, Dokumentation und praktische Verantwortlichkeiten mit einem nutzbaren Schulungsnachweis und einem klaren Zertifikat.
Wenn Sie vor dem Rollout einer neuen Diagnostik-, Triage- oder Patientenkommunikationslösung stehen, sollten Sie anschließend die allgemeine FAQ und die einschlägigen Glossarbegriffe zu Transparenzpflichten und Anbieter vs. Betreiber hinzuziehen. So bleibt die Einordnung nicht bei Einzelmeinungen stehen, sondern wird intern nachvollziehbar und auditierbar.
Häufige Fragen
Ist jede KI im Krankenhaus automatisch Hochrisiko?+
Nein. Hochrisiko hängt von Funktion und Rechtsgrundlage ab. Diagnostische oder sicherheitsrelevante Medizinprodukt-KI kann über Art. 6 Abs. 1 und Anhang I hochriskant sein; patientennahe Chatbots lösen häufig zunächst Transparenzpflichten nach Art. 50 aus, und reine Verwaltungsautomatisierung ist nicht automatisch Hochrisiko.
Was gilt im Gesundheitswesen schon heute?+
Seit dem 2. Februar 2025 gilt Art. 4 zur KI-Kompetenz. Krankenhäuser und andere Betreiber müssen also bereits jetzt Maßnahmen treffen, damit alle relevanten Personen KI-Systeme informiert, sicher und zweckgerecht einsetzen können.
Wann greifen die Hochrisiko-Pflichten im Klinikalltag?+
Für eigenständige Hochrisiko-Systeme nach Anhang III gilt der Stichtag 2. August 2026. Für die verbleibenden produktregulierten Systeme nach Art. 6 Abs. 1 und Anhang I ist der relevante Übergangsstichtag 2. August 2027.
Welche Rolle spielen Symptom-Checker und Patientenchatbots?+
Patientenchatbots müssen nach Art. 50 offenlegen, dass Nutzer mit einer KI interagieren. Sobald ein System medizinische Empfehlungen, Diagnosen oder priorisierte Versorgungsvorschläge abgibt, reicht die reine Transparenzbetrachtung aber häufig nicht mehr aus.
Braucht das Gesundheitswesen eine spezielle Schulung mit Zertifikat?+
Der AI Act verlangt kein spezielles staatliches Zertifikat. Er verlangt aber ausreichende KI-Kompetenz nach Art. 4. Für Kliniken ist deshalb ein dokumentierter Schulungsnachweis sinnvoll, der Rollen, Risiken und den konkreten Einsatzkontext abdeckt.
Hat Art. 4 ein eigenes Bußgeld?+
Art. 99 enthält keinen eigenen unionsweit harmonisierten Bußgeldtatbestand nur für Art. 4. Fehlende KI-Kompetenz kann aber nationale Maßnahmen, Haftungsrisiken und Probleme bei anderen AI-Act-Verstößen verschärfen.