Der EU AI Act reguliert KI nach Risiko. In welche Risikokategorie ein Werkzeug fällt, das Entwürfe für Aktennotizen erstellt, hängt von der konkreten Nutzung ab und ist für medizinische Dokumentations-KI nicht abschließend geklärt. Transparenz ist in jedem Fall zentral: Es muss deutlich sein, dass der Inhalt mit KI erstellt wurde, und die autorisierte Fachkraft muss den Entwurf prüfen und freigeben. Der AI Act ersetzt die DSGVO nicht - er legt Anforderungen obendrauf. Die Anforderungen werden schrittweise bis 2026-2027 eingeführt.
Was ist der EU AI Act?
Der EU AI Act ist die gemeinsame Verordnung der EU für künstliche Intelligenz. Sie trat im August 2024 in Kraft. Die Anforderungen werden in Wellen bis 2026-2027 angewendet. Die Verordnung teilt Anwendungen in vier Risikostufen ein:
- Inakzeptables Risiko - verboten (zum Beispiel Social Scoring).
- Hochrisiko - verschärfte Anforderungen an Risikomanagement, Datenqualität, Dokumentation und menschliche Aufsicht.
- Begrenztes Risiko - Transparenz-Pflichten, unter anderem dass die nutzende Person weiß, dass KI verwendet wird.
- Minimales Risiko - keine Sonderanforderungen.
Je größer das Risiko für Personen, desto mehr Anforderungen. Wo sich ein Dokumentationswerkzeug einordnet, das Entwürfe unter menschlicher Kontrolle erstellt, hängt von der konkreten Nutzung ab und ist für medizinische Dokumentations-KI nicht abschließend geklärt. Folgen Sie den Leitlinien der Behörden - in Dänemark bündelt die Digitaliseringsstyrelsen die Leitlinien auf digst.dk. Transparenz ist in jedem Fall eine zentrale Anforderung.
Die Verordnung ersetzt die DSGVO nicht. Die beiden Regelwerke gelten nebeneinander. Die DSGVO regelt die Verarbeitung personenbezogener Daten - in einer Klinik typischerweise nach Artikel 6 und Artikel 9 zu Gesundheitsdaten, plus einen Auftragsverarbeitungsvertrag nach Artikel 28. Der AI Act legt Anforderungen obendrauf an das KI-System selbst: wie es gebaut, dokumentiert und überwacht ist. Die Klinik muss sich mit beidem befassen.
Gilt der EU AI Act für KI-Dokumentation?
Ja. Der AI Act gilt für KI-Systeme, die in der EU auf den Markt gebracht oder in Betrieb genommen werden - auch im Gesundheitswesen. Ein Werkzeug, das eine Konsultation transkribiert und einen Entwurf für eine Aktennotiz schreibt, ist ein KI-System nach der Verordnung. Welche konkreten Anforderungen gelten, hängt davon ab, in welche Risikokategorie die Anwendung fällt.
In welche Risikokategorie ein reines Dokumentationswerkzeug fällt, hängt von der konkreten Nutzung ab und ist für medizinische Dokumentations-KI nicht abschließend geklärt - folgen Sie den Leitlinien der Behörden. Transparenz ist in jedem Fall eine zentrale Anforderung: Es muss deutlich sein, dass KI verwendet wird. Das deckt sich mit den Dokumentationsregeln. Die autorisierte Fachkraft trägt weiterhin die Verantwortung für die Akte nach der Dokumentationsverordnung, unabhängig davon, ob eine Notiz von Hand geschrieben oder mit KI erstellt wurde. Die Notiz muss durchgelesen und freigegeben werden, bevor sie als Akte gilt. Mehr zu den rechtlichen Rahmen in der Anleitung zur rechtmäßigen KI-Dokumentation.
Ist KI zur Dokumentation ein Hochrisiko-System?
Das hängt davon ab, was das Werkzeug tut. Die Hochrisiko-Kategorie des AI Act (Anhang III) erfasst unter anderem Systeme, die zur Entscheidung über Personen oder zu deren Unterstützung verwendet werden. Ein System, das Diagnosen stellt, Patienten priorisiert oder Behandlungen empfiehlt, kann hier fallen - oft im Zusammenspiel mit den Regeln zu Medizinprodukten (MDR), die ein Werkzeug über einen eigenen Weg unter Hochrisiko ziehen können. Hochrisiko löst verschärfte Anforderungen an Risikomanagement, Datenqualität, technische Dokumentation, Protokollierung und menschliche Aufsicht aus.
Ein Werkzeug, das einen Entwurf erstellt, den die Fachkraft durchliest, korrigiert und freigibt, unterscheidet sich von einem System, das eigenständige klinische Entscheidungen trifft. Das Erste ist Dokumentations-Unterstützung unter menschlicher Kontrolle. Das Zweite ist klinische Entscheidungs-Unterstützung. Die Einstufung lässt sich nicht allgemein festlegen - sie ergibt sich aus Zweck und Funktion des Systems und aus den Leitlinien der Behörden. Das dänische Ressort für KI-Aufsicht bündelt die Leitlinien auf digst.dk. Folgen Sie der aktuellen Leitlinie für die konkrete Anwendung.
Wer trägt die Verantwortung, wenn KI verwendet wird?
Die autorisierte Fachkraft. Die Dokumentationsverantwortung ergibt sich aus der Dokumentationsverordnung und wird nicht durch ein KI-Werkzeug oder einen Anbieter verlagert. Ein KI-Entwurf ist ein Entwurf, bis die Fachkraft ihn durchgelesen, korrigiert und freigegeben hat. Erst dann gilt er als Akte, und die Verantwortung liegt bei der Fachkraft.
Die Verantwortung verteilt sich auf drei Ebenen. Der Anbieter des KI-Systems muss die Anforderungen des AI Act an das System selbst erfüllen. Die Klinik ist nach der DSGVO verantwortlich und muss einen Auftragsverarbeitungsvertrag nach Artikel 28 abgeschlossen haben. Die einzelne Fachkraft trägt die fachliche Aktenverantwortung für jede Notiz. Die Rollen lösen einander nicht ab - sie gelten gleichzeitig.
Worauf muss die Klinik achten?
Vier Anforderungen kehren wieder, wenn KI zur Dokumentation verwendet wird:
- Transparenz - die Patienten werden darüber informiert, dass ein KI-Werkzeug verwendet wird.
- Menschliche Aufsicht - die Fachkraft liest den Entwurf durch, korrigiert und gibt frei, bevor er als Akte gespeichert wird.
- Dokumentation - die Klinik kann darlegen, wie das Werkzeug verwendet wird und wie Daten verarbeitet werden - in der Praxis über den Auftragsverarbeitungsvertrag und ein Verzeichnis von Verarbeitungstätigkeiten.
- Datenminimierung - nur notwendige Daten werden erhoben, und sie werden nicht länger als nötig aufbewahrt.
Wählen Sie einen Anbieter, der Daten innerhalb der EU verarbeitet und einen Auftragsverarbeitungsvertrag nach DSGVO Artikel 28 liefern kann. Bei People's Clinic werden Daten innerhalb der EU verarbeitet, die autorisierte Fachkraft behält die fachliche Verantwortung für die Akte, und die Transkription wird nach bis zu 90 Tagen gelöscht. Mehr unter Daten und Sicherheit oder Integrationen.
Diese Anleitung ist eine allgemeine Orientierung über die Regeln - keine Rechtsberatung. Wenn Sie über die Situation Ihrer Klinik im Zweifel sind, holen Sie konkrete Beratung ein. Zuständige Behörden sind das Datatilsynet und die Styrelsen for Patientsikkerhed, und die Leitlinien zum AI Act werden auf digst.dk gebündelt.