Zum Inhalt springen
🏥 Healthcare AI

KI im Gesundheitswesen: Patientendaten schützen

Gesundheitsdaten sind nach DSGVO Art. 9 die am stärksten geschützte Datenkategorie überhaupt. Cloud-KI ist für die Verarbeitung von Patientendaten de facto ausgeschlossen. On-Premise LLM ermöglicht Ärzten, Kliniken und medizinischen Einrichtungen den rechtssicheren Einsatz von KI — von der Dokumentation bis zur Diagnoseunterstützung.

🛡️ DSGVO-konform
⚖️ EU AI Act Ready
🇩🇪 Hosted in Germany
🔒 ISO 27001
🏛️ BSI C5

Das Problem: Ärzte brauchen KI, dürfen aber keine Cloud nutzen

Deutsche Ärztinnen und Ärzte verbringen durchschnittlich 3–4 Stunden pro Tag mit Dokumentation — Arztbriefe, Befundberichte, OP-Protokolle, Entlassungsbriefe. Diese Zeit fehlt für die Patientenversorgung. KI könnte einen Großteil dieser Arbeit übernehmen und die Dokumentationsqualität gleichzeitig verbessern.

Doch die regulatorischen Hürden sind im Gesundheitswesen besonders hoch. Patientendaten genießen in Deutschland und der EU den höchsten Schutzstatus — und das aus gutem Grund. Die Übertragung von Gesundheitsdaten an Cloud-KI-Anbieter wie OpenAI, Google oder Microsoft ist in nahezu allen Szenarien rechtlich problematisch oder schlicht verboten.

Der mehrstufige Regulierungsrahmen für KI im Gesundheitswesen

Das deutsche Gesundheitswesen unterliegt einem komplexen, mehrstufigen Regulierungsnetz. Beim KI-Einsatz müssen alle Ebenen gleichzeitig berücksichtigt werden:

Ebene 1: DSGVO — Art. 9 Gesundheitsdaten

Art. 9 Abs. 1 DSGVO verbietet grundsätzlich die Verarbeitung von Gesundheitsdaten. Dies umfasst alle Informationen, die sich auf den physischen oder psychischen Gesundheitszustand einer Person beziehen — Diagnosen, Befunde, Laborwerte, Medikation, Therapieverläufe.

Ausnahmen nach Art. 9 Abs. 2 DSGVO erlauben die Verarbeitung unter strengen Voraussetzungen:

  • Art. 9 Abs. 2 lit. h: Verarbeitung zum Zweck der Gesundheitsvorsorge, Arbeitsmedizin, Diagnose, Behandlung — aber nur durch Fachpersonal mit Schweigepflicht.
  • Art. 9 Abs. 2 lit. a: Ausdrückliche Einwilligung — in der Praxis schwer umsetzbar, da informiert und freiwillig.
  • Art. 9 Abs. 3: Verarbeitung nur durch Fachpersonal mit Geheimhaltungspflicht oder unter deren Verantwortung.

Bei Cloud-KI: Der Cloud-Anbieter ist kein „Fachpersonal mit Geheimhaltungspflicht". Die Übertragung von Gesundheitsdaten an Cloud-Server — insbesondere in den USA — verstößt gegen Art. 9 in Verbindung mit den Anforderungen an Drittlandtransfers (Art. 44 ff. DSGVO, Schrems-II-Problematik).

Ebene 2: § 203 StGB — Ärztliche Schweigepflicht

§ 203 Abs. 1 Nr. 1 StGB schützt die ärztliche Schweigepflicht strafrechtlich. Ärzte, die Patientengeheimnisse unbefugt offenbaren, riskieren Freiheitsstrafe bis zu einem Jahr. Die Eingabe von Patientendaten in Cloud-KI-Dienste kann als unbefugtes Offenbaren gewertet werden — unabhängig von vertraglichen Vereinbarungen mit dem Anbieter.

Ebene 3: PDSG — Patientendaten-Schutz-Gesetz

Das PDSG (in Kraft seit 2020) regelt spezifisch den Schutz von Patientendaten in der digitalen Gesundheitsversorgung. Es definiert technische und organisatorische Anforderungen an die Verarbeitung in der Telematikinfrastruktur (TI) und verschärft die DSGVO-Vorgaben für das Gesundheitswesen. KI-Systeme, die auf Patientendaten zugreifen, müssen PDSG-konform sein.

Ebene 4: MDR — Medical Device Regulation

Die EU-Medizinprodukteverordnung (MDR, EU 2017/745) klassifiziert KI-Software, die zur Diagnoseunterstützung oder Therapieplanung eingesetzt wird, potenziell als Medizinprodukt. Wichtige Abgrenzungen:

  • Kein Medizinprodukt: KI für allgemeine Dokumentation, Arztbriefe, Terminverwaltung, administrative Aufgaben.
  • Potenziell Medizinprodukt (Klasse I/IIa): KI zur Diagnoseunterstützung, wenn das System Empfehlungen ausspricht, die die ärztliche Entscheidung beeinflussen.
  • Medizinprodukt (Klasse IIb/III): KI-Systeme, die eigenständig diagnostizieren oder Therapieentscheidungen treffen (in der Praxis noch selten).

Ebene 5: EU AI Act — Hochrisiko-KI im Gesundheitswesen

Der EU AI Act klassifiziert KI-Systeme im Gesundheitswesen häufig als „Hochrisiko" (Annex III, Nr. 5). Dies bedeutet verschärfte Anforderungen an:

  • Risikomanagementsysteme (Art. 9 AI Act)
  • Datenqualität und Data Governance (Art. 10 AI Act)
  • Technische Dokumentation und Transparenz (Art. 11–13 AI Act)
  • Menschliche Aufsicht (Art. 14 AI Act — Human-in-the-Loop)
  • Robustheit und Genauigkeit (Art. 15 AI Act)

On-Premise-Deployment erleichtert die Erfüllung all dieser Anforderungen erheblich, da Sie volle Kontrolle über Daten, Modell und Logging haben.

KI im Gesundheitswesen diskutieren

Klinik-IT-Leiter, MedTech-Experten und Ärzte tauschen sich in unserer Community über den rechtssicheren KI-Einsatz aus.

Community beitreten →

Use Cases: KI-Anwendungen im Gesundheitswesen

1. Medizinische Dokumentation und Arztbriefe

Der größte Zeitfresser im Klinikalltag. Ein On-Premise LLM kann aus strukturierten Befunddaten, Diagnosen und Behandlungsverläufen vollständige Arztbriefe vorstrukturieren. Die Zeitersparnis liegt bei 50–70 % pro Arztbrief. Der Arzt prüft, ergänzt und gibt frei — alle Daten bleiben auf dem Klinikserver.

2. Befundinterpretation und Diagnoseunterstützung

On-Premise LLMs können Laborwerte, Bildgebungsbefunde und Anamnesen zusammenführen und differenzialdiagnostische Hinweise geben. Wichtig: Das System ersetzt nicht den Arzt, sondern unterstützt als „zweite Meinung". Alle Empfehlungen müssen durch Human-in-the-Loop-Prozesse validiert werden. Bei On-Premise haben Sie volle Transparenz über die Entscheidungsgrundlagen des Modells.

3. Entlassungsbriefe und Überleitungsmanagement

Automatische Generierung von Entlassungsbriefen aus dem Behandlungsverlauf — inklusive Medikationsplan, Follow-up-Empfehlungen und Hinweisen für den weiterbehandelnden Arzt. Dies verbessert nicht nur die Effizienz, sondern auch die Qualität der sektorübergreifenden Versorgung.

4. Administrative Entlastung

Von der Codierung (ICD-10, OPS) über die Rechnungsstellung bis zur Terminverwaltung — KI kann viele administrative Prozesse im Krankenhaus und in der Arztpraxis automatisieren. Diese Anwendungen verarbeiten zwar keine direkten Patientendaten, profitieren aber dennoch von On-Premise-Hosting durch schnellere Verarbeitung und Unabhängigkeit von Cloud-Verfügbarkeit.

5. Klinische Forschung und Studienunterstützung

On-Premise LLMs können Patientenakten (mit entsprechender Rechtsgrundlage) für Forschungszwecke auswerten: Kohortenidentifikation, Literaturrecherche, Studienprotokoll-Analyse. Da die Daten das Klinik-Netzwerk nicht verlassen, können Forschungsdaten ohne aufwändige Anonymisierung verarbeitet werden.

📊 Vergleich

Cloud vs. On-Premise KI im Gesundheitswesen

Kriterium Cloud-KI On-Premise LLM ✓
DSGVO Art. 9 ❌ Drittlandtransfer problematisch ✅ Keine Datenübertragung
§ 203 StGB ❌ Offenbaren an Dritte ✅ Daten bleiben im Haus
PDSG-Konformität ⚠️ Nur mit souveräner Cloud ✅ Volle Kontrolle
MDR-Anforderungen ⚠️ Eingeschränkte Kontrolle ✅ Vollständige Dokumentation
EU AI Act (Hochrisiko) ⚠️ Logging beim Anbieter ✅ Eigenes Risikomgmt.
24/7-Verfügbarkeit ⚠️ Abhängig von Internet ✅ Lokale Infrastruktur
Latenz (Notfall) ⚠️ Netzwerkabhängig ✅ Millisekunden lokal

Implementierung: On-Premise KI im Gesundheitswesen

Für Arztpraxen: Der kompakte Einstieg

Eine niedergelassene Arztpraxis kann mit minimaler Infrastruktur starten:

  • Hardware: Ein kompakter Tower-Server mit NVIDIA RTX 4090, 64 GB RAM, 1 TB NVMe-SSD (Investition: 5.000–8.000 €)
  • Modell: Llama 3.1 8B oder Mistral 7B für Dokumentation und Korrespondenz
  • Integration: Anbindung an PVS (Praxisverwaltungssystem) via API
  • Zeitaufwand Setup: 2–5 Tage inklusive Konfiguration und Test

Für Kliniken und Krankenhäuser: Enterprise-Grade

Krankenhäuser haben höhere Anforderungen an Verfügbarkeit und Durchsatz:

  • Hardware: Dedizierte GPU-Server mit 2× NVIDIA H100 oder 4× L40S, 256+ GB RAM, redundante Speichersysteme (Investition: 60.000–150.000 €)
  • Modell: Llama 3.1 70B oder größer, ggf. medizinisch feingetuntes Modell
  • Integration: Anbindung an KIS (Krankenhausinformationssystem), PACS, Laborinformationssysteme
  • Verfügbarkeit: Redundante Konfiguration für 24/7-Betrieb, USV-gesichert
  • Zeitaufwand Setup: 4–12 Wochen inklusive Pilot und Integration

Compliance-Checkliste für das Gesundheitswesen

  1. DSFA durchführen (Art. 35 DSGVO) — Besonders wichtig bei Art. 9 Daten
  2. Rechtsgrundlage prüfen — Art. 9 Abs. 2 lit. h (Gesundheitsvorsorge) oder Einwilligung
  3. MDR-Klassifizierung — Ist das KI-System ein Medizinprodukt?
  4. EU AI Act Risikoklasse — Hochrisiko-Einstufung prüfen
  5. TOMs dokumentieren — Verschlüsselung, Zugriffskontrollen, Logging
  6. Human-in-the-Loop — Kein KI-Output ohne ärztliche Prüfung
  7. Audit-Trail — Vollständige Protokollierung aller KI-Interaktionen
  8. Schulungsprogramm — Ärzte und Pflegepersonal für den KI-Einsatz schulen

Weiterführende Informationen

💬

Erfahrungen aus der Praxis?Klinik-IT-Leiter und Praxisinhaber teilen ihre KI-Erfahrungen in unserem Slack.

Kostenlos austauschen →

Häufige Fragen: KI im Gesundheitswesen

Dürfen Arztpraxen Cloud-KI wie ChatGPT nutzen?

Nein — nicht mit Patientendaten. Gesundheitsdaten sind nach DSGVO Art. 9 „besondere Kategorien personenbezogener Daten" und genießen den höchsten Schutzstatus. Die Übertragung an Cloud-KI-Dienste verstößt gegen § 203 StGB (ärztliche Schweigepflicht) und die DSGVO. On-Premise LLM ist der einzige Weg, KI rechtssicher mit Patientendaten einzusetzen.

Was regelt DSGVO Art. 9 für Gesundheitsdaten?

Art. 9 DSGVO verbietet grundsätzlich die Verarbeitung von Gesundheitsdaten. Ausnahmen bestehen u.a. bei ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a), für die Gesundheitsvorsorge (Art. 9 Abs. 2 lit. h) oder bei erheblichem öffentlichem Interesse. Auch bei erlaubter Verarbeitung gelten verschärfte Anforderungen an technische Schutzmaßnahmen — die bei On-Premise-Lösungen am besten gewährleistet werden können.

Kann KI beim Arztbrief schreiben helfen?

Ja — das ist einer der wichtigsten Use Cases. Ärzte verbringen durchschnittlich 3–4 Stunden pro Tag mit Dokumentation. Ein On-Premise LLM kann Arztbriefe basierend auf Befunden, Diagnosen und Behandlungsverläufen vorstrukturieren. Die Zeitersparnis liegt bei 50–70 %. Der Arzt prüft und finalisiert den Brief, das LLM erledigt die Vorarbeit — alles auf Ihrem eigenen Server.

Ist KI als Medizinprodukt einzustufen?

Kommt darauf an. KI-Systeme, die direkt in die Diagnose eingreifen oder Therapieentscheidungen beeinflussen, können unter die Medical Device Regulation (MDR, EU 2017/745) fallen. Ein LLM zur Dokumentation oder Verwaltung ist in der Regel kein Medizinprodukt. Wird es jedoch zur Diagnoseunterstützung eingesetzt, kann eine Klassifizierung als Klasse I oder IIa Medizinprodukt erforderlich sein. Die Abgrenzung ist im Einzelfall zu prüfen.

Welche Rolle spielt das PDSG?

Das Patientendaten-Schutz-Gesetz (PDSG) regelt die Nutzung der Telematikinfrastruktur (TI) und den Schutz von Patientendaten in der digitalen Gesundheitsversorgung. Das PDSG verschärft die DSGVO-Anforderungen spezifisch für das Gesundheitswesen und definiert u. a. Anforderungen an die elektronische Patientenakte (ePA). KI-Systeme, die auf Patientendaten zugreifen, müssen PDSG-konform sein — was bei Cloud-Lösungen kaum umsetzbar ist.

Welche Hardware braucht eine Arztpraxis für On-Premise KI?

Für eine einzelne Arztpraxis genügt ein kompakter Server mit einer NVIDIA RTX 4090 (24 GB VRAM), 64 GB RAM und 1 TB SSD. Die Investition liegt bei 5.000–8.000 €, die laufenden Kosten bei ca. 100 €/Monat. Damit lassen sich Modelle bis 34B Parameter betreiben, die für Dokumentation, Arztbriefe und administrative Aufgaben bestens geeignet sind.

Wie steht es um die Haftung bei KI-gestützter Diagnose?

Die ärztliche Haftung bleibt unverändert beim behandelnden Arzt. KI dient als Unterstützungswerkzeug — die finale Entscheidung liegt immer beim Arzt (Human-in-the-Loop). Bei On-Premise-Lösungen haben Sie volle Kontrolle über das Modell, können dessen Empfehlungen nachvollziehen und dokumentieren. Dies vereinfacht die Haftungsdokumentation im Vergleich zu intransparenten Cloud-Diensten erheblich.

Healthcare AI Community

Diskutieren Sie den datenschutzkonformen KI-Einsatz im Gesundheitswesen mit Experten.

Jetzt Slack beitreten →