EU AI Act für Privatkliniken: Rezeptionsautomatisierung oder medizinische KI?
Warum Terminbuchung rechtlich und operativ etwas anderes ist als Diagnose, Triage oder KI in einem Medizinprodukt.
Mit dem Verwendungszweck beginnen
Für Privatkliniken ist nicht entscheidend, ob ein Anbieter KI verwendet. Entscheidend sind Zweck, verwendete Informationen und die Frage, ob das Ergebnis eine Entscheidung über eine Person beeinflusst. Der AI Act ist risikobasiert; die DSGVO regelt weiterhin personenbezogene Daten.
Ein enger Kommunikationsablauf kann Wiederholungsarbeit reduzieren, ohne zu einer versteckten Entscheidungsmaschine zu werden. Das breite Versprechen, einen Prozess zu automatisieren, kann sehr unterschiedliche rechtliche und operative Folgen verdecken.
Wo die Hochrisiko-Grenze liegen kann
KI als Sicherheitskomponente eines regulierten Produkts oder als Produkt mit Drittanbieter-Konformitätsbewertung kann Hochrisiko sein. Klinische Entscheidungsunterstützung kann erhebliche Patientensicherheitsfolgen haben.
Zeitplan und Leitlinien entwickeln sich weiter. Organisationen sollten den konkreten Einsatz klassifizieren, Annahmen dokumentieren und aktuelle Rechtsberatung einholen, statt sich auf Produktbezeichnungen oder alte Checklisten zu verlassen.
Einen engen operativen Umfang gestalten
Beschränken Sie Rezeptionsautomatisierung auf Termine, Wegbeschreibung, freigegebene Vorbereitung und administrative Weiterleitung. Symptome, Dringlichkeit und Behandlung benötigen klinisch gesteuerte Prozesse.
Einen Dermatologietermin zu bestätigen und Parkinformationen zu senden ist administrativ. Die Dringlichkeit einer Hautveränderung zu beurteilen ist klinisch.
Die DSGVO gilt weiterhin
Die Einordnung nach AI Act ersetzt keine DSGVO-Analyse. Zweck, Rechtsgrundlage, Datenminimierung, Transparenz, Aufzeichnung, Aufbewahrung, Zugriff, Auftragsverarbeiter, Transfers, Sicherheit und Betroffenenrechte müssen geklärt werden. Sprache und Freitext können mehr Daten erfassen als Formulare.
Fragen sollten auf das Minimum für den nächsten Schritt begrenzt sein. Bei sensiblen Daten sind engere Zugriffe, passende Aufbewahrung und getestete menschliche Übergabe nötig. Aufzeichnung ist eine bewusste Einstellung, kein Standard.
Fragen für den Einkauf
Einkäufer bei Privatkliniken sollten nach Zweck, verbotenen Nutzungen, Datenfeldern, Modell- und Infrastrukturanbietern, Speicherorten, Logs, Monitoring, Vorfällen und menschlicher Aufsicht fragen. Wichtig ist auch das Verhalten bei Unsicherheit, Widerspruch oder Gesprächen außerhalb des Umfangs.
Verträge müssen zur realen Leistung passen. Rollen als Anbieter, Betreiber, Verantwortlicher und Auftragsverarbeiter sind anhand der tatsächlichen Kontrolle festzulegen. Der Begriff „konforme Plattform“ klärt diese Rollen nicht.
Ein praktischer Implementierungsweg
Beginnen Sie mit wenigen wiederholbaren Szenarien und einer schriftlichen Entscheidungstabelle. Legen Sie erlaubte Aktion, Daten, Verantwortliche, Eskalationsauslöser und maximale Reaktionszeit fest. Testen Sie normale, unklare, abgelehnte, mehrsprachige und dringende Fälle.
Die sicherste und wirtschaftlich sinnvollste Automatisierung beschleunigt Routinekommunikation und belässt folgenreiche Entscheidungen beim Menschen. Diese Grenze muss in Produkt, Vertrag, Schulung und Betrieb sichtbar sein.