05409 KI-Compliance im Krankenhaus

Die Einführung der Künstlichen Intelligenz (KI) in Form von medizinischer Software (z. B. der automatischen Befundung von Röntgenbildern in der radiologischen Routine) im Krankenhaus markiert einen Wendepunkt in der medizinischen Versorgung. Was einst als futuristische Vision galt, wird durch fortschrittliche KI-Anwendungen, die von intelligenten Diagnosetools bis hin zu prädiktiven Analysen (Prädikative Medizin – Die Wahrscheinlichkeit, Krankheiten vorherzusagen) für die Patientenversorgung reichen, zunehmend Realität. Diese neuen Technologien haben das Potenzial, die Effizienz, Präzision und Personalisierung im Krankenhaus oder in der Klinik auf ein neues Niveau zu heben ; Richtig angewandt sind sie geeignet, Arbeitsabläufe zu optimieren, die klinische Entscheidungsfindung zu verbessern und letztlich die Patientenergebnisse deutlich zu verbessern.

Doch mit diesem enormen technologischen Potenzial geht eine ebenso große Verantwortung der Krankenhäuser und Kliniken aber auch in Zusammenarbeit mit Medizinprodukteherstellern, insbesondere bei der KI-Compliance. Die Bedeutung der Einhaltung relevanter Vorschriften kann im Kontext medizinischer KI-Anwendungen im Krankenhaus nicht hoch genug eingeschätzt werden. Hier geht es nicht nur um allgemeine Krankenhaus-Unternehmensrichtlinien, sondern um fundamentale Fragen der Patientensicherheit, des Datenschutzes, der Datensicherheit und der ethischen medizinischen Nutzung.

Da KI-Systeme zunehmend in hochsensiblen und kritischen Bereichen wie der Diagnostik, Behandlungsplanung und Medikamentenverwaltung eingesetzt werden, steigt der Druck auf Krankenhäuser, diese Technologien verantwortungsvoll zu implementieren und zu steuern. Dieser Fokus auf die Umsetzung einer Compliance ist unerlässlich, um sicherzustellen, dass KI-Software-Applikationen im Krankenhaus nicht nur leistungsfähig, sondern auch rechtlich einwandfrei und ethisch vertretbar sind. Krankenhäuser müssen sich mit komplexen rechtlichen Rahmenbedingungen auseinandersetzen, wie der Datenschutz-Grundverordnung (DSGVO), dem Medizinprodukterecht Durchführungsgesetz (MPDG) und spezifischen anderen Richtlinien für KI in der Medizin. Eine Verletzung dieser Gesetze oder Vorschriften könnte nicht nur zu erheblichen Strafen und Reputationsschäden führen, sondern im schlimmsten Fall auch die Patientensicherheit gefährden. Abbildung 1 stellt beispielhaft verschiedene Anwendungsgebiete der Nutzung von KI im Krankenhaus dar.

Ein proaktiver Compliance-Ansatz ermöglicht es Krankenhäusern jedoch, über die reine Risikominimierung (Risikominimierung im Sinne Risikominimierungsstrategie, vorgegeben durch das Qualitätsmanagement) hinauszugehen. Er schafft die Grundlage für Vertrauen bei Patienten, Personal und Aufsichtsbehörden. Durch die Implementierung robuster Compliance-Strategien können Krankenhäuser nicht nur rechtliche Fallstricke vermeiden, sondern auch einen nachhaltigen Wettbewerbsvorteil in einer zunehmend digitalisierten Gesundheitslandschaft erzielen. Sie können die Potenziale der KI ausschöpfen und bewährte Standards in Bezug auf Qualität, Sicherheit und Ethik gewährleisten.

Um sicherzustellen, dass Krankenhaus-KI-Anwendungen sowohl innovativ als auch vollständig konform sind, müssen sogenannte systematische Ansätze (Prozesse) und eine umfassende Strategie über den gesamten Lebenszyklus der medizinischen KI-Anwendungen etabliert werden. Dies beginnt bei der Konzeption und reicht bis zur kontinuierlichen Überwachung und Wartung. Wichtige Schwerpunkte der Umsetzung der IT-Compliance für KI-Applikationen im Krankenhaus bilden (Beispiele):

Der Compliance-Prozess muss von Anfang an in den Entwicklungszyklus (von der Idee der Einführung von KI an) integriert werden. Das bedeutet, dass bereits in der Konzeptionsphase einer KI-Anwendung rechtliche, ethische und datenschutzrechtliche Anforderungen berücksichtigt werden. Dies schließt die Einhaltung nationaler (z. B. Medizinprodukterecht, Datenschutzgesetze) und internationaler Standards (z. B. EU AI Act, sofern anwendbar) ein. Eine kontinuierliche Risikobewertung unterstützt durch das Krankenhaus QM während des gesamten Entwicklungs- und Implementierungsprozesses hilft, potenzielle KI-Compliance-Probleme frühzeitig zu identifizieren und zu beheben. In der Regel verwenden die Krankenhäuser und Kliniken bereits fertige KI-Anwendungen, die von Medizinprodukteherstellern angeboten werden. Diese KI-Anwendungen werden dann im Krankenhaus an die Kundenwünsche angepasst (Software-Customizing).

Die Grundlage jeder konformen KI-Anwendung sind sichere und datenschutzkonforme Daten. Dies beinhaltet die Anonymisierung oder Pseudonymisierung sensibler Patientendaten, wo immer möglich, die Implementierung strenger Zugriffskontrollen und die verschlüsselte Übertragung der Daten. Krankenhäuser müssen sicherstellen, dass ggf. notwendige Daten für das Training von KI-Modellen rechtmäßig erhoben und genutzt werden und dass die Datenqualität (Einhalten von Daten-Standards, z. B. DICOM-Daten in der Bildgebung) hoch ist, um Bias (Voreingenommenheit und Verzerrung) und Fehlfunktionen der KI-Anwendung zu vermeiden. Cybersicherheitsmaßnahmen sind unerlässlich, um Datenlecks und unautorisierte Zugriffe zu verhindern. Um diese Anforderungen umzusetzen, stehen den Verantwortlichen im Krankenhaus Spezialisten wie dem administrativen Datenschutzbeauftragen (ADSB) und der Informationssicherheitsbeauftragte (ISB) zur Seite. Diese Funktionen können auch von externen Dienstleistern bereitgestellt werden.

KI-Anwendungen im Krankenhaus dürfen keine „Black Boxen” sein. Es muss sichergestellt werden, dass die Entscheidungen und Empfehlungen der KI nachvollziehbar und erklärbar sind (Erklärbare künstliche Intelligenz – Explainable AI – XAI). Explainable AI (XAI) bezeichnet Methoden und Prozesse, die darauf abzielen, die Funktionsweise und Entscheidungsfindung von künstlicher Intelligenz (KI) für menschliche Nutzer (medizinischen Personal) verständlich zu machen. Im Krankenhaus steht der Fokus darauf: Ärzte und medizinisches Personal müssen verstehen können, wie die KI zu ihren Ergebnissen kommt, um diese kritisch bewerten und bei Bedarf korrigieren zu können und die Plausibilität erklären zu können. Dies ist nicht nur eine technische, sondern auch eine rechtliche und ethische Anforderung, insbesondere wenn es um die Verantwortung bei Fehldiagnosen oder Fehlbehandlungen geht. Der Arzt hat immer die letzte „menschliche/fachärztliche” Entscheidung zu treffen.