Recht: KI als ärztliches Hilfsmittel – wer haftet für was?

Künstliche Intelligenz (KI) birgt großes Potenzial zur Qualitäts- und Effizienzsteigerung in der Medizin. Rechtlich bleibt sie jedoch ein Werkzeug. Die Verantwortung für Diagnose und Therapie liegt bei Ärztinnen und Ärzten. Hersteller verantworten die Produktsicherheit, Einrichtungen die Organisation und Auswahl.

Künstliche Intelligenz (KI) wird zunehmend als ärztliches Hilfsmittel eingesetzt, etwa in der Radiologie, Pathologie, Dermatologie oder bei klinischen Entscheidungsunterstützungssystemen. Die Systeme versprechen Effizienzgewinne, bessere Diagnostik und standardisierte Prozesse. Sie analysieren und fügen Daten zusammen, unterbreiten Diagnose- und Therapievorschläge oder verfassen automatisiert Arztbriefe. Zugleich werfen sie haftungsrechtliche, regulatorische und datenschutzrechtliche Fragen auf.

KI als ärztliches Hilfsmittel

KI ist und darf kein eigenständiger „Behandler“ sein. Es bleibt ein Hilfsmittel. Auch wenn ein System konkrete Therapieoptionen vorschlägt, obliegt die ärztliche Verantwortung für Diagnose und Therapie noch den Ärztinnen und Ärzten. Beispiel: Ein KI-System analysiert ein Röntgenbild und markiert einen möglichen Lungenrundherd. Übernehmen Ärzte diese Einschätzung ungeprüft und übersehen dabei weitere klinische Hinweise, bleiben sie für eine Fehlbeurteilung verantwortlich. Die KI entlastet sie nicht.

KI bietet dennoch Vorteile. Beispiele dafür sind eine schnellere Bildauswertung und Priorisierung auffälliger Befunde, die Unterstützung bei Seltenen Erkrankungen durch Mustererkennung oder auch die Reduktion administrativer Tätigkeiten. Richtig eingesetzt kann KI die Patientensicherheit erhöhen und Ressourcen effizienter nutzbar machen. Auch als „zweite Meinung“ oder als Screening-Instrument entfaltet sie ihr Potenzial. 

Die zentralen Risiken liegen dagegen in der Intransparenz. Die Art und Weise der Verarbeitung erfolgt weitestgehend in einer Blackbox. Verzerrte Trainingsdaten (Bias) führen zu Problemen in den Ergebnissen. Weitere Risiken entstehen, wenn Mitarbeitende ein Übervertrauen in technische Systeme haben, durch IT-Sicherheitslücken und unklare Verantwortungsverteilung.

Einordnung als Medizinprodukt

Viele KI-Systeme im Gesundheitsbereich sind rechtlich als Medizinprodukte einzustufen. Maßgeblich ist die europäische Medizinprodukteverordnung (Verordnung [EU] 2017/745), die in allen Mitgliedstaaten der Europäischen Union gilt. KI, die für diagnostische oder therapeutische Zwecke bestimmt ist, fällt regelmäßig darunter. Abzustellen ist jeweils auf die vom Hersteller vorgegebene bestimmungsgemäße Verwendung, die sich auch aus der Werbung und Produktdarstellung ergeben kann. Dient eine KI nach Herstellerangaben beispielsweise der Formulierung eines Arztbriefes einschließlich Diagnosevorschlag und Therapieempfehlung, handelt es sich um ein Medizinprodukt. Eine bloße Formulierungshilfe ohne einen vom Hersteller beabsichtigten medizinischen Bezug ist kein Medizinprodukt.

Hersteller von Medizinprodukten müssen einen regulatorischen Aufwand einschließlich eines Konformitätsbewertungsverfahrens, Risikomanagements und Marktüberwachung betreiben, der letztlich auch der Patienten- und Anwendersicherheit dient. Hinzu tritt die europäische KI-Verordnung (AI Act), die KI-Systeme risikobasiert einstuft. Daraus können zusätzliche Anforderungen an Transparenz, Dokumentation, Risikomanagement, Datenqualität und menschliche Aufsicht folgen.

Haftungsverteilung: Arzt, Hersteller, Einrichtung

Gesundheitseinrichtungen müssen darauf achten, nur ordnungsgemäß zugelassene Produkte einzusetzen. Bringen sie ein Produkt aus einem Drittland in der EU in den Verkehr, haften sie als Importeur. Importeure, die ein Produkt verändern oder unter eigenem Namen in den Verkehr bringen, übernehmen selbst Herstellerpflichten. Für Ärzte bleibt entscheidend: Die regulatorische Zulassung ersetzt nicht die individuelle Plausibilitätsprüfung im konkreten Behandlungsfall.

Eine Haftung kann sich abhängig von der Fehlerquelle unterschiedlich verteilen:

• Haftung der Ärztinnen und Ärzte: Sie haften aus dem Behandlungsvertrag oder deliktisch bei schuldhafter Verletzung des Facharztstandards. Maßstab ist, was sorgfältige, gewissenhafte Ärztinnen und Ärzte in der konkreten Situation getan hätten. Vertrauen sie blind auf ein KI-System, ohne dessen Ergebnisse kritisch zu prüfen, kann das ein Behandlungsfehler sein. Sie haben die Pflicht zur eigenständigen medizinischen Bewertung.
• Haftung des Herstellers: Liegt der Fehler im Produkt selbst, etwa in einem fehlerhaften Algorithmus oder unzureichender Risikokennzeichnung, kommt auch eine Haftung des Herstellers in Betracht. Grundlage können Ansprüche der verschuldensunabhängigen Produkthaftung sein.
• Haftung der Einrichtung: Kliniken und medizinische Versorgungszentren haften demgegenüber organisatorisch. Sie müssen geeignete Systeme auswählen, Mitarbeitende schulen und sichere IT-Strukturen bereitstellen. Unterlassen sie dies, kann ein Organisationsverschulden vorliegen.

Datenschutzrechtliche Vorgaben

KI-Systeme im Gesundheitswesen verarbeiten Gesundheitsdaten, also besondere Kategorien personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO). Deren Verarbeitung ist nur zulässig, wenn es dafür eine gesetzliche Grundlage gibt. Dabei ist darauf zu achten, welche Art von Daten wo zu welchem Zweck verarbeitet werden. Das ist nicht nur bei der Auswahl des KI-Anbieters zu beachten. Selbst wenn Daten zum Training eigener KI-Systeme verwendet werden, stellt sich die Frage der Anonymisierung oder zumindest einer strengen Pseudonymisierung. Eine unzulässige Weitergabe oder Nutzung kann Bußgelder und Schadensersatzansprüche auslösen. Beispiel: Eine Klinik speist ungeprüft Patientendaten in ein externes KI-Trainingssystem eines Drittanbieters ein, ohne Vertrag oder ausreichende Rechtsgrundlage. Der Klinik drohen datenschutzrechtliche Sanktionen, unabhängig von etwaigen Behandlungsfehlern.

Die Zukunft der medizinischen KI liegt derzeit noch in der qualifizierten Unterstützung. Voraussetzung ist ein reflektierter, regulierungskonformer und kritisch prüfender Einsatz. Wer KI als Assistenzsystem versteht und nicht als Entscheidungsautomat, minimiert Haftungsrisiken und nutzt zugleich ihre Chancen zum Wohle der Patienten.

Dtsch Arztebl 2025; 123(7): [2]