Die KI-Kompetenzpflicht ist Realität
Am 2. Februar 2025 trat Artikel 4 der Verordnung (EU) 2024/1689, besser bekannt als EU AI Act, in Kraft. Damit gilt in allen EU-Mitgliedstaaten eine verbindliche Pflicht: Jeder, der KI-Systeme bereitstellt oder einsetzt, muss über ausreichende KI-Kompetenz verfügen (Quelle: Europäisches Parlament, Verordnung (EU) 2024/1689, Art. 4, veröffentlicht im Amtsblatt der EU am 12. Juli 2024).
Das betrifft auch Zahnarztpraxen. Wer digitale Röntgendiagnostik mit KI-Unterstützung nutzt, eine KI-gestützte Terminvergabe einsetzt oder automatisierte Abrechnungssysteme betreibt, fällt unter den Anwendungsbereich dieser Verordnung. EU-Binnenmarktkommissar Thierry Breton betonte bei der Verabschiedung: „Der AI Act schafft einen klaren Rahmen, der Innovation ermöglicht und gleichzeitig die Grundrechte der Bürger schützt -- insbesondere im sensiblen Bereich der Gesundheitsversorgung" (EU-Kommission, Pressemitteilung, Juli 2024).
Was Art. 4 konkret verlangt
Art. 4 EU AI Act fordert, dass Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, um ein ausreichendes Maß an KI-Kompetenz bei ihrem Personal sicherzustellen. Die Verordnung definiert KI-Kompetenz als die Fähigkeit, KI-Systeme sachkundig einzusetzen und sich der Chancen und Risiken bewusst zu sein (Quelle: EU AI Act, Art. 4 Abs. 1 und Erwägungsgrund 20).
Konkret bedeutet das für Praxisinhaber:
- Schulungspflicht: Mitarbeitende, die mit KI-Systemen arbeiten, müssen geschult werden
- Dokumentation: Die durchgeführten Schulungen sollten dokumentiert sein
- Angemessenheit: Der Umfang der Schulung richtet sich nach dem Risikolevel des eingesetzten KI-Systems und der Rolle der Person
- Laufende Aktualisierung: KI-Kompetenz ist keine einmalige Maßnahme, sondern muss bei Systemänderungen aktualisiert werden
Risikoklassen: Wo steht die Zahnmedizin?
Der EU AI Act ordnet KI-Systeme in vier Risikoklassen ein: verboten, hochriskant, begrenztes Risiko und minimales Risiko. Für Zahnarztpraxen sind vor allem zwei Kategorien relevant.
Hochriskant (Anhang III)
KI-Systeme, die in der medizinischen Diagnostik eingesetzt werden, können als Medizinprodukt unter die Hochrisikoklasse fallen. Das betrifft etwa KI-gestützte Röntgenbildanalyse, die als Software as a Medical Device (SaMD) gemäß der EU-Medizinprodukteverordnung (MDR 2017/745) eingestuft wird (Quelle: EU AI Act, Art. 6 Abs. 1 in Verbindung mit Anhang I Abschnitt A).
Für diese Systeme gelten erweiterte Anforderungen:
- Konformitätsbewertung durch den Hersteller oder eine benannte Stelle
- Risikomanagementsystem gemäß Art. 9 EU AI Act
- Technische Dokumentation und Aufzeichnungspflichten
- Menschliche Aufsicht bei der Nutzung (Art. 14)
Die gute Nachricht: Diese Pflichten treffen primär den Hersteller des KI-Systems, nicht die Zahnarztpraxis. Praxen müssen jedoch sicherstellen, dass sie nur zertifizierte Systeme einsetzen und die Herstellervorgaben einhalten.
Begrenztes oder minimales Risiko
KI-Empfangssysteme, Chatbots und automatisierte Terminvergabe fallen in der Regel unter begrenztes Risiko (Art. 50, Transparenzpflichten). Hier besteht eine Pflicht zur Offenlegung: Patienten müssen darüber informiert werden, dass sie mit einem KI-System interagieren (Quelle: EU AI Act, Art. 50 Abs. 1).
DSGVO trifft EU AI Act: Doppelte Compliance
Zahnarztpraxen in Deutschland unterliegen gleichzeitig der DSGVO und dem EU AI Act. Die beiden Regelwerke ergänzen sich, schaffen aber auch zusätzliche Anforderungen.
Gesundheitsdaten gelten nach Art. 9 DSGVO als besondere Kategorie personenbezogener Daten. Ihre Verarbeitung durch KI-Systeme erfordert eine ausdrückliche Einwilligung oder eine andere Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat in seiner Stellungnahme zum EU AI Act klargestellt, dass die DSGVO uneingeschränkt neben dem AI Act gilt und keinen Vorrang verliert (Quelle: BfDI, Stellungnahme zum AI Act, 2024).
Für Praxen bedeutet das in der Praxis:
- Datenschutz-Folgenabschätzung (DSFA): Beim Einsatz von KI mit Gesundheitsdaten in der Regel erforderlich (Art. 35 DSGVO)
- Auftragsverarbeitung: Wenn KI-Dienstleister Patientendaten verarbeiten, braucht es einen AVV nach Art. 28 DSGVO
- Datenminimierung: KI-Systeme dürfen nur die Daten verarbeiten, die für den jeweiligen Zweck notwendig sind
- Transparenz: Patienten müssen über den Einsatz von KI und die Verarbeitung ihrer Daten informiert werden
Was Praxisinhaber jetzt tun sollten
1. Bestandsaufnahme der eingesetzten KI
Welche Systeme in der Praxis nutzen KI? Typische Beispiele:
- Röntgendiagnostik mit automatischer Befundunterstützung (z.B. Karieserkennung, Parodontalanalyse)
- Terminvergabe und Empfang über digitale Assistenten
- Abrechnungssoftware mit automatisierten Vorschlägen
- Praxisverwaltungssysteme mit KI-gestützter Dokumentation
2. Risikoklasse bestimmen
Für jedes identifizierte System: In welche Risikoklasse fällt es? Medizinprodukte mit KI-Komponente sind potenziell hochriskant. Kommunikationssysteme wie Chatbots oder Empfangsassistenten fallen unter begrenztes Risiko.
3. Schulungen organisieren
Art. 4 verlangt nachweisbare KI-Kompetenz. Das bedeutet: Schulungsmaßnahmen für alle Mitarbeitenden, die mit KI-Systemen arbeiten. Der Umfang richtet sich nach der Risikoklasse und der Rolle im Umgang mit dem System.
Laut einer Umfrage des Hartmannbunds geben 73 Prozent der niedergelassenen Ärzte an, sich nicht ausreichend über KI-Regulierung informiert zu fühlen (Quelle: Hartmannbund, Umfrage zur Digitalisierung im Gesundheitswesen, 2024). In der Zahnmedizin dürfte die Quote ähnlich hoch liegen. Die DGZMK empfiehlt: „Zahnärztinnen und Zahnärzte sollten sich proaktiv mit den Anforderungen des EU AI Act auseinandersetzen, bevor die Aufsichtsbehörden mit der Durchsetzung beginnen" (DGZMK, Stellungnahme zum EU AI Act, 2024).
4. Dokumentation aufbauen
Halten Sie schriftlich fest, welche KI-Systeme eingesetzt werden, welche Schulungen durchgeführt wurden und wie die Transparenzpflichten umgesetzt werden. Diese Dokumentation ist im Falle einer Prüfung durch Aufsichtsbehörden relevant.
5. Anbieter prüfen
Achten Sie bei der Auswahl von KI-Systemen darauf, dass der Hersteller die Anforderungen des EU AI Act erfüllt. Fragen Sie nach Konformitätserklärungen, CE-Kennzeichnungen bei Medizinprodukten und nach der Datenverarbeitungsarchitektur. Bevorzugen Sie Anbieter, die Daten lokal verarbeiten und keine Patientendaten in die Cloud übertragen.
Bodo Tech und Compliance
Paira, unser KI-Empfangssystem für Zahnarztpraxen, wurde von Anfang an mit regulatorischer Compliance als Grundprinzip entwickelt. Alle Patientendaten werden ausschließlich auf dedizierter Hardware in der Praxis verarbeitet, ohne Cloud-Übertragung in Drittstaaten. Die DSGVO-konforme Architektur ist in unserem Beitrag zur datenschutzkonformen KI ausführlich beschrieben.
Für die Transparenzpflicht nach Art. 50 EU AI Act informiert Paira Patienten aktiv darüber, dass sie mit einem KI-System kommunizieren. Die technischen Details unserer Lösung finden Sie im Beitrag zur Technologie hinter Paira.
Wie der klassische Praxisempfang im Vergleich zu einer KI-gestützten Lösung abschneidet, zeigt unser faktenbasierter Vergleich.
Haeufig gestellte Fragen
Gilt der EU AI Act auch für kleine Zahnarztpraxen?
Ja. Art. 4 EU AI Act macht keinen Unterschied nach Praxisgröße. Jede natürliche oder juristische Person, die ein KI-System einsetzt, fällt unter die Verordnung. Entscheidend ist nicht die Größe der Praxis, sondern ob KI-Systeme zum Einsatz kommen. Allerdings richtet sich der Umfang der Pflichten nach der Risikoklasse des Systems und der Rolle des Betreibers.
Welche Strafen drohen bei Verstößen gegen den EU AI Act?
Der EU AI Act sieht Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist (Art. 99). Für Verstöße gegen Art. 4 (KI-Kompetenzpflicht) sind die Strafen geringer, können aber dennoch empfindlich ausfallen. Die nationalen Aufsichtsbehörden werden die Durchsetzung schrittweise aufnehmen.
Brauche ich eine Datenschutz-Folgenabschätzung für KI in meiner Praxis?
In den meisten Fällen ja, wenn das KI-System Gesundheitsdaten verarbeitet. Art. 35 DSGVO verlangt eine DSFA bei systematischer und umfassender Bewertung persönlicher Aspekte, bei der Verarbeitung besonderer Datenkategorien in großem Umfang oder bei systematischer Überwachung öffentlich zugänglicher Bereiche. KI-gestützte Diagnostik und Patientenkommunikation fallen häufig unter mindestens eines dieser Kriterien.
Muss ich Patienten informieren, wenn ich KI in der Praxis einsetze?
Ja. Art. 50 EU AI Act verlangt, dass Personen, die mit einem KI-System interagieren, darüber informiert werden. Das gilt insbesondere für KI-Chatbots, Empfangsassistenten und automatisierte Kommunikationssysteme. Zusätzlich verlangt die DSGVO (Art. 13 und 14) eine Information über die Verarbeitung personenbezogener Daten. In der Praxis bedeutet das: ein klar sichtbarer Hinweis am Empfang und in der digitalen Kommunikation.
Wo finde ich zugelassene Schulungen zur KI-Kompetenz für Zahnarztpraxen?
Aktuell befinden sich die Schulungsangebote im Aufbau. Die Zahnärztekammern der Länder werden voraussichtlich zertifizierte Fortbildungen anbieten. Auch private Anbieter entwickeln spezifische Kurse für die zahnmedizinische Praxis. Achten Sie darauf, dass Schulungen den Anforderungen des Art. 4 entsprechen und idealerweise CME-zertifiziert sind. Bodo Tech informiert auf der Homepage über aktuelle Schulungsangebote für PAIRA-Kunden.