Der Krankenhausalltag ist ohne künstliche Intelligenz kaum noch vorstellbar: KI-Systeme unterstützen bei der Diagnose, optimieren Terminvergaben und Verwaltungsaufgaben, und verarbeiten im Hintergrund große Mengen an Dokumenten. Der EU AI Act schafft dafür den gesetzlichen Rahmen. Kliniken müssen künftig nachweisen, dass sie KI-Systeme transparent, nachvollziehbar und verantwortungsvoll einsetzen. Die ISO/IEC 42001 bietet dazu hilfreiche Instrumente. 

Der EU AI Act wird seit seinem Inkrafttreten am 10.8.2024 schrittweise umgesetzt: Seit Februar 2025 sind KI-Systeme mit inakzeptablem Risiko verboten. Ab August 2026 gelten die Kernvorschriften für sogenannte Hochrisiko-KI-Systeme, zu denen viele medizinische Anwendungen zählen. Auch administrative Prozesse, etwa das Bewerbermanagement oder die automatisierte Kodierung, können unter die Regelungen fallen. Das heißt, IT-Verantwortliche müssen alle eingesetzten Systeme erfassen, deren Risiken bewerten und dokumentieren. Die ISO/IEC 42001 ist die erste internationale Norm für Managementsysteme für künstliche Intelligenz, KIMS. Auf Basis des Plan-Do-Check-Act-Zyklus hilft sie Unternehmen, KI-Systeme verantwortungsbewusst, ethisch und transparent zu entwickeln, bereitzustellen, zu nutzen und in bestehende Strukturen zu integrieren.

Risiken auf allen Ebenen begegnen

Wie relevant Verantwortungs- und Risikobewusstsein bei der KI-Entwicklung und -Nutzung sind, zeigen typische Szenarien aus dem Klinikbetrieb. Zwar kann KI in der Radiologie, Studien zufolge, die Brustkrebserkennung um bis zu 20 Prozent verbessern. Ein Software-Update kann die Funktionsweise jedoch derart verändern, dass ohne strukturierte Dokumentation unklar bleibt, ob dadurch neue Risiken entstehen. Ein KIMS nach ISO/IEC 42001 verlangt daher eine systematische Überprüfung und Dokumentation solcher Änderungen. Ähnlich im Patientenmanagement: Terminplanung, beispielsweise für OPs, mit Hilfe von KI spart Zeit. Unausgewogene Datengrundlagen können jedoch Verzerrungen verursachen. Ein KIMS hilft, diese Risiken zu erkennen und zu korrigieren. Selbst bei scheinbar unkritischen Verwaltungsanwendungen, etwa der automatisierten Dokumentenklassifikation, steht die Nachvollziehbarkeit im Vordergrund. Gerade bei sensiblen Patientendaten muss jede Entscheidung überprüfbar bleiben.

Struktur und Transparenz schon bei der Einführung

Unklar ist bisweilen, wie so ein System zu implementieren ist. Am Anfang identifiziert eine Gap-Analyse Abweichungen von der betrieblichen Praxis zu den regulatorischen Anforderungen. Es folgt ein zweistufiges Audit, wobei erst die formale Dokumentation im Hinblick auf eine Zertifizierungsreife und anschließend die praktische Umsetzung der Normanforderungen bewertet werden. Kommt die Prüfung zu einem positiven Ergebnis wird das Zertifikat ausgestellt. Es gilt drei Jahre und muss in dieser Zeit durch regelmäßige Überwachungen seitens der Zertifizierungsstelle bestätigt werden. Der Nutzen für IT-Verantwortliche: Ein zertifiziertes KIMS unterstützt Rechtssicherheit, da Risiken strukturiert erfasst und regulatorisch eingeordnet werden. Es stärkt das Vertrauen von Patienten, Mitarbeitenden und Partnern, weil der verantwortungsvolle Umgang mit KI-Systemen dokumentiert ist. Das Management, der Einkauf oder die Haustechnik profitieren von effizienteren Prozessen und Updates. Beschaffungen oder Audits sind mit weniger Aufwand möglich. Zudem erleichtert die Norm die Zusammenarbeit mit externen Partnern, etwa Medizintechnikherstellern oder IT-Dienstleistern. Denn eine KIMS-Zertifizierung zeigt Verlässlichkeit und bietet eine solide Basis für gemeinsame Projekte, die über die Klinikgrenzen hinausgehen. Dies ist besonders wichtig, da viele Anwendungen in komplexen Lieferketten entstehen und betreut werden. Kliniken, die hier proaktiv agieren, können mit Partnern auf Augenhöhe verhandeln und regulatorische Anforderungen bereits in frühen Projektphasen gemeinsam adressieren.

Rechtzeitige Vorsorge fürs IT-Management

Angesichts zunehmender, immer detaillierterer Regulierungen zur KI-Nutzung sollten Klinikleiter und IT-Verantwortliche frühzeitig handeln. Wer jetzt ein KI-Managementsystem nach ISO/IEC 42001 etabliert, stellt sicher, dass die eigenen Systeme nicht nur für Compliance-Anforderungen gut aufgestellt, sondern auch zukunftsfähig sind. Für IT-Manager bedeutet das, die Weichen so zu stellen, dass die digitale Transformation des Krankenhauses auf einer belastbaren Grundlage weitergeführt werden kann. So wird die ISO/IEC 42001 zu einem Baustein für die strategische Weiterentwicklung von IT im Gesundheitswesen.

ISO/IEC 42001 in Gesundheitswesen und Medizintechnik – Mit zertifizierter KI bereit für den EU AI Act Der 2024 in Kraft getretene EU Artificial Intelligence Act (EU AI Act) fordert, Künstliche Intelligenz transparent, nachvollziehbar und risikobewusst zu entwickeln und anzuwenden. Das ist besonders wichtig in sicherheitskritischen Bereichen wie Diagnostik oder Patientendatenschutz. ISO/IEC 42001 ist die erste zertifizierbare Norm für KI-Managementsysteme. Sie unterstützt Produktentwickler, Kliniken und Dienstleister dabei, ihre KI-Prozesse verantwortungsvoll zu gestalten.

Autoren: Thomas Janz und Dr. Ibrahim Halfaoui, TÜV SÜD

Quelle: Krankenhaus-IT Journal, Ausgabe 06/2025 - Stand Dezember 2025