Experteninterview: Healthcare & KI-Compliance

Ein Gespräch mit Daniel Kleiboldt, Legal Engineer für Healthcare-KI-Compliance

Max-Raphael Feibel hat Daniel Kleiboldt bei einer Diskussion über den EU AI Act kennengelernt und sofort gemerkt, dass er anders denkt als die meisten, die über Compliance schreiben. Kein Alarmismus, keine abstrakten Paragrafenverweise. Stattdessen konkrete Architektur-Entscheidungen und eine These, die Max als Healthcare Marketing Spezialist sofort interessiert hat. Dass rechtssichere KI-Systeme nicht nur Haftung verhindern, sondern aktiv das Vertrauen von Patienten stärken. Und Vertrauen ist im Healthcare Marketing die Währung mit dem höchsten ROI.

Written by
Published on
Last modified on

Max-Raphael Feibel
28. April 2026
28. April 2026

Der EU AI Act klingt für viele Praxisinhaber nach dem nächsten bürokratischen K.O. – Ist die Angst berechtigt?

Daniel Kleiboldt: Die Angst ist verständlich, aber sie trifft das falsche Ziel. Der AI Act ist kein neues Bürokratiemonster. Er adressiert ein Problem, das längst existiert, das nur bisher niemand sichtbar gemacht hat.

Viele Praxen setzen heute bereits KI ein. Für Arztbriefe, Terminmanagement, Befundauswertung. Die wenigsten wissen, dass sie damit seit Februar 2025 unter eine ganz konkrete gesetzliche Pflicht fallen. Art. 4 AI Act verlangt von jedem, der KI einsetzt, dass das Personal ausreichend geschult ist, um die Ergebnisse einordnen zu können. Das ist geltendes Recht, keine Zukunftsmusik.

Und das ist nur die Baseline. Der AI Act unterscheidet zwischen allgemeinen Pflichten, die für jede KI gelten, und einem deutlich erweiterten Katalog für Hochrisiko-KI. Ob ein System als Hochrisiko eingestuft wird, hängt im Healthcare-Bereich an einer erstaunlich einfachen Grenze. Sobald die KI nicht mehr nur dokumentiert, sondern anfängt, eigenständig diagnostische oder therapeutische Empfehlungen zu geben, wird sie zum Medizinprodukt, und damit greift der vollständige Betreiberpflichtenkatalog nach Art. 26 AI Act. Die genauen Fristen dafür werden gerade durch den Digital Omnibus neu justiert, aber die Richtung ist politisch eindeutig gesetzt.

Zwischen dem Versprechen im Pitch Deck und der Rechtswirklichkeit klafft eine Lücke, die kein Anbieter schließt.

Wenn ich als MVZ-Leiter morgen eine KI-Lösung für das Praxismanagement einführen will, warum reicht es nicht, einfach meinen IT-Dienstleister zu fragen?

Daniel Kleiboldt: Weil dein IT-Dienstleister keine Haftung trägt. Du schon. Wenn die KI halluziniert oder Patientendaten falsch verarbeitet, fragt die Aufsichtsbehörde nicht den Software-Entwickler in San Francisco, sondern den Geschäftsführer in Mannheim.

Das klingt hart, ist aber die rechtliche Realität. Der AI Act unterscheidet sauber zwischen Anbieter und Betreiber. Der Anbieter entwickelt die KI. Der Betreiber setzt sie im klinischen Alltag ein. Als Praxis oder MVZ bist du Betreiber, und du trägst die Verantwortung dafür, dass menschliche Kontrolle gewährleistet ist, dass Patienten informiert werden, dass die Systeme protokolliert und überwacht laufen.

Die Softwareanbieter im Healthcare-Bereich verkaufen ihre KI-Funktionen als kostenpflichtige Add-ons. Das Marketing ist präzise, die Versprechen sind konkret. Auf der Vertragsseite ist die Formulierung genauso präzise, nur in die andere Richtung. "Letztentscheidung liegt beim Anwender." Haftungsausschlüsse, die den Betreiberstatus klar beim Arzt verorten. Beides für sich genommen nachvollziehbar. Aber zwischen dem Versprechen im Pitch Deck und der Rechtswirklichkeit klafft eine Lücke, die kein Anbieter schließt. Kein DSFA-Template, keine Schulungsunterlage für das Praxisteam, keine Checkliste für die Human-Oversight-Implementierung. Der Arzt bekommt ein Produkt. Und eine FAQ. Das ist nicht dasselbe.

Diese Lücke zu füllen, ist meine Arbeit.

Wir sehen bei unseren Healthcare-Kunden oft, dass Compliance als Bremse wahrgenommen wird. Kannst du das nachvollziehen?

Daniel Kleiboldt: Absolut. Und ich verstehe, woher das kommt. Jemand will eine Kampagne aufsetzen, holt sich nachträglich eine rechtliche Einschätzung und bekommt ein Gutachten mit zehn Seiten "das geht nicht". Keine Alternative, keine Lösung, nur Nein. Das ist ein Prozess-Problem.

Ich gehe nicht ans Ende des Prozesses, sondern an den Anfang. Wenn ein System so gebaut ist, dass es bestimmte Daten gar nicht erst verarbeitet, stellt sich die Frage nach DSGVO-Konformität später nicht mehr. Das System beantwortet sie technisch.

KI-Software-Anbieter, die Compliance by Design lösen, beantworten die rechtlichen Fragen bevor sie gestellt werden.

Das hat einen direkten Marketingeffekt, den ihr bei Partner & Söhne wahrscheinlich besser messen könnt als ich. Eine Praxis, die Patienten glaubhaft erklären kann, dass ihre Daten technisch sicher sind, nicht nur vertraglich versprochen, hat eine andere Vertrauensbasis. Im Healthcare Marketing, wo Vertrauen die wichtigste Währung ist, ist das kein nettes Extra. Das ist ein Wettbewerbsvorteil, den keine Google-Ads-Kampagne ersetzen kann.

Und für die Anbieter selbst gilt dasselbe. Der Anbieter, der als erster ein strukturiertes Betreiber-Onboarding mitliefert, das beim Aktivieren der KI-Funktion automatisch den Compliance-Rahmen konfiguriert, hat ein Verkaufsargument, das kein Wettbewerber kopieren kann. "Unsere KI ist nicht nur effizient, sie ist von Anfang an rechtskonform einsetzbar." In einem Markt, in dem Ärzte über regulatorischen Mehraufwand klagen, ist das eine Botschaft, die zieht.

Was ist der eine Schritt, den ein niedergelassener Arzt jetzt machen sollte?

Daniel Kleiboldt: Herausfinden, was man eigentlich betreibt. Klingt banal. Ist es nicht.

Die meisten Praxen wissen nicht, welche ihrer Softwaresysteme KI-Komponenten enthalten. Die KI-Funktionen werden zwar als bewusstes Opt-in angeboten, als Add-ons, die aktiv hinzugebucht werden. Aber in der Praxis geht schnell der Überblick verloren, welche dieser Funktionen tatsächlich aktiviert sind, welche Daten sie verarbeiten und ob darunter Systeme sind, die eigenständig diagnostische Empfehlungen geben und damit in den Bereich der Hochrisiko-KI fallen.

Eine ehrliche Bestandsaufnahme beantwortet drei Fragen. Welche Systeme nutze ich? Welche davon haben KI-Funktionen? Welche davon berühren Patientendaten? Das ist kein Mammutprojekt, das ist ein Nachmittag mit dem richtigen Blick auf die Verträge. Danach weiß man, wo man steht. Und erst dann kann man entscheiden, was als nächstes passiert.

Über den Experten

Daniel Kleiboldt ist Legal Engineer für Healthcare-KI-Compliance. Als Diplom-Jurist, LL.M. und Software Engineer begleitet er Praxen und MVZs von der ersten Bestandsaufnahme über die Auswahl passender KI-Tools bis zur laufenden Betreiberunterstützung, und berät Health-Tech-Anbieter bei der compliance-gerechten Gestaltung ihrer Produkte.

kleiboldt.de