Beim Thema KI im Gesundheitswesen redet Deutschland noch viel, aber handelt wenig. 64 Prozent der Entscheiderinnen und Entscheider in der Gesundheitswirtschaft erkennen das Transformationspotenzial von KI, aber erst 30 Prozent haben konkrete Schritte eingeleitet (PwC Healthcare-Barometer 2026). Das ist kein Desinteresse, sondern das Ergebnis eines konkreten Problems: Datenschutzanforderungen für Gesundheitsdaten sind strenger als in fast jeder anderen Branche, und der KI-Markt gibt selten transparente Antworten darauf, wie der Einsatz mit Patientendaten vereinbar ist.
Dieser Leitfaden zeigt, welche fünf Anwendungsfelder heute praktischen Nutzen liefern, was das Datenschutzrecht bei Gesundheitsdaten besonders verlangt und wann eine eigene KI-Infrastruktur die belastbarere Wahl ist.
Kurzfassung
KI im Gesundheitswesen liefert messbaren Nutzen bei Dokumentation, Terminplanung, Abrechnung, klinischer Entscheidungsunterstützung und Verwaltung. Gesundheitsdaten unterliegen dem höchsten Datenschutzniveau des deutschen und europäischen Rechts. Medizinische KI-Systeme sind EU-AI-Act-Hochrisiko. Wer Patientendaten einem externen Anbieter übergibt, ohne die rechtliche Grundlage zu klären, geht ein Risiko ein, das sich vermeiden lässt.
Fachkräftemangel und Bürokratie: Warum das Thema jetzt dringend wird
Der Personalnotstand im deutschen Gesundheitswesen ist kein Zukunftsszenario mehr. 61 Prozent der Gesundheitsbetriebe berichten laut DIHK-Fachkräftereport 2025/2026 von starken Personalengpässen, keine andere Branche in Deutschland ist so stark betroffen. 2024 blieben rechnerisch rund 46.000 Stellen unbesetzt. PwC prognostiziert, dass bis 2035 knapp 1,8 Millionen Fachkräfte im Gesundheitswesen fehlen werden.
Gleichzeitig bindet administrative Arbeit einen erheblichen Teil der verfügbaren Zeit: Dokumentation, Abrechnung, Terminkoordination, Korrespondenz. Studien zeigen, dass Ärztinnen und Ärzte in deutschen Praxen und Kliniken durchschnittlich 30 bis 40 Prozent ihrer Arbeitszeit mit bürokratischen Tätigkeiten verbringen, nicht mit Patientenversorgung. Genau hier setzt KI an: nicht als Ersatz für Fachkräfte, sondern als Instrument, das repetitive Aufgaben übernimmt und Menschen für ihre Kernaufgaben freisetzt.
Die Kombination aus Personalmangel, steigendem Kostendruck und schleppender Digitalisierung macht KI im Gesundheitswesen heute relevanter als je zuvor. Wer die Einführung weiter aufschiebt, verschiebt auch die Entlastung.
Fünf Anwendungsfelder, die in der Praxis messbar helfen
Spracherkennungsbasierte Dokumentation. Das ist das reifste und sofort wirksamste KI-Feld im Gesundheitswesen. KI-gestützte Sprechstundenassistenten transkribieren Arzt-Patienten-Gespräche in Echtzeit und erstellen strukturierte Einträge in Praxisverwaltungs- oder Klinikinformationssystemen. Doctolib berichtet für seine KI-Dokumentationslösung von einer Reduktion des Dokumentationsaufwands um über 70 Prozent. Das sind für eine Arztpraxis mit 40 Patientenkontakten pro Tag mehrere Stunden täglich, die direkt in die Patientenversorgung zurückfließen können.
KI-gestützte Terminplanung und Kapazitätsmanagement. 72 Prozent der Patient:innen würden KI-gestützte Assistenten für die Terminvereinbarung nutzen (Doctolib Digital Health Report 2026). Moderne Terminmanagementsysteme mit KI priorisieren Anfragen nach medizinischer Dringlichkeit, optimieren die Wartezeitenverteilung und reduzieren No-Show-Raten durch automatische Erinnerungen. Für Facharztpraxen und Ambulanzen mit hohem Aufkommen ist das eine der direktesten Entlastungen.
Automatisierte Abrechnung und Kodierung. Fehlerbehaftete oder unvollständige Abrechnung kostet Praxen und Kliniken systematisch Einnahmen. KI-Systeme analysieren erbrachte Leistungen, schlagen passende Kodierungen vor und flaggen fehlende Dokumentation vor der Einreichung. Sie lernen aus Korrekturmustern der Krankenkassen und verbessern die Abrechnungsqualität über Zeit. Das entlastet die Verwaltung und verbessert gleichzeitig die Erlöse.
Klinische Entscheidungsunterstützung. KI-Systeme analysieren Patientenakten, Labordaten und Bildbefunde, erkennen Muster und liefern differenzialdiagnostische Hinweise. Bildgebungsauswertung in Radiologie, Dermatologie und Ophthalmologie ist ein reifes Feld, in dem KI nachgewiesenermaßen Befundungsqualität und Geschwindigkeit verbessert. Wichtig: Diese Systeme sind als Entscheidungsunterstützung konzipiert, nicht als Ersatz für ärztliches Urteil. Die Verantwortung für die klinische Entscheidung liegt immer beim behandelnden Arzt oder der behandelnden Ärztin.
Verwaltung und Back-Office. Dienstplanung, Bestellwesen, Personalverwaltung, interne Kommunikation: Dieser Bereich ist regulatorisch weniger kritisch, weil kein Patientenbezug besteht. Hier lassen sich cloudbasierte KI-Tools oft mit geringerem Aufwand einführen. KI-Agenten koordinieren Dienstpläne, bearbeiten Lieferantenanfragen und fassen interne Berichte zusammen. Wie solche Agenten im Detail funktionieren, erklärt der Beitrag KI-Agenten für Unternehmen.
Gesundheitsdaten: Was das Datenschutzrecht besonders verlangt
Patientendaten gehören zu den am stärksten geschützten Datenkategorien im deutschen und europäischen Recht. Für ihre Verarbeitung reicht eine allgemeine Rechtsgrundlage nicht aus. Du brauchst eine spezifische gesetzliche Grundlage, etwa aus dem Sozialgesetzbuch, eine explizite Einwilligung oder einen anderen definierten Ausnahmetatbestand. Fehlt diese Grundlage, ist die Datenverarbeitung rechtswidrig, auch wenn das KI-System selbst technisch einwandfrei funktioniert.
Ärztliche Schweigepflicht. Die berufsrechtliche Schweigepflicht gilt auch im KI-Kontext. Sobald Patientendaten an ein externes System weitergegeben werden, das von einem Drittanbieter betrieben wird, entsteht die Frage, ob das datenschutzrechtlich und berufsrechtlich zulässig ist. Ein Auftragsverarbeitungsvertrag mit dem Anbieter ist Pflicht. Dieser Vertrag muss regeln, wo Daten verarbeitet werden, welche Unterauftragnehmer involviert sind und wie die Datenlöschung nach Vertragsende sichergestellt wird.
Datenschutz-Folgenabschätzung. Bei systematischer Verarbeitung sensibler Gesundheitsdaten ist eine Datenschutz-Folgenabschätzung in aller Regel erforderlich. Das ist keine Option, sondern eine Pflicht. Wer sie überspringt, setzt sich dem Risiko aus, dass der Einsatz bei einer Prüfung durch die Datenschutzbehörde als rechtswidrig eingestuft wird. Die Konsequenzen reichen von Unterlassungsanordnungen bis zu empfindlichen Bußgeldern.
Verarbeitungsverzeichnis. Für jede KI-gestützte Datenverarbeitung, die Patientendaten einschließt, braucht es einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten. Dieser Schritt kostet wenig Zeit, ist aber fast immer der erste Schritt, den eine Datenschutzbehörde bei einer Prüfung verlangt.
Wie eine datenschutzkonforme KI-Architektur insgesamt aussieht, erklärt der Beitrag Datenschutzkonforme KI für Unternehmen und Kanzleien.
EU AI Act im Gesundheitswesen: Wann Hochrisiko gilt
Für KI im Gesundheitswesen sind die Anforderungen des EU AI Act besonders relevant, weil ein erheblicher Teil der medizinischen KI-Anwendungen als Hochrisiko eingestuft ist.
Was Hochrisiko bedeutet. KI-Systeme, die in der medizinischen Diagnose, klinischen Entscheidungsunterstützung oder Patientenklassifizierung eingesetzt werden, unterliegen den strengsten Anforderungen des EU AI Act: technische Dokumentation, ein aktives Risikomanagementsystem, zuverlässige menschliche Aufsicht und lückenlose Protokollierung. Hersteller und Betreiber tragen gemeinsam Verantwortung für die Einhaltung.
Was nicht Hochrisiko ist. Administrative KI im Gesundheitswesen fällt in der Regel nicht in die Hochrisiko-Kategorie. Terminplanung, Abrechnungsautomatisierung, interne Kommunikation: Für diese Anwendungen gelten die Transparenzpflichten, die ab dem 2. August 2026 für alle KI-Systeme in der EU greifen. Das bedeutet: Wer KI-generierte Inhalte ausgibt oder mit Personen interagierende KI-Systeme betreibt, muss das kenntlich machen.
Was das für Betreiber heißt. Wer ein Hochrisiko-KI-System im Gesundheitsbereich einsetzt, ist Betreiber im Sinne des EU AI Act und trägt eigene Pflichten, unabhängig davon, ob er das System selbst entwickelt hat. Diese Pflichten umfassen unter anderem die Überwachung des Betriebs, die Schulung der Mitarbeitenden und die Dokumentation im laufenden Betrieb.
Mehr zu den konkreten Compliance-Anforderungen liefert der Beitrag KI Compliance im Unternehmen.
Achtung: 50 Prozent der Ärzt:innen nutzen nicht autorisierte KI-Tools
Der Digital Health Report 2026 (Doctolib) zeigt, dass 50 Prozent der befragten Ärzt:innen auf private, nicht institutionell autorisierte KI-Tools zurückgreifen. Das bedeutet in den meisten Fällen: kein Auftragsverarbeitungsvertrag, keine Datenschutz-Folgenabschätzung, kein Eintrag im Verarbeitungsverzeichnis. Wer keine sichere KI-Alternative bereitstellt, hat das Problem nicht gelöst, sondern in den Graubereich verschoben.
Private KI-Infrastruktur oder Cloud: Die Infrastrukturentscheidung
Im Gesundheitswesen ist diese Entscheidung direkter als in anderen Branchen: Wer Patientendaten regelmäßig einem KI-System übergibt, hat keine neutrale Option.
Wann Cloud ausreicht. Für Anwendungen ohne Patientenbezug, also Dienstplanung, Bestellwesen, allgemeine Verwaltungskommunikation, ist ein cloudbasiertes KI-Modell mit passendem Auftragsverarbeitungsvertrag und einem Anbieter mit EU-Serverstandort in der Regel vertretbar. Die Prüfung muss trotzdem stattfinden, weil Daten aus Verwaltungsprozessen gelegentlich doch Personenbezug haben können.
Wann eine private KI-Infrastruktur nötig ist. Sobald Patientendaten dauerhaft verarbeitet werden, also bei Dokumentation, Abrechnung, klinischer Entscheidungsunterstützung oder Patientenakte-Analyse, ist eine private oder verwaltete Infrastruktur die belastbarere Wahl. Auf eigener Infrastruktur liegen Modell, Daten und Protokolle unter deiner Kontrolle: keine Weitergabe an externe Modellanbieter, dokumentierbare Datenflüsse, kontrollierbare Freigabepfade. Das sind genau die Punkte, die Datenschutzrecht und EU AI Act bei sensiblen Gesundheitsdaten fordern. Die verschiedenen Deployment-Pfade erklärt die Seite Eigene KI-Infrastruktur.
Wie du anfängst: Drei Schritte
Schritt 1: Anwendungsfall vor Tool. Welcher Prozess bindet die meiste Zeit, ohne Patienten direkt zu betreffen? Dokumentation und Terminplanung sind fast immer die besten Einstiegspunkte, weil sie täglich mehrfach vorkommen und die Datenschutzfrage durch klare Vertragslösungen handhabbar ist.
Schritt 2: Datenschutz vor Pilotbetrieb. Kläre die datenschutzrechtliche Grundlage, bevor das erste Tool produktiv geht. Auftragsverarbeitungsvertrag mit dem Anbieter, Eintrag im Verarbeitungsverzeichnis, Einschätzung, ob eine Datenschutz-Folgenabschätzung notwendig ist. Dieser Schritt kostet einmalig einige Stunden, verhindert aber Nacharbeiten im laufenden Betrieb.
Schritt 3: Mitarbeitende einbinden. Der Digital Health Report 2026 zeigt, dass mehr als 70 Prozent der Beschäftigten im Gesundheitswesen sich KI-Unterstützung bei Routineaufgaben wünschen, und 47 Prozent wollen konkret Spracherkennung für die Dokumentation. Die Mitarbeitenden sind motiviert. Das ist eine günstige Ausgangslage für die Einführung, wenn sie früh einbezogen werden und klare Nutzungsregeln bekommen.
Praxis-Tipp: Klein anfangen, konkret messen
Messe den heutigen Aufwand des Prozesses, bevor du KI einführst. Wie viele Minuten dauert die Dokumentation pro Patientenkontakt heute? Wie viele Terminanfragen kommen täglich rein, und wie lange dauert deren Bearbeitung? Ohne Baseline gibt es keinen nachweisbaren Nutzen.
Was jetzt zu tun ist
KI im Gesundheitswesen ist keine Frage des “ob”, sondern des “wie”. Der Personalmangel, die Bürokratielast und der Erwartungsdruck aus der Belegschaft machen die Frage nicht kleiner, je länger sie unbeantwortet bleibt.
Der praktische Einstieg: einen Prozess wählen, die datenschutzrechtliche Grundlage klären und einen 60-Tage-Piloten mit klaren Messgrößen starten. Im KI-Prozess-Audit erarbeitest du in 30 Minuten, welche Prozesse in deiner Einrichtung die besten Voraussetzungen mitbringen, was das Datenschutzrecht konkret verlangt und welche erste Infrastrukturentscheidung sinnvoll ist. Das Ergebnis ist eine schriftliche Zusammenfassung mit drei priorisierten Ansatzpunkten.
