KI-Kompetenz im Krankenhaus:
Vom Pflichtpunkt zum Wettbewerbsvorteil
Seit dem 2. Februar 2025 ist KI-Kompetenz nach Art. 4 EU AI Act für alle Klinikbetreiber Pflicht. Was das praktisch heißt, wie ein wirksames Programm aussieht und wo deutsche Häuser stehen.
Auf einen Blick
- Seit dem 2. Februar 2025 verpflichtet Art. 4 EU AI Act alle Anbieter und Betreiber von KI-Systemen, ein angemessenes Kompetenzniveau ihres Personals sicherzustellen.
- Die Europäische Kommission hat im Februar 2025 ein offizielles Antwortenpapier zur KI-Kompetenz veröffentlicht und am 19. November 2025 erneut überarbeitet. Es konkretisiert den Umfang der Pflicht.
- Im Krankenhaus betrifft die Pflicht alle Berufsgruppen, die KI-Systeme nutzen oder von ihnen betroffen sind. Sie betrifft also nicht nur die Informationstechnik und die Rechtsabteilung.
- Wirksame Programme verbinden technisches Verständnis, regulatorisches Wissen, ethische Reflexion und eine rollenspezifische Anwendung. Rein digitale Schulungen genügen nach Auffassung der Kommission ausdrücklich nicht.
Aus der Verbots- in die Befähigungsperspektive
Im letzten Beitrag zur Schatten-KI im Krankenhaus hat sich gezeigt, dass Verbote ohne Befähigung wirkungslos bleiben. KI-Kompetenz ist die andere Seite derselben Medaille. Wo Klinikbeschäftigte KI-Systeme einsetzen, müssen sie verstehen, was diese Systeme können, wo deren Grenzen liegen und welche Verantwortung sie selbst tragen.
Seit dem 2. Februar 2025 ist diese Befähigung nicht mehr nur fachlich, sondern auch regulatorisch geboten. Art. 4 der KI-Verordnung (EU) 2024/1689 verlangt von Anbietern und Betreibern, dass das eigene Personal über ein „angemessenes Maß an KI-Kompetenz" verfügt. Für Krankenhäuser entsteht daraus eine doppelte Aufgabe. Sie müssen einerseits die regulatorische Pflicht erfüllen und andererseits ihre Versorgungsqualität sichern. Die Bundesärztekammer hat das in ihrer Stellungnahme vom Januar 2025 deutlich formuliert. Die Vermittlung digitaler Kompetenzen in Aus-, Weiter- und Fortbildung sei von „zentraler Bedeutung" (Bundesärztekammer 2025).
Was KI-Kompetenz im Sinne der KI-Verordnung bedeutet
Die KI-Verordnung definiert KI-Kompetenz in Art. 3 Nr. 56 als „die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden".
Art. 4 übersetzt diese Definition in eine Handlungspflicht. Anbieter und Betreiber müssen Maßnahmen ergreifen, um „nach besten Kräften" ein „ausreichendes Maß an KI-Kompetenz" sicherzustellen. Das gilt sowohl für eigenes Personal als auch für sonstige Personen, die in ihrem Auftrag mit KI-Systemen arbeiten. Dabei sind technisches Wissen, Erfahrung, Ausbildung und der konkrete Einsatzkontext zu berücksichtigen.
Die Europäische Kommission hat diese Vorgaben in ihrem Antwortenpapier zur KI-Kompetenz konkretisiert (EU-Kommission, Stand 19.11.2025). Drei Punkte sind für Kliniken besonders bedeutsam. Erstens erstreckt sich die Pflicht nicht nur auf eigene Beschäftigte, sondern auch auf Auftragnehmer und Dienstleister, die KI in der Klinik einsetzen. Zweitens gibt es keine starre Mindestform; die Maßnahmen müssen aber dem Risiko, dem Einsatzkontext und dem Vorwissen der Beschäftigten entsprechen. Drittens hält die Kommission das bloße Verteilen von Bedienungsanleitungen oder Verweise auf Schulungen der Hersteller für „ineffektiv und unzureichend".
Warum gerade jetzt? Der regulatorische Hintergrund
Drei Daten markieren den Zeitdruck. Erstens gilt Art. 4 seit dem 2. Februar 2025 unmittelbar in allen Mitgliedstaaten. Zweitens beginnt die Marktaufsicht durch nationale Behörden ab dem 2. August 2026. Drittens mussten die Mitgliedstaaten bis zum 2. August 2025 nationale Sanktionsregeln festlegen, auf deren Grundlage die Aufsichtsbehörden ab August 2026 vorgehen können (EU-Kommission, Antwortenpapier KI-Kompetenz).
KI-Kompetenz steht regulatorisch zudem nicht isoliert. Sie greift in eine Reihe bereits etablierter Schulungs- und Sorgfaltspflichten ein. Art. 32 DSGVO verpflichtet zur Schulung im Datenschutz als Teil der technisch-organisatorischen Maßnahmen. Die Medizinprodukte-Verordnung (EU) 2017/745 verlangt Anwenderschulungen für regulierte Medizinprodukte, einschließlich KI-basierter Software ab Klasse IIa. § 75c SGB V verpflichtet Krankenhäuser seit dem 1. Januar 2022 zu IT-Sicherheit „nach dem Stand der Technik". Diesen Stand konkretisiert der Branchenspezifische Sicherheitsstandard B3S Medizinische Versorgung der Deutschen Krankenhausgesellschaft, dessen Eignung das Bundesamt für Sicherheit in der Informationstechnik am 3. November 2025 mit dreijähriger Gültigkeit anerkannt hat.
Wer die KI-Kompetenz nach Art. 4 EU AI Act systematisch aufbaut, schlägt damit eine Brücke zu diesen bestehenden Pflichten.
Wer braucht welche Kompetenz
Die EU-Kommission betont, dass KI-Kompetenz rollen- und einsatzspezifisch zu denken ist. Für eine Klinik lassen sich daraus mindestens sieben Zielgruppen ableiten.
- Klinikleitung und Vorstand brauchen ein strategisches Verständnis von KI, eine klare regulatorische Verantwortung und die Fähigkeit, das eigene KI-Angebot zu steuern.
- KI- und Datenschutzbeauftragte vertiefen Methoden, Normen und Prüfverfahren. Hier liegt die Schnittstelle zu ISO/IEC 42001 und zur Datenschutz-Folgenabschätzung nach der DSGVO.
- Ärzteschaft muss KI-Ergebnisse klinisch bewerten, Halluzinationen und das Übervertrauen in automatisierte Systeme erkennen sowie Haftungsfragen kennen. Die Bundesärztekammer hat am 21. Februar 2025 die Verankerung digitaler Kompetenzen in Aus-, Weiter- und Fortbildung ausdrücklich gefordert.
- Pflege und Hebammen brauchen eine sichere Nutzung im Schichtbetrieb, ein gutes Gespür für Warnsignale und klare Wege zur Eskalation. Marburger Bund und Verband der Leitenden Krankenhausärzte haben im November 2025 betont, dass KI Ärztinnen und Ärzte entlasten und nicht zusätzlich belasten soll (Marburger Bund, November 2025).
- Medizincontrolling und Codierung prüfen die Plausibilität KI-erzeugter Vorschläge und entwickeln ein Verständnis für die Grenzen der zugrunde liegenden Modelle.
- Verwaltung, Personalwesen und Beschaffung achten auf KI-Klauseln in Verträgen und auf die nach Art. 5 EU AI Act verbotenen Praktiken, etwa eine Emotionserkennung am Arbeitsplatz.
- Informationstechnik und medizinische Informatik verantworten Architektur, Protokollierung, Modellüberwachung sowie die Anbindung an das Krankenhausinformationssystem und an die Interoperabilitätsplattform.
Inhalte eines wirksamen Lehrplans
Da Art. 4 EU AI Act keine starre Form vorgibt, müssen Klinikleitungen den Lehrplan eigenständig festlegen. Bewährt hat sich ein dreistufiger Aufbau.
Das Basismodul für alle Beschäftigten vermittelt Grundwissen. Was ist KI, wie funktioniert sie, welche KI-Systeme sind im eigenen Haus freigegeben und welche Inhalte dürfen unter keinen Umständen eingegeben werden? Inhaltlich knüpft das Modul an die hauseigene Nutzungsrichtlinie und an die freigegebene geschützte Testumgebung an.
Das Vertiefungsmodul für Ärzteschaft und Pflege behandelt klinische Anwendungen. Schwerpunkte sind laut Stellungnahme der Bundesärztekammer Halluzinationen, das Übervertrauen in automatisierte Systeme, Verzerrungen durch unrepräsentative Trainingsdaten und der Erhalt KI-unabhängigen Erfahrungswissens (Bundesärztekammer 2025).
Das Aufbaumodul für Führung und Pflichterfüllung orientiert sich an ISO/IEC 42001. Die Norm verlangt in ihrer Klausel 7.2, dass Organisationen die für KI-Tätigkeit benötigten Kompetenzen bestimmen, Nachweise dokumentieren und sicherstellen, dass diese Kompetenzen vorliegen. So entsteht eine prüfbare Kette aus Anforderung, Schulung, Dokumentation und Wirksamkeitskontrolle.
Methodisch zeigen Erhebungen ein wachsendes Interesse an Mischformen aus Präsenz- und Onlineanteilen. Eine Bitkom-Umfrage zur betrieblichen Weiterbildung 2025 verzeichnet hohe Zustimmung zu KI-gestützten Trainingsangeboten und zu Kurzlerneinheiten (Bitkom Akademie, Weiterbildungsstudie 2025).
Häufige Stolperfallen in der Umsetzung
Die EU-Kommission und die einschlägige Beratungsliteratur weisen wiederkehrend auf vier Fehler hin.
- Eine einmalige Schulung statt eines fortlaufenden Programms. Art. 4 verlangt ein „ausreichendes Maß", das mit neuen Systemen und Aktualisierungen fortgeschrieben werden muss.
- Eine rein digitale Schulung. Die Kommission stuft das ausdrücklich als unzureichend ein, wenn KI-Ergebnisse zu interpretieren oder zu verantworten sind.
- Ein Fokus auf Informationstechnik und Rechtsabteilung ohne Ärzteschaft und Pflege. Damit bleibt der größte Risikoanteil ungeschult, weil dort die klinischen Entscheidungen fallen.
- Ein fehlendes Nachweissystem. Ohne dokumentierte Teilnehmenden-, Inhalts- und Wirksamkeitsbelege ist die Pflicht in einem Aufsichtsverfahren nicht nachweisbar. ISO/IEC 42001 Klausel 7.2 verlangt diese Nachweise.
Verzahnung mit anderen Pflichten und Standards
Ein Programm zur KI-Kompetenz sollte nicht isoliert neben anderen Schulungspflichten stehen. Wirksam wird es, wenn es mit den vorhandenen Pflichtfeldern verzahnt ist. Die folgende Übersicht ordnet die relevanten Pflichten ein und grenzt sie gegenüber freiwilligen Standards ab.
| Pflicht oder Standard | Adressat | Konkrete Handlungspflicht | Status |
|---|---|---|---|
| Art. 4 EU AI Act | Anbieter und Betreiber von KI-Systemen | Angemessenes Maß an KI-Kompetenz bei Personal und beauftragten Dritten sicherstellen | verbindlich seit 2. Februar 2025 |
| Art. 32 DSGVO | Verantwortliche im Sinne der DSGVO | Schulung zur Verarbeitung personenbezogener Daten als Teil der technisch-organisatorischen Maßnahmen | verbindlich |
| Anwenderschulung nach Medizinprodukte-Verordnung | Betreiber regulierter Medizinprodukte | Schulung in der bestimmungsgemäßen Anwendung, einschließlich KI-basierter Software ab Klasse IIa | verbindlich |
| § 75c SGB V | Krankenhäuser ab definierter Schwelle | IT-Sicherheit nach dem Stand der Technik, alle zwei Jahre nachgewiesen | verbindlich |
| B3S Medizinische Versorgung | Krankenhäuser im Anwendungsbereich | 168 Sicherheitsmaßnahmen, anerkannt durch das BSI als Stand der Technik | konkretisiert die Pflicht aus § 75c SGB V |
| ISO/IEC 42001 | freiwillig | Managementsystem für Künstliche Intelligenz, Kompetenz-Nachweise nach Klausel 7.2 | freiwilliger Rahmen, kein gesetzlicher Zwang |
Schulungen zur DSGVO nach Art. 32 lassen sich um KI-spezifische Datenschutzfragen erweitern, etwa um die Drittlandsübermittlung bei generativer KI. Anwenderschulungen nach der Medizinprodukte-Verordnung ergänzen sich mit KI-Kompetenz dort, wo KI-Bestandteile in regulierten Medizinprodukten ab Klasse IIa als Hochrisiko gelten. § 75c SGB V verlangt von Krankenhäusern, ihre IT-Sicherheit alle zwei Jahre auf den Stand der Technik zu bringen. Der B3S Medizinische Versorgung umfasst dabei 168 Sicherheitsmaßnahmen, die ohne kompetente Beschäftigte nicht wirken können (DKG 2025). ISO/IEC 42001 liefert den Rahmen, um KI-Kompetenz strukturell in das Managementsystem einzubetten, ohne selbst eine gesetzliche Pflicht zu sein.
Diese Verzahnung spart Aufwand, weil sie Doppelschulungen vermeidet und denselben Nachweis mehrfach belastbar macht.
Aktueller Stand in Deutschland
Die Datenlage zeigt eine deutliche Lücke zwischen Pflicht und Praxis. Eine repräsentative Bitkom-Umfrage aus 2025 unter Erwerbstätigen ergab, dass nur 20 Prozent der Beschäftigten in Deutschland durch ihren Arbeitgeber zum Thema KI geschult wurden. Weitere 6 Prozent haben Angebote bislang nicht genutzt, 70 Prozent berichten überhaupt keine Möglichkeit (Bitkom, „Ein Fünftel im Job zu KI geschult"). Speziell zum Gesundheitswesen liegen weniger Zahlen vor. Das PraxisBarometer Digitalisierung 2025 der Kassenärztlichen Bundesvereinigung vom 16. Oktober 2025 fokussiert noch primär auf elektronisches Rezept und elektronische Arbeitsunfähigkeitsbescheinigung.
Auf institutioneller Ebene mehren sich die Initiativen. Die Bundesärztekammer hat ihre Stellungnahme „Künstliche Intelligenz in der Medizin" auf dem 129. Deutschen Ärztetag in Leipzig diskutiert und fordert die Aufnahme digitaler Kompetenzen in die ärztliche Aus-, Weiter- und Fortbildung. Der Marburger Bund unterstützt die Verankerung von KI-Kompetenz in der ärztlichen Professionalisierung (Deutsches Ärzteblatt 2025). Daneben bauen TÜV, DEKRA und Bitkom Akademie ihre Zertifizierungsangebote für KI-Beauftragte aus, etwa über die KI-Kompetenzschulungen der Bitkom Akademie.
Ein Fahrplan über zwölf Monate
Für Krankenhäuser hat sich ein vierstufiger Fahrplan bewährt. Im ersten Quartal geht es um die Bestandsaufnahme. Die Klinik erhebt den Ist-Zustand über eine Beschäftigtenbefragung, inventarisiert die eingesetzten KI-Systeme, verabschiedet eine Nutzungsrichtlinie, benennt eine KI-Beauftragte oder einen KI-Beauftragten und legt den regulatorischen Geltungsbereich nach Art. 4 EU AI Act intern fest.
Das zweite Quartal dient dem Aufbau. Die Klinik entwickelt das Basismodul curricular, richtet eine Lernplattform ein, beginnt mit einer ersten Schulungswelle für alle Beschäftigten und verzahnt das Programm mit den Pflichtmodulen zu Datenschutz und IT-Sicherheit.
Das dritte Quartal vertieft. Die Klinik führt rollenspezifische Vertiefungen für Ärzteschaft, Pflege, Medizincontrolling und Verwaltung ein, stellt eine sichere geschützte Testumgebung bereit und ergänzt das Lernangebot um Hospitationen und Fallarbeit.
Das vierte Quartal prüft und festigt. Die Klinik betreibt das Nachweissystem nach ISO/IEC 42001 Klausel 7.2, führt eine interne Prüfung durch, passt das Programm an neue KI-Systeme an und bereitet die Pflichten für Hochrisiko-Systeme ab dem 2. August 2026 vor.
Die jährliche Wiederholung sichert die regulatorisch geforderte Aktualität, weil Art. 4 die Kompetenz an den jeweils aktuellen Einsatzkontext koppelt.
KI-Kompetenz als Versorgungsqualität
KI-Kompetenz ist 2026 mehr als ein Pflichthaken. Sie ist die Voraussetzung dafür, dass Investitionen in KI in der Versorgung ankommen, dass Patientinnen und Patienten von neuen Werkzeugen profitieren und dass Beschäftigte ihrer fachlichen Verantwortung nachkommen können. Die Pflichterfüllung liefert das Mindestmaß, die Versorgungsqualität liefert die Begründung, warum darüber hinaus investiert werden sollte.
Die regulatorische Pflicht aus Art. 4 EU AI Act gilt bereits, die Marktaufsicht beginnt am 2. August 2026. Wer jetzt strukturiert in KI-Kompetenz investiert, baut Vertrauen auf, schließt Lücken zur Schatten-KI und schafft die Grundlage für eine geordnete Einführung von Hochrisiko-Systemen. Der nächste konkrete Schritt ist eine ehrliche Bestandsaufnahme der eigenen Beschäftigten und Systeme, gefolgt von einem rollenspezifischen Lehrplan.
Quellen
Gesetze und Normen
- Verordnung (EU) 2024/1689 (KI-Verordnung), AI Act Explorer der EU-Kommission
- Art. 3 Nr. 56 EU AI Act, Definition KI-Kompetenz
- Art. 4 EU AI Act, Pflicht zur KI-Kompetenz
- Art. 5 EU AI Act, verbotene Praktiken
- Verordnung (EU) 2017/745 (Medizinprodukte-Verordnung)
- Art. 32 DSGVO, Sicherheit der Verarbeitung
- § 75c SGB V, IT-Sicherheit in Krankenhäusern
- ISO/IEC 42001:2023, Managementsystem für Künstliche Intelligenz
- Branchenspezifischer Sicherheitsstandard B3S Medizinische Versorgung, Anerkennung durch das BSI
Behörden und Verbände
- EU-Kommission, Antwortenpapier zur KI-Kompetenz, Stand 19. November 2025
- Bundesärztekammer, Stellungnahme „Künstliche Intelligenz in der Medizin", Januar 2025
- Bundesärztekammer, Pressemitteilung „Ärztinnen und Ärzte auf Umgang mit KI in der Medizin vorbereiten", 21. Februar 2025
- Deutsches Ärzteblatt, „Marburger Bund will ärztliche Weiterbildung absichern"
- Marburger Bund und Verband der Leitenden Krankenhausärzte zu KI im Krankenhaus, November 2025
- Deutsche Krankenhausgesellschaft, Informationssicherheit im Krankenhaus