KI im Gesundheitswesen 2026: BfArM, DiGA, KHZG und Architekturentscheidungen
Quick Answer: KI im deutschen Gesundheitswesen 2026
Jede KI, die in Deutschland identifizierbare Gesundheitsdaten verarbeitet, muss kumulativ mehrere Rahmenbedingungen erfuellen:
- DSGVO — Artikel 9 (besondere Kategorien personenbezogener Daten) und BDSG, mit verpflichtender Datenschutz-Folgenabschaetzung (DSFA) in nahezu allen Anwendungsfaellen.
- Medizinproduktrecht — Verordnung (EU) 2017/745 (MDR), Medizinprodukterecht-Durchfuehrungsgesetz (MPDG), Zulassung beim BfArM (Bundesinstitut fuer Arzneimittel und Medizinprodukte) als Medizinprodukt mit CE-Kennzeichnung, sobald die KI an einer klinischen Entscheidung beteiligt ist.
- DiGA-Verzeichnis (§ 33a SGB V) — Aufnahme als Digitale Gesundheitsanwendung beim BfArM, wenn die KI ueber gesetzliche Krankenkassen erstattet werden soll. Parallele Schiene DiPA fuer den Pflegekontext.
- § 75c SGB V — Stand der Technik bei IT-Sicherheit fuer Krankenhaeuser, in der Praxis ueber BSI C5, B3S Krankenhaus und ISO 27001 nachgewiesen.
- KHZG (Krankenhauszukunftsgesetz) — Foerderfaehigkeitstatbestaende und Compliance-Anforderungen fuer Klinik-IT-Projekte mit Anteil KI.
- Digital-Gesetz (DigiG) und Gesundheitsdatennutzungsgesetz (GDNG) — neuer Rechtsrahmen fuer ePA, Telematikinfrastruktur und sekundaere Datennutzung.
- AI Act (Verordnung (EU) 2024/1689) — KI im Gesundheitswesen ist regelmaessig Hochrisiko-KI im Sinne von Artikel 6 und Anhang III.
Defensible Cloud-Anbieter 2026: T-Systems Health Cloud (BSI C5+), IBM Cloud Frankfurt (BSI C5), OVHcloud Frankfurt (BSI C5), Stackit (Schwarz Gruppe — souveraenes deutsches Hosting), gematik-zertifizierte Provider fuer TI-Anbindung, Microsoft Azure und AWS in Frankfurt mit BSI C5-Testierung (mit US CLOUD Act-Restrisiko).
Architektur-Optionen fuer klinische KI:
- On-Premise im Krankenhaus auf eigener BSI-IT-Grundschutz-konformer Infrastruktur — maximale Kontrolle, hoher CapEx, geeignet fuer Universitaetskliniken und Maximalversorger.
- Souveraene deutsche Cloud (T-Systems Health Cloud, Stackit, OVHcloud Frankfurt) — empfohlene Standardarchitektur fuer 2026.
- Hyperscaler in Frankfurt mit BSI C5 (Azure, AWS) — funktional, aber mit Cloud Act-Restrisiko, in der Regel ausgeschlossen fuer Bundeslaender mit strenger Souveraenitaetsanforderung (Bayern, Baden-Wuerttemberg).
- TI-integriert ueber gematik-zertifizierte Konnektoren fuer ePA, eRezept und KIM (Kommunikation im Medizinwesen).
Funktionsfaehige Anwendungsfaelle 2026: Ambient Scribing fuer Aerzte, KI-gestuetzte Befunderstellung, RAG ueber lokale SOPs und S3-Leitlinien, Radiologie-Vorbefundung (CE-zertifiziert als Medizinprodukt), administrative Triage von Patientenpost, Forschungsassistenten ueber FDZ Gesundheit-Daten.
Zu vermeidende Anwendungsfaelle in autonomer Form: autonome Diagnose, automatisierte Verordnung, Therapieentscheidung. Menschliche Aufsicht ist nicht verhandelbar — Berufsordnung der Aerztekammer, AI Act Artikel 14, MPDG.
Warum KI im Gesundheitswesen 2026 in Deutschland durchstartet
Drei zusammenwirkende Verschiebungen.
Verschiebung 1 — Modellreife auf Deutsch. Mistral Large, GPT-4o, Claude 3.7 und Gemini 2.0 erreichen 2026 klinisch nutzbare Qualitaet auf deutschsprachiger medizinischer Dokumentation (S3-Leitlinien der AWMF, Rote Liste, Pschyrembel-Niveau-Texte). Unabhaengige Benchmarks der Charite, des DKFZ und des Fraunhofer IAIS belegen Extraktions- und Zusammenfassungsqualitaet auf Niveau eines Assistenzarztes bei nicht-entscheidungstragenden Aufgaben.
Verschiebung 2 — Personalmangel und Dokumentationslast. Der Aerztemangel laut Bundesaerztekammer und der Pflegekraeftemangel nach BIBB-Prognose verschaerfen sich bis 2030 dramatisch. Die durchschnittliche Aerztin bzw. der durchschnittliche Arzt verbringt laut Marburger Bund-Erhebung 2025 mehr als 35 % der Arbeitszeit mit Dokumentation. KI ist der einzige skalierbare Hebel.
Verschiebung 3 — Rechtsrahmen ist 2026 tragfaehig. Zwischen 2023 und 2026 wurden DigiG, GDNG, GDA-Verzeichnis-Update, BfArM-Leitfaden zu KI als Medizinprodukt, BSI-Auslegungshilfen zu C5 fuer Cloud-Gesundheitsdienste und gematik-Spezifikationen fuer ePA 3.0 verabschiedet. Was 2022 noch schwebte, ist 2026 spielbar — und Universitaetskliniken (Charite, MHH, UKSH, Klinikum rechts der Isar) ziehen davon.
Konkret: Wer 2026 keine produktive KI-Initiative im Klinik- oder Versorgungskontext betreibt, verliert messbar Wettbewerbsfaehigkeit.
Das deutsche KI-Compliance-Dreieck im Gesundheitswesen
BfArM und das Medizinprodukterecht
Sobald eine KI an einer klinischen Entscheidung beteiligt ist (Diagnose, Triage, Therapieauswahl, Risiko-Scoring, Monitoring), faellt sie unter die MDR und das deutsche MPDG. Zustaendige Behoerde: das Bundesinstitut fuer Arzneimittel und Medizinprodukte (BfArM) in Bonn — die deutsche Entsprechung der franzoesischen ANSM oder der amerikanischen FDA fuer den Medizinproduktebereich.
Risikoklassen nach MDR:
- Klasse I: einfache Software ohne klinische Entscheidung.
- Klasse IIa: Triage, Workflow-Steuerung, Ambient-Scribing-Tools, einfache Risiko-Scores.
- Klasse IIb: diagnostische Unterstuetzung, indikationsspezifisches Risiko-Scoring.
- Klasse III: autonome Diagnose oder Therapieentscheidung — sehr restriktiv zugelassen.
CE-Kennzeichnung durch eine Benannte Stelle (TUEV SUED, TUEV Rheinland, mdc) ist vor jedem klinischen Einsatz verpflichtend. Verstoesse: MPDG-Bussgelder bis 1 Mio. EUR, Marktrueckruf, Strafanzeige.
DiGA und DiPA — Erstattungsfaehigkeit ueber Krankenkassen
Eine DiGA (Digitale Gesundheitsanwendung) ist ein Medizinprodukt der Klasse I oder IIa, das im DiGA-Verzeichnis des BfArM gelistet ist und ueber gesetzliche Krankenkassen (AOK, TK, Barmer, DAK, IKK, Knappschaft, Betriebskrankenkassen) erstattet wird (§ 33a SGB V). Der Aufnahmeprozess prueft:
- CE-Kennzeichnung als Medizinprodukt.
- DSGVO-Konformitaet (DSFA, ggf. Auftragsverarbeitungsvertraege).
- IT-Sicherheit nach BSI TR-03161 (Anforderungen an Anwendungen im Gesundheitswesen).
- Positive Versorgungseffekte (medizinischer Nutzen oder Patienten-relevante Strukturverbesserung).
Seit 2024 existiert parallel die DiPA (Digitale Pflegeanwendung) fuer den Pflegekontext (§ 40a SGB XI), erstattet ueber die Pflegeversicherung.
Fuer 2026 sind im DiGA-Verzeichnis ueber 60 Anwendungen gelistet, davon eine wachsende Zahl mit substanziellen KI-Komponenten (Tinnitus, Depression, Migraene, Diabetes-Begleitung, muskuloskelettale Erkrankungen).
§ 75c SGB V und KHZG — IT-Sicherheit im Krankenhaus
§ 75c SGB V verpflichtet Krankenhaeuser seit 2022 zur Einhaltung des Stand der Technik bei IT-Sicherheit. In der Praxis nachgewiesen ueber:
- BSI IT-Grundschutz oder ISO 27001.
- Branchenspezifischer Sicherheitsstandard B3S Krankenhaus.
- Regelmaessige Penetrationstests.
- Notfall- und Wiederanlaufplaene.
- Lieferantenmanagement (jeder KI-Anbieter muss sich diesem Niveau anpassen).
Das Krankenhauszukunftsgesetz (KHZG) hat 4,3 Mrd. EUR Bundes- und Laendermittel mobilisiert fuer die Foerderfaehigkeitstatbestaende (FB) 1 bis 11. KI-relevant:
- FB 4 — Patientenportale: KI-gestuetzte Patientenkommunikation.
- FB 5 — Entscheidungsunterstuetzung: klinische KI mit MDR-Zulassung.
- FB 9 — telemedizinische Netzwerke: KI in Telekonsil-Strukturen.
- FB 10 — IT-Sicherheit: Pflicht-Foerderfaehigkeitstatbestand.
Foerderfaehigkeit setzt § 75c SGB V-Konformitaet voraus — in der Praxis ueber BSI C5 oder C5+-Cloud-Hosting nachzuweisen.
Gesundheitsdatennutzungsgesetz und Digital-Gesetz
Das Gesundheitsdatennutzungsgesetz (GDNG) schafft seit 2024 den Rechtsrahmen fuer die sekundaere Nutzung von Gesundheitsdaten in Forschung und Versorgung. Zentrale Elemente:
- Forschungsdatenzentrum Gesundheit (FDZ Gesundheit) am BfArM — zentrale Anlaufstelle fuer Krankenkassenroutinedaten.
- Datenschutzkonforme Bereitstellung von ePA-Daten an die Forschung — Opt-out-Modell fuer ePA-Daten ab 2025.
- Rechtsgrundlage fuer KI-Trainingsdatensaetze auf Basis realer deutscher Versorgungsdaten.
Das Digital-Gesetz (DigiG) ergaenzt mit der ePA fuer alle (Opt-out seit 2025), eRezept-Verpflichtung und gematik-Spezifikationen fuer interoperable Schnittstellen.
gematik und Telematikinfrastruktur
Die gematik ist die Betreiberin der Telematikinfrastruktur (TI), die ePA, eRezept, KIM (Kommunikation im Medizinwesen), TI-Messenger und VSDM (Versichertenstammdatenmanagement) verbindet. Jede produktive Gesundheits-KI in Deutschland 2026 muss frueher oder spaeter in die TI integriert werden — entweder direkt ueber gematik-zertifizierte Konnektoren oder ueber zugelassene Drittanbieter-Schnittstellen.
Funktionsfaehige KI-Anwendungsfaelle im deutschen Gesundheitswesen 2026
1. Ambient Scribing und automatisierte Befunderstellung
Whisper-aehnliche medizinische ASR plus deutschsprachiges LLM erstellt das Konsultationsprotokoll und den Arztbrief. Aerztin oder Arzt validiert, korrigiert, signiert. Belegte Effekte an der Charite, am UKE Hamburg, am Klinikum rechts der Isar: 30–45 % Reduktion der Dokumentationszeit.
Compliante Architektur: Whisper auf T-Systems Open Telekom Cloud BSI C5+ oder On-Premise auf Klinik-GPU-Cluster; LLM Mistral Large auf OVHcloud Frankfurt oder lokal in der Klinik. DSFA, B3S-konform, Vertraege als Auftragsverarbeitung mit Krankenhaus-Subsidiaritaet.
2. RAG ueber Hauseigene SOPs und Leitlinien
Indexierung lokaler Standard Operating Procedures, AWMF-S3-Leitlinien, Roter Liste, Pschyrembel und hauseigener klinischer Pfade. Aerzte und Pflegekraefte fragen in natuerlicher Sprache. Siehe unseren Leitfaden zur RAG-Architektur im Unternehmen.
Compliante Architektur: LLM und Vektordatenbank (Qdrant oder pgvector) auf souveraener Cloud (Stackit, T-Systems oder OVHcloud Frankfurt). Keine Patientendaten im Index — nur publizierte Leitlinien. Leichtere DSFA, da kein Artikel-9-Verarbeitungsschritt.
3. Radiologie und Pathologie-KI
Spezialisierte Modelle (keine generischen LLM) fuer Thorax-Roentgen, Mammographie, Pathologie-Schnitte. Diese sind CE-zertifizierte Medizinprodukte Klasse IIa oder IIb. In deutscher Klinikproduktion 2026: Aidoc Neuroradiologie, Annalise.ai Thorax, Paige Pathology, deutsche Anbieter wie deepc und Floy.
Beschaffung ueber MDR-Konformitaetsnachweis, KHZG-FB-5-Foerderung, BSI-C5-Hosting. Integration ueber DICOM und HL7 FHIR in PACS und KIS.
4. Patientenkommunikation und administrative Triage
Triage-Chatbots ueber 116117 (KV-Notdienst-Nummer), Terminvereinbarung, Rezept-Anfragen, Patientenpost-Klassifikation. Rechtlicher Rahmen: keine MDR-Pflicht fuer rein administrative Aufgaben, aber DSFA und BSI TR-03161 anwendbar. Siehe unseren Leitfaden zur KI-Mailtriage und zur KI-Rechnungsautomatisierung fuer den Kassenkontext.
5. Forschung ueber FDZ Gesundheit
LLM extrahiert Daten aus klinischen Studien, fasst Cochrane-aehnliche Reviews zusammen, unterstuetzt Antraege bei Ethikkommissionen und DFG. Rechtsgrundlage: Artikel 9 Absatz 2 Buchstabe j DSGVO, § 27 BDSG, GDNG fuer FDZ Gesundheit-Daten.
Zu vermeidende Anwendungsfaelle in autonomer Form
- Autonome Diagnose ohne aerztliche Validierung — verstoesst gegen Berufsordnung der Aerztekammer.
- Automatisierte Verordnung — verbotene Substitution aerztlicher Taetigkeit.
- Therapieentscheidung ohne Facharztsignatur.
- Direkte Patientenkommunikation zur Diagnose ohne aerztliche Mediation.
AI Act Artikel 14 (menschliche Aufsicht), Berufsordnung und MPDG konvergieren: KI ergaenzt die Aerztin oder den Arzt, ersetzt sie nicht.
Referenzarchitektur fuer ein deutsches Universitaetsklinikum
Fuer ein Maximalversorger-Klinikum, das mehrere KI-Anwendungsfaelle 2026 produktiv betreibt:
Schicht 1 — Infrastruktur: T-Systems Health Cloud (Open Telekom Cloud, BSI C5+) oder Stackit fuer souveraenes deutsches Hosting. On-Premise GPU-Cluster im Klinik-Rechenzentrum fuer hochsensible Workloads (Psychiatrie, HIV-Versorgung, Reproduktionsmedizin). Fuer KHZG-Foerderfaehigkeitstatbestand 10: BSI-Audit als Voraussetzung.
Schicht 2 — Modelle: Mistral Large oder Mistral Small 3 ueber vLLM auf GPU-Cluster. Spezialisierte Bildgebungsmodelle (CE-zertifiziert) integriert in PACS. Whisper Large v3 fuer deutschsprachige Transkription, on-premise oder ueber T-Systems.
Schicht 3 — Vektordatenbank: Qdrant oder pgvector self-hosted auf gleicher BSI-C5-Infrastruktur.
Schicht 4 — Orchestrierung: LangChain oder eigene Orchestrierung plus haerteierte interne API. Authentifizierung ueber elektronischen Heilberufsausweis (eHBA) und SMC-B (Security Module Card).
Schicht 5 — Anbindung an KIS und ePA: HL7 FHIR DE Basisprofile, IHE-Profile, gematik-zertifizierte Konnektoren fuer TI-Anbindung. Integration in ORBIS, Medico, SAP IS-H, iMedOne, Soarian.
Schicht 6 — Governance: DSB, KI-Ethikkommission, Datenschutzbeauftragter (Klinik), B3S-Audit, KHZG-Foerderdokumentation, AI-Act-Compliance.
Fuer die Konzeption solcher Projekte liefert DPLIANCE massgeschneiderte Gesundheits-KI-Loesungen im Einklang mit BfArM, BSI, gematik und DSGVO.
Was wir nicht versprechen
Drei Antipattern, die wir bei der Konzeption deutscher Gesundheits-KI systematisch zurueckweisen.
„Wir rollen ChatGPT Enterprise im Universitaetsklinikum aus.” Falsch bei identifizierbaren Patientendaten. ChatGPT Enterprise hat einen DSGVO-Auftragsverarbeitungsvertrag, ist aber per Default auf Azure global gehostet. Ohne Azure Frankfurt-Pinning, ohne BSI-C5-Testierung der spezifischen Workloads, ohne MPDG-Konformitaet bei klinischer Verwendung scheitert die Loesung am § 75c SGB V- und am MDR-Test. Defensible Optionen: On-Premise auf der KIS-Infrastruktur, Mistral ueber T-Systems Open Telekom Cloud BSI C5+, oder Azure OpenAI Frankfurt mit dedizierter NHS-aequivalenter Konfiguration. Alles andere bedeutet BfDI-Bussgeldrisiko, Foerderausschluss und Entlassung aus dem GKV-Erstattungssystem.
„Die KI kann diagnostizieren, wir haben Demos gesehen.” Falsch in der klinischen Realitaet. KI schlaegt vor, Aerztin oder Arzt entscheidet. Immer. MPDG, Berufsordnung der Aerztekammer, AI Act Artikel 14 und § 630a BGB konvergieren: Eine medizinische Entscheidung kann nicht an ein automatisiertes System delegiert werden ausserhalb der engen Klasse-III-MDR-Hochrisiko-Faelle, fuer die das BfArM individuelle Zulassungen erteilt. Das Versprechen „KI, die diagnostiziert” ist 2026 in Deutschland ausserhalb dieses engen Rahmens rechtlich und ethisch unhaltbar.
„Es ist ein Pilot, wir koennen die DSFA spaeter machen.” Falsch. Gesundheits-KI ist per Default Hochrisiko-Verarbeitung im Sinne von Artikel 35 DSGVO und der BfDI-Pflichtliste. Die DSFA muss vor dem Pilotbeginn vorliegen, nicht nachgereicht werden. Pilotbetrieb ohne dokumentierte DSFA ist ein direkter Artikel-35-Verstoss, ein unmittelbares BfDI-Sanktionsziel und ein KHZG-Foerderausschlussgrund.
DPLIANCE ist Softwarehersteller, keine Beratung. Wenn wir eine massgeschneiderte Gesundheits-KI liefern, decken wir den vollen Stack ab: Wahl des deutschen Hostings (T-Systems Health Cloud, Stackit, OVHcloud Frankfurt, On-Premise), Mistral- oder Azure-OpenAI-Integration, KIS-Anbindung ueber HL7 FHIR DE, gematik-Konnektor-Anbindung fuer TI, eHBA-Authentifizierung, B3S-konforme Dokumentation, DSFA-Vorlagen fuer den DSB.
FAQ
Was ist eine DiGA und wann wird KI als DiGA zugelassen?
Eine DiGA (Digitale Gesundheitsanwendung) ist ein digitales Medizinprodukt der Risikoklasse I oder IIa, das vom BfArM in das DiGA-Verzeichnis aufgenommen wird und ueber Krankenkassen erstattungsfaehig ist (§ 33a SGB V). Wenn eine KI eine medizinische Indikation adressiert, kann sie als DiGA gelistet werden — Voraussetzung sind CE-Kennzeichnung als Medizinprodukt, DSGVO-Konformitaet, IT-Sicherheitsnachweis (BSI TR-03161) und positive Versorgungseffekte.
Welche Rolle spielt das KHZG fuer KI-Projekte im Krankenhaus?
Das Krankenhauszukunftsgesetz (KHZG) hat 4,3 Mrd. EUR fuer die Digitalisierung deutscher Krankenhaeuser bereitgestellt. KI-Projekte koennen ueber Foerderfaehigkeitstatbestand 4 (Patientenportale), 5 (Entscheidungsunterstuetzung) oder 9 (telemedizinische Netzwerke) gefoerdert werden, sofern sie BSI C5- oder C5+-Hosting einsetzen und § 75c SGB V-Konformitaet nachweisen.
Brauche ich BSI C5 zusaetzlich zur DSGVO fuer Gesundheits-KI?
In der Praxis ja. Das BSI C5 ist seit 2024 faktischer Standard fuer Cloud-Gesundheitsdienste. § 75c SGB V verlangt von Krankenhaeusern den Stand der Technik — den BSI C5 in der Auslegung der gematik und der Krankenkassen erfuellt. Anbieter wie T-Systems Health Cloud, IBM Cloud Frankfurt, OVHcloud Frankfurt und Stackit (Schwarz Gruppe) bieten C5-testierte Plattformen.
Was regelt das Gesundheitsdatennutzungsgesetz (GDNG)?
Das GDNG schafft den Rechtsrahmen fuer die sekundaere Nutzung von Gesundheitsdaten in Forschung und Versorgung. Zentrale Elemente: Forschungsdatenzentrum Gesundheit (FDZ Gesundheit) am BfArM, datenschutzkonforme Bereitstellung von Krankenkassendaten und ePA-Daten an die Forschung, Opt-out-Modell fuer ePA-Daten ab 2025.
Was bedeutet § 75c SGB V konkret fuer KI im Krankenhaus?
§ 75c SGB V verpflichtet Krankenhaeuser ab 2022 zur Einhaltung des Stand der Technik bei IT-Sicherheit. Das umfasst BSI IT-Grundschutz oder ISO 27001, B3S Krankenhaus, Penetrationstests, Notfallplaene und Lieferantenmanagement. Ein KI-Anbieter, der ein Krankenhaus beliefert, muss sich diesem Niveau anpassen.
Welche Sanktionen drohen bei Verstoessen im KI-Gesundheitsbereich?
Sehr hoch. Kumulativ: DSGVO-Bussgelder bis 20 Mio. EUR oder 4 % des weltweiten Konzernumsatzes, MPDG-Sanktionen (Marktrueckruf, Bussgelder bis 1 Mio. EUR, Strafanzeige bei nicht zugelassenen Medizinprodukten), Foerderausschluss KHZG/Krankenkassen, Reputationsschaden.
Welche Cloud-Anbieter sind in Deutschland fuer Gesundheits-KI defensibel?
T-Systems Health Cloud (BSI C5+), IBM Cloud Frankfurt (BSI C5), OVHcloud Frankfurt (BSI C5), Stackit (Schwarz Gruppe — souveraenes deutsches Hosting), gematik-zertifizierte Provider fuer TI-Anbindung. Hyperscaler Azure und AWS in Frankfurt-Regionen mit BSI C5 — mit US CLOUD Act-Restrisiko.
Quellen: DSGVO; BDSG; Verordnung (EU) 2017/745 (MDR); MPDG; SGB V (insbesondere § 33a, § 40a, § 75c); Krankenhauszukunftsgesetz (KHZG); Digital-Gesetz (DigiG); Gesundheitsdatennutzungsgesetz (GDNG); BfArM-Leitfaden zu KI als Medizinprodukt; BSI Cloud Computing Compliance Criteria Catalogue (C5); BSI TR-03161; B3S Krankenhaus; gematik-Spezifikationen; Verordnung (EU) 2024/1689 (AI Act).
Fuer die Konzeption eines BfArM-konformen Gesundheits-KI-Projekts — Hosting-Wahl, Mistral- oder Azure-Integration, DiGA-Antrag, KHZG-Foerderung, B3S-Dokumentation — siehe unseren Leitfaden zur souveraenen KI, unseren Leitfaden zur DSGVO-konformen KI, unseren Leitfaden zum lokalen LLM im Unternehmen, oder kontaktieren Sie uns ueber unsere massgeschneiderten KI-Loesungen.