Künstliche Intelligenz (KI) gewinnt in nahezu allen Branchen zunehmend an Bedeutung, auch im Gesundheitswesen. Automatisierte Systeme unterstützen bei der Terminplanung, Patientenkommunikation, Dokumentation und Datenanalyse. Gleichzeitig steigen die Anforderungen an Datenschutz, IT-Sicherheit und gesetzliche Compliance. Vor diesem Hintergrund gewinnt die Rolle eines KI-Beauftragten an Relevanz, um den Einsatz von KI-Systemen sicher, effizient und rechtskonform zu gestalten.

Aufgaben einer KI-Beauftragten

Das BSI hat einen Kriterienkatalog für den sicheren Einsatz von KI bereitgestellt (Kriterienkatalog des BSI). Ganz oben auf der Liste der Forderungen: die Bestellung eines KI-Beauftragten. Dieser wird in die Nähe des ISB gerückt. Auch die GMDS erhebt hier die Forderung nach einem KI-Beauftragten (CAIO). Darüber hinaus hat das Netzwerk EURAID (European Responsible AI Development) einen praxisnahen Leitfaden zur Implementierung von Anwendungen Künstlicher Intelligenz (KI) im Krankenhaus vorgestellt (vgl. Journal of Medical Internet Research, 2026; DOI: 10.2196/80754 und als Kurzfassung der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, 2026; DOI: 10.21934/baua:berichtkompakt20260122). Dabei fokussiert dieser Leitfaden auf Krankenhäusern, die eine eigene Entwicklung von KI-Werkzeugen und deren Implementierung in den Alltag betreiben.

 Tätigkeiten als CAIO / KI-Beauftragter

Die Tätigkeiten des Chief AI Officer (CAIO) bzw. KI-Beauftragten umfassen strategische, organisatorische, rechtliche sowie technische Aufgaben. Ziel ist es, den Einsatz von KI-Systemen im Unternehmen und im Gesundheitswesen verantwortungsvoll, datenschutzkonform und rechtskonform zu gestalten und zugleich das Potenzial dieser Systeme zur Unterstützung von Arbeitsprozessen zu nutzen.

Ein KI-Beauftragter übernimmt die kontinuierliche Überwachung der Einführung und Nutzung von KI-Anwendungen. Zu seinen Aufgaben gehört die Unterstützung des Betreibers bei der Sicherstellung der rechtskonformen Nutzung von KI-Systemen, insbesondere im Umgang mit sensiblen personenbezogenen Daten und Unternehmensdaten, sowie die Integration der Systeme in bestehende IT-Sicherheitsarchitekturen. Darüber hinaus prüft der KI-Beauftragte Risiken durch automatisierte Prozesse, berät zu ethischen Fragestellungen und unterstützt bei der Entwicklung oder dem Einkauf von Konzepten für die Schulung von Mitarbeitenden im sicheren Umgang mit KI-Lösungen. Damit trägt der KI-Beauftragte entscheidend dazu bei, dass KI-Anwendungen effizient, sicher und vertrauenswürdig in die Geschäftsprozesse integriert werden.

Vom 11. bis 13. Februar 2026 trafen sich Entscheidungsträger aus Krankenhäusern, Industrie, IT-Anbietern und Verbänden im Industrie Club Düsseldorf, um den jährlichen Digitalisierungsgipfel der Gesundheitswirtschaft im Rahmen des 20-jährigen Jubiläums des ENTSCHEIDERFABRIK zu feiern. 

Im Fokus des Gipfels standen erneut die fünf Digitalisierungsthemen der Gesundheitswirtschaft: am 1. Tag wurden die Ergebnisse aus dem vergangenen Jahr präsentiert. Zusammen mit dem Team präsentierte Dr. Zimolong das Projekt „Closed-Loop Medikation“ bei dem es um die Unterstützung der Pflege beim Stellen und Geben der Medikation ging. 

Am 2. Tag wurden die insgesamt 12 Finalistenprojekten präsentiert, aus denen anschließend die 5 in diesem Jahr umzusetzenden Digitalisierungsprojekte durch die Krankenhausvertreter gewählt wurden. In diesen 5 Proof-of-Concept-Projekte testen die beteiligten Krankenhäuser gemeinsam mit Industriepartnern ein Jahr lang innovative Lösungen unter Realbedingungen. Ziel ist es, entlang klar definierter Fragestellungen Mehrwert, Umsetzbarkeit und Skalierbarkeit der vorgestellten Innovationen systematisch zu bewerten. 

Die Veröffentlichung der Kassenärztlichen Bundesvereinigung (KBV) vom November 2024 bietet eine umfassende Beantwortung von rechtlichen Fragen zur elektronischen Patientenakte (ePA) für Ärzte und Psychotherapeuten und hat damit auch Bedeutung für die Krankenhäuser. Die Antworten klären auf über Pflichten der Praxen und Krankenhäuser im Umgang mit der ePA, insbesondere im Hinblick auf die Befüllung, Aktualisierung, Löschung und Nutzung von ePA-Inhalten. Es werden detaillierte Ausführungen zu Informations- und Dokumentationspflichten gegeben, die bei der Verarbeitung von Patientendaten oder dem Widerspruch des Patienten entstehen, sowie auch zur Delegation von ePA-Aufgaben an „berufsmäßige Gehilfen“. Darüber hinaus beleuchtet das Dokument die Rahmenbedingungen für die Einsichtnahme in die ePA durch die Praxen und die damit verbundenen Sorgfaltspflichten und Haftungsfragen im Behandlungsalltag. Die aus unserer Sicht wichtigsten Punkte sind: Es besteht eine Pflicht zur Dokumentation, welche konkrete Person auf die elektronische Patientenakte zwecks Befüllung, Aktualisierung, Löschung oder Einsichtnahme zugegriffen oder zuzugreifen versucht hat (§ 309 Abs. 1 SGB V). In der sollte dies durch die Log-Funktion des KIS erfüllt sei.

Am 6. Dezember war es wieder so weit: Der Nikolaus stapfte durch die Flure der Synagon GmbH – natürlich mit DSGVO-konformen Stiefeln und einer ePA 3.0 im Sack. Statt Mandarinen gab’s dieses Jahr Telematikzuschläge, aber nur für artige Krankenhäuser. Die unartigen bekamen eine C5-Gleichwertigkeitsverordnung – mit Ablaufdatum!

Beim Entscheider-Sommer-Camp hatte der Nikolaus schon heimlich mitgewirkt: Er präsentierte die Effizienzpotenziale digitaler Ruten – äh, Transformationsprojekte. Und als er auf die EU-Datenbank für Sicherheitslücken stieß, murmelte er: „Da kommt mir kein Cloud-Dienst ins Haus, außer er bringt Plätzchen mit!“

Selbst Doctolib bekam eine kritische Bewertung – der Nikolaus bevorzugt eh Termine per Schornstein. Fazit: Digitalisierung ist kein Hexenwerk, sondern ein Zauberstab mit WLAN. Und Synagon? Die helfen dem Nikolaus, auch im digitalen Zeitalter den Überblick zu behalten – ganz ohne Rentier-Tracking-App.

Am 13. November 2025 hat der Bundestag das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beschlossen. Mit diesem Gesetz wird die EU-Richtlinie NIS 2 verbindlich in deutsches Recht überführt. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt dies eine grundlegende Modernisierung des IT-Sicherheitsrechts dar.

Das Gesetz erweitert den Anwendungsbereich des BSI-Gesetzes (BSIG) erheblich, sodass künftig deutlich mehr Unternehmen und Einrichtungen den gesetzlichen Vorgaben unterliegen. Gleichzeitig werden die Meldepflichten bei Cybervorfällen verschärft und durch ein mehrstufiges Meldesystem ergänzt, das eine strukturierte und zeitnahe Meldung sicherheitsrelevanter Ereignisse gewährleistet. Unternehmen, die Opfer eines Cyberangriffs werden, sind verpflichtet, den Vorfall innerhalb von 24 Stunden nach dessen Entdeckung dem BSI zu melden. Ein Zwischenbericht ist innerhalb von 72 Stunden vorzulegen, ein Abschlussbericht spätestens nach einem Monat einzureichen.

Darüber hinaus erhält das BSI zusätzliche Aufsichts-, Kontroll- und Durchsetzungsbefugnisse, wodurch seine Rolle als zentrale Cybersicherheitsbehörde gestärkt wird. Für die Bundesverwaltung wird ein zentrales Sicherheitsmanagement eingeführt, das durch den neu geschaffenen „CISO Bund“ koordiniert wird. Das BSI kündigt an, betroffene Organisationen bei der Umsetzung der neuen Anforderungen zu unterstützen, unter anderem durch Betroffenheitsprüfungen und weitere Orientierungshilfen.

Mit dem Bundestagsbeschluss ist ein wesentlicher Schritt zur nationalen Umsetzung der NIS-2-Richtlinie erfolgt. Für das Inkrafttreten des Gesetzes sind jedoch noch der Beschluss des Bundesrats und die anschließende Verkündung im Bundesgesetzblatt erforderlich. Erst ab dem im Gesetz festgelegten Datum gelten die neuen Vorgaben verbindlich für Unternehmen und Einrichtungen in Deutschland.