Datenschutz in der Pflege

So einfach, sicher und alltagstauglich wie möglich.

KI-Verordnung in Pflege und Sanitätshaus: Wann Sie einen KI-Beauftragten brauchen

25.06.2026 von Dominic

Die Pflegekraft diktiert ihren Bericht in eine Sprach-KI, die Tourenplanung optimiert sich selbst, der Chatbot auf der Website beantwortet Angehörigenfragen, und die Wundanalyse-App schlägt Versorgungen vor: Künstliche Intelligenz ist in Pflegediensten und Sanitätshäusern längst angekommen, oft ohne dass es jemand so genannt hätte. Mit der europäischen KI-Verordnung (AI Act) gibt es dafür erstmals einen verbindlichen Rechtsrahmen, und anders als viele glauben, gelten die ersten Pflichten nicht irgendwann, sondern bereits heute. Dieser Beitrag erklärt, welche Regeln Einrichtungen im Gesundheitswesen als KI-Betreiber treffen, welche Fristen nach dem Digital Omnibus vom Mai 2026 aktuell gelten, wo die Schnittstelle zur DSGVO liegt und warum ein KI-Beauftragter der praktische Schlüssel ist, um diese Pflichten zu bündeln.

Die KI-Verordnung in Kürze: Wen sie trifft und was wann gilt

Die KI-Verordnung (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und gilt gestaffelt. Wichtig für die Einordnung: Pflegedienste und Sanitätshäuser sind in aller Regel nicht Anbieter, sondern Betreiber von KI-Systemen, sie entwickeln keine KI, sondern setzen eingekaufte Systeme ein. Auch Betreiber haben eigene Pflichten, und die erste davon gilt bereits seit dem 2. Februar 2025: Nach Art. 4 KI-VO müssen alle Personen, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen, nachweisbar und auf die konkret eingesetzten Werkzeuge bezogen. Seit demselben Datum gelten die Verbote des Art. 5, darunter ein für Arbeitgeber hochrelevantes: Systeme zur Emotionserkennung am Arbeitsplatz sind untersagt.

Mit dem Digital Omnibus, auf den sich Rat und Parlament im Mai 2026 geeinigt haben, wurde der weitere Zeitplan entzerrt: Die vollständigen Pflichten für eigenständige Hochrisiko-KI nach Anhang III, darunter KI im Personalwesen, greifen nicht mehr im August 2026, sondern zum 2. Dezember 2027; für KI, die in regulierte Produkte wie Medizinprodukte eingebettet ist (Anhang I), gilt der 2. August 2028. Unverändert bleiben dagegen die bereits geltenden Pflichten aus Art. 4 und Art. 5 sowie die Transparenzpflichten des Art. 50, die ab dem 2. August 2026 anwendbar sind, darunter die Kennzeichnung von Chatbots und KI-generierten Inhalten. Für kleine und mittlere Unternehmen bringt der Omnibus zudem Erleichterungen bei Dokumentationspflichten. Verschoben heißt also nicht abgeschafft: Die Anforderungen bleiben in der Substanz bestehen, nur der Countdown läuft anders. (Stand: Juni 2026; das Gesetzgebungsverfahren zum Omnibus wird formal noch abgeschlossen.)

Wo KI in Pflege und Sanitätshaus längst im Einsatz ist

Die KI-VO betrifft keine ferne Zukunft, sondern den heutigen Softwarebestand. Im Pflegedienst: Spracherkennung und KI-gestützte Formulierungshilfen in der Pflegedokumentation, selbstoptimierende Touren- und Dienstplanung, Sensorik mit Sturz- und Verhaltenserkennung, Chatbots für Angehörigenanfragen und KI-Vorauswahl im Bewerbermanagement. Im Sanitätshaus: KI-Funktionen in der Versorgungssoftware, Scan- und Analyse-Apps für Einlagen, Wunden oder Körpermaße, automatisierte Bestell- und Lagerprognosen, Chatbots im Onlineshop und KI-generierte Bilder und Texte im Marketing. Hinzu kommt in beiden Branchen die Schatten-KI: Mitarbeiter, die Klientendaten in frei verfügbare Tools wie öffentliche Chatbots eingeben, etwa um einen Bericht formulieren zu lassen. Genau diese ungeregelten Nutzungen sind das größte Risiko, datenschutzrechtlich wie nach der KI-VO.

Der erste praktische Schritt ist deshalb immer ein KI-Inventar: Welche Systeme mit KI-Funktionen sind im Einsatz, wofür, mit welchen Daten? Dieses Inventar dockt direkt an das Verzeichnis der Verarbeitungstätigkeiten an, das wir in einem eigenen Beitrag zum Verarbeitungsverzeichnis in Pflegedienst und Sanitätshaus beschrieben haben.

Die Risikoklassen: Was verboten ist, was hochriskant ist, was Transparenz braucht

  • Verbotene Praktiken: Bereits geltend und mit den höchsten Bußgeldern bewehrt. Für Einrichtungen praktisch relevant ist vor allem das Verbot der Emotionserkennung am Arbeitsplatz: Software, die Stimmung, Stress oder Aufmerksamkeit von Beschäftigten auswertet, etwa in Telefonie- oder Überwachungstools, darf nicht eingesetzt werden; medizinische und sicherheitsbezogene Ausnahmen sind eng.
  • Hochrisiko-KI nach Anhang III: Hierzu zählt insbesondere KI im Beschäftigungskontext: Systeme, die Bewerber vorauswerten, Aufgaben zuweisen oder Leistung und Verhalten von Mitarbeitern bewerten. Eine Dienstplanungs- oder Personaleinsatz-KI kann darunter fallen, wenn sie Entscheidungen über Personen wesentlich beeinflusst. Die vollen Betreiberpflichten dafür greifen zum 2. Dezember 2027, die Auswahlentscheidung für solche Software wird aber heute getroffen, und wer jetzt einkauft, sollte die künftigen Pflichten mitdenken.
  • KI in Medizinprodukten (Anhang I): Wundanalyse-Apps oder diagnostische KI-Funktionen, die als Medizinprodukt zugelassen sind, fallen in die produktbezogene Hochrisiko-Schiene mit Frist 2028. Für Betreiber heißt das vor allem: nur CE-konforme Produkte einsetzen und die Herstellervorgaben einhalten.
  • Transparenzpflichten (Art. 50): Ab dem 2. August 2026 müssen Chatbots als solche erkennbar sein und KI-generierte oder wesentlich KI-veränderte Inhalte gekennzeichnet werden. Das betrifft den Website-Chatbot ebenso wie KI-Bilder im Social-Media-Marketing der Einrichtung, ein dezenter, klarer Hinweis genügt, aber er muss da sein.
  • Minimalrisiko: Der große Rest, etwa Rechtschreibhilfen oder Lagerprognosen ohne Personenbezug, bleibt ohne besondere KI-VO-Pflichten. Die KI-Kompetenzpflicht und die DSGVO gelten gleichwohl.

Ihre Pflichten als Betreiber: Kompetenz, Aufsicht, Dokumentation

Drei Pflichtenkreise sollten Einrichtungen jetzt organisieren. Erstens die KI-Kompetenz nach Art. 4: Alle, die mit KI arbeiten, von der PDL bis zur Verwaltungskraft, brauchen ein dokumentiertes Grundverständnis der eingesetzten Systeme, ihrer Grenzen und Risiken; generische Erklärvideos ohne Bezug zu den eigenen Tools und ohne Teilnahmenachweis genügen dafür nicht. Zweitens die menschliche Aufsicht: KI-Vorschläge, ob Dokumentationstext, Tourenplan oder Versorgungsempfehlung, werden von fachkundigen Menschen geprüft und verantwortet; die letzte Entscheidung über Versorgung und Personal trifft kein Algorithmus. Für Hochrisiko-Systeme schreibt Art. 26 KI-VO dies ausdrücklich vor, einschließlich der Nutzung gemäß Herstelleranleitung, der Überwachung des Betriebs und der Aufbewahrung von Protokollen. Drittens die Transparenz nach innen und außen: Beschäftigte und ihre Vertretungen werden informiert, bevor Hochrisiko-KI am Arbeitsplatz eingesetzt wird, und Kunden erkennen, wo sie mit einer Maschine kommunizieren. Wie die Mitarbeiterseite datenschutzrechtlich einzuordnen ist, zeigt unser Beitrag zum Beschäftigtendatenschutz im Pflegedienst.

KI-VO trifft DSGVO: Warum beides zusammen gedacht werden muss

Die KI-VO ersetzt die DSGVO nicht, sie kommt hinzu. Sobald ein KI-System Klienten-, Kunden- oder Mitarbeiterdaten verarbeitet, gelten beide Rechtsrahmen parallel: Für Gesundheitsdaten braucht es eine Rechtsgrundlage nach Art. 9 DSGVO, für den KI-Anbieter einen Vertrag zur Auftragsverarbeitung, für neue KI-Verfahren mit hohem Risiko eine Datenschutzfolgenabschätzung, und die Eingabe von Klientendaten in öffentliche KI-Tools ohne Vertrag und Schutzmaßnahmen ist schlicht eine Datenpanne. In der Praxis heißt das: Die KI-Governance gehört in dieselben Strukturen wie der Datenschutz, dasselbe Inventar, dieselben Prüfprozesse, dieselben Schulungstermine. Einrichtungen, die ihre Datenschutzorganisation im Griff haben, sind beim KI-Thema bereits zur Hälfte fertig; welche Grundpflichten das sind, zeigen unsere Grundlagenbeiträge zum Datenschutz im Pflegedienst und im Sanitätshaus.

Der KI-Beauftragte: Keine gesetzliche Pflichtfigur, aber der praktische Schlüssel

Anders als beim Datenschutzbeauftragten schreibt die KI-VO keine förmliche Bestellung eines „KI-Beauftragten“ vor, hier ist Ehrlichkeit angebracht. Was sie sehr wohl verlangt, ist die Summe seiner Aufgaben: nachweisbare KI-Kompetenz im Team, ein gepflegtes Inventar der eingesetzten Systeme samt Risikoeinstufung, geregelte menschliche Aufsicht, Transparenz- und Kennzeichnungsprozesse, die Prüfung neuer KI-Tools vor dem Einsatz und die Verzahnung mit der DSGVO. Ohne eine benannte verantwortliche Person bleibt davon erfahrungsgemäß wenig übrig, und Schatten-KI füllt das Vakuum.

Ein KI-Beauftragter braucht es daher spätestens, wenn KI-Funktionen in Dokumentation, Planung oder Kundenkommunikation produktiv genutzt werden, wenn Personal-KI angeschafft werden soll oder wenn das Team öffentliche KI-Tools nutzt, also praktisch in jeder Einrichtung. zweiplus bietet den externen KI-Beauftragten als Ergänzung zum externen Datenschutzbeauftragten an: eine Hand für beide Rechtsrahmen, mit KI-Inventar, Risikoeinstufung, KI-Richtlinie für das Team, Art.-4-Schulungen mit Teilnahmenachweis und laufender Begleitung neuer Tools, branchenerprobt in Pflege und Hilfsmittelversorgung. Für KMU besteht zudem die Möglichkeit, Beratungsleistungen über das Förderprogramm der BAFA bezuschussen zu lassen. Ob eine Förderung in Frage kommt, klären wir im Erstgespräch.

Fazit: Die Fristen wurden verschoben, die Aufgabe nicht

Die KI-Verordnung trifft Pflegedienste und Sanitätshäuser als Betreiber, und zwar in drei Wellen: Die Kompetenzpflicht und die Verbote gelten bereits, die Transparenz- und Kennzeichnungspflichten greifen ab August 2026, die vollen Hochrisiko-Pflichten folgen ab Ende 2027 beziehungsweise 2028. Wer jetzt das KI-Inventar erstellt, das Team nachweisbar schult, Chatbots und KI-Inhalte kennzeichnet und neue Tools vor dem Einsatz prüft, erfüllt die geltenden Pflichten und ist für die kommenden vorbereitet, ohne Hektik und ohne Bußgeldrisiko von bis zu 35 Millionen Euro für verbotene Praktiken. Der effizienteste Weg dorthin ist die Bündelung bei einer verantwortlichen Person, die Datenschutz und KI zusammen denkt. Genau das leistet der externe KI-Beauftragte von zweiplus. Nehmen Sie Kontakt auf und lassen Sie Ihren KI-Bestand unverbindlich erfassen und einordnen.

FAQs – Häufig gestellte Fragen zur KI-Verordnung in Pflege und Sanitätshaus

Ja. Die KI-VO gilt für Betreiber von KI-Systemen unabhängig von der Unternehmensgröße; wer KI-Funktionen in Dokumentation, Planung oder Kommunikation einsetzt, ist Betreiber. Der Digital Omnibus bringt für KMU Erleichterungen bei Dokumentationspflichten, befreit aber nicht von Kompetenzpflicht, Verboten und Transparenzregeln.

Seit dem 2. Februar 2025 die KI-Kompetenzpflicht nach Art. 4, also nachweisbare Schulung aller Personen, die mit KI arbeiten, sowie die Verbote des Art. 5, darunter die Emotionserkennung am Arbeitsplatz. Ab dem 2. August 2026 kommen die Transparenzpflichten des Art. 50 hinzu, etwa die Kennzeichnung von Chatbots und KI-generierten Inhalten.

Rat und Parlament haben sich im Mai 2026 darauf geeinigt, die vollen Pflichten für eigenständige Hochrisiko-KI nach Anhang III auf den 2. Dezember 2027 und für KI in regulierten Produkten wie Medizinprodukten auf 2028 zu verschieben, verbunden mit Erleichterungen für KMU. Die bereits geltenden Pflichten aus Art. 4 und 5 sowie die Transparenzpflichten ab August 2026 bleiben unverändert.

Möglich. KI-Systeme, die Bewerber vorauswerten, Aufgaben zuweisen oder Leistung und Verhalten von Beschäftigten bewerten, fallen in den Hochrisiko-Bereich des Beschäftigungskontexts. Entscheidend ist, ob die KI Entscheidungen über Personen wesentlich beeinflusst. Die Einstufung sollte je System dokumentiert werden; reine Plan-Rechenhilfen ohne Personenbewertung sind regelmäßig nicht erfasst.

Nicht ungeregelt und niemals mit Klienten-, Kunden- oder Mitarbeiterdaten: Die Eingabe von Gesundheitsdaten in öffentliche KI-Tools ohne Vertrag und Schutzmaßnahmen ist eine Datenpanne. Sinnvoll ist eine KI-Richtlinie, die freigegebene Tools, erlaubte Zwecke und Tabudaten benennt, kombiniert mit einer geschützten, vertraglich abgesicherten Lösung statt bloßer Verbote.

Ja, ab dem 2. August 2026 müssen Personen erkennen können, dass sie mit einem KI-System kommunizieren; ein klarer Hinweis im Chat genügt. Dasselbe gilt für KI-generierte oder wesentlich KI-veränderte Bilder, Videos und Audioinhalte, etwa im Social-Media-Marketing der Einrichtung.

Ein nachweisbares, auf die tatsächlich eingesetzten Systeme bezogenes Grundverständnis: Funktionsweise, Grenzen, typische Fehler, Umgang mit sensiblen Daten und die Rolle der menschlichen Kontrolle. Praktisch bewährt sind kurze Schulungen mit Übungen an den eigenen Tools und dokumentierter Teilnahme; generische Videos ohne Nachweis genügen nicht.

Beide gelten parallel. Die KI-VO regelt das System, die DSGVO die Datenverarbeitung: Rechtsgrundlage nach Art. 9 DSGVO für Gesundheitsdaten, AV-Vertrag mit dem KI-Anbieter, gegebenenfalls Datenschutzfolgenabschätzung. KI-Governance und Datenschutzorganisation sollten deshalb in einer Hand liegen und dieselben Inventare und Prozesse nutzen.

Verbotene Praktiken können mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen die meisten übrigen Pflichten mit bis zu 15 Millionen Euro oder 3 %. Für KMU sieht die Verordnung angepasste Maßstäbe vor; hinzu kommen parallel die Sanktionen der DSGVO, wenn personenbezogene Daten betroffen sind.

Eine gesetzliche Bestellpflicht gibt es nicht, die Pflichten der KI-VO bestehen aber unabhängig davon, und ohne benannte verantwortliche Person bleiben Inventar, Schulungen und Tool-Prüfungen erfahrungsgemäß liegen. Ein externer KI-Beauftragter bündelt diese Aufgaben und verzahnt sie mit dem Datenschutz; zweiplus bietet ihn als Ergänzung zum externen Datenschutzbeauftragten an.

Über uns

Unsere Kerntätigkeit ist die Bestellung als externe Datenschutzbeauftragte für kleine und mittelständische Unternehmen, kommunale Dienstleister und Gemeinden bis hin zur wirtschaftsprüfungspflichtigen Unternehmen.