Jede KI-Lösung in der medizinischen Dokumentation sollte frühzeitig formal darauf geprüft werden, ob sie als Medizinprodukt einzustufen ist (Produktqualifikation), und – falls ja – einer Risikoklasse zugeordnet werden (Produktklassifizierung, z.B. Klasse III bei Hochrisikoprodukten). Eine klare Definition des Verwendungszwecks minimiert spätere Anpassungen und regulatorische Risiken.

KI-Anbieter sollten mit spezialisierten Beratungsstellen einen konkreten, schriftlich begründeten Vorschlag zur Einordnung der KI-Lösung als (Nicht-)Medizinprodukt erarbeiten. Dies schafft frühzeitig regulatorische Klarheit und reduziert das Risiko, dass später Korrekturen nötig werden oder es zu Marktverzögerungen kommt.

Bei Lösungen mit gemischten Funktionalitäten sollten KI-Anbieter nur jene Module als Medizinprodukte klassifizieren und anmelden, die medizinisch relevante Zwecke erfüllen. So unterliegt der Rest des Systems weniger umfangreichen regulatorischen Anforderungen. Dies bedingt aber, dass die regulierten Module in der Softwarearchitektur sehr klar von den nicht regulierten getrennt sind.

Bevor ein Modul oder System bei einer benannten Stelle als Medizinprodukt eingereicht wird, muss der Nachweis eines funktionierenden Qualitätsmanagementsystems erbracht werden. Für Produkte der Klasse IIa oder höher (und für IVD der Klasse B oder höher) muss das Qualitätsmanagementsystem sogar nach ISO 13485 zertifiziert sein. Dieser Schritt ist unerlässlich für die Zulassung und sollte frühzeitig in die Projektplanung integriert werden.

Die inoffizielle Nutzung nicht zertifizierter Tools (Shadow Use) – etwa KI-basierter Transkriptions- oder Diagnoseanwendungen – birgt erhebliche Datenschutz-, Haftungs- und Qualitätsrisiken. Um diesem Risiko wirksam zu begegnen, sollten Gesundheitseinrichtungen aktiv geprüfte, kontrollierte Lösungen bereitstellen, die sicher und nutzungsfreundlich sind. Transparente Prozesse und klare interne Richtlinien zur Nutzung solcher Tools helfen zusätzlich, Grauzonen zu vermeiden und die Sicherheit sowie die Compliance zu gewährleisten.

In der technischen Dokumentation müssen die verwendeten LLMs klar beschrieben sein. Dies kann zum Beispiel mit sogenannten Model Cards erfolgen. Ebenfalls muss klar dokumentiert sein, wie die KI getestet wurde und welche Metriken für Zuverlässigkeit, Genauigkeit und Robustheit zur Anwendung kamen. Transparenz allein bedeutet noch keine Nachvollziehbarkeit, also keine echte Möglichkeit für medizinisches Fachpersonal, das Systemverhalten inhaltlich zu kontrollieren oder zu interpretieren.

Auch bei administrativen Tools müssen medizinische Fachpersonen jederzeit Inhalte prüfen, korrigieren und freigeben können. Damit diese Kontrollfunktion gewährleistet werden kann, braucht es klar definierte Human-in-the- Loop-Modelle, die nebst Usability-Kriterien auch menschliche Faktoren wie übermässiges Vertrauen und Kompetenzverlust mitberücksichtigen. Für die Nachvollziehbarkeit sollten KI-generierte Inhalte klar gekennzeichnet, editierbar und mit Protokollen sowie Bearbeitungsverläufen nachvollziehbar und innerhalb des spezifischen klinischen Kontexts interpretierbar sein. So bleibt die Entscheidungshoheit beim Menschen – Vertrauen, Qualität und Patientensicherheit werden gestärkt.

Unternehmen, die generische LLMs in KI-Systemen für die medizinische Dokumentation einsetzen, sollten sorgfältig prüfen, ob der jeweilige LLM-Anbieter die Nutzung für medizinische Zwecke in seinen Nutzungsbedingungen ausdrücklich erlaubt. Aufgrund möglicher Haftungsrisiken ist grundsätzlich der Einsatz von LLMs zu bevorzugen, die gezielt für Anwendungen im Gesundheitswesen trainiert und entsprechend freigegeben wurden. Um Fachspezifika wie medizinische Terminologie, Jargon oder institutsbezogene Richtlinien einzubinden, sollte auch der Einsatz von Retrieval-Augmented Generation geprüft werden.

Die Food and Drug Administration der USA erlaubt Medizinproduktsoftware, die nach dem Inverkehrbringen kontinuierlich weiterlernt und sich verändert. Dafür ist jedoch ein sogenannter Predetermined Change Control Plan notwendig. Man muss zudem sicherstellen, dass die Genauigkeit und Zuverlässigkeit der Software jederzeit gewährleistet ist. Ein solcher Ansatz, der vermutlich auch im Rahmen des EU AI Act, Art. 43(4), eine Rolle spielen wird, kann auch KI-Anbietern in der Schweiz als Vorbild dienen.

Lösungen sollten von Beginn an mit durchgängiger Verschlüsselung konzipiert werden, da reine Anonymisierung durch das Entfernen von Namen oder Geburtsdaten den Schutz sensibler Patientendaten nicht ausreichend gewährleistet. Dies reduziert  zudem technische und organisatorische Komplexitäten. Eine Verschlüsselung ist gleichzeitig auch ein wirksamer Präventionsschritt für Cybersicherheitsrisiken.

Zukunftsweisend ist der Einsatz von Confidential Computing, um sicherzustellen, dass Cloud-Anbieter zu keinem Zeitpunkt auf Patientendaten zugreifen können. So bleibt das Berufsgeheimnis auch bei Medizinberichten vollständig gewahrt – unabhängig davon, ob die KI-Lösung als Admin-Tool oder als Medizinprodukt eingesetzt wird. Confidential Computing bietet grosses Potenzial sowohl für private Praxen als auch für öffentliche Gesundheitseinrichtungen.

Plattformen für den regelmässigen Dialog mit Behörden, Technologieanbietern, Gesundheitsdienstleistern sowie Patientenorganisationen stärken Verständnis, Akzeptanz und Transparenz. Dadurch entstehen robustere, praxisnahe Lösungen – insbesondere für Anwendungsfälle, an denen sehr viele Akteure parallel arbeiten.

KI-Lösungen für Medizinberichte sollten nicht nur nahtlos in bestehende Klinikinformations- und relevante Umsysteme integriert, sondern auch über offene, interoperable Schnittstellen mit standardisierten Datenformaten zugänglich sein. Nur so können Akteure medizinische und klinische Informationen organisationsübergreifend nutzen – für die behandelnde Ärzteschaft, die Pflege, Therapien, Apotheken/Pharma, die Forschung, Versicherer und die Patientinnen und Patienten selbst. Zukünftig braucht es offene Plattformen, die einen Vendor-Lock-in vermeiden, Wettbewerb ermöglichen, Innovation fördern und gleichzeitig klare Regeln für Datenschutz, Datenhoheit und Qualitätssicherung gewährleisten. 

Basierend auf den Praxiserfahrungen mit KI in der medizinischen Dokumentation können konkrete Standards für die Erfüllung der datenschutzrechtlichen Anforderungen der verschiedenen, kantonalen Datenschutzgesetze erarbeitet werden. Ziel ist es, die Komplexität für KI-Anbieter zu reduzieren, regulatorische Doppelspurigkeiten zu vermeiden und eine schweizweit einheitlichere Umsetzung zu fördern – idealerweise unter Einbezug von Fachgremien wie der Datenschutzkonferenz (privatim) sowie den Gesundheitsdirektionen.

Ethik bei KI-generierten Medizinberichten bedeutet insbesondere Transparenz über Herkunft und Status der Information (menschlich vs. KI-generiert), die Vermeidung diskriminierender Resultate durch systematische Bias-Analysen sowie die Sicherstellung, dass Ärztinnen und Ärzte jederzeit die Verantwortung für Inhalt und Aussage des Berichts tragen können. Bei der Entwicklung und der Auswahl von KI-Modellen sollte auf die Diversität der Trainingsdaten geachtet werden, um ungewollte Benachteiligungen (Bias) gegenüber bestimmten Patientengruppen zu vermeiden. Human-by-Design-Ansätze sollten verpflichtend sein und nebst den gängigen Kriterien wie Nachvollziehbarkeit auch Faktoren wie übermässiges Vertrauen und Kompetenzverlust mitberücksichtigen. Warnhinweise bei Unsicherheiten und gezielte Schulungen, die nebst technischem Fachwissen auch die Herausforderungen der Mensch-KI-Zusammenarbeit und der Implementierung in komplexen soziotechnischen Systemen berücksichtigen, sind unerlässlich. Nur so kann sich KI als unterstützendes Werkzeug und nicht als isoliertes Entscheidungssystem etablieren.

Damit KI-Lösungen für Medizinberichte flächendeckend eingesetzt werden können, braucht es innovative Finanzierungs- und Geschäftsmodelle, die dem Nutzen für das Gesundheitssystem gerecht werden, etwa im Hinblick auf Effizienzgewinne, Qualitätssicherung, finanzielles Potenzial und Entlastung des Fachpersonals. Zukünftig könnten hybride Vergütungsmodelle entstehen, die auf messbare Erfolge wie Zeitersparnis, Reduktion von Fehlern oder bessere Informationsverfügbarkeit abgestimmt sind. Denkbar sind auch kooperative Ansätze, bei denen Gesundheitseinrichtungen, Technologieanbieter und Kostenträger gemeinsam in lernende Systeme investieren, deren Wert mit jeder Nutzung steigt – im Sinne eines nachhaltigen, datenbasierten Gesundheitssystems.

Regulatorische Testumgebungen (z.B. Sandboxes im Gesundheitsbereich) sollten standardisierte Vorlagen bereitstellen, mit denen KI-Anbieter ihre Lösung frühzeitig zur rechtlichen Einordnung einreichen können – ähnlich einem Pre-Submission- Dossier. Die Vorlage sollte den Verwendungszweck, Systemgrenzen sowie die Abgrenzung gegenüber medizinischer Entscheidungsunterstützung klar benennen. So entsteht bereits vor der Markteinführung Transparenz darüber, ob eine Lösung als Medizinprodukt zu klassifizieren ist. Das reduziert Rechtsunsicherheit, beschleunigt Zulassungsverfahren und fördert innovationsfreundliche Rahmenbedingungen.

Für kontinuierlich lernende KI-Systeme braucht es neue regulatorische Ansätze, die über klassische Zulassungslogiken hinausgehen. Denkbar sind stufenweise Freigaben auf Basis sogenannter Predetermined Change Control Plans (vgl. FDA-Modell) sowie kontinuierliche Nachsteuerung anhand dynamischer Risikoprofile. Institutionell könnten spezialisierte Bewertungseinheiten – etwa multidisziplinäre Fachgremien oder sektorale KI-Kontaktstellen – aufgebaut werden, die regulatorische Entscheidungen iterativ begleiten. Ergänzt durch Multistakeholder-Plattformen entsteht so ein Governance-Modell, das flexibler, praxisnäher und lernfähig ist und damit besser zu adaptiven KI-Systemen passt.

Im Bereich medizinischer Berichte stellt sich die Frage, inwieweit der klassische medizinische Bericht in Zukunft bestehen bleibt. Es ist denkbar, dass mit verbesserter Dateninteroperabilität und -integration künftig weniger der Bericht selbst, sondern vielmehr die strukturierte Darstellung und Verfügbarkeit der grundlegenden medizinischen bzw. klinischen Informationen für die jeweilige Zielgruppe – sei es für behandelnde Fachpersonen, Patientinnen und Patienten oder Krankenkassen – im Vordergrund steht. Andererseits stellt ein Bericht eine dokumentierte Entscheidung durch die jeweilige Leistungserbringung dar und kann somit weiterhin eine wichtige Rolle im Gesundheitswesen einnehmen, insbesondere im Zusammenhang mit Haftungsfragen.