Redaktionspause | KW 30

Erstveröffentlichung KW 25 | 22.06.2025 | Christina Marx, Sprecherin der Aktion Mensch, erklärte vor einigen Tagen: „Die Zeit der Ausreden ist vorbei – in wenigen Tagen müssen digitale Angebote barrierefrei sein. Doch unsere Ergebnisse sind alarmierend: Zu viele Unternehmen nehmen mögliche Bußgelder in Kauf …“. (~ Quelle) Ursächlich hierfür dürfte allerdings vor allem sein, dass sich viele der betroffenen Unternehmen dieser neuen Pflicht, die sich auf Onlineauftritte bezieht, die im weitesten Sinne der Geschäftsanbahnung dienen, nach wie vor nicht bewusst sind. Digitale Geschäftsanbahnung meint bei Arztpraxen bspw. Online-Bestellformulare oder Terminbuchungstools via Homepage. Ausnahmen gelten folglich für Webseiten, die komplett ohne solche Tools auskommen sowie für Kleinunternehmen, definiert als Betrieb mit weniger als zehn Mitarbeitern oder weniger als 2 Millionen € Jahresumsatz. Bezogen auf die ambulante Praxislandschaft dürften folglich ziemlich viele BAG und MVZ unter den Anwendungsbereich fallen.

Wir hatten dazu bereits im Dezember 2024 informiert: Neue Pflichten durch das Barrierefreiheitsgesetz: Hintergründe und Handlungsempfehlung. Die dortigen Ausführungen sind nach wie vor gültig und ermöglichen eine schnelle Orientierung für Praxisverantwortliche. Zusätzlich lohnt das Handout des Bundesarbeitsministeriums: Leitlinien für die Anwendung des Barrierefreiheitsstärkungsgesetzes  (PDF | 13 Seiten) Die Umsetzung der Erkenntnisse ist freilich alles andere als trivial und schnell gemacht schon gar nicht. Damit stellen sich jetzt – nur wenige Tage vor dem Stichtag – vor allem die Fragen, wie lassen sich bisherige Versäumnisse heilen und was droht bei Nichterfüllung? Leider fehlt bisher jede Unterstützung seitens der Ärzteverbände – weder Kammern noch K(Z)Ven haben sich des Themas bisher angenommen. Ein auf Praxen spezialisierter Marketingdienstleister schätzt, „dass sich gerade einmal 5 % der Arztpraxen auf das BFSG vorbereitet haben.“ (~ Quelle) Das sehen wir ähnlich.

Erster Schritt bleibt daher, die eigene Betroffenheit zu prüfen: Fällt das Unternehmen unter die normativen Kriterien? Enthält die Webseite relevante digitale Dienstleistungen? Würde es helfen, das Kontaktformular vorübergehend einfach abzuschalten? Wird das Terminbuchungstool eventuell durch einen Fremdanbieter zur Verfügung gestellt und greift hier das Drittanbieterprivileg? Lässt sich § 16 BFSG (Veränderung der Wesensmerkmale durch Barrierefreiheit) oder § 17 BFSG (unangemessen hohe Kosten oder Belastung) als Ausnahmetatbestand in Anspruch nehmen? Wesentlich scheint zudem, nicht in hektischen Aktionismus zu verfallen. Angesichts der Vielzahl an bisweilen unseriösen Beratern, die überteuert eine schnelle Lösung versprechen, gilt es also vor allem, sich eine gesunde Skepsis zu bewahren und erst einmal zu informieren. Etwa bei der Bundesfachstelle Barrierefreiheit: Allgemeines FAQ zum BFSG | Spezielles FAQ zu Dienstleistungen im elektronischen Geschäftsverkehr.

Offizielle Prüfstellen für die Barrierefreiheit sind die jeweiligen Landesfachstellen, bei denen sich z.B. Patienten, aber auch Behindertenverbände, niederschwellig über digitale Hindernisse beschweren können: Überwachungsstelle Bund / Überwachungsstellen der 16 Länder. Diese können Bußgelder verhängen und im Ernstfall auch die Schließung von Webseiten erzwingen. Ob hier allerdings vom 28. Juni an direkt mit der ‚vollen Härte‘ agiert wird und, ob dabei ausgerechnet Arztpraxen in den Fokus geraten, ist unklar, da das Gesetz ja primär auf Webshops und Onlinehändler zielt. ,Volle Härte‘ meint übrigens Strafzahlungen von bis zu 100.000 €. Die Gesetzesbegründung vom April 2021 führt dazu jedoch aus: „Bei der Festsetzung [der Bußgeldrahmens] wurde zudem berücksichtigt, dass Wirtschaftsakteure von etwaigen Pflichtver­stößen abgeschreckt werden sollen. Bei der Verhängung des Bußgeldes ist insbesondere der Umfang des Verstoßes (unter anderem dessen Ernsthaf­tigkeit und Zahl der betroffenen nichtkonformen Produkte beziehungsweise Dienstleistungen) sowie die Zahl der betroffenen Personen zu berücksichtigen.“ Auf dieser Vorgabe basierend, sollte jeder Praxisverantwortliche selbst eine Risikoabwägung vornehmen. Klar muss aber bleiben, dass ein öffentlich sichtbarer Verstoß gegen § 3 UWG immer eine offene Flanke darstellt.

Folglich rechnen Fachleute nicht zuletzt auch damit, dass der Stichtag den ein oder anderen Abmahnanwalt auf den Plan rufen könnte. Sprich, solche Juristen, die mit gleichlautenden Schreiben möglichst viele betroffene Unternehmen parallel auf ihr Pflichtversäumnis hinweisen und dafür neben Gebühren auch strafbewehrte Unterlassungserklärungen einfordern. Vor diesem Hintergrund sei daraufhin hingewiesen, dass infolge ähnlicher Vorgänge rund um den DSGVO-Stichtag 2018 zwei Jahre später ein neues Gesetz gegen den Abmahnmissbrauch in Kraft gesetzt wurde (~ mehr Infos). Sollten Sie daher in den nächsten Wochen oder Monaten derartige Schreiben eines Anwaltes oder auch eines Konkurrenzunternehmens erhalten, informieren Sie sich vor jedweder Reaktion gründlich, z.B. hier: IHK München – Ratgeber Abmahnung; bzw. ebenda direkt zu: Wie erkenne ich eine missbräuchliche Abmahnung?.

Im Übrigen ist auf die Parallelität des im B2C-Verkehrs geltenden Barrierefreiheitsstärkungsgsetzes (BFSG) und der ausschließlich für öffentliche Stellen geltenden Vorgaben gemäß Behindertengleichstellungsgesetz (BGG) hinzuweisen. In diesem Kontext ist die Klarstellung wichtig, dass das BFSG tatsächlich keine Regelung zur verpflichtenden Anwendung von Leichter Sprache, Einfacher Sprache oder der Deutschen Gebärdensprache beinhaltet. Solche finden sich nur im BGG und gelten daher lediglich für öffentliche Stellen. (~ BMI Referat DG II 1 v. 28.03.2025 | PDF – 3 Seiten.)

Erstveröffentlichung KW 25 | 22.06.2025 | Zum Leidwesen der meisten nimmt das Thema Sicherheit einen immer größeren Stellenwert im Praxisalltag ein. Sei es die von uns bereits mehrfach besprochene NIS2-Umsetzung oder die physische Sicherheit durch bauliche Maßnahmen. Zeitnah steht nun auch die verpflichtende Umsetzung der aktualisierten IT-Sicherheitsrichtlinie der KBV vor der Tür. Diese ist zum 1. April 2025 in Kraft getreten und verpflichtet alle Praxen und MVZ zur Umsetzung der neuen Anforderungen spätestens bis zum 1. Oktober 2025. Damit einher gehen Analysen der eigenen Prozesse und Schulungen der Mitarbeitenden. Um im Wirrwarr der zukünftigen Normen und Verpflichtungen noch einmal etwas Klarheit zu schaffen, ordnen wir diese Sicherheitsrichtlinie nachfolgend ein.

Zur Klarstellung: die ‚Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit‘ ist zwar artverwandt mit der NIS2-Thematik, stellt aber dennoch eine völlig eigene Vorschrift dar. KBV und auch KZBV wurden mit dem Digital-Versorgungs-Gesetz schon zu Minister Spahns Zeiten in § 390 SGB V damit beauftragt, die Sicherheitsrichtlinie alle zwei Jahre zu überarbeiten und dem neuesten Stand anzupassen. Zur Vereinfachung sprechen wir im Folgenden bezüglich dieser IT-Sicherheitsrichtlinie von der K(Z)BV-Norm. Ausführlich hatten wir diese Norm bereits im April beleuchtet: KBV aktualisiert IT-Sicherheitsrichtlinie | Ein Überblick zu alten + neuen Pflichten. Auf Anfrage teilte die KZBV übrigens mit, die Aktualisierung der eigenen IT-Sicherheitsrichtlinie am 1. Juli zu veröffentlichen. [Update 05.08.2025: Die KZBV hat die Richtlinie veröffentlicht. Im Gegensatz zur KBV ist die Umsetzung für die Zahnärzte nach Angaben der KZBV aber erst zum 02.01.2026 umzusetzen (~ KZBV | IT-Sicherheit in der Zahnarztpraxis)] Bis auf den Hinweis der Änderungen zu den Punkten des ‚Mobile Device Management‘ unterscheidet sich die Neuerungen allerdings nicht von  der KBV-Richtlinie. Das NIS2 Vorhaben hingegen, ist ein Umsetzungsgesetz aus einer EU-Richtlinie, das die gesamte Wirtschaft betrifft. Wir hatten in der vergangenen Ausgabe auf den unscharfen, aber hochrelevanten Zeitrahmen von NIS2 verwiesen:  NIS-2 Update | Trotz unklarem Zeithorizont: Das Gesetz kommt.

Mit etwas Mühe lassen sich aber auch Vorteile in dieser, für Praxen und MVZ zusätzlichen K(Z)BV-Sicherheitsnorm finden: Denn, wer sich damit jetzt bereits gründlich auseinandersetzt, dürfte für die umfangreichere NIS2-Umsetzung gut gerüstet sein. Das unveränderte, übergeordnete Ziel der KBV-Richtlinie ist es seit ihrer Erstveröfentlichung in 2021, die Vertraulichkeit, Integrität und Verfügbarkeit von Patientendaten zu gewährleisten und, quasi als Nebeneffekt, Praxen vor Cyberangriffen zu schützen. Ein wesentlicher Schwerpunkt der Neuerungen liegt – beim 2025er Update – auf der Sensibilisierung und Schulung des Praxispersonals im sicheren Umgang mit der IT. Insbesondere die sogenannte ‚Steigerung der Security-Awareness‘ steht im Vordergrund. In der Fachliteratur wird auch von der ‚Human-Firewall‘ gesprochen, denn viele der Sicherheitslecks entstehen immer noch durch Nachlässigkeiten oder durch das Ausnutzen von emotionalem Stress des Praxispersonals, durch vermeintliche Dringlichkeit und Autorität. Wir hatten dies beispielhaft einmal im folgenden Artikel ausgeführt: ‚Hier ist Ihr Steuerbüro. Es eilt!‘ | Cyberattacken durch die Hintertür.

Eine Synopse zwischen den alten und neuen Regeln stellt die KBV zwar nicht bereit, jedoch ermöglicht eine Broschüre einen guten Überblick zum Thema und bietet auch Checklisten zur Umsetzung an (~ KBV PraxisWissen | PDF – 16 Seiten). Diese eignet sich ebenfalls als Einstiegslektüre für diejenigen Mitarbeitenden, die nicht mit IT-Sicherheit vertraut sind – von daher geben wir eine klare Lese-Empfehlung. Die Anforderungen, welche Maßnahmen von den Praxen und MVZ umgesetzt werden müssen, sind von deren Größe abhängig. Je nach Größen-Kategorisierung müssen die unterschiedlichen Anlagen der KBV-Sicherheitsrichtlinie befolgt werden. Die beste Übersicht dazu bietet die IT-Richtlinie selbst auf Seite 1 f., unter Punkt III und IV (~ IT-Sicherheitsrichtlinie KBV | PDF – 19 Seiten).

Passend zur Vorbereitung auf die neue IT-Sicherheitsrichtlinie hat die KBV für Anfang Juli eine Kampagne mit dem Thema IT-Sicherheit angekündigt: „Das Themenspektrum reicht laut KBV vom Umgang mit Phishing-Mails über ‚sichere Passwörter, Virenschutz, Software-Updates und das Nutzen einer Cloud bis hin zum Basisschutz der Praxis-IT oder was bei einem Sicherheitsvorfall zu tun ist.‘ (~ heise.de v. 19.06.2025) Die Auseinandersetzung mit dem Thema kann auch zum Anlass genommen werden, grundlegende betriebsinterne Prozesse zu überarbeiten, wie Verschwiegenheitsklauseln in Verträgen und Meldeketten für den Ernstfall. Leider zeichnet sich momentan der Umstand ab, dass es schwierig wird, die Mitarbeiterschulungen für die K(Z)BV-Richtlinie mit denen für NIS2 in Einklang zu bringen, schlicht aus dem Grund, weil die national umzusetzenden Inhalte von NIS2 immer noch offen sind. Dennoch erscheint es erwägenswert, mit dem Schulungsanbieter über die möglichen Synergien bei Schulungsinhalten und Zeiträumen zu sprechen. Anbieter mit Weitblick informieren womöglich auch gleich noch über die Konsequenzen zum Datenschutz, die sich durch die neuen Regularien des European Health Data Space (EDHS) am entfernten Horizont abzeichnen. Diesbezüglich steht noch viel in den Sternen, aber das Thema IT-Sicherheit und Datenschutz ist und bleibt ein Dauerbrenner.

Erstveröffentlichung KW 19 | 10.05.2025 | Bis spätestens Ende Juni 2026 soll die EU-Richtlinie für die Entgelttransparenz ins nationale Recht umgesetzt werden. Trotz des damit verbundenen politischen Konfliktpotentials müssen Unternehmen davon ausgehen, dass Deutschland diese Frist einhält, was zu schwerwiegenden Konsequenzen in der innerbetrieblichen Gehaltsstruktur führen kann und daher am besten schon heute, und nicht erst in einem Jahr, die notwendige Aufmerksamkeit verdient. Denn nach dem jetzigen Kenntnisstand ist davon auszugehen, dass die bisherigen Schwellenwerte für wesentliche Offenlegungsmechanismen entfallen, die momentan nach deutschem Recht noch gelten, und somit viele MVZ und Praxen bisher unberührt lassen. Dies könnte sich ab 2026 ändern. Was die Kernpunkte der neuen Regelung sind, welche politischen Hürden das Gesetz noch nehmen muss und welche Maßnahmen bereits jetzt für das Unternehmen sinnvoll sind, haben wir daher grob zusammengefasst.

Um Verwirrungen vorwegzunehmen und das Gesetzes-‚Update‘ einzuordnen: Es gibt bereits ein nationales Entgelttransparenzgesetz – die EU-Verordnung verschärft jedoch die Kriterien. Ob das neue Gesetz dann einen völlig neuen Namen bekommt, ist noch offen. Die bereits am 26. Juni 2023 in Kraft getretene EU-Verordnung (~ Volltext) soll europaweit für mehr Lohngerechtigkeit sorgen, muss aber noch, wie einleitend angedeutet, in nationales Recht übertragen werden. Die Ampel-Koalition hatte sich bereits daran versucht, mit zahlreichen Bekenntnissen über die Dringlichkeit und Relevanz des Vorhabens. Gleich drei Ministerien hatten am Vorhaben mitgeschraubt: das BMFSFJ (~ Familienministerium) sowie das Arbeits- und das Justizministerium. Sollte sich dieses Kompetenzgerangel in der neuen Regierung fortsetzen, könnte das zu Verzögerung und/oder einem für die Unternehmen sehr nachteiligen, weil widersprüchlichem Gesetz führen. Wenn in den kommenden Monaten über das Gesetzesvorhaben und die Diskussionen drumherum berichtet wird, ist es demnach empfehlenswert, dass der Leser jeweils das Maß zwischen sicherer Vorhersage und Eventualität richtig abschätzt. Ignorieren sollten die Geschäftsführungen das Vorhaben aber auf keinen Fall.

Worum geht es? Nach den jetzigen Projektionen stellen sich die neuen Vorschriften wie folgt dar: Grundsätzlich muss zwischen verschiedenen Verpflichtungen unterschieden werden, die auf die Arbeitgeber zukommen. Der sogenannte Auskunftsanspruch berechtigt Arbeitnehmer, die Gehaltsinformationen für gleiche oder gleichwertige Arbeit einzufordern. Dieser Anspruch wird nach der neuen Regelung gemäß einiger Expertenvoraussagen „voraussichtlich“ unabhängig von der Unternehmensgröße gelten. Das bedeutet, für diese Auskunftspflichtpflicht würde dann die jetzt geltende Untergrenze von 200 Beschäftigten ersatzlos entfallen. Ferner müssen bei Stellenausschreibungen zukünftige Gehaltsspannen angegeben werden. Unternehmen werden verpflichtet, objektive Kriterien zur Gehaltsentwicklung transparent darzulegen. Eine Untergrenze gibt es für die vorgesehene ausführliche Berichtspflicht. Arbeitgeber mit mehr als 250 Beschäftigten sollen jedes Jahr einen Bericht zum geschlechterspezifischen Lohngefälle vorlegen müssen, Unternehmen von 150 bis 249 müssten dieser Berichtspflicht vorerst nur alle drei Jahre nachkommen. Die EU-Richtlinie sieht eine Verschärfung der Grenzwerte zu einem späteren Zeitpunkt vor, wonach dann auch Unternehmen ab 100 Mitarbeitenden diese Berichtspflicht auferlegt wird.

Die Konsequenzen: Gehen bei größeren Unternehmen aus den oben genannten Berichten zum Lohngefälle Abweichungen von mehr als 5 Prozent hervor, so müsste der Arbeitgeber gegensteuern. Die EU-Richtlinie sieht vor, dass Arbeitnehmer einen Anspruch auf Entschädigung haben, und zwar – CAVE! – auch rückwirkend. Die Beweislast liegt im Falle eines Rechtsstreits beim Arbeitgeber. Dabei werden die Hürden für Arbeitnehmer, hier gegen den Arbeitgeber vorzugehen, gesenkt und auch Arbeitnehmervertreter sollen berechtigt werden, im Namen der Arbeitnehmer Sammelklagen zu initiieren. Dies träfe eher auf den Klinik-Betrieb zu, könnte aber auch im größeren Kontext zu Verwerfungen führen, beispielsweise wenn auf diesem Wege höhere Gehälter in Bereichen durchgesetzt werden, die mit den MVZ um Arbeitnehmer konkurrieren. Für das Nichtbefolgen drohen Unternehmen zudem Strafen, die voraussichtlich wieder an der Höhe des Jahresumsatzes bemessen werden. All dies ist bislang nicht in Stein gemeißelt. Die deutschen Arbeitgeberverbände mahnen zur Umsicht und auch die CDU/CSU-Fraktion hatte, solange sie noch in der Opposition war, eingefordert, dass durch das Gesetz ‚keine überzogenen nationalen Sonderlasten entstehen‘ dürften. (~ Quelle)

Was können Unternehmen jetzt tun? Nur ein Bruchteil der deutschen Unternehmen fühlt sich auf das neue Regularium vorbereitet. Insbesondere bei MVZ in Regionen mit Arbeitnehmermangel ist das Gehalt oft ein unerlässliches Steuerungskriterium. Hier gilt es nun vorausschauend zu agieren. Laut der Zeitschrift Arzt +Wirtschaft könnte ein erster Schritt in das Projekt ‚Gehaltstransparenz‘ derart aussehen, dass sich medizinische Einrichtungen zunächst Listen anlegen, in denen die Durchschnittsgehälter nach Tätigkeitsgruppe und Geschlecht aufgeführt sind. Ferner kann ein Kriterienkatalog erstellt werden, aus dem die individuellen Vergütungen nachvollziehbar und transparent abgeleitet werden können. Dieser Katalog ist im Bearbeitungsprozess explizit auf die Geschlechterneutralität zu prüfen.

Unabhängig von der dann konkreten Gesetzesumsetzung sind sich hier die einschlägigen Quellen einig, dass derlei Maßnahmen eine gute Vorbereitung auf die neuen Pflichten abgeben. Es scheint daher ratsam, dass sich Geschäftsführungen auch von MVZ und anderen komplexen Praxisstrukturen zeitnah mit dem Thema auseinandersetzen.

Erstveröffentlichung KW 23 | 07.06.2025 | In unserem letzten Update zu NIS-2 hatten wir noch einmal auf die weitreichenden Konsequenzen für viele MVZ und größere Praxen hingewiesen, die das Gesetz mit sich bringen wird. Allerdings hatten wir den Zeithorizont offenlassen müssen. Dieser ist hochinteressant, da es keine Übergangsfristen geben wird. Tritt das Gesetz in Kraft, dann gilt es auch sogleich. Einen kurzen Abriss zu NIS-2 haben wir im 2. Absatz angefügt. In einem Artikel, hinter der Paywall, berichtete der Tagesspiegel-Online über die möglichen Erfolgsaussichten des Innenministeriums, das Gesetz noch vor der Sommerpause durch den Bundestag zu bringen. (~ Tagesspiegel Online v. 05.06.2025) Es gibt aber auch zunehmend Quellen, die davon ausgehen, dass dieser ambitionierte Zeitplan nicht eingehalten werden kann und das Gesetz erst Ende 2025 oder gar erst Anfang 2026 verkündet wird. (~ noerr.com | ~ NIS2-umsetzung.com)

Eine konkrete Voraussage zum Zeitpunkt des Inkrafttretens ist schwer zu treffen. Einerseits liegt der Gesetzesentwurf aus der Vorgängerregierung schon vor. Zusätzlich drängt das EU-Strafverfahren, wegen der verspäteten Umsetzung der Richtlinie, mit horrenden Strafen gegen den Bund. Andererseits war der damals vorgelegte Gesetzesentwurf umstritten. Unabhängig davon bedarf es durch den Regierungswechsel einen neuen Anlauf des Gesetzgebungsverfahrens mit den diversen Lesungen im Bundestag, samt Expertenanhörung im Innenausschuss, und auch der Bundesrat muss das Gesetz letztlich abnicken. Zwar handelt es sich nicht um ein zustimmungspflichtiges Umsetzungs-Gesetz, doch der Bundesrat muss eine Stellungnahme abgeben und könnte zudem Einspruch einlegen. Der Weg ist also noch lang. Was im ersten Moment wie Aufatmen klingt, die rigiden Vorschriften nicht sofort umsetzen zu müssen, birgt auch die Gefahr, die Dringlichkeit zu weit absinken zu lassen. Denn hinter dem knappen Dringlichkeiten-Stakkato: ‚Das Gesetz kommt. Und wenn es da ist, gilt es.‘, verbirgt sich ein erheblicher Aufwand für MVZ und Praxen. Für alle betroffenen Einrichtungen bedarf es einiger Vorbereitungen, wie Mitarbeiterschulungen und Prüfung der eigenen IT-Infrastruktur.

Als kurze Erinnerung: Hinter dem Kürzel NIS (= Netz- & Informationssicherheit) verbirgt sich eine EU-Richtlinie zur Sicherung der IT-Infrastruktur gegen Angriffe und Störungen. NIS-2 ist ein Update der ursprünglichen Richtlinie und hätte seinerseits bereits in nationales Recht umgesetzt werden müssen. Diese neue Cybersicherheitsrichtlinie in der deutschen Umsetzung stuft in elf Branchen – darunter das Gesundheitswesen – alle Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen € neu als ‚kritische Infrastruktur‘ ein und legt diesen daher weiterführende Registrier- und Präventionspflichten auf. Verstöße gegen die neuen Pflichten sollen mit empfindlichen Geldbußen sanktioniert werden. Zudem ist vorgesehen, das Management in eine persönliche Haftung zu nehmen, falls eklatante Sicherheitsverstöße registriert werden. Die Konsequenzen sind also nicht von der Hand zu weisen.

Und selbst dann, wenn das eigene MVZ unterhalb der Grenzwerte liegt, also nicht direkt verpflichtet wird, sollte dennoch davon ausgegangen werden, dass das Thema der Cyberbedrohungen zukünftig stetig mehr Priorität bekommt. Für einen detaillierten Überblick empfehlen wir unsere MVZ-spezifische Arbeitshilfe „NIS2 + vertragsärztliche Praxisstrukturen“.

Erstveröffentlichung KW 12 | 23.03.2025 | Hinter dem EU-AI-Act verbirgt sich eine EU-Verordnung zur Regulierung der Anwendung künstlicher Intelligenz, die seit dem 2. Februar 2025 in Kraft ist und unmittelbar auch in Deutschland gilt. Verpflichtet werden Unternehmen aller Größen und Branchen, inklusive des Gesundheitswesens, die KI anwenden – also keineswegs nur deren Hersteller. Eine der neuen Vorschriften ist die Auflage, dass bei KI-Nutzung durch ein Unternehmen, die Mitarbeiter speziell zu schulen sind. Hier zielt die Verordnung folglich darauf ab, Bewusstsein und Kompetenz für den Einsatz z.B. von Chat-GPT oder dem Microsoft Co-Pilot im Arbeitskontext zu schaffen. Wirtschaftsjurist Alexander Hönsch erläutert dazu: „Der AI Act bewegt sich in einer Regelung, die in der EU schon oft angewandt wurde: dem Produktsicherheitsrecht und dem risikobasierten Ansatz. Unternehmen können ihr Wissen aus der Erfahrung mit der DSGVO nutzen, es gibt viele Parallelen.“ (~ Handelsblatt v. 18.03.2025)

Jedem sollte klar sein, dass vom EU-AI-ACT nicht nur spezialisierte KI-Software betroffen ist, sondern auch Standard-Unternehmenssoftware, die mit Hintergrund-KI-Unterstützung arbeitet. Dadurch stellt sich die EU-KI-Verordnung als ein Thema dar, dem sich auf Dauer wohl kein Unternehmen entziehen kann. Die Unterteilung, wer von den Regularien betroffen ist, wird auch nicht – wie sonst oft – nach Unternehmensgröße bestimmt, sondern ist risikobasiert in Bezug auf die KI-Produkte selbst. Für deren Unterteilung gibt es drei Kategorien: Hochrisiko-KI-Produkte, mittleres und niedriges Risiko. Überdies beschreibt die KI-Verordnung auch verbotene KI-Software, wie ‚social scoring‘ Software. Wichtigste neue Pflicht ist es, für alle Produktklassen risikoadjustierte ‚KI-Kompetenz‘ aufzubauen und nachzuweisen.

Die Norm nimmt dabei sowohl den Hersteller der Software in die Verantwortung, als auch den unmittelbaren Betreiber, wie z.B. das konkrete MVZ. Hier kommen KI-gestützte Systeme bisher überwiegend bei der Mustererkennung (Detektion von Krankheiten), bei der Telefonie oder bei der Transkription von Sprache in Schriftstücke zum Einsatz. Teils als gesonderte Software, zunehmend aber auch vermehrt als integrales Element von Standard-Software. In welche Risikokategorie das verwendete Produkt fällt, muss gegebenenfalls beim Hersteller erfragt werden. (~ heise.de v. 11.02.2025) Sollte ein MVZ ein KI-gestütztes Programm verwendet, das unter die Hochrisiko-Klasse fällt, ist darauf zu achten, dass die Systeme gemäß der Gebrauchsanweisung betrieben werden. Zudem muss die Qualität der Eingabedaten sichergestellt sein, und das Unternehmen ist verpflichtet, ‚besondere‘ KI-Kompetenzen aufzubauen.

Rund um den EI-AI-Act boomt damit derzeit ein ganzer Berater-Markt. Vermehrt gibt es zudem Angebote für ‚KI-Kompetenz-Zertifikate.‘ Mitunter wird – wenig seriös, aber dennoch nicht ganz verkehrt – mit den erheblichen Strafen bei Verstoß gegen die KI-Verordnung geworben. Diese reichen bis zu 35 Mio. Euro oder 7 Prozent des Jahresumsatzes. Aufgrund des schrittweisen Inkrafttretens gelten aber für Verstöße gegen die Pflicht zur Beschaffung von KI-Kompetenz bisher keine direkten Sanktionen. Am 2. Februar sind nur zunächst die ‚allgemeinen Bestimmungen und verbotene Praktiken‘ verbindlich geworden. Für die Regulierung der Hochrisiko-Software gibt es eine lange Übergangsfrist bis Sommer 2027. Derweil aktivieren sich im Laufe schrittweise auch die übrigen Teile der Verordnung.

Wichtig für den MVZ-Betrieb ist daher zunächst Folgendes: Ob ein verwendetes System zukünftig auch KI unterstützt wird, ist vom Hersteller abhängig. Betroffen wird immer mehr auch normale Unternehmenssoftware sein. Der EU-AI-Act macht daher auch vor dem kleinen MVZ mit zwei Ärzten nicht Halt, weswegen es unabdingbar ist, perspektivisch auch für diese Norm entsprechende Ressourcen einzuplanen. Zunächst vornehmlich die Ressource ‚Zeit‘, um auf dem Laufenden zu bleiben, wie sich Markt und Rechtsprechung entwickeln. Eine gute erste Orientierung bietet Ausgabe 2/2025 der Fachzeitschrift iX: AI Act: Weitreichende Pflicht zur KI-Kompetenz sowie aus anderer Perspektive der Beitrag Was der AI Act für Medizinprodukte- und IVD-Hersteller bedeutet.

Erstveröffentlichung KW 27 | 08.07.2025 | Schaut man auf die BMG-offizielle Übersicht zu den aktuellen, schon gestarteten Normsetzungsvorhaben, sind für die laufende Legislatur fünf Posten notiert (~ BMG: Gesetze + Verordnungen). Nicht mitgezählt ist dabei die Krankenhausreform, da hier bisher nur geredet, aber noch kein offizielles Verfahren gestartet wurde. Zusätzlich gibt es für die Pflege- und die Apothekenreform konkret angekündigte Aktivitäten. Das BMG ist also durchaus geschäftig – jedoch steht der ambulante Sektor dabei offensichtlich bisher nicht im Fokus. Was das für die MVZ-Frage bedeutet, haben wir vor Kurzem beleuchtet (~ Ein Update unter neuen Vorzeichen). Allerdings hat der BMVZ ja auch zahlreiche andere Themen auf der Agenda. Unter anderem engagieren wir uns für die Modernisierung der Zulassungsverordnung, die wir zuletzt am 4. November 2024 – also zwei Tage vor dem Ampel-Aus unter der Überschrift ‚Die ambulante Versorgung braucht Strukturtransparenz‘ (~ BMVZ-Position | 04.11.2024) aktiv eingefordert hatten. Wegen des Koalitionsbruchs blieb die Initiative in der Sache erfolglos. Nun wurde ein neuer Versuch gestartet, die Dringlichkeit für eine Überarbeitung der ZV-Ärzte sichtbar zu machen, sekundiert vom Geschäftsführer der FALK-KVen (~ mehr über), der in der ÄrzteZeitung fordert: „Die neue Ärzte-ZV muss so schnell wie möglich kommen“. Denn man wolle bei den Zulassungen digitaler und deutlich schneller werden. Dafür benötigten die KVen neue regulatorische Grundlagen. (~ Quelle)

Worum es bei diesem bereits im November 2022 gestarteten und inhaltlich sehr umfänglichen Projekt geht, umreißen in aller Kürze diese beiden Artikel: (Etwas) mehr Spielraum bei der Vertretung von Ärzten und BMG will Zulassungsverordnung für Vertragsärzte modernisieren. Ergänzend lohnt ein Blick auf die Kommentierung des Vorhabens durch den AOK-Bundesverband in seiner förmlichen Stellungnahme v. 16.12.2022: „Mit dem vorliegenden Referentenentwurf werden die rechtlichen und tatsächlichen Entwicklungen der letzten Jahre in den Zulassungsverordnungen für Ärzte und Zahnärzte nachvollzogen. Allen voran werden die Änderungen in der ärztlichen Berufsausübung besser abgebildet und es findet eine rechtliche Annäherung zwischen angestellten Ärztinnen und Ärzten und Vertragsärztinnen und Ärzten statt. Die Erweiterung des Arztregisters und eine verbesserte Abbildung der kooperativen Strukturen sind aus Sicht der AOK-Gemeinschaft dringend geboten“. Ganz ehrlich: Selten konnten wir beim BMVZ als Vertreter der Akteursseite Kassenworten so uneingeschränkt beipflichten wie im Fall der ZV-Modernisierung. Auch die KBV nahm in ihrer Stellungnahme eine im Wesentlichen positive Perspektive ein, so dass sich im Winter 2022/23 die eher seltene Konstellation ergab, dass Leistungszahler und Leistungserbringer (bei Abweichungen im Detail) einhellig dem Entwurf zustimmten. Verrückterweise wurde er trotzdem von Lauterbauch die nächsten zwei Jahre hintenangestellt: Novellierung der Zulassungsverordnung für Vertragsärzte verzögert sich (Ärzteblatt v. 14.10.2024). Von daher ist umso spannender, was das neue BMG nun aus diesem fertig in der Schublade liegenden Projekt macht.

Anno Fricke, Journalist der ÄrzteZeitung gibt der Ministerin in der unten verlinkten Kolumne kurz und pointiert mit auf den Weg: „Worauf wartet Nina Warken? Wenig Risiko, hohe Gewinnchance.“ Und in der Tat: Nimmt man alle Fakten zusammen, drängt sich die Frage einfach auf, warum dieses so sinnvolle Regulierungsprojekt bisher auf der Strecke geblieben ist. Offensichtlich fragt sich das – nachdem die Glaskuppel-Kolumne am 26. Juni passend zum Hauptstadtkongress erschienen war – auch die KV Westfalen-Lippe. Diese legte am 1. Juli mit der Meldung nach, einen eigenen Vorschlag erarbeitet zu haben. Auch hier mit der offensichtlichen Begründung: „Die Norm ist bereits sehr alt und muss dringend überarbeitet werden“. Die NRW-Lokalredaktion der ÄrzteZeitung führt weiter aus: „Für die Umsetzung brauche die KVWL Verbündete und habe sie in der KBV und dem nordrhein-westfälischen Gesundheitsministerium (MAGS) auch gefunden,(…) Man sei „sehr zuversichtlich, dass wir in Kürze positive Signale hören und die in der KVWL angestrebte Gesetzesinitiative den gewünschten Erfolg bringt.“

Vor so viel Breitschultrigkeit des KV-Vorsitzenden muss man natürlich Respekt haben (hüstl, hüstl) … andererseits geht es ja um die Sache. Und, dass eine breite Allianz von Akteuren hier Druck und Öffentlichkeit in dieselbe Richtung erzeugt, ist auf jeden Fall gut. Mal sehen, was das BMG und der Bundesrat, den die KVWL dem Bericht nach ebenfalls einspannen will, daraus machen. Der BMVZ jedenfalls steht als fachlich versierter wie konstruktiver Gesprächspartner mehr als bereit.