KI-Sicherheitszonen in der Klinik: Wie kontrollierte Nutzung Schatten-KI ablöst

Anfang Mai 2026, eine mittelgroße Reha- und Akut-Misch-Klinik im süddeutschen Raum. Im IT-Lenkungs-Kreis fällt der Satz, der in deutschen Kliniken 2026 fast wöchentlich fällt: „Wir wissen, dass die Assistenz-Ärzt:innen private KI-Werkzeuge benutzen — und wir wissen nicht, was sie damit machen.“ Drei Stunden später, im ärztlichen Kollegium, fällt ein zweiter Satz: „Ein Verbot reicht nicht — die Effizienz-Bedürfnisse sind real.“ Die beiden Sätze beschreiben das Bauproblem. Schatten-KI ist nicht das Problem, sondern das Symptom. Das Problem ist eine Klinik, die die Effizienz-Bedürfnisse ihres Personals nicht in eine kontrollierte Umgebung überführt hat. Wolters-Kluwer-Analystinnen haben für diese kontrollierte Umgebung den Begriff „KI-Sicherheitszone“ geprägt — und die deutsche Klinik-Praxis hat ihn 2026 noch selten ausformuliert.

Eine KI-Sicherheitszone ist kein Sandbox-Begriff aus der Software-Entwicklung und kein Käfig. Sie ist eine Werkbank — eine kontrollierte Umgebung, in der zugelassene KI-Werkzeuge an freigegebenen Anwendungs-Fällen mit dokumentierten Verarbeitungs-Pfaden eingesetzt werden, und alles andere unterbleibt. Der Wolters-Kluwer-Trend-Bericht zum Gesundheitswesen 2026 beschreibt die Sicherheitszone als Antwort auf eine Lage, die der ENISA-Threat-Landscape-Bericht 2024 als organisations-interne Schwachstelle einordnet: Datenabfluss über öffentliche Sprachmodell-Schnittstellen ist 2024 EU-weit dokumentiert; das Personal greift zu privaten Diensten, wenn die Klinik selbst keine kontrollierte Umgebung anbietet. Eine Sicherheitszone trägt fünf operative Bausteine — keiner davon ist neu, jeder einzelne ist in der ärztlichen Werkbank-Logik wiedererkennbar. Was 2026 fehlt, ist die Verschaltung der Bausteine zu einer Architektur, die das Haus trägt.

Baustein 1: Werkzeug-Liste mit Freigabe-Status

Der erste Baustein ist die Werkzeug-Liste. Jede mittelgroße Klinik hat eine Liste freigegebener Medizin-Geräte; die analoge Liste für KI-Werkzeuge fehlt 2026 in vielen Häusern. Die Liste trägt vier Spalten: Werkzeug-Name, freigegebener Anwendungs-Fall, Verarbeitungs-Pfad (lokal, EU-Cloud, andere), und Verantwortliche Person aus dem ärztlichen oder IT-Bereich. Sie unterscheidet zwischen freigegebenen Werkzeugen, in der Erprobung befindlichen Werkzeugen und ausdrücklich gesperrten Diensten. Die Sperre ist dabei der weniger wichtige Eintrag — die Freigabe ist der entscheidende. Wer in der ärztlichen Routine eine Werkzeug-Liste vorfindet, in der drei Werkzeuge mit drei Anwendungs-Fällen freigegeben sind, hat eine Werkbank. Wer eine Liste mit zehn Sperr-Einträgen vorfindet, hat ein Verbot. Die ISO/IEC-42001-Norm zu KI-Management-Systemen formuliert die Liste als zentrales Element: ohne dokumentierte Werkzeug-Liste keine ordentliche Risiko-Bewertung, ohne Risiko-Bewertung keine Schulung mit Substanz. Die Pflege der Liste ist eine laufende Arbeit, kein einmaliges Dokument; sie wird quartalsweise aktualisiert, und die Aktualisierung ist im Aufsichts-Baustein verankert.

Baustein 2: Technisch getrennte Verarbeitungs-Umgebung

Der zweite Baustein ist die technische Trennung. Eine Sicherheitszone setzt voraus, dass freigegebene KI-Werkzeuge in einer Verarbeitungs-Umgebung laufen, die von der offenen Klinik-Internet-Nutzung getrennt ist. Die BSI-Mindestanforderungen an KI-Anwendungen benennen drei Elemente: kontrollierte Verarbeitung mit dokumentierten Datenflüssen, Identity-Management, das jede Eingabe einer angemeldeten Person zuordnet, und Protokollierung mit revisions-fähiger Aufbewahrung. Das Fraunhofer-IAIS-Whitepaper zur KI-Strategie 2026 ergänzt den vierten Punkt für deutsche Kliniken: bevorzugte Verarbeitung im eigenen Haus oder in einer EU-Cloud, Trennung von Produktiv- und Erprobungs-Daten, keine Patienten-Eingaben in private Dienst-Konten. Diese vier Elemente sind der Kern der Trennung. Sie verlangen kein Voll-Sandbox-Konzept und keine eigene Forschungs-Abteilung; sie verlangen eine bewusste Entscheidung, wo die KI-Verarbeitung läuft, und eine technische Sperre der Pfade, die die Entscheidung verletzen würden. In der Praxis bedeutet die Sperre meist, dass die Klinik öffentliche Sprachmodell-Schnittstellen aus der internen Netzwerk-Umgebung nicht ohne Authentifizierung erreichbar macht — die Schwelle für die private Nutzung steigt von „Eingabe-Feld im Browser“ zu „bewusster Wechsel des Geräts und des Netzes“. Diese eine Schwelle bricht den größten Teil der Schatten-KI-Routine.

Baustein 3: Schulungs-Dispositiv mit Wiedervorlage

Der dritte Baustein ist die Schulung — und die Schulung trägt am wenigsten, wenn sie aus IT-Compliance-Folien besteht. Die UKE-ARGO-Implementation seit Juli 2024 beschreibt 200 Behandelnde im Regelbetrieb mit einer Schulung, die ärztlich geführt ist und in einer Stunde am eigenen Arbeitsplatz stattfindet, mit Quartals-Wiedervorlage am realen Fall. Eine ähnliche Linie zeigt die Erfahrung aus dem Deutschen Ärzteblatt zu KI-generierten Arztbriefen (Februar 2025): kontrollierte Nutzung in einem Haus mit ärztlicher Schulung trägt höhere Akzeptanz und niedrigere Schatten-Nutzungs-Quote als ein Haus, in dem die Einführung über IT-Mailverteiler läuft. Das Schulungs-Dispositiv hat drei Elemente: eine Stunde Einführung am eigenen Arbeitsplatz mit ärztlicher Anleitung, eine quartalsweise Wiederbegegnung mit dem Werkzeug an einem konkreten Stations-Beispiel, und eine ärztliche Bezugsperson für Anschlussfragen. Die Bezugsperson ist nicht der IT-Helpdesk; sie ist eine Kollegin oder ein Kollege, die das Werkzeug selbst nutzt. Diese Konfiguration kostet Zeit. Sie bricht aber die Schwelle, die zwischen einem freigegebenen Werkzeug und seiner tatsächlichen Nutzung in der Stations-Routine liegt — und die ist in der Praxis meist höher als die Schwelle zur Schatten-Nutzung.

Baustein 4: Doku-Pflicht und Vier-Augen-Disziplin

Der vierte Baustein ist die Doku-Disziplin. Eine KI-gestützte Aussage in einem Arztbrief, in einem Aufnahme-Vermerk oder in einem Reha-Bericht trägt einen Hinweis, dass sie KI-gestützt entstanden ist; die ärztliche Freigabe ist Pflicht; nichts geht ungeprüft in das endgültige Dokument. Die Freiburger Pilot-Erhebung zu KI-Sprachmodellen für Arztbriefe (September 2024) berichtet eine Verwendbarkeits-Quote von 93,1 Prozent in der Pilot-Phase — die übrigen 6,9 Prozent sind der Grund, warum die Vier-Augen-Disziplin nicht entfallen darf. Die Quote ist monozentrisch und nicht eins zu eins übertragbar; sie trägt aber die Aussage, dass die ärztliche Freigabe eine Pflicht-Schicht bleibt, auch wenn die KI-Performance hoch ist. Die Doku-Pflicht hat einen zweiten Zweck: sie macht die KI-Nutzung im eigenen Haus messbar. Wer in der Quartals-Stichprobe sehen will, in welchem Anteil der Arztbriefe KI im Spiel war, braucht den Hinweis im Dokument. Ohne Hinweis bleibt die Nutzung unsichtbar — und unsichtbare Nutzung ist die Voraussetzung für Schatten-Nutzung, nicht die Lösung.

Baustein 5: Aufsichts- und Reviewing-Schicht

Der fünfte Baustein ist die Aufsicht. Sie hat zwei Aufgaben: die Werkzeug-Liste laufend zu pflegen und die Doku quartalsweise stichproben-artig auf KI-Anteil und Plausibilität zu prüfen. Die IBM-Definition von Schatten-KI benennt drei Risiken — Datenabfluss, Eingabe-Manipulation, ungeprüfte Halluzinationen in der Doku — und alle drei lassen sich nur durch eine Aufsichts-Schicht überhaupt beobachten. Branchen-Berichte aus medinfoweb 2025 beschreiben für deutsche Kliniken eine weit verbreitete Schatten-KI-Praxis; die Aufsichts-Schicht ist die einzige Antwort, die nicht in einem Verbot endet. Sie ist personell tragbar, wenn sie als Quartals-Stichprobe ausgelegt ist — eine Stunde pro Quartal, drei Personen aus ärztlichem, IT- und Datenschutz-Bereich; sie ist nicht tragbar, wenn sie als laufende Vollprüfung gedacht ist. Die Aufsichts-Schicht trägt zudem die Aktualisierung der Werkzeug-Liste: ein neues Werkzeug, das im Quartal beobachtet wird, wird im Folge-Quartal entweder freigegeben, in die Erprobung verschoben oder gesperrt — der Status entsteht aus der Beobachtung, nicht aus einem getrennten Antrags-Verfahren.

Die fünf Elemente sind weder neu noch besonders gewagt. Werkzeug-Listen kennen Kliniken aus dem Medizingeräte-Bereich; getrennte Verarbeitungs-Umgebungen kennen sie aus der Patientendaten-Architektur; Schulung mit Wiedervorlage ist ärztliche Routine; ärztliche Freigabe und Doppel-Lese sind in der Befund-Praxis etabliert; Aufsichts-Schichten kennt jedes Haus aus der internen Kodierrevision. Was 2026 in deutschen Kliniken meist fehlt, ist die Verschaltung dieser Elemente zu einer KI-spezifischen Bauweise. Eine mittelgroße Reha- oder Misch-Klinik kann diese Verschaltung in zwei Quartalen leisten — Werkzeug-Liste und technische Trennung im ersten Quartal, Schulung und Dokumentations-Regel im zweiten Quartal, Aufsicht ab dem dritten Quartal als laufende Routine. Was eine Klinik nicht leisten kann, ist das Aussitzen. Schatten-KI wächst, solange das Personal eine Effizienz-Lücke spürt und keine kontrollierte Werkbank vorfindet — die Beobachtung der Wolters-Kluwer-Linie ist hier nüchtern: ohne Sicherheitszone keine Beendigung der Schatten-Praxis.

Eine ärztliche Beobachtung am Rand: das Haus, das seine Zone gebaut hat, redet im Stations-Alltag selten über sie. Sie ist Werkbank — und über die Werkbank redet man, wenn man an ihr arbeitet, nicht wenn sie steht. Wer in der nächsten Governance-Sitzung mit der Liste beginnt und nicht mit dem Verbot, hat die Reihenfolge gebaut, die in den Berichten trägt. Wer in der Sitzung danach die Trennung als zweite Maßnahme vorlegt und nicht als erste, hat den Personal-Ärger erspart, der ein Verbot vor der Werkbank auslöst. Die Reihenfolge ist Teil der Architektur — sie ist nicht beliebig. Sicherheitszone heißt Werkbank, nicht Käfig: das Bauwerk endet die Schatten-Praxis nicht durch Untersagung, sondern dadurch, dass es das Verbotene überflüssig macht. Wer das Bild umdreht und einen Käfig errichtet, hat die Schatten-Nutzung an einen anderen Ort gehalten — vor das Klinik-Tor, an das private Mobilgerät, in die Pause. Die fünf Elemente sind die Werkbank-Variante; sie lassen sich in einem mittleren Haus in zwei Quartalen umsetzen, sie sind in der ärztlichen Werkstatt-Logik wiedererkennbar, und sie geben dem Personal die kontrollierte Effizienz, die es schon sucht — nur eben in einer Form, für die das Haus geradestehen kann.