Zum Hauptinhalt springen
Alle Beiträge
Einkauf10 Min. Lesezeit

Vier Fragen, die den Klinik-KI-Einkauf schneller machen

Wenn ein Anbieter diese vier nicht in einem Gespräch beantworten kann, ist der Rest meist Zeitverschwendung. Beobachtungen aus Einkaufsgesprächen 2025/26.

Dr. Sven Jungmann

Dr. Sven Jungmann

CEO

Der erste Eindruck zählt.

Klinik-KI-Einkaufsprozesse stocken in unserer Beobachtung selten am fehlenden Prüfaufwand. Sie stocken am falschen. Standardfragebögen zur KI-Compliance werden mit fünfzig bis hundert Punkten gewissenhaft abgearbeitet — und leisten den entscheidenden Anbieterfilter trotzdem nicht. Sie fangen zu viele harmlose Lücken auf und übersehen die zwei oder drei Punkte, an denen Verträge später reißen.

Die vier Fragen unten sind das, was wir am Anfang jedes Anbietergesprächs als Erstes hören wollten, säßen wir auf der Klinikseite. Sie ersetzen keine vollständige Compliance-Prüfung. Sie sind ein erster Filter — eine halbe Stunde am Anfang, die viele Diskussionen am Ende erspart.

Es gibt einen zweiten Effekt, der uns wichtiger erscheint als der erste. Die Qualität der Antwort sagt etwas über das Team, das hinter dem Produkt steht. Eine kompetente Antwort in zwei Minuten ist ein Signal; ein verlegenes Schweigen oder ein zu glattes Umschiffen auch. Diese Fragen sind eine Vorprüfung für den Anbieter — und manchmal, unangenehmer, auch für die eigene Einkaufsseite.

Eine Vorbemerkung zur Form. Die vier Fragen sind so formuliert, wie wir sie tatsächlich stellen würden. Wir haben sie kurz gehalten. Jeder folgt ein Hinweis darauf, was eine gute und eine ausweichende Antwort in unserer Beobachtung unterscheidet. Im letzten Abschnitt beantworten wir die Fragen für uns selbst, damit Sie sie uns mit derselben Schärfe stellen können.

Frage 1 · MDR Rule 11

Welche Zweckbestimmung steht in Ihrer Gebrauchsanweisung — und deckt sie das, was Ihr Vertrieb uns gerade gezeigt hat bzw. was auf Ihrer Webseite beworben wird?

Ein Produkt ist nicht dadurch kein Medizinprodukt, dass der Hersteller das sagt. Es ist eines oder keines danach, was die Zweckbestimmung in der Gebrauchsanweisung beschreibt und wie das Produkt beworben wird. Die Konsequenz: Wenn Online-Marketing, IFU (Instructions for Use, Gebrauchsanweisung) und Verkaufsgespräch unterschiedliche Geschichten erzählen, hat die Klinik im Audit einen Konflikt zu erklären, der nicht ihrer ist.

Die nützliche Frage ist deshalb nicht „Sind Sie ein Medizinprodukt?". Auf diese Frage lautet die saubere Antwort immer „nein" oder „ja, Klasse X" — beides ist nicht informativ. Die Konsistenzfrage spart die Hälfte der späteren Diskussion.

Es gibt Anbieter, die als Klasse-IIa- oder Klasse-IIb-Medizinprodukt zugelassen sind und das offen tragen — die Frage ist für sie gleich beantwortet, weil die IFU der Anker ist und Marketing wie Vertrieb daran ausgerichtet sein müssen. Es gibt Anbieter wie uns, die sich aus dem Anwendungsbereich der MDR herausentwickeln, weil ihre Funktionen administrativ bleiben. Beide Wege sind tragfähig. Heikel sind Anbieter, deren Marketing klinische Versprechen macht, die ihre IFU nicht hergibt.

Was wir als gutes Signal lesen: Der Anbieter zeigt die IFU im Gespräch oder schickt sie ungefragt nach. Die Zweckbestimmung deckt die gezeigten Funktionen. Bei Grenzfällen wird offen über regulatorische Abgrenzungsprüfungen gesprochen — also darüber, wie der Anbieter intern entscheidet, ob eine neue Funktion noch außerhalb der MDR liegt.

Was uns nervös machen würde: Die IFU ist „in Überarbeitung". Marketing spricht von „Vorhersage von klinischen Outcomes", die IFU von „Dokumentation". Die Frage „aber das ist doch kein Medizinprodukt, oder?" wird mit einem „natürlich nicht" beantwortet, ohne dass jemand eine solide Begründung bietet. in vielen Fällen sollte eine dezidierte Bewertung von verschiedenen Funktionalitäten stattfinden, um sicher zu gehen, dass es sich wirklich nicht um ein Medizinprodukt handelt und dies auch sauber begründet ist.

So entdecken Sie ein verstecktes Medizinprodukt schneller.
"Wir sind kein Medizinprodukt" reicht nicht aus. Sie müssen sich die Unterlagen genauer anschauen. ·aiomics

Frage 2 · EU-KI-Verordnung

Wo in Anhang III der KI-Verordnung verorten Sie sich — und warum?

Die offene Frage ist nützlicher als die Ja-Nein-Variante. Bei „Sind Sie Hochrisiko?" antwortet jeder Vertrieb mit einem geübten Halbsatz. Bei „Wo verorten Sie sich?" zeigt sich innerhalb von zwei Minuten, ob der Anbieter Anhang III tatsächlich gelesen hat.

Den häufigen blinden Fleck haben wir nicht bei Nummer 5 (Gesundheitsversorgung) gefunden — den haben die meisten geprüft. Er liegt bei Nummer 4 (Beschäftigung und Personalmanagement). Sobald eine Klinik-KI Auswertungen auf Mitarbeiter:innen-Ebene zulässt, kommt diese Kategorie ins Spiel. Anbieter, die das durchdacht haben, sagen zwei Sätze dazu, ohne dass die Frage explizit gestellt wird. Anbieter, die es nicht durchdacht haben, hören Anhang III Nummer 4 zum ersten Mal — das hört man.

Hochrisiko zu sein ist kein Makel. Manche Funktionen sollen genau dort sein, weil sie klinische Triage- oder Diagnoseaufgaben übernehmen, und das Hochrisiko-Regime ist die Antwort des Gesetzgebers darauf. Was zählt, ist nicht die Einstufung, sondern die Qualität der Begründung dahinter — und ob der Anbieter die Pflichten, die mit seiner Einstufung einhergehen, kennt und erfüllt.

Was wir als gutes Signal lesen: Eine modulweise Einordnung mit Begründung. Die Erwähnung von Artikel 6 Absatz 1 (MDR-Bauteil-Logik) ohne explizites Nachfragen. Ein Aufsichtsdesign nach Artikel 14, das im Bedienfluss verankert ist und über „der Arzt klickt am Ende auf Freigeben" hinausgeht.

Was uns nervös macht: „Wir sind nicht Hochrisiko" als Endpunkt der Antwort. Keine Auseinandersetzung mit Anhang III Nummer 4, obwohl das Produkt Auswertungen auf Individualebene zulässt. Verweis auf eine Bewertung, die „nächste Woche fertig" ist.

Die KI-Verordnung wird noch vielfach ignoriert, ist aber bereits heute schon relevant
Ihre Lieferanten sollten sich bereits gut mit der KI-Verordnung auskennen. ·aiomics

Frage 3 · § 393 SGB V

Welcher der drei Wege nach § 393 SGB V ist Ihrer?

§ 393 SGB V eröffnet drei rechtlich gleichwertige Wege. Absatz 2 verlangt das BSI-C5-Typ-2-Testat — der direkte Weg, seit dem 1. Juli 2025 die Pflichtanforderung an Cloud-Computing-Dienste im Gesundheitswesen. Absatz 4 Satz 3 sieht eine 18-monatige Übergangsfrist für Cloud-Dienste vor, die nach dem 30. Juni 2025 erstmalig in Verkehr gebracht wurden. Absatz 4 Satz 4 erkennt gleichwertige oder höhere Sicherheitsstandards an — wozu unter bestimmten Voraussetzungen eine ISO-27001-Zertifizierung auf Basis von BSI-IT-Grundschutz zählen kann.

Drei Wege. Alle drei sind legal. Der Diskriminator ist nicht, welcher Weg gewählt wurde, sondern ob der Anbieter weiß, dass es drei gibt, und ob seine Wahl begründet ist. „Wir haben C5" ist eine kürzere Antwort als „Wir laufen über die Übergangsfrist und die Äquivalenzregelung; das eigene Typ-2-Testat ist parallel in Beschaffung". Beide Antworten können richtig sein. Die zweite kommt von einem Team, das mit dem Gesetz tatsächlich gearbeitet hat.

Eine Nebenbemerkung zur Topologie, weil sie immer wieder Verwirrung stiftet: Das C5-Testat eines Infrastruktur-Anbieters (etwa AWS) deckt die SaaS-Schicht eines KI-Anbieters nicht ab. Beide Schichten brauchen jeweils ihren eigenen Pfad. Wer das im Gespräch nicht trennscharf vorträgt, hat den Stack nicht gelesen.

Was wir als gutes Signal lesen: Die drei Wege werden benannt, einer wird begründet gewählt. Die Schichttrennung Infrastruktur und SaaS wird ungefragt erklärt. Wo ein eigenes Typ-2-Testat noch in Beschaffung ist, wird ein Zeitplan genannt — mit Beobachtungszeitraum.

Was uns nervös macht: Pauschales „BSI C5 ist abgedeckt" ohne Schichtdifferenzierung. Keine Kenntnis der Übergangs- oder Äquivalenzregelung. Das gezeigte Testat gehört dem Infrastruktur-Anbieter.

Frage 4 · BetrVG

Können Einzelauswertungen von Mitarbeiter:innen in Ihrer Datenbank überhaupt abgefragt werden?

§ 87 Absatz 1 Nummer 6 BetrVG knüpft die Mitbestimmung an die Eignung einer technischen Einrichtung zur Verhaltens- oder Leistungskontrolle, nicht an die Absicht. Die Rechtsprechung legt „geeignet" weit aus — das objektive Können genügt. Eine Architektur, die Einzelauswertungen erlaubt, ist mitbestimmungspflichtig, auch wenn niemand sie nutzt.

Das macht die Frage einfach. Eine technische Aggregationsgrenze auf Datenbankebene — etwa eine Mindestgruppengröße, unterhalb derer Auswertungen physisch nicht möglich sind — beantwortet die Frage strukturell. Eine Policy, die Einzelauswertungen verbietet, hält in der BR-Verhandlung typischerweise nicht stand, weil das objektive Können der Einrichtung beurteilt wird, nicht das interne Regelwerk.

Es gibt Anbieter, die diese Grenze nicht in der Datenbank, sondern in einer Berechtigungsschicht ziehen — und das im Einzelfall vor dem Betriebsrat tragfähig argumentieren können. Es gibt andere, die mit dem Betriebsrat eine Betriebsvereinbarung verhandeln, die die zulässigen Auswertungen abschließend benennt. Beide Wege sind möglich. Heikel ist eine bloße interne Selbstverpflichtung gegen die ausweisliche technische Möglichkeit.

Was wir als gutes Signal lesen: Die Aggregationsgrenze ist auf Datenbankebene umgesetzt. Ein Informationspaket für den Betriebsrat liegt vor. Erfahrungsberichte aus tatsächlich geführten Betriebsrat-Verhandlungen können benannt werden.

Was uns nervös machen würde: „Wir haben eine Policy gegen Einzelauswertungen." Auswertungsfunktionen sind „konfigurierbar." Das Support-Team hat pauschalen Zugriff auf Nutzerkonten ohne Protokoll.

Betriebsräte sind häufig offen gegenüber Krankenhaus-KI.
In unserer Erfahrung sind Betriebsräte sehr positiv gestimmt, wenn die relevanten Herausforderungen frühzeitig und proaktiv adressiert werden.

Was diese vier Fragen leisten — und was nicht

Die vier Fragen ersetzen keine Compliance-Prüfung. Sie ersetzen die ersten zwanzig — die meisten davon unnötig. Wer die vier in einer halben Stunde am Anfang klärt, spart sich die Diskussionen, die sonst gegen Ende eines Verfahrens auftauchen, wenn der Aufwand für einen Anbieterwechsel emotional und politisch bereits zu hoch erscheint.

Der zweite Effekt ist der, der uns mehr interessiert. Die Antworten sagen etwas über das Team. Anbieter, die alle vier konzise beantworten, haben in unserer Erfahrung auch dann ein belastbares Profil, wenn man tiefer bohrt. Anbieter, die zwei oder drei davon ins Stocken bringen, haben fast immer Lücken, die sich später teurer rächen — weniger im regulatorischen Audit als in der täglichen Zusammenarbeit, in der dieselbe Sorgfalt fehlt, die in den Antworten gefehlt hat.

Es gibt einen dritten Effekt, der unangenehmer ist und über den im Einkauf wenig gesprochen wird. Die vier Fragen sind auch eine Selbstvergewisserung für die Klinikseite. Wer die Antworten nicht einordnen kann, ist im Verfahren strukturell abhängig vom Anbieter — eine schlechtere Verhandlungsposition als die, in der die Klinik die Fragen versteht. Manche Klinik-Teams nutzen genau diese vier Fragen intern, um vor dem Anbietergespräch den eigenen Wissensstand auf einer Seite zu vergewissern. Das halten wir für klug.

Wie wir uns selbst diese vier Fragen beantworten

Wir haben uns die Fragen oben nicht ausgedacht, um sie anderen zu stellen. Wir haben sie uns selbst gestellt, weil wir gemerkt haben, dass die meisten Compliance-Listen die falschen Punkte einfangen. Hier sind unsere Antworten — knapp gehalten, damit Sie uns dieselben Fragen mit derselben Schärfe stellen können. Die ausführlichen Belege liegen im Datenraum, den wir Klinikkund:innen und ihrem Justiziariat unter NDA zur Verfügung stellen.

  1. Zur Zweckbestimmung. Keine der aiomics-Funktionen fällt unter Regel 11 der MDR. Wir führen unser Qualitätsmanagementsystem trotzdem nach den Prinzipien der ISO 13485, weil sich die Disziplin auch für administrative Module bewährt. Jede Feature-Entscheidung durchläuft eine dokumentierte regulatorische Abgrenzungsprüfung in der Anforderungsphase, bevor sie in die Entwicklung geht. Die Gebrauchsanweisung deckt jeden Funktionsumfang, den unser Vertrieb zeigt; bei Inkonsistenzen wäre das ein Fehler unsererseits, nicht eine Auslegungsfrage.
  2. Zur KI-Verordnung. Die Risikoeinstufung ist modulweise dokumentiert; keiner unserer produktiv ausgelieferten Funktionsbereiche fällt unter Anhang III. Insbesondere nicht unter Nummer 4 (Beschäftigung und Personalmanagement) und nicht unter Nummer 5 lit. d (Triage). Artikel 14 ist dennoch im Bedienfluss verankert: Jede KI-Ausgabe trägt einen Vorschlagsstatus, eine explizite Freigabe wird verlangt, die Quellenkette zu jedem Vorschlag ist im System einsehbar, und ein Widerruf nach Freigabe bleibt nachvollziehbar. Ohne aktive Freigabe gelangt nichts in das verifizierte Patientenbild.
  3. Zu § 393 SGB V. Wir erfüllen die Anforderungen über die Übergangsregelung nach § 393 Abs. 4 Satz 3 in Verbindung mit der Äquivalenz nach § 393 Abs. 4 Satz 4 SGB V. Die Substanz der Äquivalenz ist auditiert; die Beleglage zur formalen Zertifizierung liegt im Datenraum. Das eigene BSI-C5-Typ-2-Testat wird parallel zum laufenden Betrieb beschafft; den aktuellen Zeitplan und den Beobachtungszeitraum nennen wir auf Anfrage und im Datenraum. Die Verarbeitung erfolgt ausschließlich in der EU (AWS Frankfurt), ohne Weiterleitung an US-Dienste. Die Schichttrennung — IaaS bei AWS, SaaS bei aiomics, Verantwortliche bei der Klinik — ist im Datenraum dokumentiert.
  4. Zum BetrVG. Die Aggregationsgrenze ist auf Datenbankebene umgesetzt: Auswertungen unterhalb der Mindestgruppengröße (Standardwert: zehn Personen) sind technisch nicht möglich; Klinik-Administrator:innen können den Wert nach oben anpassen, nicht nach unten unter zehn. Für Betriebsratsgespräche stellen wir ein Informationspaket bereit, das den Betriebsrat früh einbezieht, ohne formale Erlaubnis für Pilotphasen einzufordern. Eine Demonstration und ein Frage-und-Antwort-Termin gehören zum Standardablauf.

Das ist keine vollständige Antwort auf den Klinik-KI-Einkauf 2026. Es ist die Antwort auf die vier Fragen, die in unserer Erfahrung das meiste Verfahrensrisiko abräumen. Wenn Sie diese vier bei jedem Anbieter — uns eingeschlossen — stellen, schrumpft die Liste der ernsthaften Kandidaten schnell auf eine handhabbare Größe.

Wenn Sie diese Fragen mit uns durchgehen wollen — auch ohne aiomics zu evaluieren — schreiben Sie uns. Wir antworten in der Regel innerhalb eines Werktags.

Diese vier Fragen sind keine Rechtsberatung und ersetzen die Einschätzung Ihres Justiziariats nicht. Sie sind ein Erfahrungsbericht aus Anbietersicht — gedacht als Filter im ersten Gespräch, nicht als Prüfungsergebnis. Die abschließende rechtliche Beurteilung Ihrer konkreten Beschaffung gehört zu Ihrer Compliance-Funktion.

#Compliance#MDR#EU-KI-Verordnung#BSI C5#AVV#BetrVG

Weiterlesen

Wie hoch ist Ihr Aufwand, um eine Patientin aufzunehmen?
Aufnahmemanagement

10 zu 1 — die Schattenarbeit, die niemand misst

Auf jede aufgenommene Reha-Patient:in kommen ungefähr zehn Anfragen, die das Haus nie belegt. Die meisten Kliniken kennen die Zahl nicht. Sie kennen sie auch deshalb nicht, weil bislang nichts an ihr zu ändern war.

Dr. Sven JungmannCEO
Ihre Ärztinnen und Ärzte haben nicht über sechs Jahre lang Medizin studiert, um zu Schreibkräften zu werden.
Medizinisches Controlling

Die Prüfquote für 2027 entsteht jetzt

Die neuen Prüfquoten werden nicht nur erhöhte Kosten erzeugen, sondern auch wertvolle Zeit von der Patientenversorgung abziehen, es sei denn, Sie nutzen intelligente Dokumentationsautomatisierung

Dr. Sven JungmannCEO

Sie möchten das in Ihrer Klinik sehen?

30 Minuten. Ihre Fragen. Unser Arzt-Gründer zeigt Ihnen die Plattform persönlich.

Termin vereinbaren

Unverbindlich. Kein Vertrieb. Arzt zu Arzt.