Was Sie beim Einsatz von Künstlicher Intelligenz rechtlich beachten müssen!

Die rechtlichen Vorgaben für den Einsatz von KI ergeben sich nicht aus einem einzigen Gesetz, sondern aus mehreren europäischen Regelwerken. Zentral ist dabei der sogenannte „AI-Act“, auf Deutsch die KI-Verordnung („KI-VO“), deren Regelungen ohne in nationales Recht umgesetzt werden zu müssen voraussichtlich bis Sommer 2027 stufenweise anwendbar werden. Für die Zahnmedizin relevant ist zusätzlich die Medizinprodukteverordnung der EU (MDR).

Zunächst ist die Frage zu klären, wann überhaupt ein KI-System im Sinne der KI-VO vorliegt. Gemäß Art. 3 KI-VO ist ein System erfasst, wenn es aus Eingaben (beispielsweise Text-Prompts oder Bilder) eigenständig Ergebnisse wie Vorhersagen oder Empfehlungen erzeugt, die die physische oder digitale Umgebung beeinflussen können. Typische Beispiele hierfür sind Chatbots oder Bildanalysesoftware.

Für die KI-Regulierung hat der Gesetzgeber einen risikobasierten Ansatz gewählt: Die rechtlichen Anforderungen richten sich nach dem Risiko für Grundrechte und die Sicherheit der Bevölkerung. Die KI-VO teilt KI-Systeme dazu in vier verschiedene Klassen ein: unvertretbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko (siehe Tabelle 1).

In der Zahnarztpraxis fallen KI-gestützte Terminplaner oder einfache Spracherkennungssysteme typischerweise in die niedrigeren Risikoklassen. Diagnostische Systeme, die als Medizinprodukte eingestuft sind, gelten dagegen nach dem Zusammenspiel von MDR und KI-VO regelmäßig als Hochrisiko-KI.

Für die Praxis ist zunächst die Rollenverteilung relevant. Der Hersteller, also zum Beispiel OpenAI für ­ChatGPT, gilt als Anbieter der KI. Der Zahnarzt, der das System in seiner Praxis für eigene Zwecke einsetzt, ist in der Regel der Betreiber – zumindest solange er das System nicht wesentlich verändert. Welche konkreten Pflichten sich für den Betreiber ergeben, richtet sich nach den oben skizzierten Risikoklassen der KI-VO.

Bei KI mit geringem Risiko geht es vor allem um Transparenz. Gemäß Art. 50 KI-VO ist der Patient darüber zu informieren, dass KI eingesetzt wird, sofern dies nicht ohnehin offensichtlich ist. Wer also einen KI-basierten Chatbot auf seiner Website nutzt, muss die Nutzer darüber informieren, dass sie nicht mit einem Menschen, sondern mit einer Maschine interagieren.

Bei Hochrisiko‑Systemen sind die Vorgaben erheblich strenger, weil der Gesetzgeber in dieser Nutzung von KI eine potenzielle Bedrohung für die Allgemeinheit sieht. Gleichzeitig überwiegt jedoch der Nutzen dieser Angebote, sodass ihr Einsatz zwar erlaubt, aber streng reglementiert ist. Die Pflichten sind erheblich. So verlangt beispielsweise Art. 26 KI-VO, dass das System entsprechend der Herstelleranleitung und Zweckbestimmung eingesetzt wird, eine qualifizierte menschliche Aufsicht gewährleistet ist, Eingabedaten und Risiken überwacht und dass automatisch erzeugte Protokolle mindestens sechs Monate lang aufbewahrt werden.

Über alle Risikoklassen hinweg verlangt Art. 4 KI-VO, dass die Anwender über ausreichende KI‑Kompetenz verfügen. Das heißt, der Zahnarzt muss über ein fundiertes Grundverständnis der eingesetzten Systeme verfügen, um deren Funktionsweise, aber vor allem auch deren technologische Grenzen sicher einschätzen zu können. Nur wer versteht, dass eine KI trotz beeindruckender Präzision auch Fehlinterpretationen liefern oder „halluzinieren“ kann, ist in der Lage, die Ergebnisse kritisch zu hinterfragen und fachlich fundiert einzuordnen. Diese digitale Kompetenz wird damit zu einer neuen Kernqualifikation, die sicherstellt, dass die ärztliche Entscheidungsgewalt nicht schleichend an die KI delegiert wird, sondern fest in der Hand des Behandlers bleibt.

Neben der Frage, ob ein KI‑Einsatz ­erlaubt ist, stellt sich perspektivisch auch die Frage, ob er irgendwann zum medizinischen Standard wird. Maßstab ist § 630a Abs. 2 BGB, der den jeweiligen fachärztlichen Standard zugrunde legt.

Derzeit gilt KI in der Zahnmedizin meist noch als „Neulandmethode“, weil Leitlinien und höchstrichterliche Rechtsprechung fehlen. Das bedeutet, dass Zahnärztinnen und Zahnärzte sie nicht einsetzen müssen, aber die Entwicklung beobachten sollten. Sobald belastbare Studien zeigen, dass ein KI‑System in einem bestimmten Bereich – beispielsweise der Früherkennung von Karies – dem rein menschlichen Befund deutlich überlegen ist, kann sich der Standard verschieben. In einem Haftungsprozess könnte dann die Frage im Raum stehen, warum trotz verfügbarer und überlegener KI‑Unterstützung allein „konventionell“ gearbeitet wurde.

Auch beim Einsatz zulässiger KI‑Systeme bleiben die rechtlichen Behandlungsvoraussetzungen unverändert. Die Aufklärungspflicht aus § 630e BGB gilt fort. Ob zusätzlich eine ausdrückliche Einwilligung in den KI‑Einsatz nötig ist, hängt vom konkreten Szenario ab.

„Im Medizinrecht bleibt aber entscheidend: Der Patient hat einen Behandlungsvertrag mit dem Zahnarzt, nicht mit der KI.“

Wird die KI nur als internes Hilfsmittel genutzt – beispielsweise zur Plausibilitätskontrolle des zahnärztlichen Befundes – kann ein allgemeiner Hinweis auf den Einsatz solcher Systeme im Aufklärungs‑ oder Anamnesebogen ausreichen. Hat der KI‑Einsatz dagegen den Charakter einer Neulandmethode oder beeinflusst er die Risiko‑Nutzen‑Abwägung wesentlich, ist eine persönliche, mündliche Aufklärung erforderlich. Hierzu gehört insbesondere der Hinweis auf die Neuartigkeit, die fehlenden Langzeiterfahrungen, die vorhandenen Standardalternativen und die spezifischen Risiken, wie mögliche „Halluzinationen“ der KI.

In der Praxis wird man bei standardisierten Analyseprogrammen, wie der weit verbreiteten Röntgen-Analysesoftware, mit einem deutlichen Hinweis im Formularbereich arbeiten können, während innovative Verfahren, wie KI‑gesteuerte Implantologie, ein qualifiziertes Aufklärungsgespräch erfordern.

Kommt es beim Einsatz eines KI‑Systems zu einem Schaden beim Patienten, stellt sich die Frage, wer für diesen Schaden haftet. Im allgemeinen Haftungsrecht werden bei KI oft die sogenannten Autonomie‑ und Opazitätsrisiken hervorgehoben, also die Tatsache, dass das System eigenständig arbeitet und seine Funktionsweise schwer durchschaubar ist. Im Medizinrecht bleibt aber entscheidend: Der Patient hat einen Behandlungsvertrag mit dem Zahnarzt, nicht mit der KI.

Gemäß den Paragrafen 630a, 613 BGB bleibt der Zahnarzt daher der primäre Anspruchsgegner. Das KI‑System ist rechtlich ein Hilfsmittel – vergleichbar mit anderen technischen Geräten. Die KI-VO schreibt dieses Bild fort, indem sie bei Hochrisiko‑Systemen zwingende menschliche Aufsicht verlangt (Art. 26 KI-VO). In der Praxis heißt das: Ein automatischer Kariesbefund ist nur ein Vorschlag, die endgültige Bewertung muss der Zahnarzt treffen.

Verlässt sich der Zahnarzt „blind“ auf das System („Automatisierungs‑Bias“), ohne die Plausibilität zu prüfen, verletzt er seine Sorgfaltspflicht und verstößt zugleich gegen die Vorgaben der KI-VO zur menschlichen Aufsicht. Kommt es dadurch zu einem Schaden, kann er aus dem Behandlungsvertrag (§ 630a BGB) oder deliktisch (§ 823 BGB, Schadensersatzpflicht) haften.

Problematisch sind Konstellationen, in denen ein systembedingter Fehler der KI selbst bei Anwendung der gebotenen Sorgfalt nicht erkennbar war, etwa aufgrund fehlerhafter Trainingsdaten. In solchen Fällen greift künftig verstärkt das Produkthaftungsrecht. Die neue EU‑Produkthaftungsrichtlinie bezieht ausdrücklich auch Software und KI‑Systeme in die verschuldensunabhängige Haftung des Herstellers ein. Die Richtlinie ist bis Dezember 2026 in nationales Recht umzusetzen. Damit wird sich die Haftungslandschaft in Richtung einer stärkeren Beteiligung der Hersteller verschieben – vorausgesetzt, ein Produktmangel des Systems kann nachgewiesen werden.

Unabhängig davon steigen die Anforderungen an die digitale Sorgfaltspflicht von Zahnärztinnen und Zahnärzten: Unplausible KI‑Ergebnisse zu erkennen, kritisch zu hinterfragen und im Zweifel zu korrigieren, wird zu einer rechtlichen Kernpflicht.

Die Pflicht zur Dokumentation der für die Behandlung wesentlichen Maßnahmen und deren Ergebnisse gemäß § 630f BGB gilt unverändert und gewinnt beim KI‑Einsatz weiter an Bedeutung. Die Patientenakte bleibt das zentrale Beweismittel im Haftungsprozess, Lücken führen zu Beweiserleichterungen für Patientinnen und Patienten.

Für Hochrisiko‑KI verlangt die KI-VO zusätzlich, dass automatisch erzeugte Protokolle aufbewahrt werden. Diese Logs dokumentieren, wie das System genutzt wurde und welche Ergebnisse es geliefert hat. Die KI-VO nennt eine Mindestaufbewahrungsfrist von sechs Monaten, lässt aber längere Aufbewahrungszeiten nach nationalem Recht zu.

Für die zahnärztliche Praxis empfiehlt es sich, behandlungsbezogene Aufzeichnungen grundsätzlich in die Patientenakte einzubinden und sie gemäß § 630f Abs. 3 BGB zehn Jahre lang zu sichern. So lässt sich im Streitfall nachweisen, dass das System ordnungsgemäß funktionierte und eine menschliche Kontrolle stattgefunden hat.

Inhaltlich sollte die Dokumentation insbesondere abbilden, ob und welches KI‑System eingesetzt wurde, welche Ergebnisse es geliefert hat, und wie der Zahnarzt mit diesen Ergebnissen umgegangen ist. Insbesondere, wenn der Zahnarzt bewusst vom KI‑Vorschlag abgewichen ist, sollte die medizinische Begründung dokumentiert sein. Letzteres ist vorzugsweise dann ratsam, wenn es sich bei der eingesetzten KI nicht mehr um ein „Neulandmodell“, sondern um im Vergleich zum menschlichen Handeln eine evidenzbasiert überlegene Methode handelt (siehe Absatz 3). Dies unterstreicht die ärztliche Letztverantwortung und erleichtert die Verteidigung gegen Willkür‑ oder Sorgfaltsvorwürfe.

Der Einsatz von KI verändert nicht nur die Tätigkeit des einzelnen Zahnarztes, sondern auch die Abläufe der gesamten Praxis. Die Praxisleitung muss daher organisatorische Vorkehrungen treffen. Die bereits erwähnte Pflicht zur KI-Kompetenz gemäß Art. 4 KI-VO verlangt nicht nur hinsichtlich des behandelnden Zahnarztes, dass Betreiber von KI‑Systemen für ausreichende KI‑Kompetenz sorgen. Schulungen des Teams zu Funktionsweise, Grenzen und Risiken der eingesetzten Systeme sind deswegen erforderlich. Ihre Teilnahme sollte dokumentiert werden, um Vorwürfen des Organisationsverschuldens zu begegnen.

Bei der Delegation an Zahnmedizinische Fachangestellte gelten die bekannten Regeln. Nach entsprechender Qualifikation dürfen die ZFA etwa Chatbots verwalten oder KI-gestützte Geräte bedienen. Die Interpretation von KI‑Befunden und die Entscheidung über Diagnosen und Therapien bleiben hingegen stets beim Zahnarzt.

Es ist zweckmäßig, klare Standard Operating Procedures (SOPs) einzuführen, etwa zur Nutzung der Systeme, zur Reaktion auf Fehlermeldungen und zur Dokumentation im Team.

Gesundheitsdaten sind besonders sensibel. Bei der Einbindung von KI muss die Praxis daher die datenschutzrechtlichen Pflichten besonders im Blick haben. Da durch den Einsatz von KI mit Gesundheitsdaten regelmäßig ein hohes Risiko für Rechte und Freiheiten der Patienten bestehen kann, ist in der Regel eine sogenannte Datenschutz‑Folgenabschätzung nach Art. 35 DSGVO erforderlich. Dabei handelt es sich im Grunde um einen vorausschauenden Risiko-Check für die Patientendaten. Sie wird gesetzlich immer dann zur Pflicht, wenn eine neue Technologie voraussichtlich ein hohes Risiko für die persönlichen Rechte der Patienten mit sich bringt – was beim Einsatz von KI zur Auswertung sensibler Gesundheitsdaten praktisch immer der Fall sein wird.

Hinzu kommt Art. 22 DSGVO, der Patienten vor ausschließlich automatisierten Entscheidungen schützt. Gerade wenn KI‑Systeme Behandlungsvorschläge machen, muss auch hiernach sichergestellt sein, dass nicht „die Maschine allein“ agiert, sondern die finale Entscheidung immer bei einem Menschen bleibt.

Die meisten KI-Programme werden heute nicht mehr lokal auf dem Praxisrechner ausgeführt, sondern als Software-as-a-Service in der Cloud. Das bedeutet, dass sensible Patientendaten die Praxis verlassen. Werden Kassenpatienten behandelt, stellt das Gesetz (§ 393 SGB V) daher besonders strenge Anforderungen. Der Anbieter muss ein extrem hohes IT-Sicherheitsniveau garantieren, das sich am strengen „C5-Standard“ des Bundesamts für Sicherheit in der Informationstechnik orientiert. Die Daten dürfen grundsätzlich nur auf Servern innerhalb der EU, des Europäischen Wirtschaftsraums oder in Staaten gespeichert werden, die von der EU-Kommission offiziell als datenschutzrechtlich sicher eingestuft wurden. Da externe Cloud-Anbieter Gesundheitsdaten theoretisch einsehen könnten, müssen sie zudem zwingend vertraglich zur Verschwiegenheit gemäß § 203 StGB (Verletzung von ­Privatgeheimnissen) verpflichtet ­werden.

Besonders sensibel ist die Frage, ob Patientendaten für das Training von KI‑Modellen verwendet werden dürfen. Die Verarbeitung zur Behandlung ist in der Regel über den Behandlungsvertrag und gesetzliche Grundlagen abgedeckt. Die zusätzliche Nutzung zu Trainingszwecken des Herstellers erfordert dagegen meist eine gesonderte, informierte Einwilligung des Patienten. Nur in Ausnahmefällen – zum Beispiel bei ausreichender Anonymisierung oder speziellen Forschungsvorschriften – können andere Rechtsgrundlagen greifen und eine derartige Verarbeitung ausnahmsweise erlauben.

KI kann die Zahnmedizin objektiver und präziser machen und so die Patientensicherheit erhöhen. Voraussetzung ist aber, dass der Zahnarzt als verantwortlicher Entscheider im Mittelpunkt bleibt, die Systeme versteht und deren Grenzen kennt.

Wer sich frühzeitig mit den rechtlichen Rahmenbedingungen – KI-VO, Medizinprodukte-, Berufs‑, Haftungs‑ und Datenschutzrecht – auseinandersetzt und entsprechende Prozesse in der Praxis etabliert, kann die Vorteile der Technologie nutzen, ohne unnötige Haftungs‑ oder Compliance‑Risiken einzugehen.

Die rechtlichen Vorgaben für den Einsatz von KI ergeben sich nicht aus einem einzigen Gesetz, sondern aus mehreren europäischen Regelwerken. Zentral ist dabei der sogenannte „AI-Act“, auf Deutsch die KI-Verordnung („KI-VO“), deren Regelungen ohne in nationales Recht umgesetzt werden zu müssen voraussichtlich bis Sommer 2027 stufenweise anwendbar werden. Für die Zahnmedizin relevant ist zusätzlich die Medizinprodukteverordnung der EU (MDR).

Zunächst ist die Frage zu klären, wann überhaupt ein KI-System im Sinne der KI-VO vorliegt. Gemäß Art. 3 KI-VO ist ein System erfasst, wenn es aus Eingaben (beispielsweise Text-Prompts oder Bilder) eigenständig Ergebnisse wie Vorhersagen oder Empfehlungen erzeugt, die die physische oder digitale Umgebung beeinflussen können. Typische Beispiele hierfür sind Chatbots oder Bildanalysesoftware.

Für die KI-Regulierung hat der Gesetzgeber einen risikobasierten Ansatz gewählt: Die rechtlichen Anforderungen richten sich nach dem Risiko für Grundrechte und die Sicherheit der Bevölkerung. Die KI-VO teilt KI-Systeme dazu in vier verschiedene Klassen ein: unvertretbares Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko (siehe Tabelle 1).

In der Zahnarztpraxis fallen KI-gestützte Terminplaner oder einfache Spracherkennungssysteme typischerweise in die niedrigeren Risikoklassen. Diagnostische Systeme, die als Medizinprodukte eingestuft sind, gelten dagegen nach dem Zusammenspiel von MDR und KI-VO regelmäßig als Hochrisiko-KI.

Für die Praxis ist zunächst die Rollenverteilung relevant. Der Hersteller, also zum Beispiel OpenAI für ­ChatGPT, gilt als Anbieter der KI. Der Zahnarzt, der das System in seiner Praxis für eigene Zwecke einsetzt, ist in der Regel der Betreiber – zumindest solange er das System nicht wesentlich verändert. Welche konkreten Pflichten sich für den Betreiber ergeben, richtet sich nach den oben skizzierten Risikoklassen der KI-VO.

Bei KI mit geringem Risiko geht es vor allem um Transparenz. Gemäß Art. 50 KI-VO ist der Patient darüber zu informieren, dass KI eingesetzt wird, sofern dies nicht ohnehin offensichtlich ist. Wer also einen KI-basierten Chatbot auf seiner Website nutzt, muss die Nutzer darüber informieren, dass sie nicht mit einem Menschen, sondern mit einer Maschine interagieren.

Bei Hochrisiko‑Systemen sind die Vorgaben erheblich strenger, weil der Gesetzgeber in dieser Nutzung von KI eine potenzielle Bedrohung für die Allgemeinheit sieht. Gleichzeitig überwiegt jedoch der Nutzen dieser Angebote, sodass ihr Einsatz zwar erlaubt, aber streng reglementiert ist. Die Pflichten sind erheblich. So verlangt beispielsweise Art. 26 KI-VO, dass das System entsprechend der Herstelleranleitung und Zweckbestimmung eingesetzt wird, eine qualifizierte menschliche Aufsicht gewährleistet ist, Eingabedaten und Risiken überwacht und dass automatisch erzeugte Protokolle mindestens sechs Monate lang aufbewahrt werden.

Über alle Risikoklassen hinweg verlangt Art. 4 KI-VO, dass die Anwender über ausreichende KI‑Kompetenz verfügen. Das heißt, der Zahnarzt muss über ein fundiertes Grundverständnis der eingesetzten Systeme verfügen, um deren Funktionsweise, aber vor allem auch deren technologische Grenzen sicher einschätzen zu können. Nur wer versteht, dass eine KI trotz beeindruckender Präzision auch Fehlinterpretationen liefern oder „halluzinieren“ kann, ist in der Lage, die Ergebnisse kritisch zu hinterfragen und fachlich fundiert einzuordnen. Diese digitale Kompetenz wird damit zu einer neuen Kernqualifikation, die sicherstellt, dass die ärztliche Entscheidungsgewalt nicht schleichend an die KI delegiert wird, sondern fest in der Hand des Behandlers bleibt.

Neben der Frage, ob ein KI‑Einsatz ­erlaubt ist, stellt sich perspektivisch auch die Frage, ob er irgendwann zum medizinischen Standard wird. Maßstab ist § 630a Abs. 2 BGB, der den jeweiligen fachärztlichen Standard zugrunde legt.

Derzeit gilt KI in der Zahnmedizin meist noch als „Neulandmethode“, weil Leitlinien und höchstrichterliche Rechtsprechung fehlen. Das bedeutet, dass Zahnärztinnen und Zahnärzte sie nicht einsetzen müssen, aber die Entwicklung beobachten sollten. Sobald belastbare Studien zeigen, dass ein KI‑System in einem bestimmten Bereich – beispielsweise der Früherkennung von Karies – dem rein menschlichen Befund deutlich überlegen ist, kann sich der Standard verschieben. In einem Haftungsprozess könnte dann die Frage im Raum stehen, warum trotz verfügbarer und überlegener KI‑Unterstützung allein „konventionell“ gearbeitet wurde.

Auch beim Einsatz zulässiger KI‑Systeme bleiben die rechtlichen Behandlungsvoraussetzungen unverändert. Die Aufklärungspflicht aus § 630e BGB gilt fort. Ob zusätzlich eine ausdrückliche Einwilligung in den KI‑Einsatz nötig ist, hängt vom konkreten Szenario ab.

„Im Medizinrecht bleibt aber entscheidend: Der Patient hat einen Behandlungsvertrag mit dem Zahnarzt, nicht mit der KI.“

Wird die KI nur als internes Hilfsmittel genutzt – beispielsweise zur Plausibilitätskontrolle des zahnärztlichen Befundes – kann ein allgemeiner Hinweis auf den Einsatz solcher Systeme im Aufklärungs‑ oder Anamnesebogen ausreichen. Hat der KI‑Einsatz dagegen den Charakter einer Neulandmethode oder beeinflusst er die Risiko‑Nutzen‑Abwägung wesentlich, ist eine persönliche, mündliche Aufklärung erforderlich. Hierzu gehört insbesondere der Hinweis auf die Neuartigkeit, die fehlenden Langzeiterfahrungen, die vorhandenen Standardalternativen und die spezifischen Risiken, wie mögliche „Halluzinationen“ der KI.

In der Praxis wird man bei standardisierten Analyseprogrammen, wie der weit verbreiteten Röntgen-Analysesoftware, mit einem deutlichen Hinweis im Formularbereich arbeiten können, während innovative Verfahren, wie KI‑gesteuerte Implantologie, ein qualifiziertes Aufklärungsgespräch erfordern.

Kommt es beim Einsatz eines KI‑Systems zu einem Schaden beim Patienten, stellt sich die Frage, wer für diesen Schaden haftet. Im allgemeinen Haftungsrecht werden bei KI oft die sogenannten Autonomie‑ und Opazitätsrisiken hervorgehoben, also die Tatsache, dass das System eigenständig arbeitet und seine Funktionsweise schwer durchschaubar ist. Im Medizinrecht bleibt aber entscheidend: Der Patient hat einen Behandlungsvertrag mit dem Zahnarzt, nicht mit der KI.

Gemäß den Paragrafen 630a, 613 BGB bleibt der Zahnarzt daher der primäre Anspruchsgegner. Das KI‑System ist rechtlich ein Hilfsmittel – vergleichbar mit anderen technischen Geräten. Die KI-VO schreibt dieses Bild fort, indem sie bei Hochrisiko‑Systemen zwingende menschliche Aufsicht verlangt (Art. 26 KI-VO). In der Praxis heißt das: Ein automatischer Kariesbefund ist nur ein Vorschlag, die endgültige Bewertung muss der Zahnarzt treffen.

Verlässt sich der Zahnarzt „blind“ auf das System („Automatisierungs‑Bias“), ohne die Plausibilität zu prüfen, verletzt er seine Sorgfaltspflicht und verstößt zugleich gegen die Vorgaben der KI-VO zur menschlichen Aufsicht. Kommt es dadurch zu einem Schaden, kann er aus dem Behandlungsvertrag (§ 630a BGB) oder deliktisch (§ 823 BGB, Schadensersatzpflicht) haften.

Problematisch sind Konstellationen, in denen ein systembedingter Fehler der KI selbst bei Anwendung der gebotenen Sorgfalt nicht erkennbar war, etwa aufgrund fehlerhafter Trainingsdaten. In solchen Fällen greift künftig verstärkt das Produkthaftungsrecht. Die neue EU‑Produkthaftungsrichtlinie bezieht ausdrücklich auch Software und KI‑Systeme in die verschuldensunabhängige Haftung des Herstellers ein. Die Richtlinie ist bis Dezember 2026 in nationales Recht umzusetzen. Damit wird sich die Haftungslandschaft in Richtung einer stärkeren Beteiligung der Hersteller verschieben – vorausgesetzt, ein Produktmangel des Systems kann nachgewiesen werden.

Unabhängig davon steigen die Anforderungen an die digitale Sorgfaltspflicht von Zahnärztinnen und Zahnärzten: Unplausible KI‑Ergebnisse zu erkennen, kritisch zu hinterfragen und im Zweifel zu korrigieren, wird zu einer rechtlichen Kernpflicht.

Die Pflicht zur Dokumentation der für die Behandlung wesentlichen Maßnahmen und deren Ergebnisse gemäß § 630f BGB gilt unverändert und gewinnt beim KI‑Einsatz weiter an Bedeutung. Die Patientenakte bleibt das zentrale Beweismittel im Haftungsprozess, Lücken führen zu Beweiserleichterungen für Patientinnen und Patienten.

Für Hochrisiko‑KI verlangt die KI-VO zusätzlich, dass automatisch erzeugte Protokolle aufbewahrt werden. Diese Logs dokumentieren, wie das System genutzt wurde und welche Ergebnisse es geliefert hat. Die KI-VO nennt eine Mindestaufbewahrungsfrist von sechs Monaten, lässt aber längere Aufbewahrungszeiten nach nationalem Recht zu.

Für die zahnärztliche Praxis empfiehlt es sich, behandlungsbezogene Aufzeichnungen grundsätzlich in die Patientenakte einzubinden und sie gemäß § 630f Abs. 3 BGB zehn Jahre lang zu sichern. So lässt sich im Streitfall nachweisen, dass das System ordnungsgemäß funktionierte und eine menschliche Kontrolle stattgefunden hat.

Inhaltlich sollte die Dokumentation insbesondere abbilden, ob und welches KI‑System eingesetzt wurde, welche Ergebnisse es geliefert hat, und wie der Zahnarzt mit diesen Ergebnissen umgegangen ist. Insbesondere, wenn der Zahnarzt bewusst vom KI‑Vorschlag abgewichen ist, sollte die medizinische Begründung dokumentiert sein. Letzteres ist vorzugsweise dann ratsam, wenn es sich bei der eingesetzten KI nicht mehr um ein „Neulandmodell“, sondern um im Vergleich zum menschlichen Handeln eine evidenzbasiert überlegene Methode handelt (siehe Absatz 3). Dies unterstreicht die ärztliche Letztverantwortung und erleichtert die Verteidigung gegen Willkür‑ oder Sorgfaltsvorwürfe.

Der Einsatz von KI verändert nicht nur die Tätigkeit des einzelnen Zahnarztes, sondern auch die Abläufe der gesamten Praxis. Die Praxisleitung muss daher organisatorische Vorkehrungen treffen. Die bereits erwähnte Pflicht zur KI-Kompetenz gemäß Art. 4 KI-VO verlangt nicht nur hinsichtlich des behandelnden Zahnarztes, dass Betreiber von KI‑Systemen für ausreichende KI‑Kompetenz sorgen. Schulungen des Teams zu Funktionsweise, Grenzen und Risiken der eingesetzten Systeme sind deswegen erforderlich. Ihre Teilnahme sollte dokumentiert werden, um Vorwürfen des Organisationsverschuldens zu begegnen.

Bei der Delegation an Zahnmedizinische Fachangestellte gelten die bekannten Regeln. Nach entsprechender Qualifikation dürfen die ZFA etwa Chatbots verwalten oder KI-gestützte Geräte bedienen. Die Interpretation von KI‑Befunden und die Entscheidung über Diagnosen und Therapien bleiben hingegen stets beim Zahnarzt.

Es ist zweckmäßig, klare Standard Operating Procedures (SOPs) einzuführen, etwa zur Nutzung der Systeme, zur Reaktion auf Fehlermeldungen und zur Dokumentation im Team.

Gesundheitsdaten sind besonders sensibel. Bei der Einbindung von KI muss die Praxis daher die datenschutzrechtlichen Pflichten besonders im Blick haben. Da durch den Einsatz von KI mit Gesundheitsdaten regelmäßig ein hohes Risiko für Rechte und Freiheiten der Patienten bestehen kann, ist in der Regel eine sogenannte Datenschutz‑Folgenabschätzung nach Art. 35 DSGVO erforderlich. Dabei handelt es sich im Grunde um einen vorausschauenden Risiko-Check für die Patientendaten. Sie wird gesetzlich immer dann zur Pflicht, wenn eine neue Technologie voraussichtlich ein hohes Risiko für die persönlichen Rechte der Patienten mit sich bringt – was beim Einsatz von KI zur Auswertung sensibler Gesundheitsdaten praktisch immer der Fall sein wird.

Hinzu kommt Art. 22 DSGVO, der Patienten vor ausschließlich automatisierten Entscheidungen schützt. Gerade wenn KI‑Systeme Behandlungsvorschläge machen, muss auch hiernach sichergestellt sein, dass nicht „die Maschine allein“ agiert, sondern die finale Entscheidung immer bei einem Menschen bleibt.

Die meisten KI-Programme werden heute nicht mehr lokal auf dem Praxisrechner ausgeführt, sondern als Software-as-a-Service in der Cloud. Das bedeutet, dass sensible Patientendaten die Praxis verlassen. Werden Kassenpatienten behandelt, stellt das Gesetz (§ 393 SGB V) daher besonders strenge Anforderungen. Der Anbieter muss ein extrem hohes IT-Sicherheitsniveau garantieren, das sich am strengen „C5-Standard“ des Bundesamts für Sicherheit in der Informationstechnik orientiert. Die Daten dürfen grundsätzlich nur auf Servern innerhalb der EU, des Europäischen Wirtschaftsraums oder in Staaten gespeichert werden, die von der EU-Kommission offiziell als datenschutzrechtlich sicher eingestuft wurden. Da externe Cloud-Anbieter Gesundheitsdaten theoretisch einsehen könnten, müssen sie zudem zwingend vertraglich zur Verschwiegenheit gemäß § 203 StGB (Verletzung von ­Privatgeheimnissen) verpflichtet ­werden.

Besonders sensibel ist die Frage, ob Patientendaten für das Training von KI‑Modellen verwendet werden dürfen. Die Verarbeitung zur Behandlung ist in der Regel über den Behandlungsvertrag und gesetzliche Grundlagen abgedeckt. Die zusätzliche Nutzung zu Trainingszwecken des Herstellers erfordert dagegen meist eine gesonderte, informierte Einwilligung des Patienten. Nur in Ausnahmefällen – zum Beispiel bei ausreichender Anonymisierung oder speziellen Forschungsvorschriften – können andere Rechtsgrundlagen greifen und eine derartige Verarbeitung ausnahmsweise erlauben.

KI kann die Zahnmedizin objektiver und präziser machen und so die Patientensicherheit erhöhen. Voraussetzung ist aber, dass der Zahnarzt als verantwortlicher Entscheider im Mittelpunkt bleibt, die Systeme versteht und deren Grenzen kennt.

Wer sich frühzeitig mit den rechtlichen Rahmenbedingungen – KI-VO, Medizinprodukte-, Berufs‑, Haftungs‑ und Datenschutzrecht – auseinandersetzt und entsprechende Prozesse in der Praxis etabliert, kann die Vorteile der Technologie nutzen, ohne unnötige Haftungs‑ oder Compliance‑Risiken einzugehen.