AHA an Weißes Haus: Smart Regulation für Medizin‑KI — EU‑Lehren

Die AHA hat Ende Oktober 2025 dem Weißen Haus eine gefasste Antwort auf die OSTP‑RFI geschickt. In ihrem Schreiben fordert sie eine Regulierung, die Innovation nicht ausbremst, aber klare Sicherheits‑ und Verantwortungsregeln setzt. Für Krankenhäuser geht es nicht nur um Technologie, sondern um Vertrauen: Vertrauen der Patientinnen und Patienten, des Personals und der Gesellschaft in Entscheidungen, die zunehmend digital unterstützt werden. In diesem Beitrag ordnen wir die Forderungen ein, prüfen die Schnittstelle zur US‑Regulierungsagenda und überlegen, welche Impulse daraus für EU‑Träger folgen können.

Die American Hospital Association (AHA) hat in ihrer Stellungnahme an die Office of Science and Technology Policy (OSTP) eine pragmatische Haltung vorgeschlagen: Eine “smart regulation” für Medizin‑KI, die bestehende Regelwerke synchronisiert, gleichzeitig unnötige Barrieren abbaut und klare Pflichten für Dritte schafft. Die AHA nennt dabei vier Schwerpunktfelder: Harmonisierung von Regeln (etwa HIPAA, FDA‑Leitlinien und andere Vorgaben), Schutz der klinischen Entscheidungsprozesse, Anforderungen an Drittanbieter und Investitionen in Infrastruktur und Erstattung.

Wesentliche Punkte der AHA sind konkret und auf die Alltagspraxis ausgerichtet. So fordert sie, dass Klinikerinnen und Kliniker in Entscheidungen eingebunden bleiben, wenn KI‑Systeme Zugang zu Leistungen beeinflussen – etwa bei automatisierten Ablehnungen oder Prior Authorizations. Dafür spricht die AHA die Sorge an, dass vollautomatisierte Entscheidungen in kritischen Versorgungssituationen Vertrauen untergraben können. Zugleich plädiert sie für einheitliche Standards für Anbieter, die mit geschützten Gesundheitsdaten arbeiten, und dafür, Cybersecurity‑Maßnahmen praxisnah zu gestalten, um Überforderung kleinerer Einrichtungen zu vermeiden.

“Smarter Regulation soll Innovation ermöglichen, ohne Patientensicherheit zu opfern.” — AHA (27.10.2025)

Die AHA bezieht sich in ihrem Schreiben auf ökonomische und operative Kontextgrößen: Sie nennt administrative Kostenanteile und den Druck auf Krankenhaushäuser mit knappen Margen, um zu argumentieren, dass überflüssige bzw. widersprüchliche Vorgaben die Versorgung erschweren können. Gleichzeitig betont sie steigende Cyberrisiken als Begründung für verbindliche Verantwortlichkeiten bei Drittanbietern. Die Botschaft ist damit zweigleisig: Schutz und Zugänglichkeit sollen Hand in Hand gehen — aber die Balance ist politisch und juristisch anspruchsvoll.

Die Office of Science and Technology Policy (OSTP) hat im September 2025 eine Request for Information (RFI) zur “Regulatory Reform on Artificial Intelligence” veröffentlicht. Ziel ist es, Vorschriften zu identifizieren, die KI‑Entwicklung und -Anwendung unnötig behindern. Die AHA nutzte die Kommentierungsfrist, um ihre Perspektive einzubringen; die Frist lag auf denselben Zeitraum, in dem Stakeholder ihre praktischen Erfahrungen schildern sollten.

Für Krankenhäuser sind die RFI‑Kernthemen sehr konkret: Welche Regeln erschweren Testing, Validierung, Datenzugang oder die Nachverfolgung von Modellen? OSTP nennt Optionen wie regulatorische Landkarten, Sandboxes und NIST‑geleitete Evaluations. Solche Instrumente können Behörden erlauben, punktuelle Erleichterungen zu gewähren — zum Beispiel für Testläufe von adaptiven Algorithmen oder Pilotprojekte mit engem Monitoring. Das bedeutet aber nicht, dass grundlegende Sicherheits- oder Datenschutzanforderungen ausgehebelt werden; es geht eher um pragmatische, zeitlich befristete Ausnahmeregeln oder klarere Guidance.

Die operative Folge ist: Krankenhäuser sollten ihre internen Prozesse bewerten und aufzeigen, wo Regulierung echte Hindernisse schafft. Das reicht von Datenprovenienz‑Dokumentation bis zur Frage, wann eine KI als Medizinprodukt gilt und damit FDA‑Pflichten auslöst. OSTP selbst steuert mit der RFI nicht direkt neue Regeln, sondern bittet um Informationen, damit Behörden später gezielter agieren können — etwa durch koordinierte Guidance zwischen FDA, HHS, CMS und OCR.

Für Klinikleitungen heißt das: Engagement lohnt sich. Wer in der Kommentierungsphase konkrete Beispiele liefert — etwa wie divergierende State‑Privacy‑Regeln den Austausch von Trainingsdaten blockieren — erhöht die Chance, dass Lösungen in die Policy‑Roadmap aufgenommen werden. Gleichzeitig bleibt die politische Dimension: Einige Änderungen erfordern Gesetzesvorhaben, andere können per Guidance umgesetzt werden. Die AHA‑Antwort macht deutlich, dass Krankenhäuser pragmatische, kontrollierte Wege suchen, um Innovationen nutzbar zu machen, ohne Sicherheit aufzugeben.

Die US‑Debatte liefert praktische Impulse, die sich auf EU‑Träger übertragen lassen — allerdings nicht 1:1. Rechtliche Rahmen, Marktstrukturen und Erstattungsmechanismen unterscheiden sich. Dennoch sind vier Lehren besonders relevant: Erstens, Regelharmonisierung erleichtert den Einsatz: Krankenhäuser profitieren, wenn nationale und regionale Vorgaben kompatibel sind. Zweitens, Klinische Aufsicht bleibt Kern: Menschliche Überprüfung bei kritischen Entscheidungen schützt vor systemischer Fehlnavigation. Drittens, Drittanbieter‑Standards sind nötig: Verträge, Audits und klare Verantwortlichkeiten reduzieren Risiken. Viertens, Infrastruktur und Erstattung entscheiden über Gerechtigkeit der Verbreitung.

Operativ bedeutet das für EU‑Krankenhausträger: Schärfen Sie Ihre Vergabekriterien. Fordern Sie bei Ausschreibungen transparente Modell‑Provenienz, Nachweise zur Validierung sowie vertragliche Zusagen zur Daten‑ und Cyber‑Sicherheit. Nutzen Sie Prüfverfahren, die auch post‑deployment Monitoring und Bias‑Kontrolle einschließen. Viele europäische Krankenhäuser arbeiten bereits mit Compliance‑Abteilungen; es lohnt sich, diese Expertise früh in KI‑Projekte einzubinden.

Politisch sollten EU‑Träger den Dialog mit Regulatoren suchen. In der EU gibt es sektorale Regeln und nationale Gesundheitszuständigkeiten — deshalb sind Beispiele aus der Praxis wertvoll: Wenn ein Krankenhaus belegt, wie eine bestimmte Vorgabe datenaustauschunfreundlich wirkt, lässt sich leichter eine pragmatische Ausnahmeregel oder Guideline begründen. Gleichzeitig bleibt die Balance wichtig: Sicherheitsstandards dürfen nicht ausgehöhlt werden, nur weil Effizienzgewinne locken.

Schließlich ist die Frage der Ressourcen zentral. Kleinere Häuser brauchen Unterstützung: gemeinsame Zertifizierungsstellen, regionale Prüfzentren oder geförderte Sandboxes könnten helfen, Standards zu prüfen, ohne jede Klinik übermäßig zu belasten. EU‑Träger sollten daher auf Kooperation statt Konkurrenz setzen — das ist der schnellste Weg zu fairer, sicherer Adoption.

Wer sich mit Medizin‑KI Regulierung beschäftigt, muss zugleich ethische und praktische Fragen adressieren. Risiko und Haftung sind dabei eng verflochten: Wenn ein Algorithmus in die Versorgung eingreift, stellt sich die Frage, wer im Fehlerfall verantwortlich ist — Hersteller, Klinik oder Anwender? Die AHA fordert klare Pfade für Drittanbieter‑Verantwortung, was in der Praxis bedeutet, dass Verträge, Audit‑Logs und Regressklauseln früh ausgehandelt werden sollten.

Bias und Ungleichheit sind ein zweites Feld. Modelle, die auf historischen Daten trainiert wurden, können bestehende Ungleichheiten verstärken. Kliniken sollten Validierungspläne verlangen, die Gruppenanalysen und Performance‑Metriken über verschiedene Patientengruppen einschließen. Post‑deployment Monitoring ist kein Nice‑to‑have, sondern Pflicht: Meldesysteme für Fehlfunktionen und ein definiertes Korrektur‑Protokoll sollten Teil jeder Implementierung sein.

Praktische Schritte lassen sich in drei Ebenen fassen: Governance, Technik und Personal. Auf Governance‑Ebene: Formulieren Sie klare Policies zu Rollen, Verantwortlichkeiten und Eskalationsprozessen. Auf Technik‑Ebene: Implementieren Sie Nachvollziehbarkeit (Versionierung, Datensätze, Testberichte) und regelmäßige Audits. Auf Personal‑Ebene: Schulen Sie medizinisches Personal in Interpretation und Grenzen der Tools — nur so bleibt die menschliche Urteilsfähigkeit handlungsfähig.

Abschließend ein realer Ratschlag: Beginnen Sie klein, messen Sie streng, teilen Sie Erkenntnisse. Pilotprojekte mit transparenten Metriken liefern die Evidenz, die Regulatoren und Management gleichermaßen brauchen, um Vertrauen zu schaffen — und um gute Regulierung überhaupt erst möglich zu machen.

Die AHA‑Stellungnahme verbindet Schutzinteressen mit dem Wunsch nach praktikabler Regulierung. OSTPs RFI bietet dafür ein Fenster: Es geht nicht um Abschaffung von Regeln, sondern um bessere Abstimmung und pragmatische Tools wie Sandboxes und gemeinsame Evaluationsstandards. Für EU‑Krankenhäuser heißt das: Regelwerk prüfen, Governance stärken und mit klaren Vergabekriterien für Sicherheit und Transparenz sorgen. Nur so entsteht Vertrauen — und damit die Voraussetzung für verantwortliche KI‑Nutzung.