Die Integration von KI in ein reguliertes medizinisches Umfeld bedeutet, einen strategieorientierten Ansatz mit einer gezielten, klein angelegten Umsetzung zu kombinieren, anstatt eine umfassende Transformation anzustreben. Eine Bowtie-Analyse – ein einseitiges Risikodiagramm, das Bedrohungen und Kontrollmaßnahmen abbildet – hilft Compliance- und Technikverantwortlichen dabei, sich abzustimmen und die Konformität mit gesetzlichen Vorschriften nachzuweisen. Aufsichtsbehörden reagieren besser auf konkrete, abgegrenzte Anwendungsfälle als auf weitreichende KI-Initiativen.
Das Wichtigste in Kürze
- Wenn man die KI-Integration auf ein bestimmtes, abgegrenztes Problem konzentriert, wird die Konformität mit gesetzlichen Vorschriften überschaubar, da die Aufsichtsbehörden einen engen Anwendungsbereich analysieren können, während eine breit angelegte Umsetzung ihnen keine andere Wahl lässt, als die Genehmigung zu verweigern.
- Eine nicht-deterministische KI-Schicht kann deterministische Ergebnisse liefern, wenn sie in die richtigen Kontrollmechanismen eingebettet ist – genauso wie Internetprotokolle zuverlässige Kommunikation über die von Natur aus unzuverlässige Paketübertragung ermöglichen.
- Die Bowtie-Risikoanalyse fasst das gesamte Bild der Konformität auf einer einzigen Seite zusammen und macht so Bedrohungen und Kontrollmaßnahmen gleichzeitig für technisches Personal, Verantwortliche für Konformität und Regulierungsbehörden sichtbar.
- Die Bedürfnisse der Beteiligten müssen quantifiziert und nicht nur benannt werden: Die Festlegung der erforderlichen Anforderungen, akzeptabler Zeitrahmen und tolerierbarer Risikostufen macht eine Strategie umsetzbar statt nur als Wunschvorstellung.
- Früh getroffene Architekturentscheidungen ermöglichen oder blockieren später den Übergang zu agentischer KI, sodass langfristiges strukturelles Denken von Anfang an teure Migrationsarbeiten später verhindert.
Warum KI in einem regulierten Labor eine Strategie vor APIs braucht
KI in einem regulierten medizinischen Umfeld beginnt mit einer Strategie, nicht mit Integrationsarbeit. Der Drang nach APIs, Protokollen und schnellen Experimenten ist groß, aber dabei wird die Frage übersehen, die alles im weiteren Verlauf entscheidet: Welches konkrete Problem löst du eigentlich, und für wen?
Ein medizinisches Analyselabor befindet sich genau in dieser Zwickmühle. Die Branche ist reguliert, doch die Organisation möchte mit neuer Technologie experimentieren. Die interessante Arbeit ist nicht die Integration selbst, die kompetente IT-Mitarbeiter bewältigen können. Der schwierige Teil besteht darin, diese Integration in rechtlicher und regulatorischer Hinsicht sicher zu gestalten, insbesondere wenn die meisten relevanten Vorschriften noch in Arbeit sind und noch nicht endgültig festgelegt wurden.
Alexis Savkin ging das Ganze aus der Perspektive eines Strategen an, nicht als KI-Spezialist. Diese Distanz erwies sich als entscheidend. Die Vorgabe lautete nicht „KI hinzufügen“, sondern „mit neuen Technologien aus einer strategieorientierten Perspektive experimentieren und dabei auf Nummer sicher gehen“.
Du kannst beweisen, dass ein Problem lösbar ist, bevor du weißt, wie
Ein nicht-deterministisches System kann ein deterministisches Ergebnis liefern. Das ist die erste These, die es zu begründen gilt, denn sie räumt den Einwand aus dem Weg, der in einem regulierten Umfeld jede Diskussion blockiert: KI verändert sich, sie driftet ab – wie kann man also darauf etwas mit hoher Zuverlässigkeit aufbauen?
Alexis formuliert das mit der Gewohnheit eines Mathematikers. Bevor man ein Problem löst, beweist man manchmal nur, dass es gelöst werden kann. Man kennt die Methode noch nicht, hat aber gezeigt, dass es eine Lösung gibt. Für eine nervöse Gruppe von Stakeholdern ist dieser Beweis der Eisbrecher.
Das Internet ist die passende Analogie. Die Pakete, die darüber ausgetauscht werden, sind nicht deterministisch. Sie kommen beschädigt an, gehen verloren, stoßen auf hohe Latenzzeiten. Internetprotokolle sind genau darauf ausgelegt, diese Unzuverlässigkeit abzufangen, und das Ergebnis ist ein nutzbares, verlässliches Netzwerk mit hoher Gebrauchstauglichkeit. Die gleiche Logik lässt sich auf KI übertragen: auf etwas Instabilem aufbauen, dafür entwickeln und ein stabiles Ergebnis erzielen.
Eine zweite Analogie stammt von Kollegen aus demselben Bereich. Wenn ein Unternehmen, das Krebsdiagnostik-Scans durchführt, unter diesen Einschränkungen arbeitet, verliert der Einwand „das können wir nicht“ an Kraft. Der ehrliche Gegenpunkt ist das Budget, nicht die Möglichkeit.
Okay, da habe ich etwa zehnmal so viel Budget, aber wen interessiert das schon? Wir haben zehnmal mehr Mut. — Alexis Savkin
Beginne bei den Stakeholdern, nicht beim Idealbild
„Strategy-first“ bedeutet, bei den Stakeholdern und ihren Bedürfnissen anzufangen und dann den Fokus stark einzugrenzen. Der Fehler besteht darin, mit der Technologie zu beginnen oder mit der ehrgeizigsten Version dessen, was KI leisten könnte.
Die Methode läuft in einer bestimmten Abfolge ab. Zuerst kartierst du die Stakeholder und verschaffst dir einen Überblick über die Landschaft. Ein medizinisches Labor sieht von außen einfach aus: Man gibt eine Probe ab und erhält ein paar Tage später die Ergebnisse per E-Mail. Im Inneren gibt es High-End-Hardware, IT-Prozesse, physische Abläufe, viele Tester und jede Menge Geräte, die zusammenarbeiten müssen.
Als Nächstes skizzierst du das Idealbild. Stell dir vor, KI würde den gesamten Kontext der Krankengeschichte eines Patienten nutzen. Das bringt viele Ideen hervor, aber das Idealbild ist ein Ausgangspunkt, kein Plan.
Dann schränke es ein. Manche Optionen sind unmöglich. Manche sind noch verboten. Ein paar sind schon jetzt machbar. Aus dem Idealbild fallen zwei oder drei Optionen einfach deshalb weg, weil die Vorschriften dazu noch nicht klar sind. Was übrig bleibt, ist ein Problem, das eng genug gefasst ist, um darauf zu reagieren.
Der Nutzen der Eingrenzung ist unmittelbar. Wenn der Umfang konkret ist, weißt du, welche Nachweise du sammeln musst, kannst sie anhand bestehender Anforderungen testen und auf das nächste Problem skalieren, sobald das erste einen Mehrwert liefert.
Die Bow-Tie-Analyse fasst Konformität auf einer Seite zusammen
Die Bow-Tie-Analyse war das einzige Tool, das die Arbeit zum Erfolg führte. Aus einem ganzen strategischen Toolkit, das Strategiekarten, Rahmenwerke für Veränderungsagenden und mehr umfasste, stach dieses hervor, weil es das Problem der Konformität visuell löste.
Das Diagramm stellt die Bedrohungen auf der einen Seite und die Kontrollen, die diese Bedrohungen verhindern, auf der anderen Seite dar – alles auf einer einzigen Seite. Für eine Gruppe, zu der Mitarbeiter der Abteilung für Konformität, IT-Mitarbeiter und nicht-technische Stakeholder gehörten, erledigte diese eine Seite den Großteil der Arbeit. Etwa 80 Prozent des Aufwands entfielen auf die Lösung des Problems der Konformität, und die Bow-Tie-Analyse machte es für alle auf einen Blick verständlich.
Das Diagramm dient auch als Nachweis für eine Aufsichtsbehörde. Es zeigt auf einen Blick die tatsächlich implementierten Kontrollmaßnahmen. Klassische Tools hätten das gleiche Problem lösen können, aber der Bow Tie machte es für alle Beteiligten sichtbar und einvernehmlich.
Die Architektur entscheidet über die Zukunft des Systems
KI ist eine digitale Transformation, und wie jede Transformation hat sie Konsequenzen. Wer sich mit der Implementierung von APIs beeilt, ignoriert, womit jedes langlebige Produkt irgendwann konfrontiert wird: die Anhäufung von Legacy-Systemen und architektonische Probleme.
Die Architektur ist wichtiger als die erste Integration. Alexis hat die Architektur des Labors so aufgebaut, dass sie mit agentischer KI kompatibel bleibt, sobald die Reife dieses Ansatzes erreicht ist. Das Team setzt heute noch keine agentische KI ein, aber die Struktur lässt es zu. Diese Kompatibilität hat zukünftige Migrationsprobleme beseitigt, bevor sie überhaupt entstehen konnten.
Das ist auch der Unterschied zwischen der Beauftragung eines Strategen und der Befragung eines Chatbots. Stell ChatGPT dieselbe Frage und du erhältst eine detaillierte Antwort, aber keine, die langfristig denkt. Der Wert eines menschlichen Beraters liegt hier in der langfristigen Perspektive, der architektonischen Weitsicht, die verhindert, dass die Entscheidung von heute zur Nachbesserung von morgen wird.
Wie streng ist die Regulierung wirklich?
In diesem Fall der Qualitätssteuerung ist die Regulierung weniger streng, als der Ruf des „regulierten medizinischen Umfelds“ vermuten lässt. Ein Großteil der Angst rührt von der Größe des Problems her, nicht von der Strenge der Regeln.
Die Qualitätssteuerung besteht aus zwei Teilen. Der eine betrifft ein Testgerät, das eine Fehlhandlung erzeugt, und die Sicherstellung, dass diese Fehlhandlung niemals ins Endergebnis gelangt. Dieser Teil ist überhaupt nicht reguliert. Er liegt in deiner Verantwortung, und du musst ihn selbst richtig hinbekommen. Der andere Teil hat spezifische Anforderungen, Checklisten, die vor der Nutzung erfüllt werden müssen, anstatt einer Zertifizierung, die man erwerben muss.
In manchen Fällen gibt es für die konkrete Herausforderung einfach noch keine Vorschriften. Manche Organisationen schützen sich mit einer allgemeinen ISO-Zertifizierung, die signalisiert, dass sie aus ihren Fehlern lernen, aber das ist sehr allgemein gehalten und nicht spezifisch auf den jeweiligen KI-Anwendungsfall zugeschnitten.
Die Regulierung bleibt überschaubar, solange du die offensichtlichen Fehlerwirkungen vermeidest: KI mit Patientendaten zu trainieren, personenbezogene Daten weiterzugeben. Tu das sowieso nicht. Die Einschränkung, die wirklich ins Gewicht fällt, ist der Umfang. Du schränkst das Idealbild ein, weil Teile davon in einem unklaren regulatorischen Bereich liegen, und wartest darauf, dass sich dieser Bereich klärt.
Die Budgetlücke erklärt, warum manche Unternehmen Funktionen anbieten können, die andere nicht können. Ein großer Akteur mit tiefen Taschen und einem soliden Ruf kann sich vor Gericht verteidigen, wenn er angefochten wird. Kleineren Organisationen fehlt oft dieses Budget, und häufig ist der Kunde gar nicht bereit zu zahlen. In einem medizinischen Labor ist nicht immer klar, wer der Kunde ist, wer bezahlt oder wem die Ergebnisse gehören: dem Patienten, dem Versicherer, dem Krankenhaus. Unklare Eigentumsverhältnisse sind an sich schon ein Grund, den Umfang eng zu halten.
Behandle Regulierungsbehörden als Verbündete, nicht als Hindernisse
Regulierungsbehörden versuchen, das Leben sicherer zu machen, und die meisten ihrer Empfehlungen sind vernünftig. Sie als Feinde zu betrachten, verzerrt das Bild der Beziehung und macht die Arbeit schwieriger, als sie sein müsste.
Ein Bericht der Europäischen Union aus dem Jahr 2025 über den Stand der KI im Gesundheitswesen untermauerte das Argument für einen strategieorientierten Ansatz. Seine Schlussfolgerung: Um KI im medizinischen Bereich zu ermöglichen, müssen Strategie, Finanzierung, Interessengruppen und Regulierung miteinander kombiniert werden. Das ist eine direkte Anforderung, oben anzufangen statt bei der Integration.
Das Sammeln von Belegen wird einfach, sobald du weißt, was du sammeln musst, und das weißt du erst, wenn dein Fokus klar ist. Derselbe Fokus, der ein Problem lösbar macht, sagt dir auch, welche Kontrollmechanismen du einrichten musst und welche Nachweise eine Regulierungsbehörde sehen will.
Ein erster Schritt für regulierte Teams, die KI einführen
Der erste Schritt ist das Scannen der regulatorischen Rahmenbedingungen. Wenn du in einem regulierten Umfeld tätig bist, richte einen Weg ein – nach Möglichkeit automatisiert –, um zu verfolgen, welche Vorschriften anstehen. Mach dir ein Bild von der Lage, bevor du etwas aufbaust.
Der zweite Schritt besteht darin, der Versuchung zu widerstehen, alles lösen zu wollen. Wenn du einer Aufsichtsbehörde sagst: „Wir wollen KI im gesamten Unternehmen“, lautet die Antwort „Nein“, weil der Umfang zu komplex ist, um ihn zu bewerten. Präsentiere eine konkrete, abgegrenzte Herausforderung, und du kannst sie anhand der bereits bestehenden Anforderungen testen.
Quantifiziere die Bedürfnisse der Stakeholder, wo immer es geht. Nicht „wir brauchen Analysen für unsere Proben“, sondern das Zeitfenster, die Genauigkeit, die Problemtypen und die Risikotoleranz. Wo kannst du Risiken akzeptieren, wo nicht? Zahlen verwandeln eine vage Ambition in etwas, das sowohl eine Aufsichtsbehörde als auch ein Ingenieur bewerten können.
Der rote Faden ist einfach. Konzentriere dich auf etwas Lösbares, zeige den Stakeholdern schnell einen Mehrwert, und das Regulierungsproblem schrumpft zusammen mit dem Umfang.
