„Die Zukunft hat bereits begonnen“

12. IMT-Praxisdialog der KGNW drehte sich rund um KI, ePA und Resilienz

© KGNW Künstliche Intelligenz im Krankenhaus, eine erste Bilanz zur „ePA für alle“ und die Resilienz in der Informations- und Medizintechnik (IMT) – das waren die Schwerpunktthemen bei der 12. KGNW-Fachtagung „Praxisdialog Informations- und Medizintechnik im Krankenhaus“ mit knapp 90 Teilnehmenden Mitte Januar in Duisburg. Bereichert wurde die Veranstaltung der Krankenhausgesellschaft Nordrhein-Westfalen (KGNW) von einem kleinen Messebereich mit den drei Branchenanbietern Cherry Digital Health, RISE und AlsterText.

Einen guten Überblick zum Status quo lieferte die Begrüßungsrede von Frank Kriege, Leiter der Abteilung Informations- und Medizintechnik am Städtischen Klinikum Solingen und Vorsitzender der KGNW-Kommission „Informations- und Medizintechnik im Krankenhaus“:

Der Einzug von Künstlicher Intelligenz (KI) im Krankenhaus ist unaufhaltsam und kann die Arbeit in den Kliniken enorm erleichtern, etwa bei der Erstellung von Arztbriefen oder zur Entscheidungsunterstützung. Frank Kriege ging sogar noch weiter: „Der Arztbrief muss neu gedacht werden.“ Doch kein Nutzen ohne Risiko: Verantwortungsvolles Handeln ist gefragt. „Die Zukunft hat bereits begonnen“, sagte Frank Kriege, „es geht darum, Medizin besser zu machen.“ Dazu soll auch die ePA beitragen. Seit 29. April 2025 können Leistungserbringer und gesetzlich Krankenversicherte bundesweit die ePA nutzen. Vieles läuft bereits gut. Doch: „Die technischen Hürden waren zu viele und zu hoch.“ Der Zeitplan war zu ambitioniert, stellte Frank Kriege fest. Zum Tagesgeschäft gehört inzwischen auch das Thema Resilienz in den Krankenhäusern. Die Bedrohungslage, unter der sie agieren, ist heute real und wächst durch die fortschreitende Digitalisierung immer weiter. Das zeigen die zahlreichen Cyberattacken, auch in Nordrhein-Westfalen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht inzwischen jede Einrichtung im Gesundheitswesen als wahrscheinliches Opfer eines Angriffs – mit schwerwiegenden Folgen und einer stark beeinträchtigten Versorgung von Menschen im Einzugsbereich. Ein Abwehr-Schwerpunkt in der Informations- und Medizintechnik betrifft gezielte Risikomanagement-Methoden bei Medizingeräten und Medizinsoftware oder ein gutes Business Continuity Management (BCM).

Enormes KI-Potenzial im Krankenhaus

Der erste Block zu Künstlicher Intelligenz im Krankenhaus fragte eher rhethorisch: „Hat die Zukunft bereits begonnen?“ Dr. Heiko Maus, stellvertretender Leiter Smarte Daten & Wissensdienste im Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) in Kaiserslautern, stellte die Resultate einer von DFKI und KGNW durchgeführten Befragung zum „KI-Einsatz im Krankenhaus“ vor. Daran nahmen Vertreterinnen und Vertreter von 74 Krankenhäusern in Nordrhein-Westfalen teil, rund ein Viertel der KGNW-Mitglieder. Vorab: Die NRW-Krankenhäuser sehen enormes Potenzial der KI-Nutzung im Krankenhaus. Fast jede zweite befragte Klinik nutzt KI bereits in der Diagnostik, jede dritte in der Anamnese. Weitere bestehende populäre Einsatzbereiche: Entlassung/Überleitung, Behandlung und Therapieplanung. Hoher Nutzen wird auch im Einsatz von Spracherkennung, einer intelligenten Aufbereitung der Inhalte oder auch einer strukturierten Aufbereitung für die Unterstützung der ärztlichen oder pflegerischen Dokumentation gesehen. Doch die Befragung zeigte auch: Es besteht Optimierungspotenzial entlang des Prozesses der Patientenversorgung, sei es, dass Daten nach wie vor doppelt erhoben werden, sei es, dass sich vorhandene Daten nicht miteinander verbinden lassen. Auch in puncto Entscheidungsunterstützung herrscht eine überwiegend positive Erwartungshaltung zum Nutzen des KI-Einsatzes – ohne jedoch die Risiken und die Verantwortung außer Acht zu lassen.

Dr. med. Marc Heiderhoff, MBA, Institutsleitung IKiM – Institut für Krankenhausinnovationsmanagement in Münster, zeigte in einer Case Study der St. Franziskus-Stiftung (SFS), wie KI, speziell Large Language Model (LLM), Prozesse im Krankenhaus automatisieren kann. In Münster kommen bereits drei KI-basierte Unterstützungen zum Einsatz:

• FranziskusGPT: ein Sprachmodell als Tool zur Automatisierung, Qualitätsverbesserung und Analyse für alle Berufsgruppen, das mit der DSGVO (Datenschutzgrundverordnung) und dem KDG (Gesetz über den Kirchlichen Datenschutz) im Einklang steht
• Tiplu MAIA Doc: für KI-gestützte Epikrisen- und Arztbriefschreibung in Echtzeit unter Einbezug aller medizinischen Daten in die Briefschreibung, direkt ins Krankenhaus-Informationssystem (KIS) integriert
• Corti AI: für die Echtzeit-KI-Analyse medizinischer Konversationen zur drastischen Verkürzung der Dokumentationszeit

Dokumentation frisst ein Fünftel der gesamten Personalkosten

Gerade bei der Dokumentation herrscht für den Referenten besonderer Bedarf: „Die Zeit für Dokumentationen ist einer der größten Kostenfaktoren im Krankenhaus. Die Dokumentationskosten belaufen sich für Krankenhäuser auf etwa 21 Prozent des gesamten Personalaufwands für Ärzte und Pfleger.“ Was auch klar ist: Nicht alles, was technisch möglich ist, ist auch den Mitarbeitenden erlaubt. Untersagt ist alles, was in der Verwendung rechtlich bedenklich ist oder werden könnte:

1. personenbezogene Daten
2. Betriebs- und Geschäftsgeheimnisse
3. urheberrechtlich geschützte Informationen
4. geschützte Informationen
5. vertrauliche Informationen

Eine weitere Praxiserfahrung teilten Dr. med. Ira Stoll, Chief Executive Officer des Mannheimer Dienstleisters myScribe, sowie Jan Haan, Projektleitung, Evangelisches Krankenhaus Mülheim des Trägers ATEGRIS. Sie berichteten über ihre Erfahrung mit KI-generierten Arztbriefen. Auch hier bot die überbordende Dokumentationspflicht im Krankenhaus, die jede dritte Ärztin beziehungsweise jeden dritten Arzt an Berufsaufgabe denken lässt, den Anschub. Zusammen mit einem Dienstleister entsteht hier nach mehreren Monaten Pilotphase und der anschließenden Nutzung im Realbetrieb eine standardisierte Lösung für die Erstellung KI-generierter Arztbriefe. Bedenken bei Mitarbeitenden werden ernst genommen, ihr Feedback spielt eine große Rolle im Entwicklungsprozess und möglichen Nachfolgeprojekten.

ePA für alle: höhere Transparenz und die „Ablösung des Fax“

Block 2, bestehend aus zwei Workshops, drehte sich ganz um die „ePA für alle – Erfahrungen aus der Praxis und künftige Nutzungsmöglichkeiten“. Seit dem 1. Oktober 2025 sind die Krankenhäuser zur ePA-Nutzung verpflichtet. Ab dem 1. April 2026 droht ihnen eine Kürzung der TI-Pauschale, wenn die ePA 3.0 nicht verfügbar ist. Am 1. April 2026 startet auch die Umsetzung des digital gestützten Medikationsprozesses (dgMP) in den Aktensystemen, dreieinhalb Monate später seine Pilotierung, am 1. Oktober wird er bundesweit ausgerollt. Einleitend gab Dr. Moritz Esdar, Referent Geschäftsbereich Digitalisierung und eHealth der Deutschen Krankenhausgesellschaft (DKG), einen Rück- und Ausblick.

Nach Zahlen aus einer DKI-Blitzumfrage vom August 2025 sehen sich ein Viertel der Krankenhäuser nicht in die Lage, die ePA im gesamten Krankenhaus zu nutzen. Oft scheinen dahinter technische Gründe zu liegen: Lediglich 16 Prozent der Häuser gaben an, die ePA für alle nach Installation/Update des Moduls ohne Problem nutzen zu können. Die Einführung der ePA für alle birgt für Kliniken große Herausforderungen – im Gesamtkontext etwa durch ökonomischen Druck und Unterfinanzierung und bei der technischen wie prozessualen Umsetzung vor Ort. Neue Herausforderungen warten bereits: mit der dgMP und der Pilotphase der ePA-Volltextsuche, geplant per 2. November, mit dem Jahreswechsel 2026/2027 soll ihr bundesweiter Start zusammen mit der Einführung der ePA 3.1 stattfinden.

Der erste Workshop beleuchtete die ePA in der sektorenübergreifenden Versorgung. Geleitet wurde er von Sven Lindenau, Betriebsleitung eHealth/Anforderungs- und Projektmanagement, sowie von Benjamin Lenk, Leitung eHealth, beide Alexianer IT GmbH in Münster. Dabei fragten sie die Erfahrungen der Teilnehmenden ab. Die meisten von ihnen erhoffen sich von der ePA für alle höhere Transparenz und – ganz klassisch – die „Ablösung des Fax“; größte Hürde derzeit: mangelnde Aktualität und Vollständigkeit der Daten in der ePA. Befragt nach den drei Maßnahmen mit dem größten Effekt auf die sektorenübergreifende Versorgung standen oben:

1. klinikinterne Standardisierung und Automatisierung
2. Widerspruch streichen und Ausnahmen
3. strukturierte Dokumentenablage (nach internationalem Standard „Fast Healthcare Interoperability Resources“/FHIR)

Der zweite Workshop befasste sich mit „ePA und Patientenportal – Hand in Hand mit dem Patienten“, moderiert von Andreas Hempel, Solution Architect eHealth, Asklepios Service IT aus Hamburg. Hintergrund: Neben der ePA bieten zahlreiche Krankenhäuser ein zusätzliches, freiwillig von Patientinnen und Patienten nutzbares Patientenportal an, das ihnen Zugriff auf Dokumente, Termine, Fragebögen, Aufgaben, ein Tagebuch und weitere Berechtigungen verschafft – ohne gesetzliche Verankerung und Verknüpfung mit der ePA. Während die ePA durch die Krankenkassen bereitgestellt wird, eine einheitliche digitale Dokumentation und sicheren Zugriff auf die Gesundheitsdaten bietet, für die meisten Teilnehmenden jedoch vor allem eine Pflichtaufgabe darstellt, ist das Patientenportal eigenständig steuerbar und markenbasiert. Es fungiert oft als Marketingtool zur stärkeren Patientenbindung und wird aktiv in die Behandlung eingebunden. Für die befragten Workshop-Teilnehmenden dient es besonders dem Terminmanagement und der Prozessoptimierung. Die gematik entwickelt derzeit in einem Arbeitskreis einen Plan, wie sich der Datenaustausch zwischen einrichtungsspezifischen Patientenportalen und Primärsystemen sowie der bundesweiten ePA künftig standardisieren lässt.

Risikomanagement und Mitarbeitersensibilisierung für höhere Resilienz im Krankenhaus

Der abschließende Block widmete sich dem immer wichtigeren Thema „Resilienz in der Informations- und Medizintechnik: Alle Risiken im Griff?“. Dr. Udo Jendrysiak, tätig im Risikomanagement für Medical-Software beim Berufsverband Medizinische Informatiker (BVMI), stellte das Risikomanagement für vernetzte Medizingeräte und -Software als Beitrag zur Resilienz im Krankenhaus dar. Ein gezieltes Risikomanagement vermeidet Patientenschäden und optimiert die Resilienz des Geschäftsbetriebs Krankenhaus. Sein Vortrag konzentrierte sich auf einen möglichen Cyberangriff, da die IT besonders risikobehaftet sei und sich daher bereits zahlreiche Standards und Vorgaben etabliert hätten. Dazu gehören NIS2 (Network and Information Security 2), eine EU-Richtlinie, um die Cybersicherheit kritischer Infrastrukturen und wichtiger Einrichtungen zu verbessern, B3S (Branchen-Spezifischen Sicherheits-Standards) zur Risikominimierung und zum Umgang mit Gefährdungen sowie ISMS (Information Security Management System). Dabei wurde der Experte nicht müde, die Verantwortlichkeit der Geschäftsführung für die Etablierung der Resilienz-Prozesse zu betonen. Der Schutz vor Cyberangriffen dürfe nicht allein der IT überlassen werden. Direkt aus der Praxis berichtete er von regelmäßigen Cybercrime-Übungen am Klinikum Ingolstadt, die bei einem tatsächlichen Angriff zu frühestmöglicher Erkennung geführt haben. Dadurch ließ sich eine weitere Ausbreitung rasch unterbinden. Mitarbeitende waren für das Thema sensibilisiert.

Übergeordnetes Notfallkonzept als „Bibel des Response-Vorgehens“

Im zweiten Vortrag des Resilienz-Blocks stellte Dr. Markus Willing, tätig sowohl als Informationssicherheitsbeauftragter am UK OWL (Evangelisches Klinikum Bethel) als auch am Fraunhofer SIT in Münster, vor, wie sich mit einem Business Continuity Management Resilienz und Cybersicherheit in der Reaktionsphase auf Großschadensereignisse herstellen lassen. Angreifer folgen demnach einem gleichen Muster. Zwischen den einzelnen Schritten vergehen oft Wochen. Dabei verfolgen sie mehrere Angriffsziele parallel. Verteidiger können den Angriff an jeder Stelle stoppen. Umso später die Entdeckung erfolgt, desto schlimmer die Auswirkungen. Um den Betrieb eines Krankenhauses aufrechtzuerhalten, sind gezielte Präventionsmaßnahmen notwendig. Dazu zählen Notfallpläne, Notfallhandbücher für Geschäftsführung und für Mitarbeitende, (Stabs-)Übungen, Schulungen und die Definition der strukturierten Krisenprozesse, der sogenannten „Incident Response“. Das übergeordnete Notfallkonzept für einen Cyberangriff stellt für den Experten die „Bibel des Response-Vorgehens“ dar: Es dient als Leitlinie, legt Rollen und Stäbe fest, sorgt für effektives Ressourcenmanagement, regelt den Eintritt, Austritt sowie das Management des Krisenmodus und definiert Bedingungen und Schwellenwerte. Dabei orientiert es sich an bewährten Standards, zum Beispiel dem BSI-IT-Grundschutz. Ganz wichtig: Jedes Krankenhaus muss im Vorfeld Kapazitäten sichern und sich dabei nicht nur auf einen IT-Dienstleister verlassen. Nicht zu vernachlässigen ist die organisatorische Resilienz. Das schließt die klare Verteilung von Rollen und Kompetenzen ein. Das beinhaltet aber auch eine aktive Fehlerkultur, die Schwachstellen anspricht und Lehren zieht. Basis bildet die Anpassungsfähigkeit der Organisation.

Der Dank gilt allen Teilnehmerinnen und Teilnehmern, den Referentinnen und den Referenten sowie den Ausstellern im Messebereich. Die nächste KGNW-Fachtagung „Praxisdialog Informations- und Medizintechnik im Krankenhaus“ ist für Januar 2027 geplant.