Diese Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Seite erforderlich sind. Weitere Informationen


Risk Categorization (CHAI) & Responsible AI (Eticas)



Risikomanagement für KI: belastbar, prüfbar, anschlussfähig

Diese Seite unterstützt Einrichtungen dabei, KI-Systeme entlang bewährter Governance- und Qualitätsprinzipien strukturiert zu bewerten:
von der Zieldefinition über Daten- und Modellrisiken bis hin zu Betrieb, Monitoring und Verantwortlichkeiten.
Im Fokus steht ein nachvollziehbarer Entscheidungsweg, der sich in bestehende Managementsysteme (z. B. Qualität, IT-Sicherheit, Datenschutz, Medizinprodukt-/Compliance-Prozesse) integrieren lässt. Ergebnis ist eine konsistente Risikoeinschätzung mit klaren Maßnahmen, Nachweisen und Eskalationswegen – geeignet als Grundlage für interne Freigaben, Audits und Lieferantensteuerung.

Referenzprogramme im Überblick

EURAID-Leitfaden (European Responsible AI Development)

EURAID ist ein praxisorientierter Leitfaden für Krankenhäuser, die KI-Systeme „in-house“ entwickeln, validieren und in die Versorgung überführen. Der Ansatz setzt auf interdisziplinäre Zusammenarbeit, klar definierte Rollen, iterative Test- und Evaluationsschritte sowie ein tragfähiges Change- und Qualifizierungskonzept. Damit liefert EURAID eine robuste Blaupause, wie KI verantwortungsvoll und dauerhaft in die Routineversorgung integriert werden kann.

Einsatznutzen: Governance-Struktur, Reifegrad- und Prozesslogik, klinische Validierung, Umsetzungsfahrplan.

Quelle: Medizinische Fakultät Carl Gustav Caru; EURAID-Leitfaden: KI-Systeme sicher und verantwortungs­voll in Krankenhäusern entwickeln und einführen, Dezember 2025.

Responsible AI Guidance & Responsible AI Checklists (CHAI)

Die CHAI-Unterlagen bieten ein „Playbook“ für Entwicklung und Einsatz von KI im Gesundheitswesen (Responsible AI Guide) sowie dazu passende Checklisten (Responsible AI Checklists) zur systematischen Selbstprüfung und zur Vorbereitung unabhängiger Reviews. Im Vordergrund stehen prüffähige Kriterien entlang des KI-Lebenszyklus – von Zweckbindung und Stakeholder-Transparenz über Bias-/Sicherheitsaspekte bis hin zu Betrieb, Monitoring und kontinuierlicher Verbesserung.

Einsatznutzen: standardisierte Checklisten, strukturierte Nachweisführung, Vergleichbarkeit über Projekte hinweg.

Quelle: Coalition for Health AI, Inc., Responsible AI Guidance, January 2026.

Hinweis: Beide Referenzen werden hier als „Best-Practice“-Orientierung genutzt, um eine konsistente, dokumentierbare Risiko- und Governance-Logik für KI-Projekte bereitzustellen.

Risk Categorization & Responsible AI

Strukturierte Risikobewertung für KI-Systeme im Gesundheitswesen – von der ersten Idee bis zum sicheren Betrieb

Warum dieser Baustein existiert: Die Implementierung von KI-Systemen im Gesundheitswesen erfordert mehr als technische Machbarkeit. Sie benötigen eine systematische Risikobewertung, die klinische Sicherheit, Datenschutz und ethische Prinzipien gleichermaßen adressiert.

Diese Seite verbindet zwei komplementäre Frameworks zu einem praktischen Werkzeug:

CHAI Risk Categorization Tool

19 Risikomodifikatoren über zwei Domänen (Patientensicherheit + Technologie/Daten) für eine granulare Vorab-Kategorisierung als Low/Medium/High Risk.

Coalition for Health AI Januar 2026

ETICA Responsible AI Framework

6 zentrale Risikofelder (Safety, Bias, Privacy, Reliability, Security, Governance) mit konkreten Assurance-Mechanismen und Kontrollmaßnahmen.

Eticas Foundation Dezember 2025

Was mit konsequenter Governance erreicht wird:

Strukturierte Entscheidungsgrundlage

Statt Bauchgefühl: Dokumentierte Risikobewertung für Fachbereich, IT, DSB/ISB und Geschäftsführung

Proportionale Governance

Der Prüf- und Kontrollumfang richtet sich nach der tatsächlichen Risikoeinstufung – effizient und angemessen

Auditierbare Evidenz

Jede Risikoeinstufung wird mit Begründung, Evidenz und konkreten Maßnahmen hinterlegt

Lifecycle-Management

Keine Einmalprüfung, sondern kontinuierliche Steuerung von Assessment über Mitigation bis Monitoring

Compliance-Ready

Vorbereitung auf EU AI Act, MDR, DSGVO und behördliche Prüfungen durch systematische Dokumentation

Praktikabilität

Anwendbar für Gesundheitseinrichtungen jeder Größe – vom Krankenhaus bis zur Arztpraxis

Wie das Risk Categorization Tool funktioniert

Ein risikobasierter 6-Schritte-Prozess für jedes KI-System

1

Use Case Alignment

Dokumentation des Anwendungsfalls (Intended Use, Nutzer, Population, Workflow)

2

Review Risk Modifiers

Bewertung aller 19 Risikomodifikatoren anhand definierter Kriterien

3

Determine Risk Level

Team-Rating mit Begründung: Low / Medium / High je Modifikator

4

Document Risk Level

Festlegung und Dokumentation der finalen Risikostufe mit Evidenz

5

Address Risk Modifiers

Definition organisationsspezifischer Risikominderungskontrollen

6

Complete All Risk Modifiers

Vollständige Dokumentation für beide Domänen als Basis für die Freigabe

Zentrale Governance-Prinzipien

Kein Gesamt-Score

Bewusst wird kein aggregierter Risiko-Score gebildet. Jeder Modifikator steht für sich – denn ein einziger "High Risk"-Faktor erfordert bereits erhöhte Aufmerksamkeit.

High Risk = Assessment Trigger

Sobald ein Modifikator als "High" eingestuft wird, wird ein detailliertes Risk Assessment empfohlen – mit tiefergehenden Analysen, Tests und Kontrollmaßnahmen.

Iterativ, nicht statisch

Risikobewertungen sind keine Einmalübung. Bei System-Updates, Workflow-Änderungen oder neuen Erkenntnissen erfolgt eine Re-Evaluierung.

Evidenzbasierte Bewertung

Jede Risikoeinstufung basiert auf dokumentierten Fakten: Datenquellen, Validierungsergebnisse, klinische Studien, Herstellerdaten.

Wichtiger Hinweis: Diese Frameworks sind komplementär zu rechtlichen Compliance-Anforderungen (EU AI Act, MDR, DSGVO) zu verstehen und ersetzen keine qualifizierte Rechtsberatung. Sie bieten jedoch eine strukturierte methodische Grundlage für die interne Risikobewertung und Governance-Dokumentation.

Executive Summary

Responsible AI in healthcare – Risk, Oversight & Independent Assurance

Das Dokument bietet einen praxistauglichen, risikobasierten Orientierungsrahmen für den Einsatz von KI in Gesundheitsorganisationen – mit Fokus auf realweltliche Risiken, erwartbare Aufsichtsanforderungen und belastbare Governance- und Assurance-Mechanismen. Es adressiert explizit, dass Regulierung zwar vorhanden ist, aber in der Praxis fragmentiert bleibt und Grauzonen erzeugt. :contentReference[oaicite:0]{index=0}

Kernaussagen für Entscheider
  • Regulierung ist real, aber partiell: Aufsicht greift je nach Systemtyp, Zweck und Datenbezug – mit Lücken und unklaren Abgrenzungen. :contentReference[oaicite:1]{index=1}
  • Risiko ist use-case-abhängig: SaMD, prädiktive Tools, Chatbots und Lifestyle-Apps erzeugen unterschiedliche Risikoprofile. :contentReference[oaicite:2]{index=2}
  • Risikobasiertes Vorgehen statt Checklisten: Statische Einmalprüfungen reichen nicht; erforderlich ist laufende Steuerung über den Lebenszyklus. :contentReference[oaicite:3]{index=3}
  • Unabhängige Assurance schafft „auditierbare Evidenz“: Externe Prüfungen reduzieren Exposure und verbessern Beschaffung, Investitionen und Rollout-Readiness. :contentReference[oaicite:4]{index=4}
Governance-Implikationen für deine Tool-Seite
  • Defensibility by Design: Jede Low/Medium/High-Einstufung benötigt Begründung + Evidenz-Artefakte.
  • Proportionalität: „High“ triggert vertiefte Prüfung, Freigabe-Gates und enges Monitoring.
  • Sozio-technische Sicht: Nicht nur Modellqualität, sondern Workflow, Nutzerverhalten (Automation Bias) und Eskalationspfade.
  • Vendor-Claims nicht ausreichend: Interne Reviews + Anbieterzusagen sind notwendig, aber nicht hinreichend; unabhängige Tests schließen Blind Spots.

Risikofelder, die in der Praxis regelmäßig „durchschlagen“

Sicherheit
Patientenschaden ist das Endrisiko – auch bei indirekter Einflussnahme (Empfehlungen, Verhaltenslenkung).
Bias & Fairness
Ungleichheiten in Zugang, Qualität, Outcomes – über Daten, Generalisierung, Deployment-Kontext.
Privacy & Confidentiality
Verdeckte Datenflüsse (Inference/Retention/Third Parties) – v. a. bei Chatbots und Wellness-Apps.
Reliability & Manipulation
Irreführende, instabile oder psychologisch beeinflussende Outputs; Drift/Degradation über Zeit.
Security & Misuse
Angriffs-/Leakage-Risiken (z. B. Prompt-/Output-Leakage) und Fehl-/Zweckentfremdung im Betrieb.
Governance
Unklare Verantwortlichkeiten, schwaches Change-/Version-Management, fehlende Eskalationspfade.

Was bei Prüfungen typischerweise gefragt wird

  • Welche Risiken wurden identifiziert – und warum?
  • Wie wurde getestet und wie wird überwacht (laufend, nicht nur einmalig)?
  • Welche Kontrollen wurden implementiert (Human-in-the-Loop, Gates, Rollback, Incident Response)?
  • Wer ist accountable (Owner, Escalation, Freigabe)?

Operative Empfehlung

Verknüpfe im Risk-Categorization-Tool die Felder „Begründung/Evidenz“ und „Maßnahmen“ als verbindliche Nachweiskette (Audit Trail).

Quelle: Eticas, Responsible AI in healthcare (Dec 2025). :contentReference[oaicite:5]{index=5}

Referenzdokument: Responsible AI in healthcare: A practical guide to risk, oversight, and independent assurance. :contentReference[oaicite:6]{index=6}
Governance-Fit

Responsible AI (Eticas) ↔ Risk Categorization Tool (CHAI)

Low Medium High

Dieses Mapping übersetzt die zentralen Risiko- und Assurance-Themen aus Responsible AI in healthcare in eine prüfbare Struktur für dein Risk-Categorization-Tool: links die Eticas-Risiko-Cluster, rechts die passende Zuordnung zu den beiden Domänen (1) Patientensicherheit und (2) Technologie & Daten inkl. klassischer Governance-Artefakte. :contentReference[oaicite:0]{index=0} :contentReference[oaicite:1]{index=1}

Eticas Risiko-Cluster Mapping Domäne (CHAI) Welche Modifikatoren im Tool typischerweise betroffen sind Governance-Artefakte (Nachweisführung)
Sicherheit / Patient Harm Domäne (1)
Leben & Patientensicherheit
 Distanz zum Patienten · Human-in-the-Loop · Konsequenzen bei Fehler · Reaktionszeit · Versorgungssetting · Fehlerfortpflanzung durch Integration Intended Use + Workflow-Map · klinische Risikoanalyse · Freigabeprotokoll (Gate) · Incident-/Eskalationspfad · Trainings-/Einweisungsnachweise
Bias & Fairness Domäne (1) Domäne (2)
Outcome-Risiken + Datenrepräsentation
 Disparitäts-/Bias-Risiko · Vulnerabilität der Population · Repräsentativität & Suffizienz · Datenqualität Datenprofil (Population, Subgruppen) · Fairness-Tests/Stratified Metrics · Drift-/Bias-Monitoring-Konzept · Dokumentierte Annahmen/Limits
Privacy & Confidentiality Domäne (2)
Technologie & Daten
 Nutzung sensibler Daten · Security: Data Handling · Erkennbarkeit & Nachvollziehbarkeit · Lifecycle-Management & Updates Datenflussdiagramm (DPIA-ready) · AVV/Verträge · Lösch-/Retention-Konzept · Zugriffs- & Berechtigungskonzept · Protokollierung/Audit Trails
Reliability / Robustness Domäne (2)
Modell- und Betriebsstabilität
 Datenqualität · Repräsentativität & Suffizienz · Monitoring/Incident Detection & Response · Lifecycle-Management & Updates Validierungsbericht · Testkatalog (inkl. Edge Cases) · Versionierung/Change Log · Rollback-Plan · Betriebs-KPIs (Drift, Errors)
Security & Misuse Domäne (2)
Angriffsfläche & Zweckentfremdung
 Security: Deployment Surface · Security: Data Handling · Monitoring/Incident Response · Erkennbarkeit & Nachvollziehbarkeit Threat Model · PenTest-/Security-Review · Abuse-Cases · Rollen-/Rechte-Matrix · Incident Playbooks
Governance / Accountability Domäne (1) Domäne (2)
End-to-end Verantwortung
 Human-in-the-Loop · Monitoring-Aufwand · Lifecycle-Management & Updates · Erkennbarkeit & Nachvollziehbarkeit · Breite des potenziellen Schadens RACI (Owner, Freigabe, Betrieb) · Policies/Standards · Vendor Due Diligence · Trainingskonzept · Auditierbare Evidenzsammlung

„Fit-to-Operate“ – Prüffragen für die Management-Freigabe

  • Use Case klar? Intended Use, Nutzer, Workflow, Population, Schnittstellen dokumentiert.
  • High irgendwo? Sobald ein Modifikator „High“ ist: vertieftes Assessment + kontrollierter Rollout.
  • Evidenz vorhanden? Tests, Datenbasis, Validierung, Monitoring und Verantwortlichkeiten nachweisbar.
  • Operating Model steht? Incident Response, Change/Versioning, Training/Einweisung, Audit Trail.

Empfohlener Governance-Standard

Arbeite konsequent nach dem Prinzip: Bewertung → Begründung → Evidenz → Kontrolle → Monitoring. So wird das Tool zur entscheidungsfähigen Vorlage für GF, IT, DSB/ISB und Fachbereiche.

Referenzen: Responsible AI in healthcare (Eticas). :contentReference[oaicite:2]{index=2} Risk Categorization Tool (CHAI). :contentReference[oaicite:3]{index=3}