Sprache
← Blog

Eine konforme KI-Architektur für Schweizer Medizinunternehmen

17. Mai 2026Maurice7 min

Ein Schweizer Medizinunternehmen, das KI im Betrieb einsetzen will, stösst auf drei Auflagen, bevor es zum spannenden Teil kommt: Personendaten zur Gesundheit sind die sensibelste Kategorie unter dem revidierten Datenschutzgesetz (revDSG), das Berufsgeheimnis nach Art. 321 StGB bindet namentlich benannte Fachpersonen, und jede Entscheidung mit Rechtsfolgen für eine Patientin oder einen Patienten begründet einen Anspruch auf substanzielle menschliche Überprüfung. Generische KI-Produkte sind dafür nicht gebaut. Die gute Nachricht: Die Architektur, die dafür gebaut ist, ist klein, benannt und beschaffbar.

Dies ist die Kurzfassung eines Referenzmusters, an dem wir gearbeitet haben — Sovereign Casework Architecture — angewendet auf das Schweizer Medizinumfeld.

Was «Medizinunternehmen» hier bedeutet

Das Muster ist für fallbezogene Entscheidungsvorbereitung unter Berufsgeheimnis- und revDSG-Auflagen gebaut. Es passt zu:

  • Vorabprüfung von Leistungsgesuchen (Prior-Authorization) bei Kranken- oder Rückversicherern
  • Fallarbeit in medizinischen Gutachterstellen, Zweitmeinungen, Gerichtsgutachten
  • Versicherungsmedizinische Prüfung (mit ärztlicher Letztverantwortung)
  • Patientenkorrespondenz im klinischen Sekretariat
  • Bearbeitung von Einsprachen in der IV oder UV mit medizinischer Komponente

Es passt nicht zu: Pharma-Forschung, MedTech-Geräte-Firmware, Spital-Personalplanung, Studien-Rekrutierung oder Laboranalytik-Pipelines. Diese haben andere Datenflüsse und andere Compliance-Flächen; sie verdienen eine eigene Architektur, nicht diese.

Das Bild

Konforme gehostete KI-Architektur für Schweizer Medizinbetriebe: eine Schweizer souveräne Datenebene mit Fallkorpus, Skill File, Knowledge File, Orchestrierung, UI, Audit-Ebene, Reasoning-Engine und Human-in-the-Loop-Gate, mit einer einzigen Inferenzgrenze, die zu einem von drei LLM-Mustern führt — Self-hosted auf Schweizer GPUs, Enterprise-API mit Zero-Retention oder Enterprise-API mit subjektbasiertem Log-Zugriff.

Von oben nach unten lesen. Alles im oberen Container — Patientenakten, das prozedurale Skill File, das faktische Knowledge File, die Reasoning-Engine, die Critique-Loop, das Audit-Log, das UI, das die Klinikerin tatsächlich bedient — liegt auf Schweizer Infrastruktur mit vertraglich benannten Auftragsbearbeitern. Die gestrichelte Linie darunter ist der einzige Punkt, an dem Daten Jurisdiktionen überschreiten dürfen — und das nur unter einem von drei kontrollierten Mustern.

Die fünf Invarianten

  1. Begrenzter Umfang. Das System durchstreift keinen offenen Korpus. Jedes Reasoning-Event verarbeitet genau einen Patientenfall plus die festgepinnten Skill- und Knowledge-Versionen. Bis zu ~2'000 aktive Fälle pro Deployment ist der wirtschaftliche und organisatorische Sweet Spot.
  2. Trennung von Skill und Knowledge. Wie gedacht wird (Verfahrensregeln, Entscheidungslogik, Red Flags) lebt in einer versionierten Skill File. Was in der Domäne gilt (Gesetzesauszüge, klinische Pfade, interne Policy) lebt in einer separaten Knowledge File. Beide werden wie Code reviewt.
  3. Souveräne Datenebene. Patientenakten, Skill, Knowledge, Audit-Log und KI-generierte Kritiken verlassen niemals Schweizer Infrastruktur mit vertraglich benannten Auftragsbearbeitern. Verschlüsselung at-rest und in-transit. Schlüssel beim verantwortlichen Unternehmen.
  4. Verpflichtende Critique-Loop. Jeder KI-Vorschlag wird durch einen separat ausgelösten zweiten Inferenzaufruf geprüft — ohne gemeinsame Session, ohne gemeinsamen System-Prompt. Das fängt den dominanten Laufzeitfehler: einen vertretbar wirkenden Vorschlag mit einer leisen Lücke in der Argumentation.
  5. Mensch entscheidet, Maschine bereitet vor. Das System entscheidet nie. Es produziert ein Casework Brief — Vorschlag plus Kritik plus Evidenzpfad — und übergibt es an eine Ärztin, einen Arzt oder eine Fallbearbeiterin, die freigibt, anpasst oder ablehnt.

Ein System, das eine davon verletzt, hat ein anderes Compliance-Profil und gehört separat evaluiert.

Die Anbieter-Landkarte

Realistische Shortlists Stand Mitte 2026. Als Ausgangspunkt gegen die Kriterien zu lesen — Schweizer Residenz, AVV mit benanntem Auftragsbearbeiter, revDSG-konformes Logging — nicht als feste Liste; die Kriterien überdauern die Anbieter.

Datenebene (immer Schweizer Residenz)

  • Compute und Storage: Exoscale (Genf, Zürich), Infomaniak (Genf), Swisscom (Zürich), AWS Zürich, Azure Switzerland North. Wahl nach Region, AVV-Tiefe und bestehender Geschäftsbeziehung.
  • Identity: der eigene IdP — Microsoft Entra ID, Okta oder ein selbst betriebenes Keycloak. Authentifizierung via SSO; Autorisierung rollenbasiert pro Fall.
  • Verschlüsselungs-Schlüssel: beim verantwortlichen Unternehmen. Provider-Key-Management ist akzeptabel, sofern das Customer-Managed-Key-Modell vertraglich dokumentiert ist.
  • Audit-Anker: ein vertrauenswürdiger externer Zeitstempel-Dienst (z.B. eine RFC-3161-TSA bei einer Schweizer Zertifizierungsstelle) reicht für die Kettenverankerung.

Inferenz (drei Muster, eines auswählen)

Das Diagramm zeigt die drei Muster nebeneinander. In Worten:

  • Muster A — Self-hosted auf Schweizer GPUs. Kein Prompt verlässt jemals die Schweiz. Sauberste Compliance-Lage; eliminiert die anbieterseitige Auskunftsfrage vollständig. Infrastruktur auf Exoscale-, Swisscom- oder Infomaniak-GPU-Angeboten. Open-Weight-Modelle der Klasse Llama 3.3 70B / Mistral Large 2 / Qwen 2.5 72B — Qualität auf strukturierter Medizinfallarbeit liegt Mitte 2026 bei ~85-95% der kommerziellen Frontier-Modelle, Tendenz aufholend. Wirtschaftlichkeit: ~CHF 18'000-30'000/Jahr fix für dedizierte A100/H100-Kapazität, effektiv ~CHF 2-4 pro Fall bei Einzeldeployment-Volumen.
  • Muster B — Enterprise-API mit Zero-Retention (der praktische Standardweg). Anthropic via AWS Bedrock (Region Zürich oder Frankfurt), Azure OpenAI Switzerland North, Mistral La Plateforme EU, Google Vertex AI in EU-Regionen. Die vertragliche Struktur trägt den Residenz-Anspruch. Erforderlich: Enterprise-Tier (nicht Self-Serve), dokumentierte Zero-Retention, revDSG-konformer AVV. Wirtschaftlichkeit: ~15 Rappen pro Fall, ~CHF 1'200/Jahr bei 8'000 Fällen.
  • Muster C — Enterprise-API mit subjektbasiertem Log-Zugriff. Wo Zero-Retention nicht angeboten wird (manche Spezialanbieter oder vertikale Medizin-LLM-Vendoren), muss der Vertrag garantieren, dass aufbewahrte Logs innerhalb der gesetzlichen Auskunftsfrist nach Patientenidentifikator abfragbar sind. Operativ tragfähig, aber workflow-aufwendiger; den Auskunftsweg vor Vertragsunterzeichnung Ende-zu-Ende prüfen.

Für ein einzelnes Schweizer Medizin-Deployment im Mittelfeld ist Muster B der praktische Standardweg. Muster A ist die richtige Antwort, wenn die Sensibilität am höchsten ist (psychiatrische oder genetische Daten), wenn das Unternehmen ohnehin Schweizer Inferenzkapazität betreiben will, oder wenn sich die Infrastruktur über mehrere Standorte oder Anwendungsfälle amortisiert.

Was die Critique-Loop fängt — und was nicht

Same-Model-Critique (der empfohlene Standardweg) fängt Anwendungsfehler: einen übersprungenen Skill-File-Schritt, falsch gewichtete Evidenz, einen klinischen Pfad, der nicht passt, Konfidenz, die nicht zur Argumentation passt. Sie fängt keine systematischen Modellfehler — gemeinsame blinde Flecken, die beide Inferenzpässe erben. Die werden in der Pflege adressiert: Skill-File-Review und ein kuratierter Regressionssatz historischer Fälle, der vor jedem Modell-Upgrade durchläuft.

Laufzeitkosten der Critique: ~2× Inferenz, ~30% mehr Latenz. Bei ~2'000 aktiven Fällen ist das ein bezahlbarer Posten — und der Unterschied zwischen einem System, das durchwinkt, und einem System, das sich selbst korrigiert.

Die Audit-Ebene

Jedes Ereignis — Fallaufnahme, Engine-Aufruf, Critique-Aufruf, Brief-Erstellung, Reviewer-Handlung — landet in einem hash-verketteten Append-Only-Log mit periodischer externer Verankerung. Für jeden abgeschlossenen Fall kann eine berechtigte Person rekonstruieren, was berücksichtigt wurde, von wem, in welcher Reihenfolge, mit welcher Begründung. Diese Rekonstruktion ist es, was das System unter einer Patientenauskunft oder einer EDÖB-Anfrage verteidigbar macht. Critique-Artefakte sind erstrangige Personendaten und Teil jeder Auskunft, die den Fall berührt.

Was das nicht ist

Es ist kein generischer KI-Assistent. Es lässt Mitarbeitende keine Patientendaten in eine Chat-Box einfügen. Es verschickt keine Briefe oder klinischen Entscheidungen automatisch. Es ist ein bewusst schmales Muster für eine bestimmte Klasse von Problemen: regulierte, fallbezogene Medizinarbeit, in der die Aufgabe der Maschine darin besteht, einen verteidigbaren Vorschlag für einen Menschen vorzubereiten — unter Datensouveränitätsauflagen.

Was wir mitnehmen

Ein konformer KI-Stack für Schweizer Medizinbetriebe ist keine massgeschneiderte Plattform. Es ist ein kleines Set benannter Invarianten, eine einzige Inferenzgrenze und eine beschaffbare Anbieter-Shortlist pro Schicht. Die Architektur ist klein genug, um präzise zu spezifizieren, und strukturell genug, dass die Compliance-Kontrollen unter Betriebsdruck halten — und nicht als Folienpunkt enden, den das Team umgeht, sobald die Pipeline voll wird.

Wenn Sie den ersten KI-Workflow in einem Schweizer Medizinbetrieb umreissen und einen Sparringspartner zur Wahl des Falltyps suchen: schreiben Sie kurz. Ein Satz genügt.

Eine konforme KI-Architektur für Schweizer Medizinunternehmen — opsautomation.ch