EU AI Act im Gesundheitswesen 2026: Betreiberpflichten, Hochrisiko-Klassifizierung und Stufenplan

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Für das Gesundheitswesen hat die Verordnung besondere Bedeutung: Die meisten KI-Systeme im medizinischen Bereich werden als Hochrisiko-KI eingestuft und unterliegen damit den strengsten Anforderungen. Dieser Leitfaden gibt Ihnen einen vollständigen Überblick über die Pflichten, Fristen und konkreten Handlungsschritte für Praxen, MVZ und Kliniken.

1. Timeline: Was gilt wann? Der Stufenplan 2024–2027

Der EU AI Act tritt nicht mit einem Stichtag in Kraft, sondern folgt einem gestuften Zeitplan. Für das Gesundheitswesen sind folgende Termine maßgeblich:

Der für die meisten Einrichtungen entscheidende Stichtag ist der 2. August 2026. Ab diesem Datum müssen Betreiber von Hochrisiko-KI-Systemen die vollständigen Pflichten des Art. 26 erfüllen. Einen detaillierten Überblick über die regulatorischen Entwicklungen finden Sie in unserem Grundlagenbeitrag zum EU AI Act.

2. Hochrisiko-Klassifizierung in der Medizin: Ist mein KI-System betroffen?

Der EU AI Act unterscheidet vier Risikostufen: verboten, Hochrisiko, begrenzt und minimal. Für das Gesundheitswesen ist die Hochrisiko-Kategorie besonders relevant. Ein KI-System gilt als Hochrisiko-KI, wenn einer der folgenden Wege zutrifft:

Weg 1: KI als Sicherheitskomponente eines Produkts (Art. 6 Abs. 1)

Wenn das KI-System ein Sicherheitsbauteil eines Produkts ist, das unter die in Anhang I genannte EU-Harmonisierungsgesetzgebung fällt – und dieses Produkt einer Konformitätsbewertung durch Dritte bedarf. Im Gesundheitswesen betrifft dies vor allem KI-basierte Medizinprodukte, die unter die MDR (Verordnung (EU) 2017/745) oder IVDR fallen. Beispiele: KI-gestützte Diagnose-Software, KI-basierte Bildgebungsanalyse.

Weg 2: Eigenständige Hochrisiko-KI (Art. 6 Abs. 2, Anhang III)

Anhang III Nr. 5 listet KI-Systeme auf, die im Bereich "Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten" eingesetzt werden. Hierunter können KI-Systeme fallen, die über die Berechtigung zu Gesundheitsleistungen entscheiden oder bei der Triage mitwirken. Einen detaillierten Entscheidungsbaum zur Hochrisiko-Klassifizierung finden Sie in unserem separaten Beitrag.

Entscheidungsbaum: Ist Ihr System Hochrisiko?

Prüfen Sie in folgender Reihenfolge:

• Frage 1: Ist das KI-System ein Medizinprodukt oder Teil eines Medizinprodukts (MDR/IVDR)? → Wenn ja: Hochrisiko-KI (Art. 6 Abs. 1 i.V.m. Anhang I, Abschnitt A Nr. 11/12)
• Frage 2: Fällt das KI-System unter eine der Kategorien in Anhang III? → Wenn ja: Hochrisiko, es sei denn, es greift die Ausnahme nach Art. 6 Abs. 3 (kein erhebliches Risiko)
• Frage 3: Greift die Ausnahme des Art. 6 Abs. 3? Das KI-System ist kein Hochrisiko, wenn es nur eine enge Verfahrensaufgabe erfüllt, nur das Ergebnis einer vorherigen menschlichen Tätigkeit verbessert, nur vorbereitenden Charakter hat oder keine eigene Bewertung vornimmt
• Ergebnis: Wenn keine der Ausnahmen greift, handelt es sich um ein Hochrisiko-KI-System mit vollständigen Compliance-Pflichten

3. Betreiberpflichten (Art. 26) im Detail

Art. 26 EU AI Act richtet sich an Betreiber (Deployer) – also an Gesundheitseinrichtungen, die KI-Systeme einsetzen. Die sechs Kernpflichten im Detail:

Pflicht 1: Bestimmungsgemäße Verwendung (Art. 26 Abs. 1)

Der Betreiber muss geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass das Hochrisiko-KI-System gemäß der beigefügten Betriebsanleitung verwendet wird. In der Praxis bedeutet dies: Lesen und befolgen Sie die Betriebsanleitung des Anbieters, dokumentieren Sie die konkreten Einsatzszenarien und stellen Sie sicher, dass das System nicht außerhalb seines vorgesehenen Einsatzbereichs verwendet wird.

Pflicht 2: Menschliche Aufsicht (Art. 26 Abs. 2)

Der Betreiber muss natürliche Personen benennen, die die menschliche Aufsicht ausüben. Diese Personen müssen über die nötige Kompetenz, Ausbildung und Befugnis verfügen. Im Gesundheitswesen wird dies regelmäßig der behandelnde Arzt sein. Wichtig: Die menschliche Aufsicht muss tatsächlich wirksam sein – ein bloßes "Durchwinken" von KI-Ergebnissen genügt nicht (sog. Automation Bias).

Pflicht 3: Eingabedaten (Art. 26 Abs. 4)

Soweit der Betreiber die Kontrolle über die Eingabedaten hat, muss er sicherstellen, dass diese relevant und hinreichend repräsentativ für die Zweckbestimmung sind. Fehlerhafte, unvollständige oder verzerrte Eingabedaten gefährden die Qualität der KI-Ausgabe und können die Patientensicherheit beeinträchtigen.

Pflicht 4: Überwachung und Meldepflichten (Art. 26 Abs. 5)

Der Betreiber muss den Betrieb des KI-Systems überwachen und bei Feststellung eines Risikos oder eines schwerwiegenden Vorfalls den Anbieter und die zuständige Marktüberwachungsbehörde informieren. Bei Medizinprodukten gelten zusätzlich die Meldepflichten der MDR (Vigilanz). Lesen Sie hierzu auch unseren Beitrag zu den Risiken durch KI-Updates.

Pflicht 5: Protokollaufbewahrung (Art. 26 Abs. 6)

Die automatisch erzeugten Protokolle (Logs) des KI-Systems müssen für einen angemessenen Zeitraum aufbewahrt werden – mindestens sechs Monate, sofern nicht andere Rechtsvorschriften eine längere Aufbewahrung vorschreiben. Im Gesundheitswesen ergeben sich durch die ärztliche Dokumentationspflicht (§ 630f BGB: 10 Jahre) häufig deutlich längere Aufbewahrungsfristen.

Pflicht 6: Informationspflichten (Art. 26 Abs. 7 und 8)

Betroffene Personen – also Ihre Patienten – müssen darüber informiert werden, dass sie einem Hochrisiko-KI-System ausgesetzt sind. Arbeitnehmervertreter (Betriebsrat) sind ebenfalls zu informieren, wenn KI-Systeme am Arbeitsplatz eingesetzt werden. Diese Pflicht besteht neben den Transparenzpflichten der DSGVO (Art. 13/14).

4. Anbieter-Pflichten (Art. 16) im Detail

Anbieter (Provider) sind Unternehmen, die KI-Systeme entwickeln und auf den Markt bringen. Ihre Pflichten sind umfangreicher als die der Betreiber. Als Betreiber profitieren Sie indirekt, denn ein pflichtbewusster Anbieter liefert Ihnen die Dokumentation und Werkzeuge, die Sie für Ihre eigene Compliance benötigen.

Die wichtigsten Anbieterpflichten im Überblick:

• Risikomanagementsystem (Art. 9): Einrichtung und Pflege eines kontinuierlichen Risikomanagementsystems über den gesamten Lebenszyklus
• Daten-Governance (Art. 10): Qualitätskriterien für Trainings-, Validierungs- und Testdaten
• Technische Dokumentation (Art. 11): Umfassende technische Dokumentation vor Inverkehrbringen
• Protokollierung (Art. 12): Automatische Aufzeichnung relevanter Ereignisse (Logging)
• Transparenz (Art. 13): Bereitstellung klarer Betriebsanleitungen für Betreiber
• Menschliche Aufsicht (Art. 14): Entwurf des Systems so, dass wirksame menschliche Aufsicht möglich ist
• Genauigkeit, Robustheit, Cybersicherheit (Art. 15): Angemessene Leistungsfähigkeit über den gesamten Lebenszyklus
• Konformitätsbewertung (Art. 43): Nachweis der Konformität vor Inverkehrbringen; bei Medizinprodukten durch Benannte Stellen
• Registrierung (Art. 49): Registrierung in der EU-Datenbank vor Inverkehrbringen
• Post-Market Monitoring (Art. 72): Marktüberwachung nach Inverkehrbringen

5. Betreiber vs. Anbieter: Vergleichstabelle

Die folgende Tabelle stellt die Pflichten von Anbietern und Betreibern gegenüber:

6. Sanktionen und Bußgelder

Der EU AI Act sieht ein gestuftes Sanktionssystem vor, das in seiner Struktur an die DSGVO erinnert, aber teils deutlich höhere Beträge vorsieht:

Für Gesundheitseinrichtungen besonders relevant: Es gilt jeweils der höhere der beiden Beträge. Bei einer Einzelpraxis oder einem MVZ werden die absoluten Beträge zwar selten erreicht, aber auch Bußgelder im fünf- oder sechsstelligen Bereich können existenzbedrohend sein. Hinzu kommen mögliche Schadensersatzansprüche der Betroffenen und berufsrechtliche Konsequenzen.

7. Was jetzt zu tun ist: Stufenplan nach Einrichtungstyp

Für Einzelpraxen und kleine Gemeinschaftspraxen

• Sofort (Q1/Q2 2026): Bestandsaufnahme aller eingesetzten KI-Systeme durchführen. Prüfen Sie, welche Ihrer Software-Tools KI-Funktionen enthalten – oft ist dies nicht auf den ersten Blick erkennbar.
• Bis Q2 2026: KI-Kompetenzschulungen für alle Mitarbeitenden umsetzen (Art. 4 gilt bereits seit August 2025). Informationspflichten gegenüber Patienten etablieren (Aushang, Datenschutzerklärung anpassen).
• Bis August 2026: Für jedes Hochrisiko-KI-System: Betriebsanleitung sichten, verantwortliche Person für menschliche Aufsicht benennen, Protokollierung prüfen. DSFA durchführen oder aktualisieren.
• Laufend: Überwachungsprozess etablieren, Incident-Reporting-Verfahren einrichten.

Für MVZ und größere Praxisverbünde

MVZ stehen vor besonderen Herausforderungen, da sie häufig eine Vielzahl von KI-Systemen über mehrere Standorte hinweg einsetzen. Die regulatorischen Anforderungen multiplizieren sich entsprechend. Lesen Sie hierzu unseren spezialisierten Beitrag zum EU AI Act für MVZ.

• Sofort: Zentrale Bestandsaufnahme und KI-Register erstellen. Compliance-Verantwortlichen benennen.
• Bis Q2 2026: Standardisierte Prozesse für KI-Beschaffung, -Einführung und -Überwachung entwickeln. Schulungskonzept für alle Standorte erstellen.
• Bis August 2026: Vollständige Compliance für alle Hochrisiko-KI-Systeme herstellen. Vertragswerke mit KI-Anbietern prüfen und ggf. anpassen.

Für Kliniken und Krankenhäuser

Krankenhäuser setzen typischerweise die größte Anzahl und Vielfalt von KI-Systemen ein – von der Bildgebung über die Pathologie bis zur Prozesssteuerung. Detaillierte Hinweise finden Sie in unserem Beitrag zum EU AI Act im Krankenhaus.

• Sofort: KI-Governance-Struktur aufbauen (Verantwortlichkeiten, Berichtslinien). Abteilungsübergreifendes KI-Inventar erstellen.
• Bis Q2 2026: Risikoklassifizierung für jedes KI-System abschließen. Interne Richtlinie für KI-Einsatz verabschieden. Schulungsprogramm ausrollen.
• Bis August 2026: Vollständige Art.-26-Compliance für alle Hochrisiko-Systeme. DSFA für jedes System. Incident-Response-Prozess etablieren.
• Bis August 2027: Für KI-basierte Medizinprodukte (MDR): Vollständige Anwendung der AI-Act-Anforderungen in der Konformitätsbewertung.

8. Häufig gestellte Fragen (FAQ)

Gilt der EU AI Act auch für KI-Systeme, die bereits vor August 2026 im Einsatz sind?

Ja. Der EU AI Act gilt nicht nur für neu eingeführte KI-Systeme, sondern auch für bereits bestehende Systeme, die nach dem jeweiligen Stichtag weiter betrieben werden. Es gibt keine Bestandsschutzregelung. Bestehende Systeme müssen bis zum Stichtag in Konformität gebracht werden.

Ist ein KI-gestützter Sprachassistent am Empfang ein Hochrisiko-System?

Das hängt von der konkreten Funktion ab. Ein reiner Terminvergabe-Assistent fällt voraussichtlich nicht unter die Hochrisiko-Kategorie. Sobald das System jedoch Symptome klassifiziert, Dringlichkeiten bewertet oder Behandlungsempfehlungen gibt, kann eine Hochrisiko-Einstufung einschlägig sein. Die Abgrenzung ist im Einzelfall vorzunehmen.

Was bedeutet die KI-Kompetenzpflicht (Art. 4) konkret?

Seit August 2025 müssen Anbieter und Betreiber sicherstellen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Dies umfasst das Verständnis der Funktionsweise des KI-Systems, die Fähigkeit zur Interpretation der Ergebnisse, das Bewusstsein für Risiken und Grenzen sowie die Kenntnis der eigenen Pflichten. Die genaue Ausgestaltung hängt von der Rolle und dem Einsatzbereich ab. Es ist keine formale Zertifizierung vorgeschrieben, aber die Schulung muss dokumentiert werden.

Wie verhält sich der EU AI Act zur MDR bei Software als Medizinprodukt?

Bei KI-basierten Medizinprodukten gelten beide Regelwerke kumulativ. Die Konformitätsbewertung nach der MDR wird um die Anforderungen des EU AI Act ergänzt. Die Benannten Stellen prüfen künftig auch die AI-Act-Konformität. Für Betreiber bedeutet dies: Die Pflichten aus beiden Regelwerken müssen parallel erfüllt werden.

Wer ist in Deutschland die zuständige Aufsichtsbehörde?

Deutschland muss bis August 2025 eine nationale Marktüberwachungsbehörde für den EU AI Act benennen. Es wird erwartet, dass die Bundesnetzagentur (BNetzA) diese Aufgabe übernimmt. Für Medizinprodukte bleibt daneben das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zuständig. Die genaue Aufgabenverteilung ist zum Zeitpunkt der Veröffentlichung noch nicht abschließend geklärt.

Können Patienten gegen den Einsatz von KI widersprechen?

Ein ausdrückliches "Widerspruchsrecht gegen KI" kennt der EU AI Act nicht. Allerdings ergeben sich aus der DSGVO relevante Rechte: Art. 22 DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. Art. 21 DSGVO gewährt ein Widerspruchsrecht bei bestimmten Rechtsgrundlagen. In der Praxis sollten Sie darauf vorbereitet sein, die Behandlung auch ohne KI-Unterstützung durchführen zu können.