EU AI Act im Gesundheitswesen: Pflichten & Fristen

Management Summary

KI-Compliance ist jetzt Betreiberpflicht. Was Sie für Praxis und Klinik wissen müssen.

Der EU AI Act trifft das Gesundheitswesen hart: Die meisten medizinischen KI-Systeme fallen in die Hochrisiko-Kategorie. Die Fristen laufen bereits. Bußgelder reichen bis 15 Mio. Euro. Die gute Nachricht: Wer jetzt einen strukturierten Prozess aufsetzt, macht Compliance zu einem Qualitätsmerkmal.

Die wichtigsten Fristen

Feb 2025KI-Literacy Pflicht

Dez 2027Volle Compliance*

*nach Anhang III

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Für das Gesundheitswesen hat die Verordnung besondere Bedeutung: Die meisten KI-Systeme im medizinischen Bereich werden als Hochrisiko-KI eingestuft und unterliegen damit den strengsten Anforderungen. Dieser Leitfaden gibt Ihnen einen vollständigen Überblick über die Pflichten, Fristen und konkreten Handlungsschritte für Praxen, MVZ und Kliniken.

1. Timeline: Was gilt wann? Der Stufenplan 2024–2027

Der EU AI Act tritt nicht mit einem Stichtag in Kraft, sondern folgt einem gestuften Zeitplan. Für das Gesundheitswesen sind folgende Termine maßgeblich:

Datum	Meilenstein	Relevanz für das Gesundheitswesen
01.08.2024	Inkrafttreten der Verordnung	Beginn der Übergangsfristen
02.02.2025	Verbotene KI-Praktiken (Titel II)	Social Scoring, manipulative KI – auch im Gesundheitswesen verboten
02.08.2025	KI-Kompetenzpflicht (Art. 4), GPAI-Regeln	Alle Mitarbeitenden, die KI nutzen, müssen ausreichend geschult sein
02.12.2027*	Hochrisiko-KI-Pflichten (Titel III, Kap. 3 & 4)	Zentrale Anbieter- und Betreiberpflichten für medizinische KI (Anhang III)
02.08.2028*	Hochrisiko-KI nach Anhang I (Produktgesetzgebung)	KI als Medizinprodukt (MDR/IVDR) – vollständige Anwendung

Der entscheidende Stichtag für die meisten Einrichtungen ist nach aktuellem Stand des Digital Omnibus der 2. Dezember 2027 (Anhang-III-Systeme). Ab diesem Datum müssen Betreiber von Hochrisiko-KI-Systemen die vollständigen Pflichten des Art. 26 erfüllen. *Voraussichtliche Fristen; Digital Omnibus formal noch nicht in Kraft. Einen detaillierten Überblick finden Sie in unserem Grundlagenbeitrag zum EU AI Act.

2. Hochrisiko-Klassifizierung in der Medizin: Ist mein KI-System betroffen?

Der EU AI Act unterscheidet vier Risikostufen: verboten, Hochrisiko, begrenzt und minimal. Für das Gesundheitswesen ist die Hochrisiko-Kategorie besonders relevant. Ein KI-System gilt als Hochrisiko-KI, wenn einer der folgenden Wege zutrifft:

Weg 1: KI als Sicherheitskomponente eines Produkts (Art. 6 Abs. 1)

Wenn das KI-System ein Sicherheitsbauteil eines Produkts ist, das unter die in Anhang I genannte EU-Harmonisierungsgesetzgebung fällt – und dieses Produkt einer Konformitätsbewertung durch Dritte bedarf. Im Gesundheitswesen betrifft dies vor allem KI-basierte Medizinprodukte, die unter die MDR (Verordnung (EU) 2017/745) oder IVDR fallen. Beispiele: KI-gestützte Diagnose-Software, KI-basierte Bildgebungsanalyse.

Weg 2: Eigenständige Hochrisiko-KI (Art. 6 Abs. 2, Anhang III)

Anhang III Nr. 5 listet KI-Systeme auf, die im Bereich "Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten" eingesetzt werden. Hierunter können KI-Systeme fallen, die über die Berechtigung zu Gesundheitsleistungen entscheiden oder bei der Triage mitwirken. Einen detaillierten Entscheidungsbaum zur Hochrisiko-Klassifizierung finden Sie in unserem separaten Beitrag.

Entscheidungsbaum: Ist Ihr System Hochrisiko?

Prüfen Sie in folgender Reihenfolge:

Klassifizierung nach EU AI Act

Medizinprodukt (MDR/IVDR)?

Ist die KI ein Medizinprodukt oder Teil davon?

Ja → Hochrisiko-KI

Anhang III Kategorie?

Fällt das System unter eine Kategorie in Anhang III?

Ja → Weiter zu 3

Ausnahme (Art. 6 Abs. 3)?

Nur enge Verfahrensaufgabe, Vorbereitung oder Verbesserung?

Ja → Kein Hochrisiko

Nein → Hochrisiko-KI

3. Betreiberpflichten (Art. 26) im Detail

Art. 26 EU AI Act richtet sich an Betreiber (Deployer) – also an Gesundheitseinrichtungen, die KI-Systeme einsetzen. Die sechs Kernpflichten im Detail:

Pflicht 1: Bestimmungsgemäße Verwendung (Art. 26 Abs. 1)

Der Betreiber muss geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass das Hochrisiko-KI-System gemäß der beigefügten Betriebsanleitung verwendet wird. In der Praxis bedeutet dies: Lesen und befolgen Sie die Betriebsanleitung des Anbieters, dokumentieren Sie die konkreten Einsatzszenarien und stellen Sie sicher, dass das System nicht außerhalb seines vorgesehenen Einsatzbereichs verwendet wird.

Pflicht 2: Menschliche Aufsicht (Art. 26 Abs. 2)

Der Betreiber muss natürliche Personen benennen, die die menschliche Aufsicht ausüben. Diese Personen müssen über die nötige Kompetenz, Ausbildung und Befugnis verfügen. Im Gesundheitswesen wird dies regelmäßig der behandelnde Arzt sein. Wichtig: Die menschliche Aufsicht muss tatsächlich wirksam sein – ein bloßes "Durchwinken" von KI-Ergebnissen genügt nicht (sog. Automation Bias).

Pflicht 3: Eingabedaten (Art. 26 Abs. 4)

Soweit der Betreiber die Kontrolle über die Eingabedaten hat, muss er sicherstellen, dass diese relevant und hinreichend repräsentativ für die Zweckbestimmung sind. Fehlerhafte, unvollständige oder verzerrte Eingabedaten gefährden die Qualität der KI-Ausgabe und können die Patientensicherheit beeinträchtigen.

Pflicht 4: Überwachung und Meldepflichten (Art. 26 Abs. 5)

Der Betreiber muss den Betrieb des KI-Systems überwachen und bei Feststellung eines Risikos oder eines schwerwiegenden Vorfalls den Anbieter und die zuständige Marktüberwachungsbehörde informieren. Bei Medizinprodukten gelten zusätzlich die Meldepflichten der MDR (Vigilanz). Lesen Sie hierzu auch unseren Beitrag zu den Risiken durch KI-Updates.

Pflicht 5: Protokollaufbewahrung (Art. 26 Abs. 6)

Die automatisch erzeugten Protokolle (Logs) des KI-Systems müssen für einen angemessenen Zeitraum aufbewahrt werden – mindestens sechs Monate, sofern nicht andere Rechtsvorschriften eine längere Aufbewahrung vorschreiben. Im Gesundheitswesen ergeben sich durch die ärztliche Dokumentationspflicht (§ 630f BGB: 10 Jahre) häufig deutlich längere Aufbewahrungsfristen.

Pflicht 6: Informationspflichten (Art. 26 Abs. 7 und 8)

Betroffene Personen – also Ihre Patienten – müssen darüber informiert werden, dass sie einem Hochrisiko-KI-System ausgesetzt sind. Arbeitnehmervertreter (Betriebsrat) sind ebenfalls zu informieren, wenn KI-Systeme am Arbeitsplatz eingesetzt werden. Diese Pflicht besteht neben den Transparenzpflichten der DSGVO (Art. 13/14).

Zwischenfazit für die Praxis

Klingt nach viel Aufwand? Ist es auch, wenn man es allein macht.

Praxen und MVZs müssen den AI Act nicht auswendig lernen. Sie brauchen einen verlässlichen Stufenplan, der in den Alltag passt. Genau dafür haben wir unseren pragmatischen KI-Compliance-Check entwickelt.

ZUM KI-COMPLIANCE-CHECK →

4. Anbieter-Pflichten (Art. 16) im Detail

Der AI Act ist keine reine IT-Aufgabe, sondern eine Management-Pflicht. Wer die Compliance blind an den Software-Hersteller delegiert, haftet am Ende selbst.

Anbieter (Provider) sind Unternehmen, die KI-Systeme entwickeln und auf den Markt bringen. Ihre Pflichten sind umfangreicher als die der Betreiber. Als Betreiber profitieren Sie indirekt, denn ein pflichtbewusster Anbieter liefert Ihnen die Dokumentation und Werkzeuge, die Sie für Ihre eigene Compliance benötigen.

Die wichtigsten Anbieterpflichten im Überblick:

Risikomanagementsystem (Art. 9): Einrichtung und Pflege eines kontinuierlichen Risikomanagementsystems über den gesamten Lebenszyklus
Daten-Governance (Art. 10): Qualitätskriterien für Trainings-, Validierungs- und Testdaten
Technische Dokumentation (Art. 11): Umfassende technische Dokumentation vor Inverkehrbringen
Protokollierung (Art. 12): Automatische Aufzeichnung relevanter Ereignisse (Logging)
Transparenz (Art. 13): Bereitstellung klarer Betriebsanleitungen für Betreiber
Menschliche Aufsicht (Art. 14): Entwurf des Systems so, dass wirksame menschliche Aufsicht möglich ist
Genauigkeit, Robustheit, Cybersicherheit (Art. 15): Angemessene Leistungsfähigkeit über den gesamten Lebenszyklus
Konformitätsbewertung (Art. 43): Nachweis der Konformität vor Inverkehrbringen; bei Medizinprodukten durch Benannte Stellen
Registrierung (Art. 49): Registrierung in der EU-Datenbank vor Inverkehrbringen
Post-Market Monitoring (Art. 72): Marktüberwachung nach Inverkehrbringen

5. Betreiber vs. Anbieter: Vergleichstabelle

Die folgende Tabelle stellt die Pflichten von Anbietern und Betreibern gegenüber:

Kernaussage

Der Anbieter liefert die Technik. Sie als Betreiber haften für den rechtssicheren Einsatz.

Verlassen Sie sich nicht blind auf "AI Act Ready"-Versprechen. Die in der Praxis entscheidenden Schritte – menschliche Aufsicht, Datenkontrolle und Protokollierung – obliegen Ihnen.

Pflicht	Anbieter (Art. 16)	Betreiber (Art. 26)
Risikomanagementsystem	Einrichten & pflegen	–
Technische Dokumentation	Erstellen	–
Betriebsanleitung beachten	Bereitstellen	Einhalten
Menschliche Aufsicht	Ermöglichen (Design)	Durchführen
Eingabedatenqualität	Spezifizieren	Sicherstellen
Protokollierung (Logs)	Implementieren	Aufbewahren (≥ 6 Mon.)
Konformitätsbewertung	Durchführen	–
Meldung schwerwiegender Vorfälle	An Behörden	An Anbieter & Behörden
Information der Betroffenen	–	Pflicht (Patienten, Betriebsrat)
DSFA (DSGVO)	Zuliefern	Durchführen

6. Sanktionen und Bußgelder

35Mio. €

Maximales Bußgeld

Der EU AI Act sieht bei Verstößen gegen verbotene KI-Praktiken Bußgelder bis zu 35 Mio. Euro oder 7 % des Jahresumsatzes vor. Auch bei Verstößen gegen Betreiberpflichten drohen bis zu 15 Mio. Euro. Parallel dazu greifen zivilrechtliche Arzthaftung und berufsrechtliche Sanktionen.

Das gestufte Sanktionssystem des EU AI Act erinnert in seiner Struktur an die DSGVO, sieht aber teils deutlich höhere Beträge vor:

Verstoß	Bußgeld (Unternehmen)	Bußgeld (KMU/Startups)
Einsatz verbotener KI-Praktiken (Art. 5)	Bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes	Verhältnismäßig reduziert
Verstoß gegen Hochrisiko-Pflichten (Art. 16, 26 u.a.)	Bis 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes	Verhältnismäßig reduziert
Falsche Angaben gegenüber Behörden	Bis 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes	Verhältnismäßig reduziert

Für Gesundheitseinrichtungen besonders relevant: Es gilt jeweils der höhere der beiden Beträge. Bei einer Einzelpraxis oder einem MVZ werden die absoluten Beträge zwar selten erreicht, aber auch Bußgelder im fünf- oder sechsstelligen Bereich können existenzbedrohend sein. Hinzu kommen mögliche Schadensersatzansprüche der Betroffenen und berufsrechtliche Konsequenzen.

7. Was jetzt zu tun ist: Stufenplan nach Einrichtungstyp

Für Einzelpraxen und kleine Gemeinschaftspraxen

Sofort: Bestandsaufnahme aller eingesetzten KI-Systeme durchführen. Prüfen Sie, welche Ihrer Software-Tools KI-Funktionen enthalten – oft ist dies nicht auf den ersten Blick erkennbar.
Jetzt: KI-Kompetenzschulungen für alle Mitarbeitenden umsetzen (Art. 4 gilt bereits seit Februar 2025). Informationspflichten gegenüber Patienten etablieren (Aushang, Datenschutzerklärung anpassen).
Bis Dezember 2027 (voraussichtlich): Für jedes Hochrisiko-KI-System: Betriebsanleitung sichten, verantwortliche Person für menschliche Aufsicht benennen, Protokollierung prüfen. DSFA durchführen oder aktualisieren.
Laufend: Überwachungsprozess etablieren, Incident-Reporting-Verfahren einrichten.

Für MVZ und größere Praxisverbünde

MVZ stehen vor besonderen Herausforderungen, da sie häufig eine Vielzahl von KI-Systemen über mehrere Standorte hinweg einsetzen. Die regulatorischen Anforderungen multiplizieren sich entsprechend. Lesen Sie hierzu unseren spezialisierten Beitrag zum EU AI Act für MVZ.

Sofort: Zentrale Bestandsaufnahme und KI-Register erstellen. Compliance-Verantwortlichen benennen.
Jetzt: Standardisierte Prozesse für KI-Beschaffung, -Einführung und -Überwachung entwickeln. Schulungskonzept für alle Standorte erstellen.
Bis Dezember 2027 (voraussichtlich): Vollständige Compliance für alle Hochrisiko-KI-Systeme herstellen. Vertragswerke mit KI-Anbietern prüfen und ggf. anpassen.

Für Kliniken und Krankenhäuser

Krankenhäuser setzen typischerweise die größte Anzahl und Vielfalt von KI-Systemen ein – von der Bildgebung über die Pathologie bis zur Prozesssteuerung. Detaillierte Hinweise finden Sie in unserem Beitrag zum EU AI Act im Krankenhaus.

Sofort: KI-Governance-Struktur aufbauen (Verantwortlichkeiten, Berichtslinien). Abteilungsübergreifendes KI-Inventar erstellen.
Jetzt: Risikoklassifizierung für jedes KI-System abschließen. Interne Richtlinie für KI-Einsatz verabschieden. Schulungsprogramm ausrollen.
Bis Dezember 2027 (voraussichtlich): Vollständige Art.-26-Compliance für alle Hochrisiko-Systeme (Anhang III). DSFA für jedes System. Incident-Response-Prozess etablieren.
Bis August 2028 (voraussichtlich): Für KI-basierte Medizinprodukte (MDR): Vollständige Anwendung der AI-Act-Anforderungen in der Konformitätsbewertung.

8. Häufig gestellte Fragen (FAQ)

Gilt der EU AI Act auch für KI-Systeme, die bereits heute im Einsatz sind?

Ja. Der EU AI Act gilt nicht nur für neu eingeführte KI-Systeme, sondern auch für bereits bestehende Systeme, die nach dem jeweiligen Stichtag weiter betrieben werden. Es gibt keine Bestandsschutzregelung. Bestehende Systeme müssen bis zum Stichtag in Konformität gebracht werden.

Ist ein KI-gestützter Sprachassistent am Empfang ein Hochrisiko-System?

Das hängt von der konkreten Funktion ab. Ein reiner Terminvergabe-Assistent fällt voraussichtlich nicht unter die Hochrisiko-Kategorie. Sobald das System jedoch Symptome klassifiziert, Dringlichkeiten bewertet oder Behandlungsempfehlungen gibt, kann eine Hochrisiko-Einstufung einschlägig sein. Die Abgrenzung ist im Einzelfall vorzunehmen.

Was bedeutet die KI-Kompetenzpflicht (Art. 4) konkret?

Seit August 2025 müssen Anbieter und Betreiber sicherstellen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Dies umfasst das Verständnis der Funktionsweise des KI-Systems, die Fähigkeit zur Interpretation der Ergebnisse, das Bewusstsein für Risiken und Grenzen sowie die Kenntnis der eigenen Pflichten. Die genaue Ausgestaltung hängt von der Rolle und dem Einsatzbereich ab. Es ist keine formale Zertifizierung vorgeschrieben, aber die Schulung muss dokumentiert werden.

Wie verhält sich der EU AI Act zur MDR bei Software als Medizinprodukt?

Bei KI-basierten Medizinprodukten gelten beide Regelwerke kumulativ. Die Konformitätsbewertung nach der MDR wird um die Anforderungen des EU AI Act ergänzt. Die Benannten Stellen prüfen künftig auch die AI-Act-Konformität. Für Betreiber bedeutet dies: Die Pflichten aus beiden Regelwerken müssen parallel erfüllt werden.

Wer ist in Deutschland die zuständige Aufsichtsbehörde?

Deutschland muss bis August 2025 eine nationale Marktüberwachungsbehörde für den EU AI Act benennen. Es wird erwartet, dass die Bundesnetzagentur (BNetzA) diese Aufgabe übernimmt. Für Medizinprodukte bleibt daneben das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zuständig. Die genaue Aufgabenverteilung ist zum Zeitpunkt der Veröffentlichung noch nicht abschließend geklärt.

Können Patienten gegen den Einsatz von KI widersprechen?

Ein ausdrückliches "Widerspruchsrecht gegen KI" kennt der EU AI Act nicht. Allerdings ergeben sich aus der DSGVO relevante Rechte: Art. 22 DSGVO gibt Betroffenen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. Art. 21 DSGVO gewährt ein Widerspruchsrecht bei bestimmten Rechtsgrundlagen. In der Praxis sollten Sie darauf vorbereitet sein, die Behandlung auch ohne KI-Unterstützung durchführen zu können.

EU AI Act im Gesundheitswesen: Betreiberpflichten, Hochrisiko-Klassifizierung und Stufenplan

Auf einen Blick