Das EU-KI-Gesetz für das Gesundheitswesen und medizinische KI: die zwei Hochrisiko-Wege
Veröffentlicht 18. Juli 2026 · 6 Min. Lesezeit
KI hält rasch Einzug in Diagnose, Triage und klinische Entscheidungsunterstützung. Nach dem EU-KI-Gesetz ist KI im Gesundheitswesen häufig hochriskant, jedoch über einen von zwei unterschiedlichen Wegen mit verschiedenen Bewertungspfaden. Zu wissen, welcher davon zutrifft, ist der erste Schritt für jedes Medizintechnikunternehmen, jede Klinik und jedes Gesundheits-Startup.
Weg 1: Ihre KI ist (Teil) eines Medizinprodukts
Wenn Ihre KI eine Sicherheitskomponente eines Medizinprodukts oder In-vitro-Diagnostikums ist oder selbst ein solches darstellt, ist sie nach Artikel 6(1) hochriskant. Der Anknüpfungspunkt ist Anhang I, der die Medizinprodukteverordnung (EU) 2017/745 und die IVDR (EU) 2017/746 (Nummern 11 und 12) auflistet. Zwei Bedingungen müssen zugleich erfüllt sein: Die KI ist ein solches Produkt oder Teil davon, und dieses Produkt erfordert bereits eine Konformitätsbewertung durch Dritte. Bei den meisten Produkten der Klasse IIa und höher ist dies der Fall.
Weg 2: Ihre KI ist ein gelisteter Anwendungsfall im Gesundheitsbereich
Auch außerhalb der Vorschriften für Medizinprodukte listet Anhang III (Artikel 6(2)) gesundheitsbezogene Anwendungen auf, die für sich genommen hochriskant sind:
- Anspruch auf Gesundheitsleistungen (point 5(a)). KI, die von oder für Behörden eingesetzt wird, um zu entscheiden, wer wesentliche Leistungen und Dienste – ausdrücklich einschließlich der Gesundheitsversorgung – erhält, oder um diese zu gewähren, zu kürzen oder zu entziehen.
- Notfall-Triage (point 5(d)). KI, die Notrufe triagiert oder die Erstintervention disponiert, einschließlich medizinischer Hilfe und Systemen zur Notfall-Patiententriage.
- Preisgestaltung von Lebens- und Krankenversicherungen (point 5(c)). KI zur Risikobewertung und Preisgestaltung bei natürlichen Personen, behandelt in unserem Versicherungsleitfaden.
Es setzt auf die MDR auf, es ersetzt sie nicht
Das KI-Gesetz geht nicht in den Vorschriften für Medizinprodukte auf; seine Anforderungen sind zusätzlich. Wenn ein Produkt unter beide fällt, müssen Sie alle erfüllen (Artikel 8(2)). Die einzige Erleichterung: Sie dürfen integrieren – die Tests, die Dokumentation und die Berichterstattung des KI-Gesetzes in die MDR- oder IVDR-Verfahren, die Sie ohnehin durchführen –, um Doppelarbeit zu vermeiden (Erwägungsgrund 64). Und beachten Sie: Die Einstufung als hochriskant macht eine Anwendung nicht schon für sich genommen nach anderem Recht rechtmäßig (Erwägungsgrund 63) – Datenschutz- und Produktvorschriften gelten weiterhin uneingeschränkt.
Was Sie tun müssen
Sobald etwas als hochriskant gilt, greifen die Pflichten aus Kapitel III:
- Risikomanagement (Artikel 9) und Daten-Governance (Artikel 10) – Qualität, Repräsentativität und Verzerrungsprüfung klinischer Daten.
- Technische Dokumentation (Artikel 11, Anhang IV) und Protokollierung (Artikel 12).
- Menschliche Aufsicht (Artikel 14) – eine Ärztin oder ein Arzt muss überprüfen und eingreifen können.
- Genauigkeit, Robustheit und Cybersicherheit (Artikel 15).
Fristen
Die Anwendungsfälle im Gesundheitsbereich nach Anhang III gelten ab dem 2. Dezember 2027; der Weg für Medizinprodukte (Anhang I) ab dem 2. August 2028, beide durch das Digital-Omnibus-Paket neu terminiert (angenommen, Veröffentlichung im Amtsblatt steht noch aus). Angesichts der Validierungszyklen für Produkte sollten Sie jetzt beginnen. Unser Fristen-Leitfaden enthält die vollständige Tabelle.
Wo Sie anfangen sollten
Ermitteln Sie mit dem kostenlosen EU AI Act Snapshot, welchem Weg Ihre Systeme unterliegen – zwei Minuten, keine Anmeldung –, arbeiten Sie dann die 9-Schritte-Checkliste durch und bereiten Sie die Konformitätsbewertung vor. Die Tarife beginnen bei EUR 0.