EU AI Act 2026: Was Nutzer von Gesundheits-Apps jetzt wissen müssen
EU AI Act: Welche KI-Regeln für Gesundheits-Apps seit 2025 gelten, was die Digital-Omnibus-Verschiebung auf Dez 2027 bedeutet und welche Rechte Nutzer haben.
Gesundheits-Apps mit künstlicher Intelligenz werden in Europa strenger reguliert – aber viele Nutzerinnen und Nutzer wissen kaum, welche Rechte sie bereits heute haben. Das EU-KI-Gesetz, kurz EU AI Act, ist das weltweit erste umfassende Regelwerk für KI-Systeme. Seit Frühjahr 2025 gelten erste Pflichten für Unternehmen, die KI im Gesundheitsbereich einsetzen. Gleichzeitig hat ein neues EU-Gesetzgebungspaket namens Digital Omnibus eine ursprünglich für August 2026 geplante Schlüsselfrist nach hinten verschoben. Was das für Nutzerinnen und Nutzer digitaler Gesundheitsangebote konkret bedeutet – und welche Schutzrechte schon heute gelten –, erklärt dieser Artikel.
Was ist der EU AI Act – und warum betrifft er Gesundheits-Apps?
Der EU AI Act (Verordnung EU 2024/1689) trat am 1. August 2024 in Kraft. Er gilt europaweit für alle Unternehmen, die KI-Systeme anbieten oder im Alltag einsetzen – auch für App-Anbieter aus dem Gesundheits- und Wellnessbereich. Das Gesetz klassifiziert KI-Anwendungen nach ihrem Risikopotenzial in vier Stufen: verbotene Praktiken, Hochrisiko-Systeme, Systeme mit begrenztem Risiko und Anwendungen mit minimalem Risiko.
Für Gesundheits-Apps ist die Hochrisiko-Kategorie besonders relevant. KI-Systeme, die physiologische oder psychische Zustände bewerten, Diagnosen stellen oder Behandlungsempfehlungen geben, gelten als Hochrisiko-KI. Das bedeutet: strenge Anforderungen an das Risikomanagementsystem, lückenlose technische Dokumentation und die gesetzliche Pflicht zur menschlichen Aufsicht über automatisierte Entscheidungen. Eine rechtliche Analyse des Legal Engineers Daniel Kleiboldt vom Mai 2026 ordnet die Konsequenzen für Betreiber medizinischer KI-Systeme detailliert ein.
Welche Regeln gelten schon heute?
Nicht alle Regelungen des EU AI Act sind gleichzeitig in Kraft getreten – der Gesetzgeber hat einen gestaffelten Zeitplan gewählt. Seit dem 2. Februar 2025 sind bestimmte KI-Praktiken in der EU vollständig verboten. Gesundheits-Apps dürfen seitdem keine KI einsetzen, um Nutzerinnen und Nutzer unbewusst zu manipulieren, ihre Entscheidungen gegen die eigenen Interessen zu steuern oder Schwächen wie Suchtverhalten gezielt auszunutzen.
Ebenfalls seit Februar 2025 gilt die sogenannte KI-Kompetenzpflicht nach Art. 4 EU AI Act: Unternehmen müssen sicherstellen und dokumentieren, dass ihre Mitarbeitenden ausreichend geschult sind, um die von ihnen eingesetzten KI-Systeme zu verstehen und kritisch zu bewerten. Der Digital Omnibus vom Mai 2026 hat diese Pflicht leicht abgemildert – entscheidend ist jetzt nicht mehr ein nachweisbarer Kompetenzstand, sondern dass dokumentierte Schulungsmaßnahmen ergriffen wurden.
Seit dem 2. August 2025 gelten zusätzlich Transparenzpflichten für allgemeine KI-Modelle (General Purpose AI). Wer heute eine Gesundheits-App nutzt, die einen KI-Chatbot zur Beantwortung von Symptom-Fragen einsetzt, hat das Recht auf eine klare Kennzeichnung: Wann immer KI-generierte Inhalte ausgespielt werden, muss das erkennbar sein.
Was hat sich mit dem Digital Omnibus geändert?
Viele Berichte hatten den 2. August 2026 als entscheidenden Stichtag für Hochrisiko-KI-Systeme kommuniziert. Gemeint war die vollständige Anwendung der Pflichten aus Anhang III des EU AI Act – darunter Risikomanagementsystem, technische Dokumentation und Konformitätsbewertung. Diese Anforderungen betreffen typischerweise Apps, die KI für Triage, Symptombewertung oder Behandlungsempfehlungen nutzen, wie Kleiboldt in seiner Analyse einordnet.
Der im Mai 2026 politisch vereinbarte Digital Omnibus hat diese Frist jedoch voraussichtlich auf Dezember 2027 verschoben. Für KI-basierte Medizinprodukte, die unter die EU-Medizinprodukteverordnung (MDR) fallen, gilt sogar August 2028 als neues Zieldatum. Für Nutzerinnen und Nutzer bedeutet das kurzfristig jedoch wenig Änderung: Die Verbote manipulativer KI-Praktiken und die Transparenzpflichten für KI-Chatbots sind unabhängig davon bereits geltendes Recht.
Nutzerrechte, Bußgelder und Aufsicht
Das EU AI Act gibt Verbraucherinnen und Verbrauchern konkrete Rechte, die bereits heute einklagbar sind. Wer von einem Hochrisiko-KI-System betroffen ist – etwa wenn eine App KI einsetzt, um über den Zugang zu Gesundheitsleistungen zu entscheiden –, muss aktiv darüber informiert werden. Anbieter müssen zudem erklären, wie das System funktioniert und wo seine Grenzen liegen.
Ergänzend greift die DSGVO: Nach Art. 22 der Datenschutz-Grundverordnung haben Betroffene das Recht, nicht einer rein automatisierten Entscheidung unterworfen zu werden, die sie erheblich beeinträchtigt. Bei einer App, die ohne menschliche Überprüfung diagnostische Schlussfolgerungen zieht und diese als Grundlage für Behandlungsempfehlungen kommuniziert, kann dieses Recht greifen.
Verstöße gegen Hochrisiko-Pflichten können laut einer Analyse der Kanzlei Wetzel Berlin mit Bußgeldern von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes geahndet werden. Für verbotene KI-Praktiken – etwa manipulative Systeme – sind sogar bis zu 35 Millionen Euro oder sieben Prozent möglich. Zuständige Aufsichtsbehörde in Deutschland ist die Bundesnetzagentur (BNetzA), die seit August 2025 als nationale Marktüberwachungsbehörde für den EU AI Act fungiert. Für Medizinprodukte bleibt zusätzlich das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) zuständig.
Wer gezielt nach transparenten und geprüften Gesundheitsangeboten sucht – ohne versteckte Diagnose-KI, dafür mit kuratierten Qualitätsinformationen – findet auf bestes.com eine umfangreiche Übersicht digitaler Gesundheits-Apps, Telemedizin-Anbieter und Gesundheitsdienste aus dem deutschsprachigen Raum.