Im August 2026 tritt der Großteil des europäischen KI-Gesetzes (EU AI Act) in Kraft. Für das Gesundheitswesen bedeutet das: Wer KI-Systeme einsetzt, die direkt an Diagnosen, Therapieentscheidungen oder der Patientenüberwachung beteiligt sind, muss ab dem 2. August 2026 nachweislich bestimmten Anforderungen genügen. Kliniken, Arztpraxen und Anbieter digitaler Gesundheitsanwendungen sollten wissen, was auf sie zukommt.

Worum geht es im EU AI Act?

Der EU AI Act ist seit dem 1. August 2024 in Kraft und wird schrittweise verbindlich. Er klassifiziert KI-Systeme nach ihrem Risikopotenzial in vier Stufen: verbotene Systeme, Hochrisiko-Systeme, Systeme mit begrenztem Risiko und solche mit minimalem Risiko. Die Einstufung entscheidet darüber, welche Pflichten Anbieter und Betreiber erfüllen müssen.

Im Gesundheitswesen sind vor allem zwei Kategorien relevant. Hochrisiko gilt für KI-Systeme, die in diagnostischen Entscheidungsprozessen eingesetzt werden – etwa Bilderkennungssysteme in der Radiologie, KI-gestützte Befundungstools oder algorithmische Systeme zur Risikoeinschätzung auf Intensivstationen. Chatbots und virtuelle Assistenten fallen dagegen in die Kategorie begrenztes Risiko: Sie müssen Nutzer transparent darüber informieren, dass sie mit einem KI-System interagieren – mehr aber nicht.

Was gilt ab dem 2. August 2026?

Für eigenständige Hochrisiko-KI-Systeme – also Anwendungen, die nicht als Bestandteil eines regulierten Medizinprodukts nach MDR klassifiziert sind – endet an diesem Tag jede Übergangszeit. Wer ein solches System betreibt oder anbietet, muss bis dahin konkrete Nachweise erbringen.

Eine vollständige Konformitätsbewertung muss abgeschlossen sein. Das System muss technisch dokumentiert und in der EU-Datenbank für Hochrisiko-KI registriert sein. Anbieter müssen ein Qualitätsmanagementsystem vorhalten, Betreiber ein Risikomanagementsystem etablieren. Human-Oversight-Prozesse – also klare Regeln, wann und wie ein Mensch die KI-Entscheidung überprüft – müssen dokumentiert vorliegen. Und für den Fall, dass ein System einen schwerwiegenden Vorfall verursacht, gilt eine Meldefrist von 15 Tagen.

Darüber hinaus müssen Betreiber sicherstellen, dass Eingabedaten dem vorgesehenen Verwendungszweck entsprechen und ausreichend repräsentativ sind. Das betrifft etwa Kliniken, die KI-Diagnosesysteme von Drittanbietern nutzen: Auch sie tragen Verantwortung für den ordnungsgemäßen Einsatz.

Medizinprodukte bekommen mehr Zeit

Eine wichtige Ausnahme betrifft KI-Systeme, die Bestandteil eines regulierten Medizinprodukts nach der EU Medical Device Regulation (MDR) sind. Für diese gilt eine verlängerte Frist bis zum 2. August 2027. Der Grund ist pragmatisch: Eine doppelte Zertifizierungspflicht – gleichzeitig nach MDR und AI Act – wäre für viele Hersteller kaum zu leisten. Die EU hat hier bewusst Überlappungen vermieden.

Für digitale Gesundheitsanwendungen (DiGA) in Deutschland, die als Klasse-I- oder Klasse-IIa-Medizinprodukte zugelassen sind, gilt entsprechend ebenfalls die verlängerte Frist. Trotzdem sollten DiGA-Anbieter die kommenden Anforderungen bereits heute in ihrer technischen Dokumentation berücksichtigen.

Was droht bei Verstößen?

Der EU AI Act enthält empfindliche Sanktionen. Bei Verstößen gegen die Hochrisiko-Pflichten können Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist. Bei Einsatz verbotener KI-Praktiken verdoppelt sich die Obergrenze auf 35 Millionen Euro oder 7 Prozent des Umsatzes. Zusätzlich drohen Marktrücknahmen und Betriebsuntersagungen.

Was das für Patienten bedeutet

Für Menschen, die KI-Systeme im Gesundheitswesen nutzen – ob als Patienten in einer Klinik oder als Nutzer einer Gesundheits-App –, schafft der AI Act erstmals einen verbindlichen Mindeststandard an Transparenz und Sicherheit. Hochrisiko-KI muss erklärbar sein, menschlich überwacht werden und auf nachvollziehbaren Daten basieren. Das ist kein bürokratischer Selbstzweck: Es geht darum, dass KI im Gesundheitswesen nicht in einer Black Box entscheidet – gerade dort, wo die Entscheidungen zählen.

Für Anbieter wie Bestes.com, die Gesundheitsanwendungen transparent vergleichen, wird die AI-Act-Compliance künftig ein wichtiges Qualitätsmerkmal sein – neben DiGA-Zulassung, App-Bewertungen und klinischer Evidenz.