EU AI Act August 2026: Was Kliniken und Health-Apps jetzt beachten müssen

Im August 2026 tritt der Großteil des europäischen KI-Gesetzes (EU AI Act) in Kraft. Für das Gesundheitswesen bedeutet das: Wer KI-Systeme einsetzt, die direkt an Diagnosen, Therapieentscheidungen oder der Patientenüberwachung beteiligt sind, muss ab dem 2. August 2026 nachweislich bestimmten Anforderungen genügen. Kliniken, Arztpraxen und Anbieter digitaler Gesundheitsanwendungen sollten wissen, was auf sie zukommt. ## Worum geht es im EU AI Act? Der EU AI Act ist seit dem 1. August 2024 in Kraft und wird schrittweise verbindlich. Er klassifiziert KI-Systeme nach ihrem Risikopotenzial in vier Stufen: verbotene Systeme, Hochrisiko-Systeme, Systeme mit begrenztem Risiko und solche mit minimalem Risiko [3]. Die Einstufung entscheidet darüber, welche Pflichten Anbieter und Betreiber erfüllen müssen. Im Gesundheitswesen sind vor allem zwei Kategorien relevant. Hochrisiko gilt für KI-Systeme, die in diagnostischen Entscheidungsprozessen eingesetzt werden – etwa Bilderkennungssysteme in der Radiologie, KI-gestützte Befundungstools oder algorithmische Systeme zur Risikoeinschätzung auf Intensivstationen [2]. Chatbots und virtuelle Assistenten fallen dagegen in die Kategorie begrenztes Risiko: Sie müssen Nutzer transparent darüber informieren, dass sie mit einem KI-System interagieren – mehr aber nicht [2]. ## Was gilt ab dem 2. August 2026? Für eigenständige Hochrisiko-KI-Systeme – also Anwendungen, die nicht als Bestandteil eines regulierten Medizinprodukts nach MDR klassifiziert sind – endet an diesem Tag jede Übergangszeit [1]. Wer ein solches System betreibt oder anbietet, muss bis dahin konkrete Nachweise erbringen: Eine vollständige Konformitätsbewertung muss abgeschlossen sein. Das System muss technisch dokumentiert und in der EU-Datenbank für Hochrisiko-KI registriert sein. Anbieter müssen ein Qualitätsmanagementsystem vorhalten, Betreiber ein Risikomanagementsystem etablieren. Human-Oversight-Prozesse – also klare Regeln, wann und wie ein Mensch die KI-Entscheidung überprüft – müssen dokumentiert vorliegen. Und für den Fall, dass ein System einen schwerwiegenden Vorfall verursacht, gilt eine Meldefrist von 15 Tagen [1]. Darüber hinaus müssen Betreiber sicherstellen, dass Eingabedaten dem vorgesehenen Verwendungszweck entsprechen und ausreichend repräsentativ sind [2]. Das betrifft etwa Kliniken, die KI-Diagnosesysteme von Drittanbietern nutzen: Auch sie tragen Verantwortung für den ordnungsgemäßen Einsatz. ## Medizinprodukte bekommen mehr Zeit Eine wichtige Ausnahme betrifft KI-Systeme, die Bestandteil eines regulierten Medizinprodukts nach der EU Medical Device Regulation (MDR) sind. Für diese gilt eine verlängerte Frist bis zum 2. August 2027 [1]. Der Grund ist pragmatisch: Eine doppelte Zertifizierungspflicht – gleichzeitig nach MDR und AI Act – wäre für viele Hersteller kaum zu leisten. Die EU hat hier bewusst Überlappungen vermieden. Für digitale Gesundheitsanwendungen (DiGA) in Deutschland, die als Klasse-I- oder Klasse-IIa-Medizinprodukte zugelassen sind, gilt entsprechend ebenfalls die verlängerte Frist. Trotzdem sollten DiGA-Anbieter die kommenden Anforderungen bereits heute in ihrer technischen Dokumentation berücksichtigen – zumal der Markt nach einer Konsolidierungswelle mit 16 aus dem Verzeichnis entfernten Apps unter besonderer Beobachtung steht [3]. ## Praktische Konsequenzen für Health-App-Betreiber Für Anbieter von Gesundheits-Apps stellt sich die Frage, welche ihrer Funktionen überhaupt unter den Hochrisiko-Begriff fallen. Die Antwort ist differenzierter als erwartet: Eine App, die Nutzern hilft, ihre Medikamente zu tracken oder Vitaldaten aufzuzeichnen, fällt in der Regel nicht unter Hochrisiko – solange sie keine diagnostischen Empfehlungen gibt oder in klinische Entscheidungsprozesse eingreift. Anders sieht es aus bei KI-Funktionen, die Symptome interpretieren, Erkrankungen vorhersagen oder Therapieempfehlungen ausgeben [1][2]. Für viele Health-Apps bedeutet das: Es lohnt sich, die KI-Funktionen systematisch zu kategorisieren und zu dokumentieren, bevor der August-Stichtag kommt. Eine frühzeitige Einordnung vermeidet teure Nacharbeiten – und signalisiert Nutzern sowie Partnern, dass Qualität und Transparenz ernst genommen werden. ## Was droht bei Verstößen? Der EU AI Act enthält empfindliche Sanktionen. Bei Verstößen gegen die Hochrisiko-Pflichten können Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist [1]. Bei Einsatz verbotener KI-Praktiken verdoppelt sich die Obergrenze auf 35 Millionen Euro oder 7 Prozent des Umsatzes. Zusätzlich drohen Marktrücknahmen und Betriebsuntersagungen. ## Was das für Patienten bedeutet Für Menschen, die KI-Systeme im Gesundheitswesen nutzen – ob als Patienten in einer Klinik oder als Nutzer einer Gesundheits-App –, schafft der AI Act erstmals einen verbindlichen Mindeststandard an Transparenz und Sicherheit. Hochrisiko-KI muss erklärbar sein, menschlich überwacht werden und auf nachvollziehbaren Daten basieren. Das ist kein bürokratischer Selbstzweck: Es geht darum, dass KI im Gesundheitswesen nicht in einer Black Box entscheidet – gerade dort, wo die Entscheidungen zählen. Auf [bestes.com](https://www.bestes.com) finden sich Überblicke über digitale Gesundheitsanwendungen – von DiGAs bis Telemedizin-Plattformen. AI-Act-Compliance wird künftig ein wichtiges Qualitätsmerkmal sein, neben DiGA-Zulassung, App-Bewertungen und klinischer Evidenz. ## Quellen [1] advisori.de – EU AI Act: Hochrisiko-Pflichten ab August 2026 (https://www.advisori.de/blog/eu-ai-act-hochrisiko-pflichten-august-2026) [2] nttdata.com – KI im Gesundheitswesen und der EU AI Act [3] artificialintelligenceact.eu – EU AI Act Volltext und Risikoklassifizierung