EU AI Act August 2026: Neue Hochrisiko-Leitlinien für KI in der ePA

Im Mai 2026 veröffentlichte die EU-Kommission neue Leitlinien zur Hochrisiko-Klassifizierung von KI-Systemen nach Artikel 6 des EU AI Acts. Für die digitale Gesundheitsbranche markiert das ein wichtiges Datum: Nur noch zwei Monate trennen Health-App-Hersteller und ePA-Anwendungen vom 2. August 2026 – dem Tag, an dem die vollständigen Hochrisiko-Pflichten des AI Acts in Kraft treten. Wer bis dahin nicht compliant ist, riskiert Bußgelder in Millionenhöhe. ## Neue EU-Leitlinien: Was als Hochrisiko-KI gilt Die EU-Kommissions-Leitlinien vom Mai 2026 konkretisieren, welche KI-Systeme unter die strengste Regulierungsstufe fallen. Für den Gesundheitssektor sind dabei vor allem zwei Kategorien relevant: KI-Systeme, die als Sicherheitsbauteil in Medizinprodukten nach MDR oder IVDR eingesetzt werden, sowie Systeme, die in Anhang III des AI Acts explizit als hochriskant gelistet sind. Das risikobasierte System des EU AI Acts kennt vier Stufen: verbotene KI (z. B. Social Scoring durch Behörden), Hochrisiko-KI, KI mit begrenztem Risiko und KI mit minimalem Risiko. Je höher die Einstufung, desto strenger die Auflagen. Im Gesundheitswesen betrifft die Hochrisiko-Kategorie laut Leitlinien insbesondere KI-gestützte Diagnose-Assistenten, automatisierte Medikationsempfehlungen und Systeme zur Auswertung von Vitaldaten – also exakt die Funktionen, die in modernen Health-Apps und ePA-Integrationen zunehmend Standard werden. Keine Bestandsschutzregelung: Der EU AI Act gilt explizit auch für bereits laufende Systeme. KI-Module, die vor August 2026 in Betrieb genommen wurden, müssen bis zum Stichtag in Konformität gebracht werden – es gibt keine Übergangsfrist für Altanlagen. ## ePA als Hochrisiko-Kontext: Wer ist betroffen? Seit Oktober 2025 ist die Nutzung der elektronischen Patientenakte für Arztpraxen und Krankenhäuser in Deutschland verpflichtend. Ab Januar 2026 drohen Sanktionen für Einrichtungen, die die ePA nicht korrekt befüllen. Mit dieser flächendeckenden Einführung wächst auch das KI-Ecosystem rund um die ePA rasant: Lösungen zur automatischen Auswertung von Befunden, zur Medikationsprüfung und zur Erkennung von Behandlungsmustern werden zunehmend in Praxis- und Kliniksoftware integriert. Digitale Gesundheitsanwendungen (DiGAs) und Health-Apps, die Daten aus der ePA nutzen oder in sie zurückschreiben, stehen vor der Frage: Gilt mein KI-Modul als Hochrisiko-KI? Die Antwort hängt von der konkreten Funktion ab. Apps, die Gesundheitsdaten lediglich strukturiert darstellen, fallen typischerweise unter begrenztes Risiko. Sobald eine App jedoch eigenständige Diagnose- oder Therapieempfehlungen auf Basis von KI-Algorithmen ausgibt, ist die Hochrisiko-Einstufung wahrscheinlich – mit allen damit verbundenen Pflichten. Das Potenzial von ePA und DiGAs für das Gesundheitssystem ist laut Bundesgesundheitsministerium erheblich: Studien sehen Einsparpotenziale von bis zu 42 Milliarden Euro durch effizientere digitale Prozesse in der Patientenversorgung. Diese Potenziale können sich aber nur entfalten, wenn Hersteller die regulatorischen Anforderungen ernst nehmen und vertrauenswürdige, transparente Systeme bauen. ## Pflichten ab August 2026 im Detail Für Betreiber von Hochrisiko-KI-Systemen – also Praxen, Kliniken und App-Hersteller, die solche Systeme einsetzen – konkretisiert Artikel 26 des EU AI Acts die Anforderungen. Bis zum 2. August 2026 müssen umgesetzt sein: **Risikoklassifizierung:** Jedes eingesetzte KI-System muss formal eingestuft sein. Liegt eine Hochrisiko-Einstufung vor, folgt eine vollständige Dokumentation nach den Anforderungen des AI Acts. **Menschliche Aufsicht:** Betreiber müssen eine verantwortliche Person benennen, die KI-Entscheidungen überwacht und bei Bedarf korrigieren kann. Bei diagnostischen Systemen ist das typischerweise das medizinische Fachpersonal, das die KI-Ausgaben validiert, bevor sie in die Patientenversorgung einfließen. **Protokollierung und Incident-Reporting:** Hochrisiko-KI-Systeme müssen alle relevanten Ereignisse protokollieren. Bei Fehlfunktionen oder unerwarteten Ausgaben ist ein definierter Meldeprozess Pflicht. **Kennzeichnungspflicht (Art. 50):** Ab dem 2. August 2026 müssen KI-generierte Inhalte – also etwa automatisch verfasste Gesundheitsberichte, Zusammenfassungen oder Empfehlungen – als solche erkennbar sein. Apps, die KI-Texte an Nutzer ausgeben, ohne sie zu kennzeichnen, verstoßen ab diesem Datum gegen EU-Recht. ## Auswirkungen auf Health-Apps: Was Mediteo, Vivy, Doctolib und Ada Health jetzt tun müssen Für konkrete Health-Apps bedeuten die neuen Anforderungen unterschiedlich viel Aufwand, je nach Funktionsumfang und KI-Einsatz: Medikations-Apps wie **Mediteo** verwalten Medikamentenpläne und könnten künftig KI-gestützte Wechselwirkungshinweise oder Einnahmeerinnerungen mit Risikobewertung integrieren. Sobald solche Funktionen als Empfehlung an Patienten ausgerichtet sind, greift die Hochrisiko-Klassifizierung. Mediteo ist als DiGA zugelassen und steht damit bereits unter dem regulatorischen Radar des BfArM. Persönliche Gesundheitsaktensysteme wie **Vivy** aggregieren Befunde, Laborwerte und ePA-Daten. Werden diese Daten durch KI-Algorithmen ausgewertet und dem Nutzer als Handlungsempfehlung präsentiert, ist eine Hochrisiko-Einstufung möglich. Vivy arbeitet eng mit gesetzlichen Krankenkassen zusammen, was den Datenschutzrahmen zusätzlich schärft. Telemedizin-Plattformen wie **Doctolib** setzen zunehmend KI für Terminverwaltung, Symptomentriage und Vor-Anamnese ein. Die Symptomentriage – also die KI-gestützte Einschätzung der Dringlichkeit eines Patientenanliegens – ist ein klassisches Hochrisiko-Szenario nach Anhang III des AI Acts. KI-Symptomchecker wie **Ada Health** sind in gewissem Sinne das Paradebeispiel für medizinische Hochrisiko-KI: Das System stellt Fragen, analysiert Symptome und gibt eine Risikoeinschätzung mit Handlungsempfehlung aus. Ada hat nach eigenen Angaben über 35 Millionen Konsultationen durchgeführt. Ob und in welchem Umfang das System unter Hochrisiko-Pflichten fällt, hängt von der konkreten technischen Architektur und dem Regulatory-Status ab – der AI Act verlangt hier eindeutige Klärung bis August 2026. Der 2. August 2026 ist kein abstraktes Datum: Er ist der Stichtag, ab dem die EU das erste KI-Gesetz der Geschichte vollumfänglich durchsetzen kann. Health-App-Hersteller, die ihre Compliance bis dahin nicht nachweisen können, riskieren nicht nur Bußgelder, sondern auch Vertrauensverlust bei den Millionen Nutzerinnen und Nutzern, die auf ihre Gesundheitsdaten angewiesen sind.