EU AI Act: Warum KI-DiGA jetzt handeln müssen
KI-DiGA wie Kaia Health fallen via MDR-Route unter den EU AI Act – schon heute als Hochrisiko. Was 2026 gilt und was Anbieter tun müssen.
Ab dem 2. August 2026 gilt der EU AI Act in einer neuen Stufe — auch für Anbieter von Gesundheits-Apps. Was viele Startups noch nicht wissen: Die Verschiebung der Hochrisiko-Pflichten auf Dezember 2027 schützt sie nicht. Wer eine KI-gestützte digitale Gesundheitsanwendung (DiGA) anbietet, ist nach aktuellem Recht oft schon heute als Hochrisiko-KI-Anbieter eingestuft.
Was ab dem 2. August 2026 wirklich gilt
Am 2. August 2026 treten die sogenannten GPAI-Pflichten und die Transparenzpflichten nach Artikel 50 des EU AI Acts in Kraft. Das betrifft vor allem große Sprachmodelle und Systeme, die KI-generierte Inhalte produzieren — etwa Chatbots oder KI-Bildgeneratoren. Außerdem müssen alle Unternehmen, die KI-Systeme betreiben oder entwickeln, seit Februar 2025 nachweislich in die KI-Kompetenz ihres Personals investieren (Artikel 4). Laut einer Einigung des Europäischen Rates vom 7. Mai 2026 wurden die vollen Hochrisiko-Pflichten nach Anhang III allerdings auf den 2. Dezember 2027 verschoben — die sogenannte Digital Omnibus-Anpassung. Für viele Anbieter klingt das nach Aufschub. Für DiGA-Hersteller ist diese Entwarnung jedoch trügerisch.
Warum DiGA-Anbieter trotzdem sofort betroffen sind
Der EU AI Act unterscheidet zwei Wege, über die ein System als Hochrisiko-KI eingestuft wird. Der erste Weg läuft über den Produktrahmen: Ist ein KI-System ein Medizinprodukt im Sinne der EU-Medizinprodukteverordnung (MDR) und muss es vor dem Marktzugang durch eine sogenannte Benannte Stelle geprüft werden, gilt es automatisch als Hochrisiko-KI — unabhängig von Anhang III. Für DiGA bedeutet das: Wer als Klasse-IIa-Medizinprodukt zertifiziert ist und ein KI-System einsetzt, triggert die Hochrisiko-Pflichten des AI Act direkt über Artikel 6 Absatz 1. Die Verschiebung auf Dezember 2027 gilt für diesen Weg nicht. Sie betrifft ausschließlich Systeme, die über Anhang III eigenständig als hochriskant eingestuft werden.
Kaia Health, Anbieter der BfArM-zugelassenen DiGA für Rückenschmerzen, ist ein Paradebeispiel: Die App ist als MDR-Klasse-IIa-Medizinprodukt zertifiziert und verwendet einen KI-gestützten Bewegungscoach, der Übungsausführungen in Echtzeit analysiert. Nach Einschätzung von Rechtsexperten erfüllt das die technische Definition eines KI-Systems im Sinne des EU AI Acts — und löst damit den Hochrisiko-Status via Produktroute aus. Ähnliches gilt für Vivira, ein weiteres BfArM-gelistetes DiGA für Rücken- und Knieschmerzen mit KI-gestützter Übungsanpassung. Für HelloBetter, dessen digitaler Begleiter Ello KI-basierte Gesprächsführung nutzt, stellt sich die Hochrisikofrage je nach konkreter MDR-Klassifizierung und KI-Definition im Einzelfall.
Was als Hochrisiko-Anbieter konkret gefordert ist
Wer als Hochrisiko-KI-Anbieter gilt, muss ein lückenloses Risikomanagementsystem einrichten, technische Dokumentation vor dem Marktzugang erstellen und das System in der EU-Datenbank registrieren. Hinzu kommen Pflichten zur Daten-Governance, zur menschlichen Aufsicht und zum Post-Market-Monitoring. Bei schwerwiegenden Vorfällen — etwa wenn das KI-System fehlerhafte Bewegungsanleitungen gibt, die zu Verletzungen führen — gilt eine Meldepflicht von 15 Tagen an die Bundesnetzagentur, die seit August 2025 als nationale Aufsichtsbehörde für den EU AI Act fungiert. Für Anbieter, die als Betreiber (Deployer) eingestuft werden — also eine externe KI nutzen, ohne sie selbst zu entwickeln — greifen die Pflichten aus Artikel 26, unter anderem menschliche Aufsicht, Protokollaufbewahrung und Patienteninformation.
DSGVO und AI Act: Zwei Verordnungen, eine DiGA
DiGA verarbeiten besondere Kategorien personenbezogener Daten im Sinne der DSGVO — Gesundheitsdaten. Das bedeutet: Neben den AI-Act-Pflichten gelten parallel die DSGVO-Anforderungen in voller Schärfe. Eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO ist bei KI-Systemen, die Gesundheitsdaten verarbeiten, in der Regel Pflicht. Die DiGAV in ihrer seit dem 1. Februar 2026 geltenden Fassung verpflichtet Hersteller außerdem, im Rahmen des BfArM-Listungsverfahrens anzugeben, ob und in welchem Umfang ihre DiGA unter die Anforderungen des EU AI Acts fällt. Wer hier falsche Angaben macht, riskiert nicht nur den Widerruf der Listung, sondern auch Bußgelder nach dem EU AI Act von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.
Was DiGA-Anbieter jetzt tun sollten
Unabhängig davon, ob ein Hochrisiko-Status bereits besteht oder erst 2027 greift: Die verbleibende Zeit sollte für drei Schritte genutzt werden. Erstens: Ein vollständiges KI-Inventar anlegen. Welche Funktionen der DiGA setzen KI im technischen Sinne des EU AI Acts ein? Zweitens: Die MDR-Klassifizierung mit dem AI-Act-Klassifizierungspfad abgleichen. Klasse IIa oder höher plus KI-Einsatz bedeutet in vielen Fällen sofortiger Hochrisiko-Status. Drittens: DSFA und AI-Act-Risikoanalyse gemeinsam aufsetzen — Synergien zwischen beiden Regelwerken senken den Dokumentationsaufwand erheblich. Das BfArM hat bislang keine eigene Leitlinie zur Schnittstelle DiGAV und EU AI Act veröffentlicht. Bis auf Weiteres empfehlen Rechtsexperten, die Klassifizierungsleitlinien der EU-Kommission zu Artikel 6 heranzuziehen.
Häufige Fragen
Gilt die Verschiebung auf Dezember 2027 für alle DiGA?
Nein. Die Digital-Omnibus-Verschiebung betrifft nur KI-Systeme, die über Anhang III des EU AI Acts als hochriskant eingestuft werden. DiGA, die als MDR-Klasse-IIa-Produkte zugelassen sind und KI enthalten, sind über den Produktweg (Artikel 6 Absatz 1) bereits als Hochrisiko-KI eingestuft — für sie gilt die Verschiebung nicht.
Was ändert sich am 2. August 2026 konkret?
Ab dem 2. August 2026 gelten GPAI-Transparenzpflichten und Kennzeichnungspflichten für KI-generierte Inhalte nach Artikel 50. Für die meisten DiGA-Anbieter ist dies weniger relevant als der Hochrisiko-Status, den viele bereits heute innehaben.
Müssen Patienten informiert werden, dass eine DiGA KI einsetzt?
Ja. Betreiber von Hochrisiko-KI-Systemen sind nach Artikel 26 Absatz 7 des EU AI Acts verpflichtet, betroffene Personen zu informieren. Diese Pflicht gilt parallel zu den Transparenzanforderungen der DSGVO (Artikel 13 und 14) und muss in die Datenschutzerklärung der DiGA eingearbeitet werden.