Gesundheits-Apps 2026: Was Nutzer ab August über KI und ihre Daten wissen müssen

Der 2. August 2026 ist für Nutzer von Gesundheits-Apps ein Datum, das bisher kaum Aufmerksamkeit bekommt. An diesem Tag werden die Hochrisiko-Pflichten des EU AI Act (Verordnung (EU) 2024/1689) vollständig wirksam – und zwar für alle KI-Systeme, die in Anhang III der Verordnung gelistet sind [1]. Darunter fallen unter anderem KI-Anwendungen, die medizinische Diagnosen unterstützen, Symptome einschätzen oder Behandlungsempfehlungen generieren. Wer eine Gesundheits-App nutzt, die solche Funktionen anbietet, hat ab dann konkrete neue Rechte – auch wenn die meisten davon heute noch wenig darüber wissen.

Was "Hochrisiko-KI" im Gesundheitsbereich bedeutet

Nicht jede Gesundheits-App fällt unter die strengen Hochrisiko-Regeln. Der EU AI Act unterscheidet nach dem Risiko, das ein KI-System für Menschen darstellt. Hochrisiko gilt dann, wenn eine KI-Anwendung Entscheidungen beeinflusst, die erhebliche Auswirkungen auf die Gesundheit oder das Leben einer Person haben können [1]. Konkrete Beispiele: Apps, die auf Basis von Symptomeingaben eine Verdachtsdiagnose stellen, KI-gestützte Triage-Systeme, die in der Praxis oder Klinik eingesetzt werden, oder digitale Anwendungen, die einen Behandlungspfad vorschlagen.

Viele einfache Wellness- oder Fitness-Apps mit KI-Funktionen – etwa zur Schlafauswertung oder Ernährungsplanung ohne klinische Entscheidungsunterstützung – fallen dagegen in die Kategorie "begrenztes Risiko". Für sie gilt nur eine Transparenzpflicht: Nutzer müssen wissen, dass sie mit einem KI-System interagieren [1]. DiGA (Digitale Gesundheitsanwendungen) der Klasse I und IIa nach Medizinprodukterecht haben als in regulierten Produkten eingebettete KI eine verlängerte Frist bis zum 2. August 2027 [1]. Dennoch sind viele der heute im App Store erhältlichen KI-gestützten Gesundheits-Apps durch Anhang III ab August 2026 direkt betroffen.

Neue Rechte für Nutzer: Was sich ab August 2026 ändert

Das Kernstück aus Nutzersicht ist Artikel 13 des EU AI Act: Hochrisiko-KI-Systeme müssen so gestaltet sein, dass ihre Funktionsweise für die Nutzer transparent und verständlich ist [1]. In der Praxis bedeutet das: App-Anbieter müssen offenlegen, welche Daten in eine KI-Entscheidung einfließen, wie sicher das System arbeitet (Genauigkeit, bekannte Grenzen) und wer für die Entscheidung verantwortlich ist. Eine App, die eine Diagnoseempfehlung ausspricht, ohne diese Transparenz zu bieten, verstößt ab August gegen europäisches Recht.

Hinzu kommt Artikel 14 zur menschlichen Aufsicht: Hochrisiko-KI-Systeme müssen so ausgelegt sein, dass Nutzer oder Betreiber die Ausgabe des Systems wirksam übersteuern oder abschalten können [1]. Wer also einer App-Empfehlung nicht folgen möchte, darf daran nicht durch technische Gestaltung gehindert werden. Der Arzt oder die Patientin hat das letzte Wort – das System muss das architektonisch abbilden.

Artikel 68 ergänzt dies durch ein Erklärungsrecht: Wer von einer hochriskanten KI-basierten Entscheidung betroffen ist, kann eine Erklärung verlangen, wie diese Entscheidung zustande kam [1]. Im Gesundheitskontext ist das besonders relevant: Wenn eine KI-Anwendung empfiehlt, einen Facharzt aufzusuchen oder bestimmte Symptome als dringlich einstuft, hat der Nutzer das Recht zu erfahren, warum.

Öffentliche KI-Datenbank: Wer kann nachschauen?

Eine oft übersehene Neuerung betrifft Artikel 51 des AI Act: Anbieter von Hochrisiko-KI-Systemen müssen ihr System in einer öffentlich zugänglichen EU-Datenbank registrieren [2]. Für Nutzer bedeutet das: Wer wissen will, ob eine bestimmte Gesundheits-App als Hochrisiko-KI eingestuft wurde, kann das künftig in der EU-Datenbank nachprüfen. Die Registrierung enthält Angaben zum Anbieter, zum Verwendungszweck und zu den Risikomaßnahmen.

Der Bundesdatenschutzbeauftragte (BFDI) hat in seiner Orientierungshilfe zu KI und Datenschutz betont, dass die AI-Act-Pflichten eng mit der DSGVO verzahnt sind [4]. Gesundheitsdaten sind nach Artikel 9 DSGVO besonders schützenswert. Das bedeutet: KI-Systeme, die mit Gesundheitsdaten arbeiten, unterliegen einem doppelten Schutzrahmen – dem AI Act und der DSGVO gleichzeitig. Nutzer können bestehende DSGVO-Rechte (Auskunft, Löschung, Widerspruch) mit den neuen AI-Act-Rechten kombinieren.

Was das für die Wahl einer Gesundheits-App bedeutet

Für die Auswahl einer Gesundheits-App ergeben sich daraus praktische Fragen, die sich ab August 2026 stellen lassen: Ist die App in der EU-KI-Datenbank registriert – und wenn ja, unter welcher Risikoklasse? Gibt es eine verständliche Erklärung, wie die KI-Funktion funktioniert? Kann ich als Nutzer KI-Empfehlungen ablehnen oder ignorieren, ohne die App-Funktionalität zu verlieren? Wer beantwortet meine Fragen zur Funktionsweise, wenn ich sie habe?

Laut einer Erhebung des Bitkom aus dem Jahr 2025 gaben 61 Prozent der befragten deutschen Internetnutzer an, dass sie mehr Transparenz darüber wünschen, wie Apps ihre Gesundheitsdaten für KI-Entscheidungen nutzen [3]. Bisher war diese Transparenz eine freiwillige Leistung der Anbieter. Ab August 2026 ist sie gesetzlich vorgeschrieben – zumindest für Anwendungen in der Hochrisiko-Kategorie.

Für DiGA, also Gesundheits-Apps auf Kassenrezept, hat das BfArM in seinem Nutzerleitfaden klargestellt, dass sämtliche DiGA bereits heute nachweisen müssen, dass ihre KI-Funktionen sicher und wirksam sind – unabhängig vom AI Act [5]. Die neue Verordnung schichtet darüber eine weitere Transparenzebene, die Nutzer direkt in die Lage versetzt, Fragen zu stellen und Antworten einzufordern.

Häufige Fragen

Ab wann gelten die neuen Rechte für Nutzer von Gesundheits-Apps?

Die Hochrisiko-Pflichten des EU AI Act (Anhang III) treten am 2. August 2026 vollständig in Kraft. Ab diesem Datum können Nutzer von betroffenen Apps Transparenz über KI-Entscheidungen und eine Erklärung bei relevanten KI-Ausgaben verlangen.

Gilt das auch für DiGA, die ich auf Kassenrezept bekomme?

DiGA der Klasse I und IIa nach Medizinprodukterecht haben als regulierte Produkte eine verlängerte Frist bis zum 2. August 2027. Allerdings können KI-Komponenten innerhalb einer DiGA, die klinische Entscheidungen unterstützen, schon ab August 2026 unter Anhang III fallen – je nach konkreter Ausgestaltung. Das BfArM und die Anbieter müssen das im Einzelfall bewerten.

Wie kann ich prüfen, ob eine App als Hochrisiko-KI eingestuft ist?

Ab August 2026 müssen Anbieter von Hochrisiko-KI-Systemen ihr System in der öffentlichen EU-KI-Datenbank registrieren. Die Datenbank ist unter bestes.com und direkt über die Europäische Kommission einsehbar. Bis dahin können Sie den Anbieter direkt fragen, ob seine KI-Funktion unter den AI Act fällt.

Was passiert, wenn eine App die neuen Pflichten nicht erfüllt?

Verstöße gegen die Hochrisiko-Pflichten können mit Bußgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden [1]. Zuständig sind die nationalen Marktüberwachungsbehörden – in Deutschland voraussichtlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Abstimmung mit den Datenschutzaufsichtsbehörden.

Einen Überblick über geprüfte Gesundheits-Apps und DiGAs finden Sie auf bestes.com.

Quellen:
[1] Europäisches Parlament / Rat der EU. "Verordnung (EU) 2024/1689 über Künstliche Intelligenz (EU AI Act)." Amtsblatt der EU, 12.07.2024. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689
[2] Europäische Kommission. "EU-KI-Datenbank – Article 51 AI Act." 2026. https://artificialintelligenceact.eu/article/51/
[3] Bitkom e.V. "KI-Monitor 2025: Vertrauen und Transparenz bei KI im Gesundheitswesen." 2025. https://www.bitkom.org/Presse/Presseinformation/Bitkom-KI-Monitor-2025
[4] Bundesdatenschutzbeauftragter (BFDI). "Orientierungshilfe: KI und Datenschutz." 2025. https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technologie/KI/KI.html
[5] BfArM – Bundesinstitut für Arzneimittel und Medizinprodukte. "DiGA-Verzeichnis und Nutzerleitfaden." 2026. https://www.bfarm.de/DE/Medizinprodukte/Aufgaben/DiGA/_node.html