EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Hochrisiko

KI im Gesundheitswesen: MDR + AI Act

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

KI im Gesundheitswesen kombiniert MDR (Medizinprodukte) und AI Act. Diagnose-Algorithmen sind Annex I. Triage und Notfall-Priorisierung sind Annex III Nr. 5. Patientendaten unter DSGVO. Frist 2027 für Annex I, 2026 für Annex III.

Gesundheits-KI ist regulatorisch komplex. MedTech-Hersteller, Kliniken, Praxen, Krankenkassen — alle haben unterschiedliche Rollen mit verschiedenen Pflichten-Schichten. Diagnose-AI fällt unter MDR + AI Act, Patient-Triage unter AI Act allein.

Use-Cases nach Risikoklasse

Annex I (MDR-Overlay) — Hochrisiko: - KI-Bildgebungs-Auswertung (CT, MRT, Röntgen) - KI-Pathologie-Diagnose (Histologie-AI) - KI-Sepsis-Frühwarnsysteme - KI-EKG-Analyse für ICDs/Schrittmacher

Annex III Nr. 5 — Hochrisiko: - Notfall-Triage in Klinik-Aufnahme - Krankenversicherungs-Risikoprüfung - Sozialleistungs-Approval (Pflege, Rehabilitation)

Limited / Minimal: - Terminplanung-Optimierung - Patient-Bot für FAQ - Medical-Coding-Unterstützung - Voice-to-Text für Diktat

Verbot (Art. 5): - Emotion-Erkennung am Patienten (ausser für medizinische Zwecke — z.B. Schmerz-Erkennung bei Demenz erlaubt)

Klinik als Deployer

Krankenhäuser sind oft Deployer, manchmal Provider: - Standard-MedTech-Produkt einsetzen: Deployer mit Art. 26 - Eigenes Modell entwickeln: Provider mit Art. 16 - Modell auf eigene Patientendaten fine-tunen: ggf. Provider durch Modifikation (Art. 25)

FRIA ist verpflichtend für öffentliche Kliniken (Art. 27). Private Kliniken bei Annex III Nr. 5 ebenfalls.

Patientendaten und DSGVO

Gesundheitsdaten sind besonders sensible Kategorie nach DSGVO Art. 9. Voraussetzung für KI-Training und -Einsatz: - Art. 9(2)(h) Behandlungs-Verarbeitung — direkt betroffener Patient - Art. 9(2)(j) Forschung — strenge Voraussetzungen - Art. 9(2)(a) Einwilligung — explizit

Für ML-Trainings-Daten meist Art. 9(2)(j) mit Pseudonymisierung. Synthetische Daten als Alternative.

Häufige Fragen

Brauchen wir CE-Kennzeichen für unser Klinik-Custom-Modell?
Wenn Sie ein Custom-MedTech-Produkt entwickeln und in Verkehr bringen: ja, MDR-CE + AI-Act-CE. Für rein interne Nutzung im eigenen Klinik-Verbund: keine CE, aber Tech-Doku und FRIA.
Müssen wir Patienten über KI-Einsatz informieren?
Bei Hochrisiko-KI ja (Art. 26 Abs. 11). Praktisch in Aufnahme-Bogen oder vor Behandlung in Aufklärungs-Gespräch. Für Diagnose-Unterstützungs-AI Best Practice — gerichtsfest.
Wie verhält sich AI Act zu Telematik-Infrastruktur (DE)?
Telematik regelt die Datenübertragungs-Infrastruktur, AI Act die KI-Systeme. Beide gelten parallel. DiGAs (digitale Gesundheitsanwendungen) müssen MDR + AI Act erfüllen, plus DiGA-V im DE.

Relevante Rechtsgrundlagen

Annex I EU AI ActAnnex III Nr. 5 EU AI ActMDR (EU) 2017/745Art. 9 DSGVO

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle AnwendungsfälleQuick-Check