EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Hochrisiko

EU AI Act für Krankenhäuser: KI in Diagnostik, Triage und Verwaltung

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Krankenhäuser betreiben oft KI als Medizinprodukt (CE-MDR) — automatisch Annex-I-Hochrisiko nach AI Act. Triage- und Notfall-KI ist Annex-III-Hochrisiko (Nr. 5 lit. d). MDR + AI Act + DSGVO = Triple-Stack. Bis August 2026 sind Konformitätsbewertung, FRIA und Datenschutz-Audit Pflicht.

Krankenhäuser sind unter dem EU AI Act eine der komplexesten Compliance-Domänen. CT-, MR-, Ultraschall-KI und Pathologie-Assistenten sind Medizinprodukte — und damit nach Annex I AI Act automatisch Hochrisiko. Notfall-Triage-KI fällt unter Annex III Nr. 5 lit. d. Verwaltungs-KI im KIS, Pflegeplan-KI und Sprachassistenz für Patienten kommen noch dazu. Dieser Leitfaden zeigt, wie Spitäler in DACH die Compliance pragmatisch aufbauen.

Medizinprodukt-KI: Annex I + AI Act + MDR

Medizinprodukte mit KI fallen unter MDR (EU 2017/745) oder IVDR (EU 2017/746) und damit über Annex I AI Act in Hochrisiko-Kategorie. Konkret: - CT/MRT-Bildanalyse (z.B. Lungenknoten-Detektion) - Pathologie-KI (Whole-Slide-Image-Analyse) - KI-EKG-Auswertung - Adaptive Bestrahlungsplanung

Für Spitäler relevant: sie sind meist Deployer, nicht Provider. Die Konformitätsbewertung obliegt dem Hersteller; das Spital muss aber sicherstellen, dass die CE-Kennzeichnung gültig ist und die Hersteller-Anweisungen eingehalten werden (Art. 26).

Triage- und Notfall-KI (Annex III Nr. 5 lit. d)

KI in Notaufnahme-Triage und Dispatch-Systemen für Rettungsdienste ist nach Annex III Nr. 5 lit. d Hochrisiko — selbst wenn sie kein Medizinprodukt ist. Begründung: Zugang zu wesentlichen Diensten.

Konkrete Systeme: - ESI/MTS-Triage-Empfehlungen mit ML - Predictive Patient Deterioration - ICU-Bett-Allokations-KI - Notruf-Dispatching mit Sprach-KI

Wichtig: auch wenn die Hersteller solcher Systeme sie als "Decision Support" framen, gilt der AI Act voll, wenn die KI faktisch Entscheidungen prägt.

KIS-Module, Verwaltungs-KI und Sprachassistenz

Nicht jede Spital-KI ist Hochrisiko. Beispiele für niedrigeres Risiko: - Reiner Spracherkennungs-Diktat-Service in Arztbriefen (Art. 50 Transparenz, ggf. minimal) - Termin-Chatbots (Art. 50) - Bettenbelegungs-Prognose ohne Patientenbezug (minimal) - Lager-Bestandsoptimierung (minimal)

Vorsicht: sobald die KI personenbezogene Patienten- oder Mitarbeiter-Daten verarbeitet und über Zugang zu Diensten entscheidet, kippt sie schnell in Annex III.

MDR-AI-Act-Sync: was zusammenläuft, was zusätzlich kommt

Wer MDR-konform ist, hat ~70% AI-Act-Compliance bereits abgedeckt. Die Sync-Punkte: - Risk-Management: AI Act Art. 9 ↔ MDR Annex I 3 (gemeinsam erfüllbar) - Technische Doku: AI Act Annex IV ↔ MDR Annex II (kombinieren) - Post-Market-Surveillance: AI Act Art. 72 ↔ MDR Art. 83-86 (eine Pipeline) - Klinische Bewertung: AI Act Art. 14 ↔ MDR Art. 61 (komplementär)

Zusätzlich durch AI Act: - Logging Art. 12 - Bias-Tests Art. 10 Abs. 5 - KI-Literacy Personal Art. 4 - Transparenz gegenüber Patienten Art. 26 Abs. 11

DSGVO + Schweizer revDSG: Patientendaten

Patientendaten sind besondere Kategorien personenbezogener Daten (Art. 9 DSGVO; Art. 5 lit. c revDSG). KI-Training auf solchen Daten verlangt: - Rechtsgrundlage Art. 9 Abs. 2 DSGVO (meist Buchstabe h: Gesundheitsversorgung) - DSFA + FRIA kombiniert - Auftragsverarbeitungs-Vertrag mit KI-Anbieter - Pseudonymisierung wo möglich - In Schweiz zusätzlich: revDSG Art. 22 Profiling-mit-hohem-Risiko

Neue CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet) verschärft Art. 22 DSGVO auch für Vorbereitungsentscheidungen.

Häufige Fragen

Brauchen Spitäler eine FRIA?
Ja, für jedes Hochrisiko-System (Annex III) nach Art. 27. Bei Annex-I-MDR-Systemen ist FRIA nicht zwingend, aber empfehlenswert für Konsistenz mit der MDR-Risiko-Bewertung.
Sind ChatGPT/Copilot in der Klinik erlaubt?
Ja, mit Auflagen. GPAI-Systeme (Art. 50) brauchen Transparenz-Hinweis und keine Verarbeitung von Patientendaten in Public-Cloud-Modellen ohne BAA/AVV. Microsoft 365 Copilot ist EU-DSGVO-konform mit entsprechendem AVV. ChatGPT ohne Enterprise-AVV ist für Patientendaten in der Regel unzulässig.
Wer ist verantwortlich — Spital oder Hersteller?
Bei MDR-CE-zertifizierten Geräten trägt der Hersteller die Provider-Pflichten (Art. 16-22 AI Act). Das Spital ist Deployer (Art. 26): Hersteller-Anweisungen einhalten, Logs sichern, Patienten informieren. Bei Inhouse-entwickelter KI wird das Spital selbst Provider — mit voller Compliance-Pflicht.
Gilt der AI Act für Schweizer Spitäler?
Direkt nur, wenn Output EU-Patienten erreicht (Art. 2 Abs. 1 lit. c). MDR/IVDR gelten in der Schweiz über das MepV/IvDV indirekt. Für reine Inland-Versorgung ohne EU-Bezug bleibt der AI Act formell nicht anwendbar — aber FINMA hat Erwartungen formuliert, und Hersteller von KI-Medizinprodukten zertifizieren in der Regel EU-konform.
Wie lange muss man Logs aufbewahren?
AI Act Art. 12 verlangt mindestens 6 Monate. MDR Art. 10 Abs. 8 verlangt mindestens 10 Jahre. In der Praxis: 10 Jahre wegen MDR. Krankenakten-Aufbewahrung in DE 10-30 Jahre nach BMV-Ä; in CH 10 Jahre nach KVG; in AT 30 Jahre nach KAKuG.

Relevante Rechtsgrundlagen

Annex I AI ActAnnex III Nr. 5 lit. dMDR EU 2017/745Art. 9 DSGVO

Klassifiziert Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jede Krankenhäuser-KI.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle BranchenQuick-Check