EU AI Act im Gesundheitswesen: Medizinprodukte, Spitäler, Praxen
KI als Medizinprodukt (MDR/IVDR) ist automatisch Hochrisiko nach Annex I EU AI Act. Triage und Notruf-Dispatch sind Annex III Nr. 5(c). Klinische Entscheidungsunterstützung kann Annex III sein. Synergie zwischen MDR/IVDR und AI Act ist möglich, aber nicht vollständig — Konformitätsbewertung läuft parallel.
Das Gesundheitswesen ist einer der KI-intensivsten Sektoren — und einer der am stärksten regulierten. Wer hier KI einsetzt oder herstellt, muss EU AI Act, MDR (2017/745), IVDR (2017/746) und nationale Gesundheitsgesetze gleichzeitig erfüllen.
Drei Klassifikations-Pfade
KI im Gesundheitswesen kann auf drei Wegen Hochrisiko werden:
1. Annex I — Sicherheitskomponente in einem regulierten Produkt: KI als Software-as-Medical-Device (SaMD) unter MDR oder IVDR. Diese Systeme sind automatisch Hochrisiko nach Art. 6 Abs. 1 EU AI Act. Beispiele: KI-Diagnostik in Radiologie (Aidence, Annalise.ai), KI-EKG-Analyse, KI-basierte Pathologie-Auswertung.
2. Annex III Nr. 5(c) — Notruf-Dispatch und medizinische Triage: KI in Notrufzentralen oder Krankenhaus-Triage. Hochrisiko per Annex III, unabhängig von MDR-Status.
3. Annex III Nr. 5(d) — Bewertung von Anspruch auf öffentliche Gesundheitsleistungen: Krankenkassen-Algorithmen zur Antragsprüfung.
Was ist NICHT automatisch Hochrisiko?
- Praxismanagement-Software ohne klinische Entscheidung
- Terminbuchung-Chatbots (max. Art. 50 Transparenzpflicht)
- Backoffice-Tools (Abrechnung, Reporting)
- Wellness-Apps ohne Diagnose-Anspruch (kein Medizinprodukt)
- Reine Forschungs-KI (Art. 2 Abs. 6 — Forschungs-Carve-out)
MDR/IVDR + AI Act: Wie laufen sie zusammen?
Beide Regelwerke verlangen eine Konformitätsbewertung — aber separat.
MDR/IVDR fordert:
- Klassifizierung als Medizinprodukt (Klasse I, IIa, IIb, III)
- Klinische Bewertung (MDR Annex XIV)
- Konformitätsbewertung mit Notified Body bei Klasse IIa+
- CE-Kennzeichnung
- Post-Market Surveillance
EU AI Act fordert zusätzlich:
- Risikomanagementsystem (Art. 9)
- Data Governance (Art. 10)
- Technische Dokumentation (Art. 11 + Annex IV)
- Logging (Art. 12)
- Transparenz für Benutzer (Art. 13)
- Menschliche Aufsicht (Art. 14)
- Genauigkeit, Robustheit, Cybersecurity (Art. 15)
Praktische Synergie: Bestehende MDR/IVDR-Konformitätsdokumentation deckt ca. 60-70% der AI-Act-Pflichten ab. Ergänzungen nötig bei: KI-spezifischer Risikoanalyse, Trainings-Daten-Governance, Logging über klinischen Pfad hinaus, Erklärbarkeit.
Konkrete Anwendungen — Klassifikations-Tabelle
| KI-System | Klassifikation | Begründung |
|---|---|---|
| Radiologie-KI (CT/MRT-Befundung) | Hochrisiko Annex I | SaMD unter MDR Klasse IIa+ |
| Pathologie-KI (Histologie-Analyse) | Hochrisiko Annex I | IVDR Klasse C/D |
| EKG-Auto-Diagnose | Hochrisiko Annex I | MDR Klasse IIa |
| Klinische Entscheidungsunterstützung (CDSS) | Hochrisiko Annex I + ggf. III | MDR Klasse IIa + Diagnose-Bezug |
| Triage-System Notaufnahme | Hochrisiko Annex III Nr. 5(c) | Direkte Annex-III-Auslösung |
| Spital-Bettenmanagement-KI | Minimal | Keine klinische Entscheidung |
| Patientenportal-Chatbot | Begrenzt (Art. 50) | Transparenzpflicht |
| Praxis-OCR Rezeptscanner | Minimal | Keine Diagnose |
| HR-Software für Pflege-Recruiting | Hochrisiko Annex III Nr. 4 | HR-Kategorie |
| Wellness-App Stress-Tracking | Minimal/Begrenzt | Kein Medizinprodukt |
Provider-Pflichten für MedTech-Anbieter
Wer eine KI-basierte Medizinprodukte-Software herstellt, muss:
1. MDR/IVDR-Konformitätsbewertung (mit Notified Body bei Klasse IIa+) 2. AI-Act-Konformitätsbewertung (Art. 43) 3. Technische Dokumentation beide Regelwerke (kann zusammengeführt werden) 4. CE-Kennzeichnung (deckt beide Regelwerke ab, Art. 48 Abs. 4 EU AI Act) 5. EU-Datenbank-Registrierung AI Act (Art. 49) + EUDAMED (MDR) 6. Post-Market Surveillance beide (synergisch)
Deployer-Pflichten für Spitäler/Praxen
Krankenhäuser und Arztpraxen sind Deployer. Pflichten nach Art. 26:
1. Bedienungsanleitung folgen — Provider liefert; Klinik muss intern verteilen. 2. Menschliche Aufsicht — KI-Diagnose nie blind übernehmen. Arzt muss verifizieren. 3. Eingangsdaten kontrollieren — Bildqualität, Patientendaten-Vollständigkeit. 4. Logging — System-Outputs 6 Monate (oft länger durch ärztliche Dokumentationspflicht). 5. Vorfallmeldung — bei Fehldiagnose: Meldung an Provider + Marktaufsicht. 6. Patient informieren — wenn KI signifikant zur Diagnose beiträgt (Art. 26 Abs. 11). 7. FRIA — Spitäler als Diensteanbieter allgemeinen Interesses fallen unter Art. 27.
Schweizer Spital-Spezifika
CH-Spitäler sind nicht direkt unter EU AI Act, aber:
- Heilmittelgesetz (HMG) + MepV: Schweizer MDR-Äquivalent
- Swissmedic beaufsichtigt MedTech-KI
- EDÖB beaufsichtigt Datenschutz (revDSG Art. 21)
- EU-MDR-Anbieter verkaufen oft auch in CH — das Produkt ist dann oft EU-AI-Act-konform durch Provider-Zertifizierung
Für Schweizer Spitäler praktisch: bei eingekauften Medizinprodukten ist die EU-AI-Act-Konformität durch Provider-CE-Kennzeichnung mitgegeben.
Datenschutz-Komplikation
KI-Gesundheitssysteme verarbeiten Gesundheitsdaten = besondere Kategorien nach Art. 9 DSGVO. Das heißt:
- Explizite Einwilligung oder andere enge Rechtsgrundlage
- DSFA (Art. 35 DSGVO) zwingend
- DSGVO Art. 22 bei automatisierten Entscheidungen mit erheblichen Auswirkungen
- EU AI Act Art. 26 Abs. 11 Information der betroffenen Person bei Hochrisiko-Einsatz
- MDR Art. 62 Patient-Information bei klinischer Prüfung
Diese Pflichten überschneiden sich — eine durchdachte Patient-Information kann alle drei abdecken.
Häufig gestellte Fragen
Ist jede Medizin-KI Hochrisiko?+
Nicht jede. Nur KI, die als Software-as-Medical-Device (SaMD) unter MDR/IVDR fällt, ist automatisch Hochrisiko nach Annex I EU AI Act. Wellness-Apps ohne Diagnose-Anspruch, reine Praxisorganisation-Software und Backoffice-Tools sind in der Regel minimal-risk. Triage-Systeme und Notruf-Dispatch sind aber immer Hochrisiko über Annex III Nr. 5(c).
Reicht die MDR-Konformität für EU AI Act?+
Nein. MDR/IVDR und EU AI Act sind separate Regelwerke. Die CE-Kennzeichnung deckt formal beide ab (Art. 48 Abs. 4 EU AI Act), aber inhaltlich braucht es zusätzliche AI-Act-Dokumente: KI-spezifische Risikoanalyse, Data Governance (Trainingsdaten), Logging, Erklärbarkeit. MDR-Doku deckt 60-70% — der Rest muss ergänzt werden.
Was ist mit Forschungs-KI in Spitälern?+
Art. 2 Abs. 6 EU AI Act enthält einen Forschungs-Carve-out: Reine wissenschaftliche Forschung ist ausgenommen, solange das System nicht produktiv eingesetzt wird. Sobald die KI in der Patientenversorgung verwendet wird, gilt der volle EU AI Act — auch wenn es ein Forschungsprojekt war.
Wie sieht es in der Schweiz aus?+
Schweizer Spitäler unterstehen nicht direkt dem EU AI Act, aber faktisch über drei Wege: (1) eingekaufte EU-CE-zertifizierte Medizinprodukte sind oft AI-Act-konform durch Provider; (2) Swissmedic erwartet faktisch EU-Standards; (3) CH-Spitäler mit EU-Patienten oder EU-Forschung fallen unters Marktortprinzip.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Mai 2026