KI im Gesundheitswesen: Wann MDR, wann Annex III greift
KI im Gesundheitswesen fällt je nach Funktion in unterschiedliche Pfade: Diagnostik- und Therapie-KI als Medizinprodukt unter MDR/IVDR (Annex I, Hochrisiko, mit benannter Stelle); KI zur Priorisierung von Notrufen oder zum Zugang zu Gesundheitsleistungen unter Annex III Nr. 5; reine Verwaltungs- oder Dokumentations-KI meist minimal. Gesundheitsdaten lösen zusätzlich DSGVO Art. 9 aus. Die Zweckbestimmung entscheidet über den Pfad.
Ein Sektor, mehrere Regime
Kaum ein Bereich ist regulatorisch so dicht wie das Gesundheitswesen. KI bewegt sich hier zwischen Medizinprodukterecht (MDR/IVDR), dem AI Act und dem Datenschutz für Gesundheitsdaten. Die entscheidende Frage ist immer: Was ist die Zweckbestimmung des Systems?
Pfad 1: KI als Medizinprodukt (Annex I)
Diagnostik-, Therapie- oder Monitoring-KI mit medizinischer Zweckbestimmung ist in der Regel ein Medizinprodukt nach MDR (Verordnung 2017/745) oder ein In-vitro-Diagnostikum nach IVDR (2017/746). Solche Systeme fallen über Annex I in den Hochrisiko-Bereich des AI Act — mit Konformitätsbewertung durch eine benannte Stelle. Beispiele: KI, die Mammographien auf Tumore klassifiziert; ein KI-gestützter Chirurgieroboter; ein Sepsis-Frühwarnsystem auf der Intensivstation.
Der Digital Omnibus verschiebt die Annex-I-Frist auf 2. August 2028 und betont, dass AI-Act-Anforderungen in das bestehende MDR/IVDR-Konformitätsregime integriert werden, um Doppelarbeit zu vermeiden.
Pfad 2: Annex III Nr. 5 (Zugang & Priorisierung)
KI, die nicht selbst Medizinprodukt ist, aber über den Zugang zu Gesundheitsleistungen oder die Priorisierung von Notrufen entscheidet, fällt unter Annex III Nr. 5 — eigenständiges Hochrisiko. Beispiel: ein KI-System, das Notrufe nach Dringlichkeit triagiert, oder das den Zugang zu öffentlichen Gesundheitsleistungen steuert.
Pfad 3: minimale Risiken
Reine Verwaltungs-, Dokumentations- oder Organisations-KI ohne diagnostische oder zugangssteuernde Funktion ist meist minimales Risiko — etwa eine KI-Transkription von Arztbriefen oder die Optimierung von Terminplänen. Sobald jedoch eine medizinische Aussage oder eine Zugangsentscheidung hinzukommt, kippt die Einordnung.
Die Datenschutz-Schicht: Gesundheitsdaten
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten nach DSGVO Art. 9 — ihre Verarbeitung ist grundsätzlich verboten, außer es greift eine Ausnahme (z. B. ausdrückliche Einwilligung, Gesundheitsversorgung). Jede Gesundheits-KI muss daher parallel zum AI Act die strengen Anforderungen an die Verarbeitung von Art.-9-Daten erfüllen.
Abgrenzung: Wellness ist nicht Medizin
Eine wichtige Grenze: Consumer-Wellness- und Fitness-Apps ohne medizinische Zweckbestimmung sind keine Medizinprodukte und fallen meist unter begrenztes oder minimales Risiko. Sobald eine App jedoch Krankheiten erkennt, diagnostiziert oder therapiert, überschreitet sie die MDR-Grenze. Der Anbieter bestimmt die Zweckbestimmung — und trägt die Konsequenz der Einordnung.
Fazit
Im Gesundheitswesen entscheidet die Zweckbestimmung über den Pfad: Medizinprodukt (Annex I/MDR), Zugang/Priorisierung (Annex III Nr. 5) oder Verwaltung (minimal). In allen Fällen kommt die DSGVO-Art.-9-Schicht für Gesundheitsdaten hinzu. Wer diese drei Ebenen sauber trennt, ordnet seine Gesundheits-KI korrekt ein.
Häufig gestellte Fragen
Ist jede medizinische KI ein Hochrisiko-System?+
Diagnostik-, Therapie- und Monitoring-KI mit medizinischer Zweckbestimmung ist als Medizinprodukt (MDR/IVDR) über Annex I hochriskant. Reine Verwaltungs- oder Dokumentations-KI ohne medizinische Aussage ist dagegen meist minimal. Die Zweckbestimmung entscheidet.
Ist eine Fitness-App ein Medizinprodukt?+
In der Regel nein. Consumer-Wellness- und Fitness-Apps ohne medizinische Zweckbestimmung fallen meist unter begrenztes oder minimales Risiko. Sobald eine App jedoch Krankheiten erkennt, diagnostiziert oder therapiert, überschreitet sie die MDR-Grenze und wird zum Medizinprodukt.
Wann gilt für medizinische KI die Frist?+
Als Annex-I-Medizinprodukt gilt nach dem Digital Omnibus der 2. August 2028 (zuvor 2. August 2027). Fällt die KI unter Annex III Nr. 5 (Zugang/Priorisierung), gilt der 2. Dezember 2027.
Muss ich neben dem AI Act auch die DSGVO beachten?+
Ja, zwingend. Gesundheitsdaten sind besondere Kategorien nach DSGVO Art. 9 mit grundsätzlichem Verarbeitungsverbot und engen Ausnahmen. Jede Gesundheits-KI muss parallel zum AI Act diese Anforderungen erfüllen.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Juni 2026