KI-Medizindiagnostik & EU AI Act: Compliance für deutsche Anbieter

Kurzantwort

KI-Systeme fuer medizinische Diagnose gelten nach EU AI Act Anhang III als Hochrisiko-KI. Anbieter und Betreiber in Deutschland muessen MDR-Konformitaet, eine DSGVO-Art.-9-Rechtsgrundlage fuer Gesundheitsdaten und strukturierte AI-Act-Governance vor dem klinischen Einsatz nachweisen.

• Medizinische Diagnose-KI faellt unter EU AI Act Anhang III – Hochrisiko gilt auch fuer als MDR-Medizinprodukt eingestufte Systeme.
• DSGVO Art. 9 erfordert eine tragfaehige Rechtsgrundlage fuer Patientendaten – eine alleinige Einwilligung ist regelmaessig nicht ausreichend.
• Eine Datenschutz-Folgenabschaetzung ist bei Diagnose-KI in Deutschland regelmaessig zwingend und bei vielen Behoerden auf der Muss-Liste.
• MDR-Konformitaetsbewertung integriert AI-Act-Anforderungen – eine vollstaendig separate Bewertung entfaellt, materiell muessen aber beide erfuellt sein.

KI-Systeme für medizinische Diagnose gelten nach dem EU AI Act als Hochrisiko-KI. Für Hersteller, Importeure und Betreiber in Deutschland bedeutet das: Die Anforderungen des EU AI Act schichten sich auf bestehende Pflichten aus der Medizinprodukteverordnung (MDR) und dem Datenschutzrecht nach DSGVO und BDSG. Wer heute Diagnose-KI entwickelt, beschafft oder einsetzt, muss alle drei Regelwerke gleichzeitig steuern.

EU AI Act Anhang III — Warum Diagnose-KI Hochrisiko ist

Die Hochrisiko-Klassifizierung medizinischer KI ist in Anhang III Nr. 5 lit. a EU AI Act geregelt: KI-Systeme, die als Sicherheitskomponenten von Produkten vorgesehen sind, die unter EU-Produktsicherheitsrecht — einschließlich der MDR — fallen, sind Hochrisiko.

In der Praxis erfasst das einen breiten Anwendungsbereich:

• Diagnostische Bildanalyse — Radiologie, Pathologie, Dermatologie
• Klinische Entscheidungsunterstützungssysteme (CDSS) mit diagnostischem Output
• Symptom-Checker, die differenzialdiagnostische Empfehlungen ausgeben
• KI in Endoskopie, Ophthalmologie und Kardiologie (EKG-Analyse, Fundus-Screening)
• Genomische Analysetools mit klinischer Diagnose-Funktion
• Sepsis- und Frühwarnsysteme auf Basis von Patientenmonitoring-Daten

Die Klassifizierung gilt unabhängig davon, ob das System eigenständig vermarktet wird oder als Funktion in eine klinische Software eingebettet ist. Entscheidend ist der tatsächliche diagnostische Zweck.

DSGVO Art. 9 — Gesundheitsdaten und ihre Rechtsgrundlagen

Patientendaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Die Verarbeitung ist grundsätzlich verboten — es sei denn, eine der abschließend geregelten Ausnahmen liegt vor. Für Diagnose-KI sind folgende Grundlagen relevant:

Rechtsgrundlage	Anwendungsbereich	Anforderungen
Art. 9 Abs. 2 lit. h DSGVO + § 22 BDSG	Medizinische Diagnose, Behandlung, Gesundheitsversorgung	Fachpersonal mit Schweigepflicht; geeignete Schutzmaßnahmen
Art. 9 Abs. 2 lit. i DSGVO	Öffentliches Gesundheitsinteresse	Nur für behördliche oder epidemiologische Zwecke
Art. 9 Abs. 2 lit. j DSGVO	Forschung, Wissenschaft, Statistik	Nur bei echtem Forschungszweck, nicht für kommerzielle Produktentwicklung
Art. 9 Abs. 2 lit. a DSGVO	Ausdrückliche Einwilligung	Problematisch im Behandlungskontext wegen fehlender Freiwilligkeit

Einwilligung allein trägt in der Regel nicht. Im Behandlungsverhältnis besteht ein faktisches Machtungleichgewicht. Patienten können selten wirklich frei entscheiden, ob sie in die KI-Nutzung einwilligen, ohne Nachteile bei der Behandlung zu befürchten. Datenschutzbehörden und Gerichte prüfen Einwilligungen in diesem Kontext streng.

Für KI-Betreiber im Gesundheitswesen heißt das: Die Rechtsgrundlage nach Art. 9 Abs. 2 lit. h in Verbindung mit § 22 Abs. 1 Nr. 1 lit. b BDSG sollte der Standardweg sein — mit klarer Dokumentation, dass das KI-System in die Behandlung oder Diagnose eingebunden ist, nicht nur für administrative oder kommerzielle Zwecke betrieben wird.

Zusätzlich gelten alle allgemeinen DSGVO-Grundsätze: Zweckbindung (Art. 5 Abs. 1 lit. b), Datenminimierung (Art. 5 Abs. 1 lit. c) und Speicherbegrenzung (Art. 5 Abs. 1 lit. e). Für Diagnose-KI sind außerdem Informationspflichten gegenüber Patienten nach Art. 13 und 14 DSGVO sorgfältig zu gestalten — insbesondere wenn KI-gestützte Diagnosen Teil der Befundung sind.

MDR und EU AI Act — Integrierte Konformitätsbewertung

Die gute Nachricht: Wer die MDR-Konformitätsbewertung durch eine Benannte Stelle abgeschlossen hat, muss keine vollständig separate AI-Act-Konformitätsbewertung durchlaufen. Der MDR-Prozess wird für AI-Act-Zwecke anerkannt.

Die wichtige Einschränkung: Die MDR-Bewertung muss KI-spezifische Anforderungen materiell abdecken. Was das bedeutet:

• Datengüte und Repräsentativität der Trainingsdaten (Art. 10 AI Act)
• Technische Dokumentation zu Modellarchitektur, Performance-Metriken, Grenzwerten (Anhang IV AI Act)
• Robustheit, Genauigkeit und Cybersicherheit (Art. 15 AI Act)
• Menschliche Aufsicht — dokumentierte Verfahren, nicht nur Konzeptpapiere (Art. 14 AI Act)
• Post-Market Monitoring für KI-spezifische Drifts und Performance-Verschlechterungen

Die Zeitachse ist relevant: AI-Act-Hochrisiko-Pflichten gelten vollständig ab dem 2. August 2026. Für MDR-konforme Produkte, die vor diesem Datum auf den Markt gebracht wurden, existieren Übergangsfristen — sie sollten für jedes konkrete Produkt geprüft werden.

Datenschutz-Folgenabschätzung (DSFA) bei Diagnose-KI

Eine DSFA nach Art. 35 DSGVO ist bei Diagnose-KI in Deutschland nahezu immer erforderlich. Die Verarbeitung besonderer Kategorien personenbezogener Daten auf großem Maßstab ist explizit als Hochrisikoverarbeitung genannt.

Mehrere deutsche Landesdatenschutzbehörden haben medizinische KI-Systeme in ihre Blacklists aufgenommen — also in Listen von Verarbeitungsarten, bei denen eine DSFA immer durchgeführt werden muss.

Eine belastbare DSFA für Diagnose-KI bewertet typischerweise:

1. Zweck und Notwendigkeit der KI-gestützten Verarbeitung gegenüber konventionellen Methoden
2. Datenquellen und Trainingsgrundlage des Modells — und ob die Trainingsdaten rechtmäßig erhoben wurden
3. Risiken für Patientenrechte — falsch-negative Diagnosen, Diskriminierung durch Bias, Datenpannen
4. Sicherheitsmaßnahmen — Verschlüsselung, Zugriffskontrollen, Pseudonymisierung, Audit-Logs
5. Human-Oversight-Mechanismen und wie sie operativ sichergestellt sind
6. Subprozessoren und Drittlandtransfers — insbesondere bei Cloud-gehosteten Modellen

Die DSFA sollte vor dem Produktionsstart abgeschlossen sein, nicht als Nachholpflicht. Und sie ist kein einmaliges Dokument: Bei wesentlichen Änderungen am Modell, an den Datenquellen oder am Nutzungskontext muss sie aktualisiert werden.

Menschliche Aufsicht und klinische Governance

Das AI Act verlangt explizit, dass Hochrisiko-KI-Systeme so gestaltet sind, dass menschliche Aufsicht wirksam ausgeübt werden kann (Art. 14 AI Act). Im klinischen Kontext bedeutet das:

• Qualifiziertes Fachpersonal muss KI-Outputs interpretieren und deren Grenzen kennen
• Das System muss erklärbar sein — Clinician-freundliche Ausgaben, nicht nur Wahrscheinlichkeitswerte
• Override-Funktion muss technisch einfach und ohne Dokumentationsbarrieren nutzbar sein
• KI-Kompetenzpflicht nach Art. 4 AI Act gilt bereits seit Februar 2025 — Nutzer medizinischer KI müssen nachgewiesene Grundkenntnisse haben

Für Krankenhäuser und Kliniken bedeutet das: Einbindung von Diagnose-KI in bestehende klinische Governance-Strukturen, interne Schulungskonzepte für Ärzte und Pflegefachkräfte, und dokumentierte Eskalationswege für KI-induzierte Unklarheiten.

Technische Dokumentation und Post-Market Monitoring

Hochrisiko-Diagnose-KI benötigt laufend gepflegte technische Dokumentation (Anhang IV AI Act), die mindestens enthält:

• Modellbeschreibung, Architektur, Trainingsverfahren und Trainingsdaten
• Performance-Metriken nach Untergruppen (demografisch, klinisch)
• Bekannte Einschränkungen und Versagensmodi
• Maßnahmen zur Cybersicherheit und Datenintegrität

Dazu kommt Post-Market Monitoring — ein strukturiertes Verfahren zur Erkennung von Performance-Drifts, unerwarteten Fehlermustern und emergenten Risiken nach der Markteinführung. Das entspricht dem bekannten Post-Market Surveillance-System aus der MDR, muss aber KI-spezifische Metriken (z. B. Accuracy-Drift, Out-of-Distribution-Erkennung) abdecken.

Praktische Compliance-Checkliste für Diagnose-KI

Vor dem klinischen Einsatz von Diagnose-KI in Deutschland sollten Hersteller und Betreiber diese Reihenfolge abarbeiten:

1. Klassifizierung prüfen. Ist das System Hochrisiko nach AI Act Anhang III? Qualifiziert es als Medizinprodukt nach MDR?
2. Rechtsgrundlage nach Art. 9 DSGVO bestimmen. Für Behandlungskontexte: Art. 9 Abs. 2 lit. h + § 22 BDSG dokumentieren.
3. DSFA einleiten. Beginnen Sie früh — vor Vertragsabschluss mit Anbietern oder vor Modellentscheidungen.
4. MDR-Konformitätsbewertung auf AI Act prüfen. Enthält die Bewertung Datengüte, Human Oversight, Logging und technische Dokumentation nach AI-Act-Standard?
5. Technische Dokumentation aufbauen. Modell, Trainingsdaten, Performance-Metriken, Limitationen und Monitoring-Plan dokumentieren.
6. Human-Oversight-Konzept operationalisieren. Nicht nur auf Papier: Schulungen, Override-Workflows, Eskalationspfade in klinische Abläufe integrieren.
7. Auftragsverarbeitungsvertrag und DPA prüfen. Cloud-Anbieter und KI-Dienstleister benötigen konforme Datenverarbeitungsverträge.
8. Post-Market Monitoring aufsetzen. KI-spezifische Performance-Überwachung mit klaren Eskalationsschwellen und Dokumentationspflichten.
9. KI-Kompetenz der Nutzer sicherstellen. Schulungskonzepte entwickeln und nachweisen.
10. Datenschutzbehörde konsultieren. Bei unsicheren DSFA-Ergebnissen empfiehlt sich eine Vorab-Konsultation nach Art. 36 DSGVO.

So hilft Compound Law

• Integrierte MDR- und AI-Act-Compliance-Bewertung für klinische KI-Systeme
• DSFA-Erstellung und Koordination mit Datenschutzbehörden
• Vertragsprüfung für Anbieter, Cloud-Dienstleister und Subprozessoren
• Klinische KI-Risikomanagement-Frameworks und Human-Oversight-Konzepte
• Schulungsunterlagen für KI-Kompetenznachweis nach Art. 4 AI Act
• Laufende Überwachung bei Anforderungsänderungen

Für weitere branchenspezifische Anforderungen finden Sie Leitfäden zu KI im Gesundheitswesen und KI-Compliance in der Pharmabranche. Unternehmen, die cloudbasierte Modelle für medizinische Analysen einsetzen, sollten die datenschutzrechtlichen Anforderungen bei Azure OpenAI im klinischen Kontext prüfen. Praktische Datenschutz-Grundlagen für KI-Systeme finden Sie in der DSGVO-Checkliste für KI-Tools. Den vollständigen Überblick über alle EU-AI-Act-Compliance-Anforderungen bietet unser Compliance-Hub.

FAQ

Ist unsere Radiologie-KI Hochrisiko nach dem EU AI Act?

Fast sicher ja. KI, die medizinische Bilder für diagnostische Zwecke analysiert, gilt als Hochrisiko nach EU AI Act Anhang III, sobald sie als Sicherheitskomponente eines Medizinprodukts eingesetzt wird oder eigenständige Diagnose-Outputs produziert. Die Klassifizierung gilt für Radiologie-KI, Pathologie-Analyse, Ophthalmologie-Screening und vergleichbare Systeme.

Welche DSGVO-Rechtsgrundlage gilt für Patientendaten in Diagnose-KI?

Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 BDSG ist für klinische Anwendungen der zentrale Weg. Einwilligung allein trägt im Behandlungskontext meist nicht, weil Freiwilligkeit schwer nachzuweisen ist. Für Forschungs-KI kommt Art. 9 Abs. 2 lit. j DSGVO in Betracht — aber nur bei echtem Forschungszweck und geeigneten Garantien.

Brauchen wir zwei Konformitätsbewertungen — eine nach MDR, eine nach AI Act?

Nein, aber die MDR-Bewertung muss KI-spezifische Inhalte materiell abdecken: Datengüte, menschliche Aufsicht, Logging, technische Dokumentation nach AI-Act-Standard. Wer diese Inhalte nur formal abhakt, riskiert, dass die integrierte Bewertung bei einer Prüfung nicht standhält.

Ist eine Datenschutz-Folgenabschätzung bei Diagnose-KI Pflicht?

In der Regel ja. Die systematische Verarbeitung von Gesundheitsdaten auf großem Maßstab ist ein Regelfall für eine DSFA nach Art. 35 DSGVO. Viele deutsche Landesdatenschutzbehörden haben medizinische KI explizit auf ihre Muss-Listen gesetzt.

Ab wann gelten die Hochrisiko-Pflichten vollständig?

Die Kernpflichten für Hochrisiko-KI gelten ab dem 2. August 2026. Allgemeine KI-Kompetenzpflichten und Verbotstatbestände gelten bereits seit dem 2. Februar 2025. Für MDR-konforme Produkte, die vor dem Geltungsdatum zugelassen wurden, existieren Übergangsfristen — die konkrete Situation jedes Produkts sollte individuell geprüft werden.

Kontakt zu Compound Law

Wenn Ihr Unternehmen Diagnose-KI entwickelt, beschafft oder im klinischen Betrieb einsetzt, ist das rechtliche Risiko selten auf eine einzige Frage begrenzt. Entscheidend ist, wie MDR-Prozesse, DSGVO-Compliance und AI-Act-Governance gemeinsam gesteuert werden — und ob Ihre aktuelle Dokumentation einer Prüfung standhält.

Compound Law berät Hersteller, Kliniken und Medtech-Unternehmen zur KI-Compliance im Gesundheitswesen in Deutschland, einschließlich DSFA, Benannte-Stelle-Koordination, Vertragsgestaltung und AI-Act-Readiness. Für eine projektspezifische Einschätzung kontaktieren Sie unser Team. Diese Seite enthält allgemeine Informationen und ersetzt keine Rechtsberatung im Einzelfall.