AI PlaybookEU

KI-Compliance im Gesundheitswesen

Welche Anforderungen gelten für KI im Gesundheitswesen? Art. 9 DSGVO (Gesundheitsdaten), DSFA-Pflichten, Hochrisiko-Einstufung nach EU AI Act und Überschneidungen mit MDR/IVDR – praxisnah erklärt.

11. Februar 20265 min read
GesundheitswesenKIDSGVOArt. 9EU AI ActMDRCompliance

Überblick

KI-Systeme im Gesundheitswesen versprechen bessere Diagnosen, effizientere Abläufe und neue medizinische Erkenntnisse. Gleichzeitig zählt der Gesundheitsbereich zu den am stärksten regulierten Einsatzfeldern: Gesundheitsdaten sind nach Art. 9 DSGVO besonders geschützt, und viele medizinische KI-Anwendungen fallen unter den EU AI Act als Hochrisiko-Systeme.

Hinzu kommt ein weiterer Regulierungsrahmen: Je nach Einsatz kann eine KI-Anwendung auch als Medizinprodukt gelten und damit unter die Medical Device Regulation (MDR) oder In-vitro Diagnostic Regulation (IVDR) fallen.

Dieser Beitrag erläutert:

  • Datenschutzanforderungen bei Gesundheitsdaten
  • Typische DSFA-Auslöser bei medizinischer KI
  • AI-Act-Einstufung und Pflichten
  • Schnittstellen zu MDR/IVDR
  • Praktische Handlungsschritte für Projekte

1️⃣ Datenschutz: Gesundheitsdaten als besondere Kategorie (Art. 9 DSGVO)

Was zählt als Gesundheitsdatum?

Gesundheitsdaten umfassen u. a.:

  • Diagnosen, Befunde, Laborwerte
  • Medikationspläne
  • Behandlungsverläufe
  • Daten aus Wearables (z. B. Herzfrequenz), sofern Gesundheitsbezug besteht
  • Patient:innenidentifikationen in klinischem Kontext

Als besondere Kategorie gilt grundsätzlich ein Verarbeitungsverbot – außer es greift eine Ausnahme nach Art. 9 Abs. 2 DSGVO.

Hoher Schutzstandard

Gesundheitsdaten sind besonders sensibel. Schon kleine Governance-Fehler können hohe Risiken auslösen.

Häufige Ausnahmen im Gesundheitskontext

  • Art. 9 Abs. 2 lit. h: Gesundheitsversorgung / Behandlung
  • Art. 9 Abs. 2 lit. i: Öffentliches Interesse im Bereich der öffentlichen Gesundheit
  • Art. 9 Abs. 2 lit. j: Wissenschaftliche Forschung (unter zusätzlichen Voraussetzungen)
  • Ausdrückliche Einwilligung (lit. a) – in der Praxis oft schwierig, da Widerruf und Zweckbindung komplex sind

2️⃣ Typische KI-Anwendungsfälle im Gesundheitswesen

Klinische Entscheidungsunterstützung (CDSS)

  • Vorschläge zu Diagnosen oder Therapien
  • Risiko: Übervertrauen in KI, Bias, fehlende Nachvollziehbarkeit

KI-gestützte Bildgebung

  • Radiologie, Pathologie, Dermatologie
  • Risiko: Fehlklassifikationen, Datendrift, Bias durch Trainingsdaten

Operational AI (Krankenhausprozesse)

  • Kapazitätsplanung, Patient:innenfluss, Ressourcenoptimierung
  • Risiko: indirekte Auswirkungen auf Behandlung, Priorisierung

Drug Discovery & Forschung

  • Mustererkennung in Daten, Wirkstoffscreening
  • Risiko: Zweckänderung, Datenschnittstellen, Anonymisierungsfragen

3️⃣ DSFA: Warum sie im Gesundheitswesen fast immer relevant ist (Art. 35 DSGVO)

Eine DSFA ist häufig erforderlich, weil:

  • besondere Kategorien verarbeitet werden (Art. 9)
  • großflächige Verarbeitung medizinischer Daten möglich ist
  • Profiling und Scoring im klinischen Kontext stattfinden kann
  • Betroffene potenziell erheblich betroffen sind

Typische DSFA-Risiken bei medizinischer KI:

  • Bias / systematische Benachteiligung bestimmter Gruppen
  • Intransparenz (Black-Box-Modelle)
  • Fehlentscheidungen mit Gesundheitsfolgen
  • Kontrollverlust bei automatisierten Workflows
  • Drittlandtransfer bei Cloud-Services

Praktische Faustregel

Wenn KI-Output medizinische Entscheidungen beeinflusst oder Gesundheitsdaten in großem Umfang verarbeitet werden, ist eine DSFA sehr wahrscheinlich erforderlich.

4️⃣ EU AI Act: Hochrisiko-Einstufung im Gesundheitsbereich

Viele medizinische KI-Systeme gelten als Hochrisiko, insbesondere wenn sie:

  • Diagnosen unterstützen oder beeinflussen
  • Behandlungspriorisierungen vornehmen
  • Patient:innenrisiken bewerten
  • in klinische Entscheidungen eingreifen

Je nach System kann die Einstufung erfolgen über:

  • Anhang III (z. B. Systeme mit erheblicher Grundrechtsrelevanz)
  • oder als Sicherheitskomponente eines Produkts

Typische Hochrisiko-Pflichten (vereinfacht)

  1. Risikomanagementsystem
  2. Daten-Governance
  3. Technische Dokumentation
  4. Logging
  5. Transparenz
  6. Menschliche Aufsicht
  7. Genauigkeit, Robustheit, Cybersicherheit
  8. Konformitätsbewertung und ggf. CE-Kennzeichnung

5️⃣ MDR/IVDR: Wann wird KI zum Medizinprodukt?

Ob eine KI ein Medizinprodukt ist, hängt nicht von der Technologie, sondern von:

  • Zweckbestimmung
  • medizinischer Funktion
  • Einsatz im klinischen Kontext

ab.

Beispiele, die häufig Medizinprodukt-Charakter haben:

  • Diagnoseunterstützung
  • Therapieempfehlungen
  • klinische Entscheidungsassistenz

Beispiele, die nicht zwingend Medizinprodukt sind:

  • rein administrative Prozessoptimierung
  • generische Textassistenz ohne medizinische Zweckbestimmung

Schnittstellen-Realität

Viele Gesundheits-KI-Systeme liegen in einer Überschneidungszone: DSGVO + EU AI Act + MDR/IVDR. Ein integrierter Compliance-Ansatz ist sinnvoller als Einzelprüfungen.

6️⃣ Praktische Umsetzung: Checkliste für KI-Projekte im Gesundheitswesen

A) Scope und Zweckbestimmung klären

  1. Was ist der medizinische Zweck?
  2. Beeinflusst KI klinische Entscheidungen direkt oder indirekt?
  3. Handelt es sich um ein Medizinprodukt (MDR/IVDR-Relevanz)?

B) Datenschutzfundament legen

  1. Datenkategorien klassifizieren (Art. 9?)
  2. Rechtsgrundlage + Art.-9-Ausnahme festlegen
  3. Transparenzpflichten (Art. 13/14) definieren
  4. Speicher- und Löschkonzept festlegen

C) Risiko- und Qualitätsprozesse integrieren

  1. DSFA-Screening durchführen → DSFA erstellen, wenn erforderlich
  2. Bias- und Robustheitstests planen
  3. Human Oversight definieren (wer darf überstimmen?)
  4. Logging und Monitoring implementieren

D) Technische und organisatorische Maßnahmen (TOMs)

  1. Zugriffskontrollen (rollenbasiert)
  2. Verschlüsselung (at rest / in transit)
  3. Pseudonymisierung / Datenminimierung
  4. Incident-Response-Prozess definieren

7️⃣ Häufige Fehlerquellen

FehlerWarum kritisch
Unklare ZweckbestimmungMDR/IVDR- und AI-Act-Risiko
Trainingsdaten ohne Bias-AnalyseDiskriminierungs- und Haftungsrisiko
Cloud/LLM ohne TransferprüfungDrittlandtransfer-Verstoß
Keine DSFAHoher DSGVO-Risikoindikator
Fehlendes Monitoring nach Go-LiveSicherheits- und Qualitätsrisiko

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Etwas Neuartiges oder Hochriskantes?

Kollaborieren Sie mit Creativate AI Studio und einem Netzwerk von Branchenexperten und Deep-Tech-Forschern, um fortgeschrittene KI-Systeme zu erforschen, zu prototypisieren und zu validieren.

F&E-Zusammenarbeit erkundenPilotprojekt besprechen

Nächste Schritte

  1. Klären Sie Zweckbestimmung und Produktkategorie (inkl. MDR/IVDR-Prüfung).
  2. Definieren Sie Rechtsgrundlage + Art.-9-Ausnahme für Gesundheitsdaten.
  3. Führen Sie ein DSFA-Screening durch und erstellen Sie eine DSFA, falls erforderlich.
  4. Prüfen Sie AI-Act-Hochrisiko-Einstufung und starten Sie Dokumentation und Risikomanagement.
  5. Validieren Sie Ihr Vorgehen mit qualifizierten Expert:innen unter /experts.

Hilfe bei der Umsetzung?

Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.

Mit einem KI-Architekten sprechenKI-Strategie besprechen

Rechtliche Klarheit gefragt?

Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.

Rechtsberatung anfragenAI Act & DSGVO Fragen klaeren

Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.

Verwandte Artikel

DSGVO & KI

Art. 9 DSGVO – Besondere Kategorien personenbezogener Daten

Welche besonderen Kategorien personenbezogener Daten sind nach Art. 9 DSGVO besonders geschützt? Überblick über das Verarbeitungsverbot, Ausnahmen und KI-spezifische Risiken wie Proxy-Diskriminierung und sensible Ableitungen.

Lesen

DSGVO & KI

Art. 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Wann ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei KI-Systemen erforderlich? Struktur, Ablauf, KI-spezifische Risiken und Verbindung zum EU AI Act.

Lesen

EU AI Act

Hochrisiko-KI-Systeme nach Anhang III EU AI Act

Welche KI-Systeme gelten als Hochrisiko nach dem EU AI Act? Vollständige Übersicht der Anhang-III-Bereiche, Ausnahmen nach Art. 6 Abs. 3 und alle Compliance-Pflichten für Anbieter und Betreiber.

Lesen