8EU KI-Verordnung (AI Act) im Gesundheitswesen | Compliance & Umsetzung
Diese Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Seite erforderlich sind. Weitere Informationen


EU KI-Verordnung (AI Act) im Gesundheitswesen
Compliance & Umsetzung



Gesetzentwurf zur Durchführung der EU-KI-Verordnung (EU) 2024/1689 – Überblick

Das KI-Marktüberwachungs- und Innovationsförderungs-Gesetz (KI-MIG) soll das zentrale nationale Durchführungsgesetz zur Verordnung (EU) 2024/1689 über künstliche Intelligenz (EU-KI-Verordnung) bilden.
Es wird die behördliche Infrastruktur, die Deutschland für die Vollziehung der direkt anwendbaren EU-Verordnung benötigt, regeln.

Das Gesetz schafft keine neuen Pflichten für Unternehmen oder Bürger – diese ergeben sich ausschließlich aus der EU-KI-VO selbst.
Stattdessen benennt es die zuständigen deutschen Behörden, regelt deren Befugnisse, organisiert die Zusammenarbeit und definiert das nationale Bußgeldsystem.
Es etabliert eine bundesweit koordinierte Marktüberwachung unter Führung der Bundesnetzagentur, sichert eine einheitliche Rechtsanwendung, fördert Innovation durch Reallabore und Kompetenzbündelung und schafft die organisatorischen Voraussetzungen für die Durchsetzung des risikobasierten EU-KI-Regimes ab 2026.

Kernprinzip des Gesetzes

Bestehende Behörden- und Aufsichtsstrukturen werden genutzt, dort wo sie fehlen, übernimmt die Bundesnetzagentur (BNetzA) als zentrale Auffangbehörde.
KI-Expertise wird in einem Koordinierungszentrum gebündelt, um knappe Fachkräfte effizient einzusetzen.

Legislativer Hintergrund

Die EU-KI-Verordnung trat am 1. August 2024 in Kraft. Nach Art. 70 Abs. 1 EU-KI-VO mussten die Mitgliedstaaten bis zum 2. August 2025 mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde (darunter eine zentrale Anlaufstelle) benennen.
Der vorliegende Gesetzentwurf datiert vom 10. Februar 2026 und befindet sich im parlamentarischen Verfahren.

1. Ausgangslage: EU-KI-Verordnung und nationaler Umsetzungsbedarf

Die EU-KI-Verordnung (AI Act) schafft einen einheitlichen Rechtsrahmen für Entwicklung, Inverkehrbringen, Inbetriebnahme und Verwendung von KI-Systemen in der EU. Der Rechtsrahmen folgt einem risikobasierten Ansatz (Verbote, Hochrisiko-Anforderungen, Transparenzpflichten, Innovationsförderung).

  • EU-weit unmittelbar geltende Pflichten mit risikobasierter Systematik.
  • Nationaler Umsetzungsbedarf insbesondere für Behördenstruktur, Marktüberwachung, Kooperation und Sanktionierung.
  • Zielbild: Rechtssicherheit und praktikabler Vollzug ohne Doppelstrukturen.

2. Zielsetzung des Gesetzentwurfs

Der Gesetzentwurf dient der Durchführung der EU-KI-Verordnung und adressiert die operative Übersetzung in eine belastbare Vollzugs- und Aufsichtsarchitektur. Leitend ist ein innovationsfreundlicher und ressourcenschonender Vollzug mit bundeseinheitlichen Maßstäben.

  • Innovationsfreundlich: klare Zuständigkeiten, schnelle Verfahren, Reallabor-Ansatz.
  • Bürokratiearm: Nutzung bestehender Strukturen, Vermeidung redundanter Behördenwege.
  • Einheitliche Rechtsanwendung: Koordination, Kompetenzbündelung, Kooperationsregeln.

3. Struktur des Gesetzes (Überblick)

Der Entwurf setzt organisatorisch an: Er benennt zuständige Behörden, regelt Zusammenarbeit, etabliert Innovationsförderung und schafft Bußgeld-/Durchsetzungsmechanismen. Parallel werden einschlägige Gesetze angepasst, um die EU-KI-Verordnung national flächig vollziehbar zu machen.

  • Artikel 1: KI-Marktüberwachungs- und Innovationsförderungs-Gesetz (KI-MIG).
  • Artikel 2–4: Anpassung weiterer Rechtsnormen zur operativen Einbettung.
  • Regelungsschwerpunkt: Behördenstruktur, Koordination, Sanktionen, Innovationsinstrumente.

4. Zentrale Governance-Architektur

    4.1 Bundesnetzagentur als zentrale Marktüberwachungsbehörde

    Die Bundesnetzagentur (BNetzA) wird als zentrale Marktüberwachungsbehörde verankert, soweit keine anderen Zuständigkeiten greifen. Damit wird ein zentraler Ankerpunkt für Aufsicht und Vollzug geschaffen.

    • Zentraler Vollzugsanker für Querschnittsfragen und nicht-sektorale Bereiche.
    • Klare Zuständigkeitslogik zur Minimierung von Reibungsverlusten.

    4.2 Nutzung bestehender Marktüberwachungs- und Aufsichtsstrukturen

    In vollharmonisierten Produktbereichen sollen die bereits zuständigen Behörden auch für KI-bezogene Marktüberwachung zuständig bleiben. Damit bleibt sektorspezifische Expertise erhalten und es entstehen keine Doppelstrukturen.

    • Bestandsstrukturen nutzen statt Neuaufbau einer Parallelaufsicht.
    • Praktikabilität für Unternehmen durch bekannte Ansprechpartner und Verfahren.

    4.3 Koordinierungs- und Kompetenzzentrum (KoKIVO)

    Bei der Bundesnetzagentur wird ein Koordinierungs- und Kompetenzzentrum etabliert. Ziel ist die zentrale Bündelung von KI-Expertise und die Unterstützung der Marktüberwachungs- und notifizierenden Behörden.

    • Single Point of Expertise für methodische und technische Fragen.
    • Bundeseinheitliche Maßstäbe in Aufsicht und Rechtsdurchsetzung.

    4.4 Einbindung weiterer Fachbehörden

    Fachkompetenzen (z. B. IT-Sicherheit, Datenschutz, Wettbewerb) werden im Rahmen der jeweiligen Zuständigkeiten eingebunden. Damit wird eine „One-Governance“-Logik über Ressort- und Fachgrenzen hinweg operationalisiert.

    • BSI (IT-Sicherheit), BfDI (Datenschutz), BKartA (Wettbewerb) als flankierende Instanzen.
    • Kooperation statt Insellösungen – klare Schnittstellen und Zuständigkeitsgrenzen.

5. Vollzugsprinzipien

Der Entwurf setzt auf innovationsfreundliche und ressourcenschonende Prozesse. Wo technisch verfügbar und wirtschaftlich sinnvoll, sollen Verwaltungsprozesse unter Beachtung der gesetzlichen Anforderungen durch vertrauenswürdige KI automatisiert werden.

  • Standardisierung: Wiederverwendbare Prüfmuster und harmonisierte Verfahren.
  • Skalierbarkeit: Zentraler Kompetenzhub, dezentrale Ausführung.
  • Prozessqualität: klare Verfahren für Aufsicht, Kooperation und Nachweisführung.

6. Bußgeld- und Durchsetzungsregime

Das Gesetz ergänzt die EU-KI-Verordnung um nationale Vorschriften zur Durchsetzung, insbesondere zur Ausgestaltung des Bußgeldverfahrens und der zuständigen Stellen. Damit wird der Vollzug handlungsfähig und sanktionsbewehrt.

  • Bußgelder bei Verstößen gegen Pflichten der EU-KI-Verordnung (Verfahrensrahmen national).
  • Durchsetzungsfähigkeit durch klare Zuständigkeiten und Kooperationsvorschriften.
  • Prüffähigkeit: Erwartung an strukturierte Dokumentation und belastbare Nachweise.

7. Gesetzgebungskompetenz und EU-Konformität

Der Entwurf ordnet sich in die Bundeskompetenzen (u. a. Wirtschaft, Strafrecht/Verfahren, Arbeitsrecht sowie Annexkompetenzen) ein und dient ausdrücklich der Durchführung der EU-KI-Verordnung. Die Vereinbarkeit mit EU-Recht und völkerrechtlichen Verträgen wird erklärt.

  • Bundeskompetenz: rechtliche Grundlage für bundeseinheitliche Durchführungsbestimmungen.
  • EU-konformer Vollzug: Umsetzung der verpflichtenden nationalen Behördenstruktur.

8. Erfüllungsaufwand

Der Entwurf quantifiziert den Verwaltungsaufwand für die organisatorische Implementierung (u. a. Aufbau von Koordinierungs-/Kompetenzfunktionen und die Einbindung externer Expertise). Damit wird die Umsetzung budgetär planbar und governance-seitig steuerbar.

  • Aufbau- und Betriebskosten für Koordination/Kompetenzbündelung.
  • Externe Expertise als Ergänzung interner Kapazitäten (bei Bedarf).
  • Transparenz über laufende und einmalige Aufwände zur Ressourcensteuerung.

9. Strategische Einordnung

Das KI-MIG ist kein „neues KI-Materialrecht“, sondern das operative Betriebsmodell für die EU-KI-Verordnung in Deutschland. Der Fokus liegt auf einem funktionierenden Aufsichts- und Durchsetzungs-Setup, das gleichzeitig Innovationsförderung ermöglicht. Strategisch wird die Bundesnetzagentur als zentraler Governance-Knotenpunkt positioniert.

    Was bedeutet das in der Praxis?

    • Für Organisationen: KI-Compliance wird auditfähig – Prozesse, Nachweise und Verantwortlichkeiten müssen „standfest“ sein.
    • Für Anbieter/Betreiber: klare Ansprechpartner, aber höhere Erwartung an Dokumentations- und Kooperationsfähigkeit.
    • Für öffentliche Stellen: föderale Zuständigkeiten bleiben möglich, werden aber in ein einheitliches Vollzugsmodell eingebettet.
    • Für Innovation: Reallabor-/Förderlogik unterstützt rechtssichere Erprobung.

Bottom Line: Der Entwurf zielt auf eine robuste, bundeseinheitliche und praxistaugliche Umsetzung – mit klarer Governance, minimalen Doppelstrukturen und einem belastbaren Vollzugs-Operating-Model.

10. Prüfschema für die Praxis

Die Vielzahl paralleler Anforderungen aus MDR/IVDR und EU-KI-VO macht ein systematisches Prüfschema unerlässlich.
Nachfolgend ist ein detailliertes Prüfschema, das alle relevanten Compliance-Schritte strukturiert darstellt.

Die KI-Verordnung der Europäischen Union markiert einen ordnungspolitischen Meilenstein.

Erstmals wird der Einsatz von Künstlicher Intelligenz europaweit verbindlich geregelt – risikobasiert, sektorspezifisch und mit klar zugewiesenen Verantwortlichkeiten.

Was früher Auslegungssache war, folgt nun festen Leitplanken: von der Zweckbestimmung über die Risikoklassifizierung bis hin zu Dokumentations-, Transparenz- und Governance-Pflichten.

Das Prüfschema führt Schritt für Schritt durch die Bewertung eines KI-Medizinprodukts:

  • Einstufung als Hochrisiko-KI,
  • Zuordnung der zuständigen Behörde,
  • Prüfung der technischen Anforderungen (Art. 9–15),
  • Konformitätsbewertungsweg,
  • Betreiberpflichten und
  • Dokumentationsanforderungen.

Prüfschema: KI-Verordnung (AI Act) – Auswirkungen für Medizinprodukte

Standardisiertes Vorgehen zur Einordnung von KI-Systemen im Kontext der MDR – inklusive Risikoklasse, Hochrisiko-Trigger, „wesentliche Änderung“ und Kernpflichten.

Governance Hinweis
Das Schema unterstützt die Erstbewertung im Projekt-/QM-Setup. Für die formale Einstufung gelten Zweckbestimmung, technische Dokumentation und ggf. Benannte Stelle.

Prüffrage: Ist das System maschinengestützt, arbeitet mit einem gewissen Grad an Autonomie und leitet aus Eingaben ab, wie es Ausgaben (z. B. Vorhersagen, Empfehlungen, Entscheidungen) erzeugt?

  • Ja: Weiter mit Schritt 2.
  • Nein: Kein KI-System im Sinne des AI Act → Fokus auf MDR/Software-Regulatorik, nicht AI Act-Pflichten.

Grundlage: Definition KI-System (AI Act) und Einordnung/Leitlinienbezug.

Medizinprodukte mit KI können aus drei Gründen vom AI Act betroffen sein:

  1. Konformitätsbewertung nach MDR erforderlich (Produkt benötigt MDR-Verfahren).
  2. Das KI-System ist selbst das Medizinprodukt (KI = Produktkern).
  3. KI ist Teil eines Sicherheitsbauteils innerhalb eines Medizinprodukts.

Grundlage: Einordnung Medizinprodukte mit KI – Gründe der Betroffenheit.

Prüffrage: Welche MDR-Risikoklasse hat das Medizinprodukt (oder die Produktfamilie)?

MDR-Einstufung AI-Act-Einordnung (Grundlogik)
Klasse I In der Regel geringes oder minimales Risiko – außer wenn die KI als Hochrisiko-Anwendung gilt (z. B. als sicherheitsrelevantes KI-Bauteil).
Klasse II Hochrisiko-KI-System im Sinne des AI Act.
Klasse III Hochrisiko-KI-System im Sinne des AI Act.

Grundlage: Zusammenhang MDR-Klasse ↔ AI-Act-Risikoeinordnung (Tabelle 2, inkl. Klasse-I-Ausnahme).

Wenn das System als Hochrisiko-KI einzuordnen ist, sind organisatorisch und technisch u. a. folgende Bausteine verbindlich aufzusetzen:

Governance & Management
  • KI-Kompetenz der beteiligten Personen sicherstellen
  • Risikomanagementsystem & Qualitätsmanagementsystem (QMS)
  • Technische Dokumentation & Aufbewahrung von Aufzeichnungen
  • Gebrauchsanweisung / Informationen zur Leistung
Technik & Betrieb
  • Datenqualität: repräsentative, vollständige Trainings-/Validierungs-/Testdaten
  • Human Oversight: wirksame menschliche Aufsicht & Interpretierbarkeit
  • Logging/Aufzeichnungspflichten (Ereignis-Protokollierung)
  • Genauigkeit, Robustheit, Cybersicherheit im realen Betrieb

Grundlage: Anforderungen Hochrisiko-KI, Daten-Governance, Human Oversight, Logging, Robustheit/Cybersecurity.

Prüffrage: Wurde ein bereits in Verkehr gebrachtes/ betriebenes KI-System in seiner Konzeption erheblich verändert?

  • Nein: Bestehende Zertifizierungen bleiben grundsätzlich nutzbar.
  • Ja: Re-Zertifizierung kann erforderlich werden (Änderungskontrolle / erneute Bewertung).
Operational Takeaway: Änderungen an Modell, Datenbasis, Zweckbestimmung, Sicherheitsfunktion oder Human-Oversight-Konzept sind Governance-relevant und gehören in einen formalen Change-Control-Prozess (MDR/AI-Act-kompatibel).

Grundlage: Re-Zertifizierung bei erheblichen Änderungen nach Stichtag; Diskussion „wesentliche Änderung“ und Synchronisierung MDR/AI Act.

Für die Umsetzung zählt die korrekte Rollenklärung:

  • Anbieter (typisch: Hersteller/Entwickler) verantwortet Konformität, Dokumentation, QMS usw.
  • Betreiber (typisch: Klinik/Praxis/Pflege) muss u. a. KI-Kompetenz im Betrieb sicherstellen.
  • Wichtig: Wer an einem Hochrisiko-KI-System wesentliche Änderungen vornimmt, kann selbst zum Anbieter werden (Pflichtenübergang).

Grundlage: Definitionen Anbieter/Betreiber und Pflichtenübergang bei wesentlichen Änderungen.

START
  |
  |-- (1) KI-System nach AI Act Definition?
  |       |-- NEIN -> AI Act nicht einschlägig (für KI), MDR/Software-Regeln prüfen
  |       |-- JA  -> weiter
  |
  |-- (2) Medizinprodukt mit KI (MDR-Kontext: 3 Szenarien)?
  |       |-- NEIN -> AI Act-Risikoklasse außerhalb MDR-Kontext bestimmen
  |       |-- JA  -> weiter
  |
  |-- (3) MDR-Risikoklasse?
  |       |-- Klasse I   -> i.d.R. gering/minimal, Ausnahme: KI als Hochrisiko-/Sicherheitsbauteil
  |       |-- Klasse II/III -> Hochrisiko-KI
  |
  |-- (4) Hochrisiko-Pflichtenpaket umsetzen:
  |       - QMS/Risikomanagement, Tech-Doku, Daten-Governance, Logging
  |       - Human Oversight, Robustheit/Genauigkeit/Cybersicherheit
  |
  |-- (5) Change Control:
          erhebliche/wesentliche Änderung? -> (Re-)Bewertung/Rezertifizierung prüfen


Fazit: Doppelte Compliance, aber integriertes Verfahren

Der Gesetzentwurf vom 10.02.2026 schafft für KI-Medizinprodukte ein integriertes Aufsichtssystem: bestehende Medizinproduktebehörden übernehmen die KI-Überwachung, Konformitätsbewertung erfolgt in einem Verfahren, aber die Anforderungen verdoppeln sich faktisch.
Hersteller und Betreiber müssen umfangreiche KI-spezifische Dokumentation, Prozesse und Kontrollen zusätzlich zu den MDR/IVDR-Pflichten implementieren.
Die kurze Übergangsfrist bis August 2026 erfordert sofortiges Handeln.

Rechtlicher Hinweis

Diese Analyse basiert auf dem Gesetzentwurf der Bundesregierung (Bearbeitungsstand 10.02.2026) und dient der allgemeinen Information.
Sie stellt keine Rechtsberatung dar. Das KI-MIG befindet sich im parlamentarischen Verfahren; Änderungen sind möglich.



Weiteführende Links
Control Panel Entlassmanagement