KI für Unternehmen
Jun 26, 2026

EU AI Act in der MedTech: Was Medizintechnik-Unternehmen 2026 wissen und tun müssen

EU AI Act in der MedTech: Was Medizintechnik-Unternehmen 2026 wissen und tun müssen
Du möchtest mehr über MAIA  erfahren?
Vereinbare jetzt eine kostenlose Demo.
Inhaltsverzeichnis

EU AI Act in der MedTech: Was Medizintechnik-Unternehmen 2026 wissen und tun müssen

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Die Rechtslage zum EU AI Act entwickelt sich laufend weiter; Stand dieses Beitrags ist Juni 2026.

Kurz gesagt: Der EU AI Act gilt seit dem 1. August 2024 und wird stufenweise scharfgestellt. Für die meisten Medizintechnik-Unternehmen sind nicht die viel zitierten Hochrisiko-Pflichten der erste Hebel, sondern zwei Regeln, die bereits seit Februar 2025 gelten: das Verbot bestimmter KI-Praktiken (Art. 5) und die Pflicht zur KI-Kompetenz der Mitarbeitenden (Art. 4). Die Hochrisiko-Anforderungen wurden durch den „Digital Omnibus" (politische Einigung am 7. Mai 2026) nach hinten verschoben: auf Dezember 2027 (eigenständige Systeme) bzw. August 2028 (KI in regulierten Produkten wie Medizinprodukten) (Rat der Europäischen Union, 2026). Wer jetzt seine KI-Anwendungen inventarisiert, das Risiko einordnet und nachweisbar dokumentiert, erfüllt die heute geltenden Pflichten und ist auf die kommenden vorbereitet.

Kaum ein Thema verunsichert die Medizintechnik-Branche derzeit so sehr wie die KI-Verordnung der EU. Die Schlagzeilen schwanken zwischen „35 Millionen Euro Bußgeld" und „alles verschoben". Beides stimmt, und beides führt in die Irre, wenn man nur die Überschrift liest. Dieser Leitfaden ordnet ein, was der EU AI Act konkret für MedTech und Medizinprodukte bedeutet, welche Fristen wirklich relevant sind und was Sie jetzt tun sollten.

Was ist der EU AI Act? Einfach erklärt

Der EU AI Act (offiziell Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er verfolgt einen risikobasierten Ansatz: Nicht KI als solche wird reguliert, sondern der konkrete Anwendungsfall: Je höher das Risiko für Menschen und Grundrechte, desto strenger die Pflichten (Europäische Kommission, o. J.).

Die Verordnung ist seit dem 1. August 2024 in Kraft und gilt EU-weit unmittelbar. Ihre Pflichten greifen jedoch nicht auf einen Schlag, sondern gestaffelt über mehrere Jahre.

Welche Risikoklassen kennt der EU AI Act?

Der EU AI Act teilt KI-Systeme in vier Klassen ein. Die Einordnung entscheidet über den gesamten Aufwand (Europäische Kommission, o. J.):

Inakzeptables Risiko (verboten): Praktiken wie unterschwellige Manipulation, Social Scoring durch Behörden oder Emotionserkennung am Arbeitsplatz. Diese sind seit Februar 2025 untersagt.

Hohes Risiko: KI in sensiblen Bereichen (z. B. kritische Infrastruktur, Personalauswahl, Bildung) oder als Sicherheitskomponente in regulierten Produkten. Hier gilt der volle Pflichtenkatalog (Risikomanagement, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung).

Begrenztes Risiko: Systeme wie Chatbots oder Assistenten mit Transparenzpflichten nach Art. 50. Nutzer müssen erkennen können, dass sie mit KI interagieren bzw. dass Inhalte KI-generiert sind.

Minimales Risiko: Der Großteil heutiger Anwendungen, etwa Spamfilter. Keine besonderen Pflichten.

Für die Praxis entscheidend: Die meisten KI-Tools, die Medizintechnik-Unternehmen heute einsetzen, von ChatGPT bis zu spezialisierten Wissensplattformen, fallen in die Kategorien begrenztes oder minimales Risiko. Echte Hochrisiko-Pflichten treffen vor allem die, die KI in Medizinprodukte einbauen, und das ist in der Medizintechnik ein realistisches Szenario (dazu unten mehr).

Gilt der EU AI Act auch für mein Unternehmen, wenn wir KI nur nutzen?

Ja. Die Verordnung unterscheidet vier Rollen (Anbieter, Betreiber, Importeur und Händler) mit unterschiedlichen Pflichten. Die meisten Medizintechnik-Unternehmen sind als Anwender interner Tools Betreiber (engl. deployer): Sie entwickeln die KI nicht selbst, sondern setzen Tools ein. Betreiber haben einen reduzierten Pflichtenkatalog (Art. 26), aber eben nicht keine Pflichten (Europäische Kommission, o. J.).

Die in der Praxis am häufigsten unterschätzte Anforderung ist Art. 4 (KI-Kompetenz). Sie verpflichtet seit dem 2. Februar 2025 alle Anbieter und Betreiber dazu, sicherzustellen, dass Mitarbeitende, die KI-Systeme bedienen, über ausreichende KI-Kompetenz verfügen. Das betrifft ausdrücklich auch Teams in Vertrieb, Regulatory Affairs, Qualitätsmanagement oder Entwicklung, die Werkzeuge wie ChatGPT, Copilot oder dedizierte Fachanwendungen nutzen. Wer dazu nichts dokumentiert hat, befindet sich nach Lesart spezialisierter Kanzleien bereits heute in einer Pflichtverletzung (vgl. Fachbeiträge spezialisierter Kanzleien zum Digital Omnibus, 2026).

Welche Fristen gelten 2026 und 2027 wirklich?

Hier liegt das größte Missverständnis. Der ursprüngliche Stichtag 2. August 2026 wurde durch den Digital Omnibus (politische Einigung von Rat und Parlament am 7. Mai 2026) für einen Teil der Pflichten entschärft (Rat der Europäischen Union, 2026). Der aktuelle Stand (Juni 2026):

  • Verbotene Praktiken (Art. 5) und KI-Kompetenz (Art. 4): gelten unverändert seit dem 2. Februar 2025.
  • Pflichten für General-Purpose-AI-Modelle (GPAI): gelten seit dem 2. August 2025, Durchsetzung ab dem 2. August 2026.
  • Transparenzpflichten für Betreiber (Art. 50): gelten seit dem 2. August 2026.
  • Kennzeichnung KI-generierter Inhalte durch Anbieter (Art. 50 Abs. 2): verschoben auf den 2. Dezember 2026.
  • Hochrisiko-Systeme nach Anhang III (eigenständig): verschoben auf den 2. Dezember 2027.
  • Hochrisiko-KI in regulierten Produkten nach Anhang I (z. B. Medizinprodukte): verschoben auf den 2. August 2028.

Drei Punkte sind dabei kritisch zu verstehen:

  1. Der Omnibus ändert Art. 4 und Art. 5 ausdrücklich nicht. Diese Pflichten gelten ohne Übergangsfrist seit Februar 2025.
  2. Bei Art. 50 wurde nur ein Teil verschoben. Verschoben ist allein die Kennzeichnungs-/Watermarking-Pflicht der Modellanbieter (Art. 50 Abs. 2). Die Transparenzpflichten für Betreiber, und damit für die meisten Medizintechnik-Unternehmen, gelten ganz regulär seit dem 2. August 2026.
  3. Die Verschiebung der Hochrisiko-Fristen ist eine Atempause, keine Entwarnung. Eine Konformitätsbewertung dauert erfahrungsgemäß drei bis sechs Monate. Wer betroffen ist, sollte die gewonnene Zeit nutzen, nicht abwarten.

Und generell gilt: Die Rechtslage ist in Bewegung. Einzelne Fristen können sich weiter verschieben; die Richtung der Anforderungen ändert sich nicht. (Stand dieses Artikels: Juni 2026.)

Was bedeutet der EU AI Act speziell für die Medizintechnik?

Für Medizintechnik-Unternehmen gibt es eine Besonderheit, die in allgemeinen Ratgebern oft untergeht. Medizinprodukte und In-vitro-Diagnostika sind in Anhang I regulierte Produkte. Wer KI als Sicherheitskomponente in ein Medizinprodukt integriert oder KI einsetzt, die selbst ein Medizinprodukt ist (Software as a Medical Device), etwa zur KI-gestützten Befundung von Bilddaten oder zur Unterstützung einer Diagnose, hat es daher mit Hochrisiko-Anforderungen zu tun.

Entscheidend ist, über welches Regelwerk diese Anforderungen laufen. Medizinprodukte unterliegen bereits der Medizinprodukteverordnung (MDR, Verordnung (EU) 2017/745), In-vitro-Diagnostika der IVDR (Verordnung (EU) 2017/746). Der EU AI Act verlangt nicht, dass Sie für KI in solchen Produkten ein zweites, separates Konformitätsverfahren durchlaufen. Die KI-spezifischen Hochrisiko-Anforderungen (Risikomanagement, technische Dokumentation, menschliche Aufsicht) werden in die ohnehin erforderliche Konformitätsbewertung nach MDR bzw. IVDR integriert und von der Benannten Stelle mitgeprüft (vgl. Fachbeiträge spezialisierter Kanzleien zum Digital Omnibus, 2026). Die maßgebliche Frist für die Hochrisiko-Pflichten bleibt nach dem Digital Omnibus der 2. August 2028.

Für Medizintechnik-Unternehmen heißt das: keine doppelte Compliance nach AI Act und MDR bzw. IVDR parallel, sondern ein integrierter Pfad über das ohnehin vertraute Medizinprodukterecht. Eine Entwarnung ist das nicht, denn die Anforderungen an Sicherheit und klinische Bewertung bleiben anspruchsvoll; der Nachweis verlagert sich jedoch in ein Regime, das Sie bereits kennen. Zusätzlich wurde der Begriff der „Sicherheitskomponente" enger gefasst: KI-Funktionen, die Anwender nur unterstützen oder die Leistung optimieren, fallen nicht automatisch unter die Hochrisiko-Pflichten, solange ihr Ausfall keine Gesundheits- oder Sicherheitsrisiken schafft.

Davon klar zu trennen ist der weitaus häufigere Fall: KI im Büro und im regulatorischen Alltag: Recherche in QM- und Regulierungsdokumenten, Dokumentenanalyse, Review technischer Dokumentation, Onboarding. Diese internen Anwendungen sind in aller Regel begrenztes oder minimales Risiko. Hier geht es nicht um Konformitätsbewertungen, sondern um Transparenz, Nachvollziehbarkeit und den Nachweis von KI-Kompetenz.

EU AI Act und DSGVO: Was ist der Unterschied?

Beide Regelwerke werden oft verwechselt, regeln aber Unterschiedliches. Die DSGVO schützt personenbezogene Daten. Der EU AI Act reguliert KI-Systeme, unabhängig davon, ob personenbezogene Daten verarbeitet werden. Wo eine KI personenbezogene Daten verarbeitet, gelten beide Verordnungen parallel. Für Medizintechnik-Unternehmen heißt das: Eine DSGVO-konforme Datenverarbeitung ist notwendig, aber nicht hinreichend; die AI-Act-Pflichten kommen obendrauf. Gerade bei Gesundheitsdaten ist das relevant, weil hier besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO betroffen sind.

In Deutschland konkretisiert das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) die nationale Umsetzung. Es benennt die Bundesnetzagentur (BNetzA) als zentrale Marktüberwachungsbehörde, Anlaufstelle und Beschwerdestelle, mit dem dort angesiedelten Koordinierungs- und Kompetenzzentrum (KoKIVO), und regelt die Sanktionen. Sektorale Behörden bleiben in ihren Bereichen zuständig, etwa das BfArM bei Medizinprodukten; das BSI bringt seine Cybersicherheitskompetenz unterstützend ein (Bundesministerium für Digitales und Staatsmodernisierung [BMDS], 2026; TÜV Rheinland Consulting, o. J.).

Was passiert bei Verstößen?

Die Bußgelder sind gestaffelt nach Schwere des Verstoßes: Bei Einsatz verbotener Praktiken drohen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Verstöße gegen die Hochrisiko-Pflichten können mit bis zu 15 Millionen Euro oder 3 % des Umsatzes geahndet werden. Maßgeblich ist jeweils der höhere Betrag (Europäische Kommission, o. J.).

Checkliste: Was Medizintechnik-Unternehmen jetzt tun sollten

Unabhängig von den verschobenen Fristen ist die Vorbereitung in jedem Fall sinnvoll. Diese fünf Schritte sind der pragmatische Einstieg:

  1. KI-Inventar erstellen. Welche KI-Tools werden im Unternehmen tatsächlich eingesetzt, auch „inoffiziell" in einzelnen Teams?
  2. Risiko klassifizieren. Ordnen Sie jedes System einer der vier Risikoklassen zu. Wichtig: Auch wenn ein System nicht hochriskant ist, verlangt Art. 6 Abs. 3 eine dokumentierte Begründung.
  3. KI-Kompetenz aufbauen und nachweisen. Schulungen, interne Richtlinien und eine dokumentierte Schulungshistorie erfüllen die Art.-4-Pflicht.
  4. Governance verankern. Verantwortlichkeiten, Freigabeprozesse und Transparenzregeln (Kennzeichnung KI-generierter Inhalte) festlegen. In der MedTech idealerweise verzahnt mit dem bestehenden QM-System nach ISO 13485.
  5. Compliante Werkzeuge wählen. Bevorzugen Sie Anbieter, die Datenverarbeitung, Quellennachweis und Transparenz von vornherein mitdenken; das reduziert Ihren eigenen Dokumentationsaufwand erheblich.

Wie hilft MAIA bei der AI-Act-konformen KI-Nutzung?

MAIA ist als KI-gestützte Wissensplattform für regulierte Industrie- und Medizintechnik-Unternehmen genau auf diesen Anspruch ausgelegt. Drei Punkte zahlen direkt auf die Anforderungen des EU AI Act ein:

Nachvollziehbarkeit statt Blackbox. Jede Antwort ist bis auf Dokument und Version mit Quellennachweis belegt. Das erfüllt den Transparenzgedanken des Art. 50 und macht Ergebnisse auditierbar. Das ist ein klarer Unterschied zu generischen KI-Tools, die „richtig klingen", aber nicht belegbar sind, und passt zur Dokumentationskultur in MDR- und ISO-13485-Umgebungen.

DSGVO-konform, kein Training auf Kundendaten. Datenverarbeitung nach europäischem Standard, gehostet in Deutschland und der Schweiz. Ihre internen Dokumente fließen nicht in fremde Modelltrainings.

Kontrollierter, dokumentierbarer Einsatz. Klar definierter Anwendungsfall (Wissenszugriff statt klinischer Entscheidung oder Steuerung eines Medizinprodukts) erleichtert die Risikoeinordnung als begrenztes Risiko und damit Ihre eigene Dokumentation.

Wer KI im regulatorischen und im Wissensalltag einsetzen will, ohne sich neue Compliance-Risiken einzukaufen, sollte genau auf diese Eigenschaften achten.

[Kostenlose Demo vereinbaren →]

Häufig gestellte Fragen zum EU AI Act

Gilt der EU AI Act schon jetzt? Ja. Die Verordnung ist seit dem 1. August 2024 in Kraft. Das Verbot bestimmter Praktiken (Art. 5) und die Pflicht zur KI-Kompetenz (Art. 4) gelten seit dem 2. Februar 2025. Die Hochrisiko-Pflichten greifen später (Dezember 2027 bzw. August 2028).

Ist mein Medizintechnik-Unternehmen vom EU AI Act betroffen, wenn wir nur ChatGPT oder ähnliche Tools nutzen? Ja, als Betreiber. Sie müssen vor allem die KI-Kompetenz Ihrer Mitarbeitenden sicherstellen und dürfen keine verbotenen Praktiken einsetzen. Mit den eigentlichen Hochrisiko-Anforderungen haben Sie nur zu tun, wenn Sie KI als Sicherheitskomponente in ein Medizinprodukt integrieren oder die KI selbst ein Medizinprodukt ist; diese werden über die Konformitätsbewertung nach MDR bzw. IVDR geprüft (Frist 2. August 2028).

Wann müssen Hochrisiko-KI-Systeme in der Medizintechnik konform sein? Nach dem Digital Omnibus gilt für KI in regulierten Produkten (Anhang I), zu denen Medizinprodukte und In-vitro-Diagnostika zählen, der 2. August 2028; die KI-spezifischen Anforderungen werden dabei in die Konformitätsbewertung nach MDR bzw. IVDR integriert. Für eigenständige Hochrisiko-Systeme (Anhang III) gilt der 2. Dezember 2027.

Was ist der Unterschied zwischen EU AI Act und DSGVO? Die DSGVO schützt personenbezogene Daten, der EU AI Act reguliert KI-Systeme unabhängig davon. Verarbeitet eine KI personenbezogene Daten, gelten beide Regelwerke parallel.

Wie hoch sind die Strafen bei Verstößen? Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis zu 15 Mio. Euro oder 3 % bei Verstößen gegen die Hochrisiko-Pflichten.

Quellen

Bundesministerium für Digitales und Staatsmodernisierung. (2026, Februar). Kabinett beschließt schlanke KI-Aufsicht in Deutschland.

Europäische Kommission. (o. J.). Regulatorischer Rahmen für künstliche Intelligenz.

Fachbeiträge spezialisierter Kanzleien zum Digital Omnibus on AI. (2026, Mai bis Juni). [Praxisbeiträge/Mandanteninformationen].

Rat der Europäischen Union. (2026, 7. Mai). Künstliche Intelligenz: Rat und Parlament einigen sich auf Vereinfachung der Regeln [Pressemitteilung].

TÜV Rheinland Consulting. (o. J.). KI-MIG Deutschland: Behörden, Bußgelder, Fristen.

Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte (MDR). (2017). Amtsblatt der Europäischen Union.

Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates vom 5. April 2017 über In-vitro-Diagnostika (IVDR). (2017). Amtsblatt der Europäischen Union.

Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-Verordnung). (2024). Amtsblatt der Europäischen Union.

Blog

Weitere Blogartikel

Wissensverlust im Maschinenbau: Was passiert, wenn der erfahrenste Kopf geht?
KI für Unternehmen

Wissensverlust im Maschinenbau: Was passiert, wenn der erfahrenste Kopf geht?

Jun 23, 2026
Top 10 Einsatzgebiete von KI in Unternehmen
KI für Unternehmen

Top 10 Einsatzgebiete von KI in Unternehmen

Feb 4, 2025
Künstliche Intelligenz im Unternehmen: Ein Leitfaden für den erfolgreichen Start
Best Practices

Künstliche Intelligenz im Unternehmen: Ein Leitfaden für den erfolgreichen Start

Feb 4, 2025