EU AI Act ab August 2026 — 8 Stolperfallen für Arztpraxen
Risikoklassen, Schulungspflichten, Doku-Anforderungen, Übergangsfristen: Was niedergelassene Ärzte konkret beachten müssen, sobald der AI Act greift.
Der EU AI Act ist seit August 2024 in Kraft. Die für Arztpraxen relevanten Regelungen greifen schrittweise — die wichtigsten ab August 2026. Wer KI in der Praxis einsetzt, ist Betreiber im Sinne der Verordnung und trägt eigene Pflichten. Diese acht Stolperfallen sehen wir aktuell am häufigsten.
1. Falsche Risikoklasse angenommen
Der AI Act unterscheidet vier Risikoklassen. Medizinische KI fällt in zwei davon — und die Einordnung ist nicht immer offensichtlich.
- Hochrisiko: KI, die zur Diagnose, Triage oder Therapieentscheidung beiträgt.
- Begrenztes Risiko: KI für Dokumentation, Übersetzung, Verwaltung.
Eine Software, die einen Arztbrief formuliert, ist in der Regel nicht hochriskant. Eine Software, die Befunde befundet oder Diagnosen vorschlägt, schon. Die Einordnung muss der Anbieter liefern — der Betreiber muss sie nachvollziehen können.
2. Keine schriftliche Mitarbeiterschulung
Art. 4 AI Act fordert eine ausreichende „KI-Kompetenz” beim Personal, das KI-Systeme bedient. Die Pflicht greift seit Februar 2025. Eine mündliche Einweisung reicht nicht — die Schulung muss dokumentiert sein.
Inhalte, die abgedeckt werden müssen:
- Funktionsweise des konkreten Systems in Grundzügen
- Grenzen und typische Fehlerquellen
- Eskalationswege bei Auffälligkeiten
- Datenschutz- und Schweigepflicht-Aspekte
Empfehlung: Eine Stunde pro Mitarbeiter, schriftliches Protokoll, jährliche Auffrischung.
3. Keine Dokumentation des KI-Einsatzes
Bei Hochrisiko-KI muss der Betreiber den Einsatz protokollieren — wer hat wann welche KI-Ausgabe genutzt und wie weiter verarbeitet. Bei begrenztem Risiko reicht eine allgemeine Übersicht. In jedem Fall müssen Sie auf Anfrage darstellen können, welche KI-Werkzeuge Sie einsetzen und wofür.
„Die Aufsicht wird nicht jede Praxis besuchen. Aber im Schadensfall — etwa nach einem Behandlungsfehler — wird genau hingesehen.” — Vortrag einer Datenschutzbehörde, März 2026
4. Übergangsfristen falsch eingeschätzt
Der AI Act greift gestaffelt. Wichtige Daten für Arztpraxen:
| Datum | Was gilt |
|---|---|
| Februar 2025 | KI-Kompetenzpflicht für Personal |
| August 2025 | Pflichten für Anbieter von General-Purpose-KI |
| August 2026 | Pflichten für Hochrisiko-KI in vielen Sektoren |
| August 2027 | Volle Anwendbarkeit für Hochrisiko-KI in Medizinprodukten |
Wer eine Hochrisiko-KI bis August 2026 nicht konform betreibt, riskiert Bußgelder bis zu 15 Mio. Euro oder 3 % des weltweiten Umsatzes — bei einer Praxis greift naturgemäß die niedrigere Pauschale, sie ist aber nicht zu vernachlässigen.
5. Keine Information der Patienten
Patienten müssen erfahren, wenn KI an ihrer Versorgung beteiligt ist — zumindest dann, wenn die KI über reine Hintergrund-Verwaltung hinausgeht. Die Information kann im Aufnahmebogen, in der Praxisinformation oder mündlich erfolgen, sollte aber nachweisbar sein.
In der Praxis hat sich ein kurzer Absatz im Behandlungsvertrag bewährt: „Bei der Erstellung medizinischer Dokumente unterstützt uns ein lokales KI-System. Die ärztliche Verantwortung bleibt unberührt.”
6. Keine Aufsicht durch den Arzt
Der AI Act fordert „menschliche Aufsicht” über Hochrisiko-KI. Übersetzt: Es muss klar sein, wer verantwortlich ist und wer die KI-Ausgabe prüft, bevor sie wirksam wird. In der Praxis bedeutet das: Der Arzt gibt frei, der Arzt unterschreibt, der Arzt haftet.
Was nicht funktioniert: Eine MFA gibt KI-erzeugte Briefe ohne ärztliche Sichtung an Patienten heraus.
7. Cloud-Anbieter ohne EU-Sitz
Anbieter aus den USA fallen unter den AI Act, sobald sie ihre Dienste in der EU anbieten. In der Praxis ist die Durchsetzung gegen US-Anbieter aber schwierig. Wer auf rechtssicherem Grund stehen will, wählt Anbieter mit EU-Sitz und EU-Verarbeitung — oder noch sicherer: lokale Hardware in der eigenen Praxis.
8. Keine Vorbereitung auf Audits
Eine Datenschutzbehörde oder Aufsichtsbehörde kann jederzeit Auskunft verlangen. Drei Unterlagen sollten griffbereit sein:
- Liste der eingesetzten KI-Werkzeuge mit Risikoklasse
- Schulungsnachweise des Personals
- Verträge mit Anbietern (DSGVO-AVV, Verschwiegenheitsverpflichtung nach § 203 StGB)
Wer diese drei Unterlagen in einer halben Stunde vorlegen kann, hat den größten Teil der Audit-Fragen abgedeckt.
Praktischer Hinweis
Lokale KI in der otium.arx vereinfacht den AI-Act-Umgang erheblich: keine Drittstaaten-Anbieter, klare Verantwortungskette, leichtere Doku. Otium liefert genau dieses Modell — Hardware vor Ort, ohne Cloud, mit nachvollziehbarem Einsatzprotokoll.
Otium mit Mikrofon ansehen
30 Minuten Demo. Mit Ihren echten Beispielen. Ohne Verkaufsmasche.