Gesundheits-IT steht vor erweiterten Compliance-Anforderungen

Mit der seit August 2024 geltenden EU-KI-Verordnung werden hochriskante KI-Systeme schrittweise reguliert. Betroffen sind Anwendungen in Bereichen wie Gesundheitswesen, Bildung oder Justiz, die Grundrechte berühren können. Erste Pflichten gelten seit August 2025, die volle Konformität für hochriskante Systeme ist ab August 2026 vorgesehen.

Zu den Anforderungen zählen laut Verordnung ein systematisches Risikomanagement, hohe Datenqualität, Transparenz, menschliche Aufsicht sowie Vorgaben zu Genauigkeit und Cybersicherheit. Anbieter müssen vor dem Inverkehrbringen eine Konformitätsbewertung durchführen und die Systeme in einer EU-Datenbank registrieren. Ein durchgängiges Qualitätsmanagementsystem ist verpflichtend.

Freiwillige harmonisierte Standards wie ISO/IEC 42001 oder ISO/PAS 8800 unterstützen die Umsetzung und begründen eine Vermutung der Konformität. In der Gesundheits-IT bestehen Synergien mit bestehenden Regelwerken wie MDR, DSGVO und BSI-Standards. Für in regulierten Produkten integrierte KI-Systeme endet die Übergangsfrist erst im August 2027. Berichte deuten zudem auf eine mögliche Verschiebung zentraler Fristen hin.