EU AI Act 2026: Gilt Ihr KI-Scribe als „Hochrisiko“ im Praxisalltag?
Ein verständlicher Entscheidungsbaum für Praxen und Kliniken zum EU AI Act. Erfahren Sie, wann ein KI-Scribe „nur Dokumentation“ ist und wann er als Hochrisiko gilt, was der Zeitplan 2026 bedeutet, und welche Fragen Sie Ihrem Anbieter stellen sollten.
Geschrieben von
Dya Klinisches Team
Experten für Klinische Dokumentation
Der EU AI Act ist kein Entwurf mehr. Er trat im August 2024 in Kraft, und die für Praxen relevantesten Vorschriften — die Hochrisiko-Pflichten für KI-Systeme — gelten ab August 2026. Wenn Ihre Praxis einen KI-Scribe einsetzt oder dies plant, lautet die entscheidende Frage: Gilt er als „Hochrisiko"?
Die Antwort ist nicht immer offensichtlich. Ein KI-Scribe, der eine Sitzung transkribiert und einen SOAP-Bericht formatiert, wirkt harmlos. Doch wenn dasselbe Werkzeug anfängt, Diagnosen vorzuschlagen, Risikoindikatoren zu markieren oder Daten in Behandlungsentscheidungen einfließen zu lassen, ändert sich das regulatorische Bild grundlegend.
Dieser Leitfaden erklärt die Klassifizierungslogik in verständlicher Sprache, erläutert die relevanten Fristen und gibt Ihnen eine Checkliste mit Fragen an jeden KI-Anbieter vor August 2026.
Was der EU AI Act tatsächlich verlangt
Der AI Act basiert auf einem risikobasierten Ansatz. Nicht jedes KI-System wird gleich behandelt. Es gibt vier Stufen:
- Unannehmbares Risiko — vollständig verboten (Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum)
- Hohes Risiko — erlaubt, aber strengen Anforderungen an Dokumentation, Aufsicht, Transparenz und Konformitätsbewertung unterworfen
- Begrenztes Risiko — nur Transparenzpflichten (z. B. Offenlegung, dass ein Chatbot KI-basiert ist)
- Minimales Risiko — keine spezifischen Pflichten
Die meisten KI-Werkzeuge im klinischen Einsatz liegen zwischen „hohes Risiko" und „begrenztes Risiko". Die Unterscheidung ist wichtig, denn die Hochrisiko-Einstufung löst ein umfassendes Compliance-Regime aus: technische Dokumentation, Risikomanagementsysteme, Mechanismen zur menschlichen Aufsicht, Anforderungen an die Datengovernance und in vielen Fällen eine Konformitätsbewertung durch eine benannte Stelle.
Eine falsche Einstufung hat reale Konsequenzen. Bußgelder für fehlerhafte Klassifizierung können bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes betragen.
Die zwei Wege zur Einstufung als „Hochrisiko"
Gemäß Artikel 6 des AI Act kann ein KI-System auf zwei Wegen als Hochrisiko eingestuft werden:
Weg 1: Es ist ein Medizinprodukt (Artikel 6(1), Anhang I)
Wenn Ihr KI-Scribe als Medizinprodukt — oder als Sicherheitskomponente eines solchen — gemäß der EU-Medizinprodukteverordnung (MDR) eingestuft ist und eine Konformitätsbewertung durch Dritte erfordert (also Klasse IIa oder höher), ist er automatisch ein Hochrisiko-KI-System.
Dies betrifft KI-Werkzeuge, die über die reine Dokumentation hinausgehen. Wenn die Software Patientendaten analysiert, um Diagnosen vorzuschlagen, Behandlungen zu empfehlen oder klinische Risiken zu kennzeichnen, qualifiziert sie sich wahrscheinlich als Software als Medizinprodukt (SaMD) im Sinne der MDR.
Wichtiger Hinweis: Die vollständigen Pflichten für KI-Systeme als Medizinprodukte gemäß Artikel 6(1) gelten erst ab dem 2. August 2027 — ein Jahr nach der allgemeinen Hochrisiko-Frist. Das von der EU vorgeschlagene Digital-Omnibus-Paket könnte diesen Termin je nach Verfügbarkeit harmonisierter Normen sogar auf August 2028 verschieben.
Weg 2: Er fällt unter einen Anwendungsfall in Anhang III (Artikel 6(2))
Anhang III listet spezifische Anwendungsfälle auf, die automatisch als Hochrisiko gelten. Die für das Gesundheitswesen relevanten fallen unter Kategorie 5 („Zugang zu wesentlichen Dienstleistungen"):
- KI-Systeme zur Beurteilung der Anspruchsberechtigung auf öffentliche Gesundheitsleistungen oder zur Gewährung, Kürzung oder Streichung von Leistungen
- KI-Systeme zur Risikobewertung und Tarifierung in der Lebens- und Krankenversicherung
- KI-Systeme für die Triage von Notrufen oder die Zuweisung von Notfall-Gesundheitsdiensten
Ein reines Dokumentationswerkzeug — das Sprache transkribiert und klinische Notizen formatiert — passt in keine dieser Kategorien. Doch die Grenze verschwimmt schnell, wenn das Werkzeug beginnt, Entscheidungen über den Zugang von Patienten zu Behandlungen, Versicherungen oder die Triage zu beeinflussen.
Der Entscheidungsbaum: Ist Ihr KI-Scribe „Hochrisiko"?
Hier ist der praktische Rahmen. Gehen Sie diese Fragen für jedes KI-Werkzeug durch, das in Ihrer Praxis eingesetzt wird:
Schritt 1: Ist das Werkzeug als Medizinprodukt klassifiziert?
Fragen Sie Ihren Anbieter direkt: Ist dieses Produkt als Medizinprodukt gemäß der MDR CE-gekennzeichnet? Falls ja — und es Klasse IIa oder höher ist — ist es ein Hochrisiko-System im Sinne des AI Act. Punkt.
Die meisten reinen KI-Scribes sind keine Medizinprodukte. Sie erfassen und formatieren Informationen, stellen aber keine Diagnosen, geben keine Empfehlungen und überwachen nicht. Allerdings richtet sich die Klassifizierung nach der Zweckbestimmung, nicht nach der Marketingsprache. Wenn die Dokumentation oder die Werbematerialien des Werkzeugs klinische Entscheidungsunterstützung implizieren, könnten Regulierungsbehörden es anders einstufen, als der Anbieter beabsichtigt hat.
Schritt 2: Fällt es unter einen Anwendungsfall in Anhang III?
Prüfen Sie die oben genannten Kategorien von Anhang III. Wenn das Werkzeug zur Beurteilung der Anspruchsberechtigung auf Gesundheitsleistungen, zur Berechnung von Versicherungsrisiken oder zur Triage von Patienten verwendet wird — auch als Nebenfunktion — kann dies die Hochrisiko-Einstufung auslösen.
Schritt 3: Beeinflusst es klinische Entscheidungen?
Hier entscheidet sich die Klassifizierung für die meisten KI-Scribes. Artikel 6(3) des AI Act sieht eine Ausnahme vor für Systeme, die:
(a) Eine eng begrenzte verfahrenstechnische Aufgabe ausführen — z. B. Sprache in Text umwandeln, Sitzungsnotizen nach einer Vorlage formatieren
(b) Das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit verbessern — z. B. die Notizen des Therapeuten überarbeiten, nachdem dieser seine Beurteilung bereits formuliert hat
(c) Muster erkennen, ohne die menschliche Beurteilung zu ersetzen oder zu beeinflussen — z. B. feststellen, dass der Behandler eine ungewöhnliche Terminologie verwendet hat, ohne klinische Vorschläge zu machen
(d) Eine vorbereitende Aufgabe für eine menschliche Beurteilung ausführen — z. B. die Krankengeschichte des Patienten vor der Durchsicht durch den Therapeuten ordnen
Wenn Ihr KI-Scribe nur transkribiert und Sitzungsnotizen formatiert — ohne Diagnosen vorzuschlagen, Symptome zu markieren, Handlungsempfehlungen zu geben oder Schweregrade einzuordnen — fällt er wahrscheinlich unter die Ausnahme von Artikel 6(3) und ist nicht hochriskant.
Schritt 4: Auch bei Ausnahme bestehen Pflichten
Anbieter, die sich auf die Ausnahme nach Artikel 6(3) berufen, müssen:
- Die Bewertung dokumentieren, bevor das System auf den Markt gebracht wird
- Das System in der EU-Datenbank für Hochrisiko-KI-Systeme registrieren (ja, auch Nicht-Hochrisiko-Systeme aus den Kategorien des Anhangs III müssen registriert werden)
- Dokumentation auf Anfrage den nationalen Behörden vorlegen
Fragen Sie Ihren Anbieter, ob er diese Bewertung durchgeführt hat. Wenn er noch nie von Artikel 6(3) gehört hat, ist das ein Warnsignal.
Schritt 5: Erstellt das Werkzeug Patientenprofile?
Ein entscheidender Punkt: Die Ausnahme nach Artikel 6(3) gilt niemals, wenn das System Personen profiliert. Im Sinne der DSGVO bedeutet Profiling die automatisierte Verarbeitung personenbezogener Daten zur Bewertung von Aspekten einer Person — Gesundheitszustand, Verhalten, Zuverlässigkeit, Aufenthaltsort.
Ein KI-Scribe, der Patientenmuster über Sitzungen hinweg verfolgt, Verhaltensänderungen markiert oder Risikoprofile erstellt, betreibt Profiling. Auch wenn er eine „eng begrenzte verfahrenstechnische Aufgabe" ausführt, hebt das Profiling die Ausnahme auf und löst die Hochrisiko-Einstufung aus.
Kurzübersicht zur Klassifizierung
| Was das Werkzeug tut | Wahrscheinliche Einstufung | Begründung |
|---|---|---|
| Sprache in Text transkribieren | Nicht Hochrisiko | Eng begrenzte verfahrenstechnische Aufgabe (Art. 6(3)(a)) |
| Notizen in SOAP-Vorlage formatieren | Nicht Hochrisiko | Eng begrenzte verfahrenstechnische Aufgabe (Art. 6(3)(a)) |
| Sitzungsinhalte zusammenfassen | Grauzone | Könnte eine menschliche Tätigkeit „verbessern" oder neue klinische Inhalte generieren |
| ICD-10-Codes vorschlagen | Grauzone | Könnte vorbereitend sein, aber möglicherweise Abrechnungsentscheidungen beeinflussen |
| Potenzielle Diagnosen oder Symptome markieren | Wahrscheinlich Hochrisiko | Beeinflusst die klinische Entscheidungsfindung |
| Behandlungsoptionen empfehlen | Hochrisiko | Qualifiziert sich wahrscheinlich als SaMD gemäß MDR |
| Patientenmuster über Sitzungen verfolgen | Hochrisiko | Profiling hebt die Ausnahme nach Artikel 6(3) auf |
| Dringlichkeit der Patienten triagieren | Hochrisiko | Ausdrücklich in Anhang III aufgeführt |
Zeitplan: Was wann passiert
Der stufenweise Inkrafttretungsprozess ist für die Planung relevant. Hier ist, was bereits geschehen ist und was kommt:
Bereits in Kraft:
- 2. Februar 2025 — Verbotene KI-Praktiken untersagt; Pflichten zur KI-Kompetenz aktiv
- 2. August 2025 — Governance-Regeln und Pflichten für Allzweck-KI-Modelle (GPAI) anwendbar
Kommend:
- 2. Februar 2026 — Die Europäische Kommission veröffentlicht Leitlinien mit praktischen Beispielen für Hochrisiko- und Nicht-Hochrisiko-Anwendungsfälle (direkt relevant für KI-Scribes)
- 2. August 2026 — Hochrisiko-Pflichten für Systeme des Anhangs III anwendbar (dies ist die Hauptfrist für eigenständige KI-Werkzeuge in Praxen)
- 2. August 2027 — Hochrisiko-Pflichten für KI-Systeme in regulierten Produkten (Medizinprodukte) anwendbar
Die Digital-Omnibus-Frage
Im November 2025 hat die Europäische Kommission das Digital-Omnibus-Paket vorgeschlagen, das die Hochrisiko-Fristen verschieben würde, bis die harmonisierten Compliance-Standards bereitstehen:
- Systeme des Anhangs III (eigenständige Hochrisiko-Werkzeuge): verschoben auf den früheren Termin von 2. Dezember 2027 oder 6 Monate nach Veröffentlichung der Normen
- Systeme des Anhangs I (KI in Medizinprodukten): verschoben auf den früheren Termin von 2. August 2028 oder 12 Monate nach Veröffentlichung der Normen
Das Digital-Omnibus-Paket ist ein Vorschlag, kein Gesetz. Es bedarf noch der Zustimmung der EU-Mitgliedstaaten und des Europäischen Parlaments. Aber die Richtung ist klar: Die Kommission erkennt an, dass die Compliance-Infrastruktur nicht planmäßig bereitsteht.
Was das für Praxen bedeutet: Nutzen Sie die mögliche Verschiebung nicht als Vorwand, die Vorbereitung zu vernachlässigen. Die Compliance-Anforderungen selbst ändern sich nicht — nur der Durchsetzungstermin. Praxen, die sich jetzt vorbereiten, werden unabhängig vom endgültigen Zeitplan im Vorteil sein.
10 Fragen an Ihren KI-Scribe-Anbieter
Führen Sie vor August 2026 dieses Gespräch mit jedem Anbieter, der KI-Werkzeuge für Ihre Praxis liefert:
1. „Ist Ihr Produkt als Medizinprodukt gemäß der MDR klassifiziert?"
Falls ja, fragen Sie nach der CE-Kennzeichnung und der Klassifizierungsstufe (I, IIa, IIb, III). Klasse IIa und höher bedeutet automatisch Hochrisiko im Sinne des AI Act.
2. „Haben Sie eine Bewertung nach Artikel 6(3) durchgeführt?"
Jeder Anbieter, dessen Werkzeug unter die Kategorien des Anhangs III fällt, sollte eine dokumentierte Bewertung vorweisen können, die erklärt, warum sein System Hochrisiko ist oder nicht. Wenn er dies nicht getan hat, ist er nicht bereit für 2026.
3. „Ist Ihr System in der EU-KI-Datenbank registriert?"
Auch Nicht-Hochrisiko-Systeme aus den Kategorien des Anhangs III müssen registriert sein. Fragen Sie nach der Registrierungsnummer.
4. „Beeinflusst Ihr Werkzeug klinische Entscheidungen in irgendeiner Weise?"
Gehen Sie über Marketingaussagen hinaus. Schlägt es Diagnosen vor? Empfiehlt es Abrechnungscodes? Markiert es Symptome? Stuft es Schweregrade ein? Jede dieser Funktionen könnte die Einstufung von „Dokumentationswerkzeug" zu „Hochrisiko-System" verschieben.
5. „Erstellt das System Patientenprofile über Sitzungen hinweg?"
Wenn das Werkzeug Muster verfolgt, Patientenprofile erstellt oder Verhaltensänderungen im Zeitverlauf markiert, gilt die Ausnahme nach Artikel 6(3) nicht — unabhängig von der Hauptfunktion des Werkzeugs.
6. „Wo werden die Patientendaten verarbeitet und gespeichert?"
Der AI Act steht neben der DSGVO. Klinische Daten, die außerhalb der EU verarbeitet werden, können zusätzliche Compliance-Anforderungen auslösen. Fragen Sie nach Datenresidenz, Aufbewahrungsrichtlinien und Unterauftragnehmern. Wenn Ihre Praxis in der Schweiz tätig ist, lesen Sie unsere DSG-Compliance-Checkliste für KI-gestützte medizinische Transkription für regionsspezifische Hinweise.
7. „Welche Mechanismen zur menschlichen Aufsicht sind integriert?"
Hochrisiko-Systeme erfordern eine bedeutsame menschliche Aufsicht — nicht nur einen „Bestätigen"-Button. Fragen Sie, wie das System es Therapeuten ermöglicht, die Ergebnisse zu verstehen, zu überwachen und zu korrigieren.
8. „Können Sie Ihre technische Dokumentation bereitstellen?"
Anbieter von Hochrisiko-KI-Systemen müssen umfassende technische Dokumentation führen, die Design, Entwicklung, Trainingsdaten, Tests und Leistungskennzahlen des Systems umfasst. Wenn ein Anbieter diese nicht teilen kann, hinterfragen Sie seine Compliance-Bereitschaft.
9. „Was passiert, wenn sich die Klassifizierung ändert?"
KI-Werkzeuge entwickeln sich weiter. Ein reiner Dokumentations-Scribe heute könnte morgen Funktionen zur klinischen Entscheidungsunterstützung erhalten. Fragen Sie, wie der Anbieter mit Reklassifizierungen umgeht und ob Updates das Risikoprofil verändern könnten.
10. „Wer trägt die Compliance-Verantwortung — Anbieter oder Betreiber?"
Im Rahmen des AI Act haben sowohl Anbieter (das Unternehmen, das die KI entwickelt) als auch Betreiber (die Praxis, die sie einsetzt) Pflichten. Betreiber von Hochrisiko-Systemen müssen die menschliche Aufsicht gewährleisten, das System auf Risiken überwachen und schwerwiegende Vorfälle melden. Klären Sie die Aufteilung der Verantwortlichkeiten in Ihrem Vertrag.
Was Praxen jetzt tun sollten
Sie müssen nicht auf die endgültigen harmonisierten Normen warten, um mit der Vorbereitung zu beginnen. Hier ist eine praktische Vorgehensweise:
Inventarisieren Sie Ihre KI-Werkzeuge
Listen Sie jedes KI-System auf, das in Ihrer Praxis eingesetzt wird — nicht nur den KI-Scribe. Berücksichtigen Sie Terminplanungstools, Triage-Chatbots, Codierassistenten, Abrechnungsautomatisierung und alles, was Patientendaten mit KI verarbeitet. Notieren Sie für jedes Werkzeug, was es tut und ob es klinische oder administrative Entscheidungen beeinflusst. Wenn Sie unsicher sind, was einen „KI-Scribe" von Diktat oder manueller Dokumentation unterscheidet, erklärt unser Vergleich von KI-Scribes, Diktat und manueller Dokumentation die Unterschiede.
Klassifizieren Sie jedes Werkzeug
Nutzen Sie den obigen Entscheidungsbaum. Bestimmen Sie für jedes KI-System, ob es Hochrisiko, potenziell Hochrisiko oder eindeutig ausgenommen ist. Dokumentieren Sie Ihre Begründung.
Überprüfen Sie Ihre Anbieterverträge
Prüfen Sie, ob Verträge die AI-Act-Compliance adressieren. Suchen Sie nach Klauseln zu: Verantwortung für die Konformitätsbewertung, Vorfallmeldung, Datengovernance-Pflichten und was geschieht, wenn sich die Risikoklassifizierung des Produkts ändert.
Etablieren Sie Prozesse zur menschlichen Aufsicht
Stellen Sie für jedes Werkzeug, das möglicherweise Hochrisiko ist, sicher, dass Ihre klinischen Abläufe eine bedeutsame menschliche Überprüfung beinhalten. „Bedeutsam" heißt, dass Therapeuten verstehen, was die KI tut, ihre Ergebnisse kritisch beurteilen und sie korrigieren oder übergehen können. Das bloße Abnicken KI-generierter Sitzungsnotizen genügt nicht. Für Praxen mit mehreren Therapeuten kann die Standardisierung der Berichtsstrukturen in Ihrem Team dabei helfen, die konsistenten Aufsichtsprozesse zu etablieren, die der AI Act verlangt.
Verfolgen Sie die Leitlinien vom Februar 2026
Die praktischen Beispiele der Europäischen Kommission — erwartet bis zum 2. Februar 2026 — werden die bisher klarsten Orientierungshilfen sein, was als Hochrisiko gilt und was nicht. Diese Leitlinien werden wahrscheinlich KI-Scribes direkt ansprechen.
Das Fazit
Die meisten KI-Scribes, die sich auf Transkription und Formatierung beschränken — Sprache in strukturierte Sitzungsnotizen umwandeln, ohne Entscheidungen zu beeinflussen — werden wahrscheinlich nicht als Hochrisiko eingestuft, dank der Ausnahme nach Artikel 6(3). Das ist die gute Nachricht.
Die Grauzone ist jedoch real. Funktionen wie automatische Codierungsvorschläge, klinische Zusammenfassungen, die über das hinausgehen, was der Therapeut gesagt hat, oder sitzungsübergreifende Mustererkennung können ein ansonsten einfaches Werkzeug in den Hochrisiko-Bereich verschieben. Und die daraus resultierenden Pflichten sind erheblich.
Der EU AI Act verbietet KI in Praxen nicht. Er verlangt Transparenz darüber, was KI-Werkzeuge tun, Verantwortlichkeit für ihre Nutzung und eine bedeutsame menschliche Aufsicht über klinische Prozesse. Für Praxen, die bereits gute Dokumentationsgewohnheiten pflegen — Überprüfung der KI-Ergebnisse, Bewahrung des klinischen Urteilsvermögens, Information der Patienten — könnte der Abstand zwischen der aktuellen Praxis und der Compliance geringer sein als erwartet.
Beginnen Sie das Gespräch mit Ihren Anbietern jetzt. Die Klassifizierungsfrage wird nicht verschwinden, und die Antwort bestimmt alles Weitere.
Weiterführende Lektüre
- KI-Scribe vs. Diktat vs. manuelle Dokumentation: Welche Methode reduziert den Verwaltungsaufwand wirklich? — Verstehen Sie, was KI-Scribes tatsächlich tun (und was nicht), bevor Sie ihre regulatorische Einstufung bewerten.
- Vollständiger Leitfaden zur KI-gestützten medizinischen Transkription — Ein praktischer Überblick über KI-Transkription im Gesundheitswesen, einschließlich Datenschutz- und Compliance-Aspekte.
- Berichte in einer Praxis mit mehreren Therapeuten standardisieren — Konsistente Dokumentationsabläufe etablieren, die sowohl Qualität als auch Compliance unterstützen.
- KI-gestützte medizinische Transkription in der Schweiz: DSG-Compliance-Checkliste — Regionsspezifische Datenschutzhinweise für Schweizer Praxen, die KI-Dokumentationswerkzeuge einsetzen.
- Sitzungsbericht-Vorlage für Therapeuten — Strukturierte Vorlagen, die die vom AI Act geforderte menschliche Aufsicht unterstützen.
Quellen
- EU AI Act — Zusammenfassung auf hoher Ebene
- Artikel 6: Klassifizierungsregeln für Hochrisiko-KI-Systeme
- Anhang III: Hochrisiko-KI-Systeme
- Zeitplan zur Umsetzung des EU AI Act
- MDCG 2025-6: Zusammenspiel zwischen der Medizinprodukteverordnung und dem AI Act
- AI Act: Leitfaden für Medizinproduktehersteller — Quickbird Medical
- Der EU AI Act und Medizinprodukte — Reed Smith
- Hochrisiko-KI — EU AI Act Leitfaden — Orrick
- EU Digital Omnibus zur KI — Morrison Foerster
- Europäische Kommission schlägt Verzögerung der AI-Act-Umsetzung vor — Euronews
- Auswirkungen des Digital Omnibus auf MedTech — Sidley Austin
- EU AI Act Zusammenfassung — Update Januar 2026 — SIG
- Navigation des EU AI Act im Gesundheitswesen — PMC
Brauchen Sie einen KI-Scribe, der auf Compliance ausgelegt ist? Dya Clinical erstellt strukturierte Sitzungsberichte aus Ihren Behandlungen — nur Transkription und Formatierung, keine klinische Entscheidungsunterstützung, kein Patienten-Profiling. Ihre Notizen, Ihr klinisches Urteil, Ihre Aufsicht. Testen Sie es 7 Tage kostenlos.
