EU-Kommission plant DSGVO-Reform: Gesundheitsbranche in Aufruhr

Ausgerechnet jetzt, wo Medizintechnik-Unternehmen händeringend versuchen, ihre KI-Systeme rechtskonform auf den Markt zu bringen, droht die EU-Kommission das Fundament des Datenschutzes umzubauen. Geleakte Dokumente zeigen: Die für den 19. November angekündigte „Omnibus”-Reform könnte den Schutz sensibler Gesundheitsdaten massiv aufweichen. Datenschützer sprechen bereits vom „extremsten Angriff auf die Privatsphäre” seit Einführung der DSGVO.

Die Branche steckt in der Zwickmühle. Während der EU AI Act für medizinische KI-Anwendungen strenge Sicherheitsauflagen vorschreibt, plant Brüssel gleichzeitig eine Lockerung der Datenschutzregeln. Was bedeutet das für Patienten, Ärzte und Hersteller?

Alarm bei den Datenschützern: “Heimlicher Angriff” auf Patientendaten

Die Wiener Organisation noyb um Aktivist Max Schrems schlägt Alarm. Die durchgesickerten Pläne der EU-Kommission hätten es in sich: Unter dem Vorwand der Bürokratiereduzierung soll die Definition „personenbezogener Daten” eingeschränkt werden. Besonders brisant: Der besondere Schutz sensibler Informationen nach Artikel 9 der DSGVO – also explizit Gesundheits-, Gen- und biometrische Daten – könnte deutlich geschwächt werden.

Die Konsequenzen? KI-Unternehmen erhielten faktisch einen Freibrief, um Patientendaten für das Training ihrer Algorithmen zu nutzen. Die rechtliche Grundlage, auf der medizinische KI-Systeme heute entwickelt werden, würde sich fundamental ändern. Und das, obwohl viele der vorgeschlagenen Änderungen laut noyb der bisherigen Rechtsprechung des Europäischen Gerichtshofs und der EU-Grundrechtecharta widersprechen.

Passend zum Thema KI-Regulierung: Dieses kostenlose E-Book erklärt kompakt, welche Pflichten der AI Act für Hersteller und Entwickler medizinischer KI-Systeme vorschreibt — von Risikoklassifizierung über Nachweisdokumentation bis zu Kennzeichnungspflichten. Praxisnahe Checklisten zeigen, wie Sie Ihre Projekte AI-Act-konform vorbereiten und teure Verzögerungen bei Notifizierungsverfahren vermeiden. Ideal für Entwickler, Compliance-Manager und Datenschutzbeauftragte. Kostenfreies KI-Verordnung-E-Book jetzt herunterladen

AI Act verschärft die Lage: Hersteller kämpfen gegen die Uhr

Die Situation ist paradox. Während Brüssel beim Datenschutz offenbar auf die Bremse tritt, gibt der AI Act beim Thema Sicherheit ordentlich Gas. Die meisten medizinischen KI-Systeme – etwa zur Diagnostik oder Therapieplanung – gelten als Hochrisiko-Systeme. Das bedeutet: strenge Anforderungen an Risikomanagement, Datenqualität, Transparenz und menschliche Aufsicht, bevor überhaupt an eine Marktzulassung zu denken ist.

Die Übergangsfrist endet im August 2027. Klingt nach viel Zeit? Von wegen. Industrieverbände warnten bereits im September vor Engpässen: Das Notifizierungsverfahren für die zuständigen Prüfstellen könnte länger dauern als die Übergangsfrist selbst. Ein Déjà-vu-Erlebnis – ähnliche Verzögerungen hatte es schon bei der Einführung der Medizinprodukteverordnung (MDR) gegeben.

Auch aus der Fachwelt kommt der Ruf nach Klarheit. Erst diese Woche forderten Experten in einem Kommentar standardisierte Leitlinien für den KI-Einsatz in der Radiologie. Die Botschaft ist eindeutig: Der AI Act braucht praxistaugliche Umsetzungsregeln, und zwar schnell.

Nationale Behörden versuchen, die Balance zu finden

Während auf EU-Ebene das große Chaos droht, arbeiten nationale Datenschutzbehörden daran, Ordnung ins Getümmel zu bringen. Die deutsche Datenschutzkonferenz (DSK) hat sich 2025 mehrfach positioniert: Im Juni veröffentlichte sie eine Orientierungshilfe mit konkreten technischen und organisatorischen Maßnahmen für KI-Entwicklung und -Betrieb.

Im Oktober folgte eine Stellungnahme zum geplanten nationalen KI-Durchführungsgesetz. Die Botschaft der Aufsichtsbehörden: Wir wollen Innovation ermöglichen, aber nicht auf Kosten der Bürgerrechte. Doch was nützen diese Bemühungen, wenn die EU-Kommission gleichzeitig die DSGVO-Grundlagen neu definiert? Die Rechtsunsicherheit für Entwickler, Ärzte und Patienten könnte kaum größer sein.

Branche zwischen Innovation und Compliance-Albtraum

Die Medizintechnikbranche sieht sich einem regulatorischen Drahtseilakt ausgesetzt. Auf der einen Seite verschärfen AI Act und MDR die Anforderungen an Sicherheit und Transparenz drastisch. Das erhöht Entwicklungsaufwand und Kosten erheblich. Auf der anderen Seite könnte die „Omnibus”-Reform ausgerechnet jene Datenschutzgrundlagen aufweichen, auf denen viele KI-Systeme basieren.

Diese widersprüchliche Gemengelage schafft eine prekäre Planungsunsicherheit. Unternehmen investieren Millionen, um die strengen AI-Act-Vorgaben zu erfüllen – während die Spielregeln für die Datenverarbeitung komplett neu definiert werden könnten. Max Schrems bringt es auf den Punkt: Ein „schlecht ausgearbeiteter Schnellschuss” schade nicht nur den Nutzern, sondern auch den europäischen Unternehmen selbst.

Die Ironie der Situation? Europa wollte mit DSGVO und AI Act weltweiter Vorreiter bei ethischer und sicherer KI werden. Stattdessen droht nun ein regulatorisches Patchwork, das weder Innovationen fördert noch Patienten angemessen schützt.

Entscheidende Wochen für Europas digitale Zukunft

Der 19. November wird zeigen, wie ernst es die EU-Kommission mit ihren Reformplänen meint. Die anschließende Debatte im Europäischen Parlament und im Rat der Mitgliedstaaten wird entscheiden, ob der strenge Schutz von Gesundheitsdaten Bestand hat oder ob wirtschaftliche Interessen die Oberhand gewinnen.

Für die Hersteller medizinischer KI-Produkte tickt derweil die Uhr. Bis 2027 müssen sie ihre Systeme AI-Act-konform zertifizieren lassen – unter Bedingungen, die noch nicht abschließend geklärt sind. Zahlreiche Fachveranstaltungen und Webinare noch in diesem Monat unterstreichen die Dringlichkeit.

Die zentrale Frage bleibt: Schafft es Europa, eine Balance zu finden, die medizinischen Fortschritt durch KI ermöglicht, ohne die fundamentalen Rechte der Patienten zu opfern? Oder erstickt der Kontinent seine eigene Innovationskraft in einem Widerspruch aus überbordender Regulierung hier und gefährlicher Deregulierung dort? Die Antwort auf diese Frage wird die Zukunft der europäischen Gesundheitsversorgung prägen.

Übrigens: Die Fristen und Dokumentationspflichten des AI Act stellen viele Hersteller und Entwickler vor praktische Herausforderungen. Dieser kostenlose Leitfaden fasst die wichtigsten Umsetzungsregeln, Checklisten und Nachweiserfordernisse kompakt zusammen, damit Ihr Projekt keine Verzögerungen bei der Notifizierung erleidet. Perfekt für Projektleiter, Datenschutzbeauftragte und Entwicklungsteams in der Medizintechnik. Gratis-Leitfaden zur EU-KI-Verordnung sichern