use_caseArticlemaschinenlesbar

Gesundheitsdaten aus Wearables: Risikoklasse und Pflichten im EU-KI-Recht

MenschMarkdown öffnen

KI-gestützte Auswertung von Wearable-Daten (Smartwatch, Fitness-Tracker, kontinuierliche Glukose-Sensoren) ist je nach Zweck unterschiedlich reguliert. Minimal/begrenzt: reine Wellness-/Fitness-Selbstverfolgung (Schrittzahl, Schlaf) — keine AI-Act-Pflicht, ggf. Art. 50 Transparenz. Hochriskant: wenn die KI als Medizinprodukt (Diagnose-/Therapiezweck) eingesetzt wird — dann Anhang I AI Act (Sicherheitsbestandteil regulierter Produkte) PLUS Medizinprodukte-VO (MDR), notifizierte Stelle, CE. Überlagert: DSGVO Art. 9 (Gesundheitsdaten als besondere Kategorie — strenge Voraussetzungen), Arzneimittel-/Medizinprodukterecht, Berufsrecht. Die Zweckabgrenzung „Wellness vs. Diagnose" ist entscheidend.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
einordnung

Einordnung nach Zweck

Wearable-KI wird nach Zweck eingestuft. Wellness/Fitness (Schritte, Schlaf, Stress-Score, allgemeine Fitness): meist minimal, ggf. begrenzt (Art. 50 Transparenz bei Interaktion). Diagnose/Therapie (Herzrhythmus-Erkennung, Sturzerkennung mit Notruf, Glukose-Prognose, AFib-Detektion): wird Medizinprodukt nach MDR und als Sicherheitsbestandteil hochriskant nach Anhang I AI Act — notifizierte Stelle, CE, klinische Bewertung. Die Grenze „medizinischer Zweck" (Art. 2 MDR) entscheidet — sie wird von der MDR definiert, nicht vom AI Act.

hochrisiko

Hochrisiko bei medizinischem Zweck

Bei medizinischem Zweck: vollständiges Art. 8–15-Pflichtenbündel PLUS MDR (klinische Bewertung, Vigilanz, benannte Stelle, CE-Kennzeichnung nach MDR). Eine CE deckt beide Regime ab (Art. 47 Abs. 2–4). Beispiele: EKG-KI zur AFib-Erkennung (Apple Watch/Fitbit), kontinuierliche Glukose-Prognose, Sturzerkennung mit Notruf bei Senioren. Besonderheiten: kontinuierliche Datenströme (Logging Art. 12), Bias an Patientenkohorten (Art. 10), Cybersecurity (Art. 15 — Wearables sind angriffsexponiert), menschliche ärztliche Letztverantwortung (Art. 14).

dsgvo

DSGVO Art. 9: Gesundheitsdaten

Überlagert zwingend DSGVO Art. 9 — Gesundheitsdaten sind eine besondere Kategorie, Verarbeitung grundsätzlich verboten mit engen Ausnahmen (Art. 9 Abs. 2: ausdrückliche Einwilligung, Gesundheitsfürsorge, öffentliches Interesse). DSFA (Art. 35) bei hochriskanter Verarbeitung. Transparenz nach Art. 13/14. Datenminimierung: viele Wellness-Wearables sammeln übermäßig; eine konservative Datenminimierung schützt. Koppelungsverbot: keine unlautere Koppelung von Gesundheitsdaten mit anderen Zwecken (z. B. Versicherungstarifierung). Versicherungswerbung mit Wearable-Daten ist hochproblematisch (siehe „Risikobasierte Preisbildung in der Versicherung").

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.

European Data Protection Board (EDPB)

EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.

Rat für Künstliche Intelligenz (Österreich)

Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.

FAQ

Häufige Fragen

Welche Risikostufe hat Wearable-KI?

Nach Zweck: Wellness = minimal/begrenzt. Diagnose/Therapie = Medizinprodukt nach MDR + hochriskant nach Anhang I AI Act. Zweckabgrenzung entscheidet.

Greift DSGVO Art. 9?

Ja. Gesundheitsdaten sind besondere Kategorie — Verarbeitung nur unter engen Ausnahmen (Einwilligung, Gesundheitsfürsorge). DSFA bei hochriskanter Verarbeitung. Koppelungsverbot.

Darf die Versicherung Wearable-Daten nutzen?

Hochproblematisch. Art. 9 DSGVO (Gesundheitsdaten) + AGG + Gleichbehandlung verbieten risikobasierte Tarifierung aus Wearable-Daten ohne engste Voraussetzungen. Meist unzulässig.

Compliance für deinen Fall

Rechtskonforme Umsetzung für Gesundheitsdaten aus Wearables?

Wenn du Gesundheitsdaten aus Wearables rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.

Jetzt beraten lassen
Related