Wearables & Connected Health Devices: AI Act, Data Act & DSGVO-Pflichten
Wearables & Connected Health Devices (Smartwatch, Fitness-Tracker, kontinuierliche Glukose-Sensoren, EKG-Wearables, Sturzerkennung) mit KI werden nach Zweck eingestuft. Wellness/Fitness (Schritte, Schlaf, allgemeine Fitness): meist MINIMALES/BEGRENZTES Risiko (keine AI-Act-Pflicht, ggf. Art. 50 Transparenz). Diagnose-/Therapie-/Pflege-Zweck (EKG-AFib-Erkennung, kontinuierliche Glukose-Prognose, Sturzerkennung mit Notruf): wird Medizinprodukt nach MDR + hochriskant nach Anhang I AI Act (notifizierte Stelle, CE, klinische Bewertung). Überlagert: DSGVO Art. 9 (Gesundheitsdaten — besondere Kategorie, strenge Voraussetzungen), Medizinprodukte-/Pflege-/Berufsrecht, EU Data Act (verbundene Produkte), CRA, Versicherungsrecht (Telematik-/Wearable-Tarife kritisch). Aufsichtlich: BfArM/PEI (DE), Marktüberwachung, Datenschutz-Aufsichten. Die Zweckabgrenzung „Wellness vs. Diagnose" ist entscheidend.
Steve Baka
Einordnung nach Zweck
Wearables & Connected Health Devices mit KI werden nach dem Verwendungszweck eingestuft — die Zweckabgrenzung „Wellness vs. Diagnose" (MDR Art. 2) entscheidet. Wellness/Fitness (Schrittzahl, Schlaf-Tracking, allgemeine Fitness-Score, Stress-Score): meist MINIMALES Risiko (keine AI-Act-Pflicht), ggf. BEGRENZT (Art. 50 Abs. 2 Transparenz bei Interaktion). Diagnose-/Therapie-/Pflege-Zweck (EKG-AFib-Erkennung Apple Watch/Fitbit, kontinuierliche Glukose-Prognose, Sturzerkennung mit Notruf bei Senioren, Schlaf-Apnoe-Screening): wird Medizinprodukt nach MDR (Art. 2 medizinischer Zweck) PLUS hochriskant nach Anhang I AI Act (KI als Sicherheitskomponente eines regulierten Produkts — notifizierte Stelle, CE, klinische Bewertung). Pflegerobotik/Begleitrobotik: ggf. hochriskant (Anhang I + MDR bei medizinischem Zweck). Eine genaue Zweck-/Funktionsanalyse ist entscheidend — die Grenze „medizinischer Zweck" wird von der MDR definiert, nicht vom AI Act.
Praxis: MDR, DSGVO Art. 9, Data Act
Praktisch: (1) bei medizinischem Zweck: volles Art. 8–15-Pflichtenbündel PLUS MDR (klinische Bewertung, Risikoklassifizierung I/IIa/IIb/III, benannte Stelle, CE, Vigilanz), menschliche ärztliche Letztverantwortung (Art. 14 — Ärztin/Arzt prüft, entscheidet); (2) DSGVO — Gesundheitsdaten Art. 9 (besondere Kategorie, Verarbeitung nur unter engen Ausnahmen: ausdrückliche Einwilligung, Gesundheitsfürsorge, öffentliches Interesse), DSFA bei hochriskanter Verarbeitung, Datenminimierung (viele Wearables sammeln übermäßig), Informierte Einwilligung, Koppelungsverbot (keine unlautere Koppelung mit Versicherungs-/Werbungs-Zwecken); (3) Pflege-/Berufsrecht (PflBG, SGB XI, § 203 StGB Schweigepflicht); (4) EU Data Act — Wearables/Connected Health sind verbundene Produkte, Nutzer hat Recht auf Datenzugang/-weitergabe an Dritte (alternative Gesundheits-/Fitness-Apps, unabhängige Dienste), FRAND (Art. 9–11); (5) CRA — Cybersecurity für Wearables/Connected Health (Security by Design, Schwachstellen-Meldung); (6) Versicherungsrecht — risikobasierte Prämien aus Wearable-Daten sind hochproblematisch (AGG, DSGVO Art. 9, Koppelungsverbot). Aufsichtlich: BfArM/PEI (DE Medizinprodukte), Marktüberwachung (AI Act), Datenschutz-Aufsichten (DSK — Gesundheitsdaten streng überwacht), Datenschutz-Folgenabschätzung (DSFA) unverzichtbar.
Grenzen: Versicherungskoppelung und Datensouveränität
Die Grenze der Wearable-/Connected-Health-KI ist die Versicherungskoppelung und die Datensouveränität. Wearable-Daten (Schritte, Schlaf, Herzrate, Glukose) sind hochgradig personen-/gesundheitsbezogen — DSGVO Art. 9 (besondere Kategorie), Koppelungsverbot (keine unlautere Koppelung von Gesundheits-Daten mit Versicherungs-/Werbungs-/Arbeits-Zwecken). Risikobasierte Versicherungsprämien aus Wearable-Daten sind hochproblematisch — AGG (Diskriminierungsverbot Geschlecht/Alter/Gesundheit), DSGVO Art. 9 (Gesundheitsdaten), soziale Segmentation (gesund/ungeplagt vs. krank/pflegebedürftig). Arbeitgeber-Koppelung (Firmen-Wearables für Gesundheitsförderung) braucht freiwillige Teilnahme, strenge Daten-Trennung, keine Personal-Entscheidungen. Datensouveränität: Data Act-Rechte (Datenzugang/-weitergabe) sichern Nutzer-Autonomie, alternative Dienste, keine Plattform-Lock-ins. Datenschutz: lokale Verarbeitung, Verschlüsselung, Löschkonzept, Transparenz über Datenflüsse. Eine verantwortungsvolle Wearable-/Connected-Health-KI respektiert Gesundheitssensibilität, Versicherungskoppelungs-Verbot, Datensouveränität und Menschenwürde — Gesundheits-Daten dienen Nutzerin/Nutzer und Arzt, nicht Ausbeutung.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Welche Risikostufe hat Wearable-KI?
Nach Zweck: Wellness minimal/begrenzt. Diagnose/Therapie = Medizinprodukt nach MDR + hochriskant nach Anhang I. Zweckabgrenzung „Wellness vs. Diagnose" entscheidet (MDR Art. 2).
Greift DSGVO Art. 9?
Ja stark. Gesundheitsdaten sind besondere Kategorie — Verarbeitung nur unter engen Ausnahmen (Einwilligung, Gesundheitsfürsorge). Koppelungsverbot. DSFA unverzichtbar. Datenschutz-Aufsichten streng überwacht.
Dürfen Versicherungen Wearable-Daten nutzen?
Hochproblematisch. AGG + DSGVO Art. 9 + soziale Segmentation. Koppelungsverbot. Risikobasierte Prämien meist unzulässig. Arbeitgeber-Koppelung braucht Freiwilligkeit und Daten-Trennung.
KI-Compliance für Wearables & Connected Health Devices?
Wenn du im Sektor Wearables & Connected Health Devices KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.