Gesundheitsbranche vor doppelter Regulierungswelle

Krankenhäuser und Tech-Firmen kämpfen mit strengen neuen Regeln für Daten und KI. Ab August drohen Millionenstrafen bei Verstößen gegen die EU-Vorgaben.

ePA-Daten für die Forschung: Start Ende 2026

Ein großer Schritt steht im Gesundheitswesen bevor: Ab dem vierten Quartal 2026 will die gematik, die IT-Behörde der Gesundheitskassen, erstmals pseudonymisierte Daten aus der elektronischen Patientenakte (ePA) an das Forschungsdatenzentrum Gesundheit übermitteln. Das Ziel ist klar: Pharmaforschung und öffentliche Gesundheitsstudien sollen von großen, aussagekräftigen Datensätzen profitieren. Patienten können diesen Transfer jedoch widersprechen – ein Recht, das im Sozialgesetzbuch V verankert ist.

Die geplante Sekundärnutzung sensibler Patientendaten erfordert eine lückenlose Dokumentation aller Verarbeitungsschritte gemäß Art. 30 DSGVO. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis rechtssicher und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. DSGVO-Muster-Verarbeitungsverzeichnis jetzt kostenlos herunterladen

Doch der geplante Sekundärnutzung sensibler Gesundheitsdaten ist umstritten. Experten warnen vor den Risiken bei besonders schützenswerten Informationen wie psychiatrischen Diagnosen oder HIV-Status. Zwar gilt die Pseudonymisierung als Standard, doch bei sehr detaillierten Datensätzen bleibt ein Restrisiko der Wiedererkennung. Ein Urteil des Bundesgerichtshofs vom 31. März 2026 verschärft die Lage: Es verpflichtet Datenverantwortliche ausdrücklich, falsche personenbezogene Daten auch in Drittarchiven zu löschen, sobald sie bekannt werden.

EU-KI-Gesetz: Die August-Frist rückt näher

Parallel zur Datenfrage verschärft sich die Regulierung für Künstliche Intelligenz. Der EU AI Act tritt für die meisten Unternehmen am 2. August 2026 vollständig in Kraft. Viele KI-Anwendungen im Gesundheitsbereich – von Diagnosehilfen über Personalauswahl bis zur Medikamentenentwicklung – werden als Hochrisiko-Systeme eingestuft. Die Folge: umfangreiche Transparenz-, Dokumentations- und Risikomanagement-Pflichten.

Die Branche ist darauf kaum vorbereitet. Laut aktuellen Umfragen fühlen sich nur 3 Prozent der Compliance-Experten vollständig gerüstet. Die Eile ist berechtigt, denn die Strafen sind drastisch: Bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes können bei Verstößen fällig werden. Die EU-Kommission arbeitet unter Hochdruck an einem „Digital Omnibus“, der die Schnittstelle zwischen Datenschutz-Grundverordnung (DSGVO) und KI-Gesetz vereinfachen soll. Könnte dies den Weg für eine KI-Entwicklung im „berechtigten Interesse“ ebnen?

Viele Unternehmen unterschätzen die neuen Anforderungen des EU AI Acts, die bereits konkrete Pflichten für die Risikodokumentation vorsehen. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Risikoklassen und Pflichten für Ihre IT-Abteilung. Kostenloses E-Book zum EU AI Act sichern

Hohe Kosten und neue Gesetze weltweit

Die Dringlichkeit für solide Governance-Systeme wird durch hohe Kosten für Datenpannen und Betrug untermauert. Allein in den USA führte eine nationale Ermittlungswelle 2025 zu Anklagen gegen 324 Personen – mit einem mutmaßlichen Schaden von über 14,6 Milliarden Dollar. Die durchschnittlichen Kosten einer Datenpanne lagen 2025 bei etwa 4,1 Millionen Euro.

Die Regulierungswelle ist global: In Kalifornien traten am 1. Januar 2026 zwei neue KI-Sicherheitsgesetze in Kraft. Gouverneur Newsom erließ zudem eine Verordnung, die staatliche Verträge an Transparenzstandards bindet, die den europäischen ähneln. In Oklahoma erhalten Verbraucher ab dem 1. Januar 2027 neue Rechte auf Auskunft, Löschung und Widerspruch gegen den Verkauf ihrer Daten.

Compliance als größtes Hindernis für KI

Für IT-Dienstleister und Berater ist die regulatorische Hürde inzwischen das Hauptproblem. Eine Studie von AvePoint und Omdia zeigt: 51 Prozent der Managed Service Provider sehen Governance und Compliance als größtes Hindernis für ihre Kunden bei KI-Projekten. Paradoxerweise steigt die Nachfrage nach Compliance-Dienstleistungen 2026 voraussichtlich um 21 Prozent.

Ein großes Risiko bleibt die „Schatten-KI“ – die nicht genehmigte Nutzung öffentlicher KI-Tools durch Mitarbeiter. Oft geben diese unbeabsichtigt sensible Daten wie Patientenkontrakte in öffentliche Modelle ein. Als Gegenmaßnahme setzen Unternehmen vermehrt auf KI-Kompetenzprogramme, die der EU AI Act seit Anfang 2025 vorschreibt. Sie schulen Risikoklassifizierung, Dokumentation und klare Nutzungsrichtlinien.

Ausblick: Der Druck steigt weiter

Das restliche Jahr 2026 wird von der Umsetzung geprägt sein. Mit dem Start des EU AI Act im August müssen Gesundheitsunternehmen ihre KI-Bestände erfassen und Risiken bewerten. Der geplante Start der deutschen Forschungsdaten-Transfers wird zum Praxistest für die pseudonymisierte Massendatenverarbeitung.

2027 wird die regulatorische Schraube weiter angezogen: Indiens Datenschutzgesetz (DPDP Act) tritt voll in Kraft, und in der EU gilt ab Juli eine neue Bargeldobergrenze von 10.000 Euro für Geschäftstransaktionen zur Bekämpfung der Geldwäsche. Für die Gesundheitsbranche bleibt die zentrale Aufgabe, die Lücke zwischen innovativer KI und der peniblen Dokumentation für Sicherheit und Datenschutz zu schließen. Die Zeit zum Handeln wird knapp.

de | boerse | 69134153 |