Gesundheitsdaten aus Wearables: Risikoklasse und Pflichten im EU-KI-Recht
KI-gestützte Auswertung von Wearable-Daten (Smartwatch, Fitness-Tracker, kontinuierliche Glukose-Sensoren) ist je nach Zweck unterschiedlich reguliert. Minimal/begrenzt: reine Wellness-/Fitness-Selbstverfolgung (Schrittzahl, Schlaf) — keine AI-Act-Pflicht, ggf. Art. 50 Transparenz. Hochriskant: wenn die KI als Medizinprodukt (Diagnose-/Therapiezweck) eingesetzt wird — dann Anhang I AI Act (Sicherheitsbestandteil regulierter Produkte) PLUS Medizinprodukte-VO (MDR), notifizierte Stelle, CE. Überlagert: DSGVO Art. 9 (Gesundheitsdaten als besondere Kategorie — strenge Voraussetzungen), Arzneimittel-/Medizinprodukterecht, Berufsrecht. Die Zweckabgrenzung „Wellness vs. Diagnose" ist entscheidend.
Steve Baka
Einordnung nach Zweck
Wearable-KI wird nach Zweck eingestuft. Wellness/Fitness (Schritte, Schlaf, Stress-Score, allgemeine Fitness): meist minimal, ggf. begrenzt (Art. 50 Transparenz bei Interaktion). Diagnose/Therapie (Herzrhythmus-Erkennung, Sturzerkennung mit Notruf, Glukose-Prognose, AFib-Detektion): wird Medizinprodukt nach MDR und als Sicherheitsbestandteil hochriskant nach Anhang I AI Act — notifizierte Stelle, CE, klinische Bewertung. Die Grenze „medizinischer Zweck" (Art. 2 MDR) entscheidet — sie wird von der MDR definiert, nicht vom AI Act.
Hochrisiko bei medizinischem Zweck
Bei medizinischem Zweck: vollständiges Art. 8–15-Pflichtenbündel PLUS MDR (klinische Bewertung, Vigilanz, benannte Stelle, CE-Kennzeichnung nach MDR). Eine CE deckt beide Regime ab (Art. 47 Abs. 2–4). Beispiele: EKG-KI zur AFib-Erkennung (Apple Watch/Fitbit), kontinuierliche Glukose-Prognose, Sturzerkennung mit Notruf bei Senioren. Besonderheiten: kontinuierliche Datenströme (Logging Art. 12), Bias an Patientenkohorten (Art. 10), Cybersecurity (Art. 15 — Wearables sind angriffsexponiert), menschliche ärztliche Letztverantwortung (Art. 14).
DSGVO Art. 9: Gesundheitsdaten
Überlagert zwingend DSGVO Art. 9 — Gesundheitsdaten sind eine besondere Kategorie, Verarbeitung grundsätzlich verboten mit engen Ausnahmen (Art. 9 Abs. 2: ausdrückliche Einwilligung, Gesundheitsfürsorge, öffentliches Interesse). DSFA (Art. 35) bei hochriskanter Verarbeitung. Transparenz nach Art. 13/14. Datenminimierung: viele Wellness-Wearables sammeln übermäßig; eine konservative Datenminimierung schützt. Koppelungsverbot: keine unlautere Koppelung von Gesundheitsdaten mit anderen Zwecken (z. B. Versicherungstarifierung). Versicherungswerbung mit Wearable-Daten ist hochproblematisch (siehe „Risikobasierte Preisbildung in der Versicherung").
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Welche Risikostufe hat Wearable-KI?
Nach Zweck: Wellness = minimal/begrenzt. Diagnose/Therapie = Medizinprodukt nach MDR + hochriskant nach Anhang I AI Act. Zweckabgrenzung entscheidet.
Greift DSGVO Art. 9?
Ja. Gesundheitsdaten sind besondere Kategorie — Verarbeitung nur unter engen Ausnahmen (Einwilligung, Gesundheitsfürsorge). DSFA bei hochriskanter Verarbeitung. Koppelungsverbot.
Darf die Versicherung Wearable-Daten nutzen?
Hochproblematisch. Art. 9 DSGVO (Gesundheitsdaten) + AGG + Gleichbehandlung verbieten risikobasierte Tarifierung aus Wearable-Daten ohne engste Voraussetzungen. Meist unzulässig.
Rechtskonforme Umsetzung für Gesundheitsdaten aus Wearables?
Wenn du Gesundheitsdaten aus Wearables rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.