EU-Kommission legt neue KI-Richtlinien für Kliniken vor

Cyberangriffe auf Gesundheitsdaten nehmen drastisch zu – die EU reagiert mit schärferen Regeln für Künstliche Intelligenz in der Medizin.

Die Sicherheitslage für Organisationen mit sensiblen Patientendaten hat sich im ersten Quartal 2026 dramatisch zugespitzt. Parallel zu einer Welle von Ransomware-Angriffen veröffentlichte die EU-Kommission am 20. Mai 2026 einen Richtlinienentwurf zur Einstufung von Hochrisiko-KI-Systemen. Die Neuregelung wird Hersteller von Medizinprodukten und Gesundheitsdienstleister in der gesamten Europäischen Union massiv betreffen.

Angesichts der neuen EU-Vorgaben für künstliche Intelligenz stehen viele Unternehmen vor komplexen Compliance-Herausforderungen. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Anforderungen, Pflichten und Risikoklassen des AI Acts. EU AI Act in 5 Schritten verstehen

Angriffswelle auf Dienstleister: Datenklau statt Systemverschlüsselung

Die Ransomware-Aktivität stieg im ersten Quartal 2026 um 49 Prozent im Vergleich zum Vorjahr. 119 verschiedene Gruppierungen attackierten rund 3.300 Industrie- und Dienstleistungsunternehmen. Branchenbeobachter stellen einen grundlegenden Strategiewechsel fest: Statt Systeme zu verschlüsseln und Lösegeld zu fordern, konzentrieren sich Angreifer zunehmend auf den Diebstahl und die anschließende Veröffentlichung von Daten. Besonders deutlich wurde dies beim Hack der Indigo Group, von dem mehr als 27.000 Organisationen betroffen waren.

Die Verwundbarkeit großer Dienstleister zeigte sich auch am 17. April 2026, als der Cybersicherheitsspezialist Trellix selbst Opfer eines Ransomware-Angriffs wurde. Die Gruppe RansomHouse begann am 7. Mai, betroffene Unternehmen auf ihrem Blog zu listen. Selbst spezialisierte Sicherheitsanbieter sind nicht immun gegen sogenannte „Living-off-the-Land“-Techniken, bei denen Angreifer monatelang unentdeckt bleiben. Die durchschnittliche Verzögerung bis zur Offenlegung eines Datenlecks liegt mittlerweile bei 73 Tagen – eine enorme Belastung für betroffene Kliniken und ihre Patienten.

Neue EU-Richtlinien: Wann wird KI zum Hochrisiko-System?

Der Richtlinienentwurf der EU-Kommission vom 20. Mai präzisiert die Anwendung von Artikel 6 des AI Acts. Zwei Säulen bestimmen die Einstufung als Hochrisiko-System:

1. Produkte unter EU-Harmonisierungsregeln – etwa Medizinprodukte
2. Eigenständige Systeme – darunter biometrische Identifikation und Emotionserkennung

Die Kommission nannte KI-gestützte Smartwatches zur Emotionserkennung als konkretes Beispiel. Solche Technologien, die in der Patientenüberwachung oder psychiatrischen Versorgung eingesetzt werden, unterliegen künftig strengen Auflagen.

Die Fristen sind ambitioniert: Für eigenständige Systeme aus Anhang III des AI Acts gelten die Hochrisiko-Pflichten ab dem 2. Dezember 2027. Für Systeme in harmonisierten Produkten tritt die Regelung am 2. August 2028 in Kraft.

Ein wichtiger Hinweis der Experten: Menschliche Aufsicht allein befreit nicht von der Hochrisiko-Einstufung. Organisationen müssen ihre KI-Systeme vollständig inventarisieren und robuste Risikomanagement-Prozesse etablieren.

Phishing-Welle: Betrüger zielen auf Gesundheitsdaten

Während Großangriffe Schlagzeilen machen, setzen Kriminelle zunehmend auf automatisierte Werkzeuge, um individuelle Patientendaten zu stehlen. Die Deutsche Rentenversicherung warnte am 20. Mai 2026 vor einer Phishing-Welle mit täuschend echten Nachahmungen ihres offiziellen Erscheinungsbilds. Die Betrugsmails locken mit angeblichen „Sicherheitsupdates“ für den digitalen Rentenüberblick oder Zahlungsfehlern.

Ähnliche Muster zeigen sich in der Privatwirtschaft. Anfang Mai 2026 nutzte eine massive Kampagne Google AppSheet für gefälschte iCloud-Speicherwarnungen und Amazon-Produktrückrufe. Die Behörden in Wien nahmen einen Verdächtigen fest, der einen „SMS-Blasters“ einsetzte – fähig, 100.000 betrügerische Nachrichten pro Stunde zu versenden.

Die Betrugsmethoden werden durch KI-generierte Stimmen und „Phishing-as-a-Service“-Plattformen immer professioneller. Die Plattform Tycoon 2FA, die speziell zur Umgehung der Zwei-Faktor-Authentifizierung entwickelt wurde, verlor am 4. März 2026 über 330 ihrer Domains durch eine internationale Beschlagnahmungsaktion.

Microsoft verabschiedet sich von SMS-Verifikation

Als Reaktion auf die eskalierenden Bedrohungen steigen große Technologieanbieter auf sicherere Verfahren um. Microsoft kündigte am 20. Mai 2026 an, die SMS-basierte Verifikation für Privatkonten auslaufen zu lassen. Der Grund: Die Anfälligkeit für „SIM-Swap“-Angriffe, bei denen Kriminelle die Handynummer auf ihre SIM-Karte übertragen.

Die Branche setzt stattdessen auf Passkeys nach dem FIDO2-Standard. Diese kryptografischen Schlüssel werden auf dem TPM-Chip des Geräts gespeichert und sind deutlich widerstandsfähiger gegen Phishing als herkömmliche Passwörter oder Codes.

Da herkömmliche Passwörter und SMS-Verfahren zunehmend zum Sicherheitsrisiko werden, gewinnt die passwortlose Anmeldung massiv an Bedeutung. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Diensten wie Amazon oder WhatsApp einrichten und sich effektiv vor Datenklau schützen. Gratis-Report: Sicher und passwortlos mit Passkeys

Für Gesundheitsdienstleister wird die Balance zwischen DSGVO-Compliance und technologischer Innovation zur Herausforderung. Das Berliner Unternehmen explicare bringt ein KI-Transkriptionstool für Ärzte auf den Markt, das Daten ausschließlich auf Servern in Deutschland und Frankreich verarbeitet und nach sieben Tagen löscht.

Hohe Strafen: Bis zu 35 Millionen Euro oder 7 Prozent des Umsatzes

Die finanziellen Risiken für Verstöße sind beträchtlich. Der AI Act und die DSGVO sehen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes vor. In Deutschland erhält die Bundesnetzagentur ab dem 2. August 2026 die Befugnis, Sanktionen zu verhängen.

Die deutsche Rechtsprechung präzisiert zudem die Grenzen der Datenhaftung. Das Landgericht Krefeld entschied am 5. November 2025, dass ein Hackerangriff mit einer Zero-Day-Lücke nicht automatisch auf mangelnde technische und organisatorische Maßnahmen (TOMs) schließen lässt – vorausgesetzt, das Unternehmen schloss die Sicherheitslücke zeitnah nach ihrer Entdeckung.

Analyse: Cyberkriminalität wird zum Industriezweig

Die aktuellen Daten zeigen: Cyberkriminalität hat sich von Gelegenheitsangriffen zu einer hochprofessionellen Industrie entwickelt. Der Trend zur „Double Extortion“ – also Verschlüsselung plus Datendiebstahl – zeigt, dass Angreifer nicht mehr nur Betriebsstörungen verursachen, sondern langfristigen Druck durch gestohlene Daten aufbauen wollen.

Für Kliniken bedeutet das: Selbst wenn Backups funktionieren und Systeme wiederhergestellt werden können, bleibt die Drohung eines Datenlecks ein massives Compliance- und Reputationsrisiko.

Auch für Plattformbetreiber wird die Rechtslage komplexer. Das Pfälzische Oberlandesgericht Zweibrücken entschied am 21. Mai 2026, dass Plattformen Nutzerdaten offenlegen müssen, wenn eine Bewertung nachweislich falsche Tatsachenbehauptungen enthält – etwa unzutreffende Vorwürfe zu Mindestlohnzahlungen.

Ausblick: Zwei Jahre der Anpassung für die Gesundheitsbranche

Die nächsten zwei Jahre werden für die europäische Gesundheitsbranche eine phase intensiver Umstellung. Organisationen müssen mehrere Fristen im Blick behalten:

• 15. August 2027: Pflicht zur Energieeffizienz-Kennzeichnung für große Rechenzentren (>500 kW)
• 2. Dezember 2027: Hochrisiko-Pflichten für eigenständige KI-Systeme
• 2. August 2028: Hochrisiko-Pflichten für KI in harmonisierten Produkten

Während die Behörden die Infrastruktur der Cyberkriminellen weiter zerschlagen – die internationale Aktion „Operation Synergia III“ führte zu 94 Festnahmen und der Deaktivierung von 45.000 Servern – müssen Kliniken und ihre Dienstleister ihre KI-Inventare und Datenschutzprotokolle auf den neuesten Stand bringen. Die Bundesnetzagentur beginnt ihre Aufsicht im August 2026. Die Zeit drängt.

de | wirtschaft | 69395399 |