Künstliche Intelligenz revolutioniert den Sektor der Medizinprodukte, indem sie Diagnosetools vorantreibt, robotergestützte Operationen unterstützt und personalisierte Behandlungsempfehlungen liefert. Allerdings überholt die Innovation die Regulierung. Mit dem EU-KI-Gesetz, das inzwischen vorläufig angenommen wurde, und der revidierten Produkthaftungsrichtlinie (PLD), sind Hersteller von Medizinprodukten mit einer neuen, komplexen Rechtslage konfrontiert, die von überlappenden Pflichten und sich wandelnden Haftungsrisiken geprägt ist.
Theoretisch strebt die EU eine Harmonisierung der Regeln zu Sicherheit, Transparenz und Haftung von KI an. In der Praxis existiert jedoch ein fragmentiertes Patchwork aus Compliance-Anforderungen, rechtlichen Unsicherheiten und offenen Fragen zur Verantwortlichkeit – insbesondere wenn KI-Systeme autonom handeln.
Dies sollten Hersteller wissen:
1. „Hochriskant“ per se: Die doppelte regulatorische Belastung
Die EU-KI-Verordnung stuft jede KI ein, die in Medizinprodukten eingesetzt wird und Diagnosen, Behandlungen oder Patientenüberwachung beeinflusst, als „hochriskant“ (high-risk). Diese Einstufung löst strenge Anforderungen aus: umfassendes Risikomanagement, Qualitätssicherung, Datenmanagement, Protokollierung und Transparenz sowie obligatorische menschliche Aufsicht.
Zudem müssen KI-gestützte Medizinprodukte gleichzeitig die Anforderungen der EU-Medizinprodukteverordnung (MDR) erfüllen. Dies führt zu einem doppelten Konformitätsbewertungsverfahren – einmal nach dem KI-Gesetz, einmal nach der MDR. Zwar sieht das KI-Gesetz horizontale Regelungen zur Harmonisierung vor, dennoch bleibt die Doppelprüfung insbesondere bei adaptiver KI oder Software mit häufigen Updates erheblich. Hersteller sollten daher mit höherem Aufwand und erhöhten Ressourcenbedarfen rechnen.
2. Rechtliche versus technische Autonomie: Haftung im zunehmend autonomen Umfeld
Das KI-Gesetz verlangt eine „angemessene menschliche Aufsicht“ bei hochriskanter KI. Doch was bedeutet das in einem überlasteten Klinikalltag, in dem Zeit, Personal und Fachkenntnis knapp sind?
KI-Systeme wie chirurgische Roboter oder Entscheidungsunterstützungstools können halbautonom oder innerhalb vorgegebener Parameter sogar selbstständig agieren. Mit wachsender technischer Autonomie geraten traditionelle Haftungsmodelle unter Druck. Wer haftet, wenn ein medizinischer Roboter aufgrund eines probabilistischen Modells eine schädliche Entscheidung trifft oder ein Diagnosetool wegen verzerrter Daten falsche Behandlungsvorschläge macht?
Dieses Szenario ist keine theoretische Zukunftsmusik: Gerichte werden baldfälle beurteilen müssen, in denen niemand die „Verursachung“ im klassischen Sinne trifft. Das Gerät funktionierte wie trainiert, das Krankenhaus befolgte Herstelleranweisungen, die KI handelte innerhalb ihrer Grenzen und dennoch wurde der Patient geschädigt. Das aktuelle EU-Recht kennt keine klare lösungsorientierte Doktrin dafür.
3. Rückzug der KI-Haftungsrichtlinie: Ein regulatorisches Vakuum
Bis Anfang 2025 verfolgte die Europäische Kommission die KI-Haftungsrichtlinie (ALD), um Haftungslücken bei schuldrechtlichen Ansprüchen mit KI-Bezug zu schließen. Ziel war ein harmonisiertes Regelwerk, angepasst an autonome Technologien.
Doch die ALD wurde still und leise zurückgezogen – wegen politischer Blockaden und Befürchtungen von Überschneidungen mit nationalem Deliktsrecht. Damit klafft ein regulatorisches Vakuum. Ohne ein EU-weites schuldhaftes Haftungsregime für KI müssen Geschädigte auf fragmentierte nationale Fahrlässigkeitsrechte oder die revidierte Richtlinie über die Haftung für fehlerhafte Produkte (PLD) zurückgreifen. Keine davon passt jedoch vollständig auf autonome, lernende KI-Systeme.
4. Produkthaftung: Ein unzureichendes Instrument für komplexe KI
Die aktualisierte PLD bringt KI-spezifische Anpassungen: die Ausweitung des Produktbegriffs auf Software und digitale Komponenten, widerlegbare Vermutungen bei Beweisschwierigkeiten und die Festlegung einer Produzentenhaftung für fehlerhafte KI-Produkte ohne Verschulden.
Dennoch bestehen wesentliche Herausforderungen:
-
Ursächlichkeit und Fehlerhaftigkeit: Die verschuldensunabhängige Haftung gilt nur bei einem „Fehler“. Die Definition eines Fehlers im KI-Kontext ist rechtlich und technisch komplex. Ist ein lernendes System, das in 2% der Fälle falsch diagnostiziert, schon fehlerhaft, wenn es dennoch besser als menschliche Experten abschneidet? Wo liegt die Zumutbarkeitsgrenze?
- Mehrparteiensysteme: KI-Produkte basieren oft modular auf unterschiedlich entwickelten Komponenten – Software, Trainingsdaten, Systemintegration. Die Zuordnung von Haftung oder Ursache in der komplexen Lieferkette bleibt unsicher.
- Adaptive KI und Weiterentwicklung: Die PLD verknüpft Haftung mit dem Zustand des Produkts bei Inverkehrbringen. Adaptive KI, die sich nach Markteinführung durch Lernen verändert, stellt dieses Prinzip infrage. Sind Hersteller haftbar für Fehler, die durch spätere Anpassungen entstehen, oder nicht?
5. Erklärbarkeit und Transparenz: Das Dilemma der „Black Box“
Hochriskante KI muss im Sinne des KI-Gesetzes transparent und erklärbar sein. Viele medizinische Hochleistungs-KI-Anwendungen, insbesondere Deep-Learning-Modelle zur Erkennung feiner Muster in Bild- oder Genomdaten, arbeiten jedoch als „Black Box“ – ihre Funktionsweise ist selbst Fachleuten oft nicht vollständig zugänglich.
Dies erzeugt eine Rechtsanspannung: Hersteller müssen aussagekräftige Informationen über Funktionsweise und Grenzen bereitstellen, gleichzeitig geistiges Eigentum schützen und mit der inhärenten Uninterpretierbarkeit der Modelle umgehen. Führt eine KI-Empfehlung zu Schaden, und weder Arzt noch Entwickler können die Entscheidungslogik erläutern, wie ist die Haftung dann zu verteilen?
6. Überwachung nach dem Inverkehrbringen: Kontinuierliche Kontrolle, unklare Haftung
Das KI-Gesetz verlangt eine kontinuierliche Kontrolle der Leistungsfähigkeit von KI-Systemen im praktischen Einsatz, ergänzend zu den bestehenden MDR-Anforderungen. Hersteller müssen nicht nur die Produktleistung überwachen, sondern auch sicherstellen, dass KI-Komponenten dauerhaft innerhalb akzeptabler Risiken bleiben.
Die PLD hingegen regelt nicht, wie mit Haftung für Änderungen nach Inverkehrbringen umzugehen ist. Wenn z. B. Veränderungen im Patientenstamm oder Behandlungsprotokoll die Modellleistung verschlechtern und Hersteller dies nicht erkennen, stellt sich die Frage, ob das Produkt fehlerhaft oder haftungsauslösend ist. Die Rechtslage ist hier weiterhin unklar.
7. Praktische Handlungsempfehlungen für Hersteller
Angesichts der unsicheren und sich wandelnden Rechtslage genügt reine Rechtskonformität nicht, um Haftungsrisiken zuverlässig zu mindern. Hersteller sollten:
-
Umfassende rechtliche und technische Audits der KI-Komponenten durchführen.
-
Strenge Versionskontrolle und Update-Tracking implementieren.
-
Ausführliche Dokumentation zu Trainingsdaten, Leistungskennzahlen und Beschränkungen führen.
-
Sicherheitsmechanismen integrieren und menschliche Eingriffe ermöglichen.
-
Eine proaktive Nachmarktüberwachung planen, insbesondere zur Erkennung von Modellverschiebungen („Model Drift“) im klinischen Alltag.
Fazit: Compliance allein reicht nicht
Das EU-KI-Gesetz und die revidierte PLD sind wichtige Fortschritte für Sicherheit und Verantwortlichkeit von KI. Dennoch sind sie für die Komplexität lebenswichtiger KI-Systeme im Gesundheitssektor unvollständig und nicht ideal passend.
Hersteller KI-gestützter Medizinprodukte müssen über oberflächliche Compliance hinausdenken. Die Haftung verlagert sich – subtil, aber deutlich – hin zu den Produzenten. Dies erfordert ein proaktives, ganzheitliches Vorgehen, das juristische Voraussicht mit technischer Sorgfalt verbindet.
