KI verändert das Gesundheitswesen. Sie kann Muster in Bildern erkennen, den Verschlechterungszustand von Patienten vorhersagen, Versorgungswege priorisieren und Routineentscheidungen automatisieren. Doch wenn KI medizinische Aufgaben übernimmt oder dabei unterstützt, fällt sie klar in den Geltungsbereich von zwei erheblichen Regulierungsregimen: der EU-Medizinprodukteverordnung (MDR/IVDR) und dem EU-KI-Gesetz (AI Act). Die EU-Regulierungsbehörden erwarten von Herstellern, dass sie sowohl die klinische Sicherheit als auch die algorithmische Steuerung für medizinisch eingesetzte KI nachweisen.
Dieser Artikel beleuchtet die zentralen Herausforderungen, die an der Schnittstelle beider Regime entstehen.
Zehn Reibungspunkte, die Regulierer genau beobachten werden
1. Klassifikationsunsicherheit: Handelt es sich um ein Gerät, eine Software oder ein KI-System?
Auf den ersten Blick wirkt dies wie reine Formalität. In der Praxis ist es jedoch entscheidend: Die Qualifizierung nach MDR hängt vom Verwendungszweck ab, während der AI Act KI in Geräten, die einer Drittbewertung unterliegen, als „hochrisikobehaftet“ kennzeichnet. Viele Grenzprodukte sind jedoch faktensensitiv. Kleine Unterschiede in Kennzeichnung, Marketing oder Einsatz können den gesamten Konformitätspfad und die rechtlichen Folgen verändern.
Warum es wichtig ist: Eine Fehlklassifizierung kann zu Vollzugsmaßnahmen, Produktrückrufen oder belastenden rückwirkenden Konformitätsbewertungen führen.
2. Lebenszyklus vs. einmalige Genehmigungen: Wer steuert Updates?
Der AI Act behandelt Modell-Updates, Retrainings und Drift als kontinuierliche Lebenszyklusphänomene. Die MDR konzentriert sich auf Verifikation, Validierung und vor allem darauf, ob Änderungen neue Konformitätsverfahren auslösen. Die Frage, was eine „wesentliche Änderung“ im Sinne des AI Act darstellt und wann dies eine erneute Bewertung verlangt, ist sowohl technisch als auch strategisch.
Warum es wichtig ist: Die Möglichkeit, ein Modell nach der Markteinführung zu aktualisieren (zur Leistungssteigerung oder zur Beseitigung von Bias), hat hohen Produkt- und Geschäftswert, kann aber auch Neubewertungen auslösen und die Produktverfügbarkeit unterbrechen.
3. Qualitätssysteme: Zwei Sprachen in einem Prozess
Ein QMS nach ISO 13485 ist erste Wahl für Medizinprodukte. Der AI Act erwartet KI-spezifische Qualitätskontrollen (Datengovernance, Modellnachvollziehbarkeit, Protokollierung). Beides zu integrieren, ohne Lücken oder Widersprüche zu schaffen, ist eine anspruchsvolle Governance-Aufgabe, die oft eine Umgestaltung von Verantwortlichkeiten im Unternehmen erfordert.
Warum es wichtig ist: Schlecht abgestimmte QMS-Nachweise können einen Regulierer zufriedenstellen, beim anderen aber durchfallen und so unerwünschte Compliance-Risiken schaffen.
4. Risikomanagement: Klinische Sicherheit vs. algorithmische Schäden
ISO 14971 erfasst Geräterelevante Gefahren gut. Sie wurde jedoch nicht entwickelt, um algorithmische Risiken wie Datensatz-Bias, Model Inversion, Data Poisoning oder systemische Diskriminierung abzudecken. Der AI Act fordert eine separate Analyse und Minderung algorithmischer Risiken. Diese Brücke zu schlagen und zu entscheiden, welche Restrisiken akzeptabel sind, erfordert sowohl klinisches Urteilsvermögen als auch eine klare Rechtsstrategie.
Warum es wichtig ist: Algorithmische Fehler können sowohl klinische Schäden als auch Grundrechtsverletzungen verursachen. Beides ist durchsetzbar und rufschädigend.
5. Datengovernance: Herkunft, Repräsentativität und Datenschutz
Sowohl MDR als auch AI Act verlangen solide Datenpraktiken, aber aus unterschiedlichen Blickwinkeln. Die MDR fordert Daten zur klinischen Evidenz, der AI Act verlangt nachweisbare Datenqualität, Repräsentativität und Dokumentation. Kommt die DSGVO hinzu, gilt es, rechtmäßige Verarbeitung und Datensparsamkeit mit dem Bedarf an breiten, diversen Datensätzen zur Bias-Reduzierung auszubalancieren.
Warum es wichtig ist: Schlechte Datenpraktiken können die Zulassung verhindern, Untersuchungen auslösen und die zivilrechtliche Haftung erhöhen.
6. Transparenz und menschliche Aufsicht: Wie viel und für wen?
Der AI Act schreibt Transparenzpflichten und die Möglichkeit sinnvoller menschlicher Aufsicht über Hochrisikosysteme vor. Die MDR verlangt klare Gebrauchsanweisungen und sichere klinische Abläufe. Das praktische Problem besteht darin, die klinikerorientierten Informationen mit den eher technischen Transparenzanforderungen des AI Act in Einklang zu bringen – ohne verwirrende oder rechtlich riskante Dokumente zu erzeugen.
Warum es wichtig ist: Unzureichende oder irreführende Transparenz erhöht das Risiko von Fehlanwendung, regulatorischen Rückfragen und Haftungsansprüchen.
7. Cybersicherheit: Neue Angriffsflächen
KI bringt neuartige Schwachstellen mit sich – die Angriffsfläche umfasst nun Modelle, Trainingspipelines und Datensätze. Regulierer erwarten Sicherheitsmaßnahmen, die nicht nur Patientendaten, sondern auch die Integrität des Modells schützen, da eine Manipulation des Modells direkt zu Patientenschäden führen kann.
Warum es wichtig ist: Cybersicherheitsvorfälle können sowohl MDR-Meldepflichten als auch AI-Act-Berichtspflichten auslösen und schnell zu Reputationsschäden eskalieren.
8. Leistungsevaluation: Klinische Endpunkte vs. statistische Kennzahlen
Regulierungsbehörden verlangen sowohl klinische Outcome-Evidenz als auch strenge technische Validierung (Kalibrierung, Subgruppenperformance, Drift-Metriken). Klinische Studien können beidem dienen, doch das Studien-Design, die Endpunkte und die statistischen Pläne so auszurichten, dass sie beiden Erwartungen gerecht werden, ist komplex.
Warum es wichtig ist: Schwache oder nicht abgestimmte Evidenz kann den Marktzugang verzögern oder die Anwendungsindikation einschränken.
9. Konformitätsbewertung: Wer prüft was?
Für Hochrisiko-KI in Medizinprodukten wird in der Regel der MDR-Benannte-Stellen-Pfad die Konformitätsbewertung übernehmen – was bedeutet, dass ein einziger Audit-Trail die Einhaltung beider Regime belegen muss. Doch Benannte Stellen entwickeln ihre Verfahren zur Bewertung von AI-Act-Aspekten noch, und Unterschiede zwischen Käufern, Lieferanten und Prüfern schaffen echte geschäftliche Unsicherheit.
Warum es wichtig ist: Fehlende frühzeitige Abstimmung mit der Benannten Stelle kann teure Nacharbeiten erzwingen oder den Zertifizierungsumfang einschränken.
10. Marktüberwachung: Ein Dashboard oder mehrere?
Beide Regime verlangen eine aktive Überwachung nach Markteintritt, messen jedoch unterschiedliche Dinge und setzen unterschiedliche Schwellen. Der AI Act fordert kontinuierliche algorithmische Überwachung (Drift, Fairness-Metriken) zusätzlich zur MDR-Vigilanz (unerwünschte Ereignisse, klinische Leistung). Diese Systeme zu integrieren und festzulegen, was regulatorisches Reporting oder Korrekturmaßnahmen auslöst, ist schwieriger als es klingt.
Warum es wichtig ist: Schlechte Überwachungskonzepte können zu übersehenen Sicherheitssignalen, verspäteten Meldungen und Vollzugsrisiken führen.
Wie wir helfen können
Wir arbeiten gerne mit Ihrem (Inhouse-) Compliance-Team zusammen, um rechtliche Lücken und praktische Compliance-Fragen an der Schnittstelle von KI und MDR zu identifizieren.
Egal ob Sie eine fokussierte Gap-Analyse, einen priorisierten Maßnahmenplan, die Erstellung & Überarbeitung technischer Dokumentation oder Richtlinien, gezielte Mitarbeiterschulungen oder Unterstützung bei der Zusammenarbeit mit Ihrer Benannten Stelle und anderen Stakeholdern benötigen, wir liefern pragmatische, belastbare Lösungen, zugeschnitten auf Ihr Produkt und Ihre Geschäftsziele.
Wir arbeiten mit technischen, klinischen und rechtlichen Stakeholdern zusammen, um regulatorische Unsicherheiten in klare, auditierbare Maßnahmen zu übersetzen, vertraulich und mit dem Ziel, Marktstörungen zu minimieren.
Kontaktieren Sie uns für ein kurzes Gespräch und wir diskutieren Ihre Situation und die nächsten Schritte.
