Stellen Sie sich eine Software vor, die Radiologen dabei unterstützt, Röntgenbilder schneller und präziser als je zuvor auszuwerten. Oder ein KI-gestütztes System, das die optimale Strahlendosis für eine Krebstherapie berechnet und so die Behandlungschancen verbessert. Diese Innovationen sind keine Zukunftsmusik mehr, sondern Realität im modernen Gesundheitswesen.
Doch mit großer Macht kommt große Verantwortung. Genau hier setzt der EU AI Act an – ein wegweisendes Gesetz, das einen einheitlichen rechtlichen Rahmen für künstliche Intelligenz in Europa schafft. Für Hersteller von Medizintechnik ist dies mehr als nur eine weitere Verordnung. Es ist ein Paradigmenwechsel, der die Spielregeln für die Entwicklung und den Einsatz von KI-Systemen neu definiert. Viele fragen sich: „Betrifft das meine Software überhaupt? Und reicht meine bestehende MDR-Zertifizierung nicht aus?“
Die kurze Antwort: Es betrifft Sie mit hoher Wahrscheinlichkeit. Und nein, Ihre MDR-Konformität allein ist nicht ausreichend. Dieser Leitfaden führt Sie durch den Dschungel der neuen Vorschriften, erklärt, warum die meisten KI-gestützten Medizinprodukte als Hochrisiko-Systeme eingestuft werden, und zeigt Ihnen, welche konkreten Anforderungen auf Sie zukommen.
Der EU AI Act: Mehr als nur eine weitere Verordnung
Auf den ersten Blick mag der AI Act wie eine weitere bürokratische Hürde wirken. Doch sein Kernziel ist es, Vertrauen in eine Technologie zu schaffen, die unser Leben fundamental verändern wird. Der Act verfolgt dabei zwei Hauptziele: die Gewährleistung der Patientensicherheit und den Schutz fundamentaler Grundrechte.
Was bedeutet „Schutz der Grundrechte“ im Kontext der Medizintechnik? Ein anschauliches Beispiel: Eine KI zur Hautkrebsdiagnose wird überwiegend mit Bildern von hellhäutigen Menschen trainiert. In der Praxis könnte dieser Algorithmus bei Menschen mit dunklerer Hautfarbe deutlich ungenauer arbeiten und so zu Fehldiagnosen führen. Dies wäre eine Verletzung des Rechts auf Gleichbehandlung und Zugang zu hochwertiger Gesundheitsversorgung.
Um solche Risiken zu steuern, folgt der AI Act einem risikobasierten Ansatz und teilt KI-Systeme in vier Kategorien ein:
- Verbotene KI: Systeme mit einem inakzeptablen Risiko (z.B. Social Scoring).
- Hochrisiko-KI: Systeme, die ein hohes Risiko für Gesundheit, Sicherheit oder Grundrechte darstellen. Hier fällt ein Großteil der Medizintechnik hinein.
- KI mit begrenztem Risiko: Systeme mit spezifischen Transparenzpflichten (z.B. Chatbots).
- KI mit minimalem Risiko: Der Großteil der KI-Anwendungen (z.B. Spamfilter).
Die entscheidende Frage: Wann wird KI in der Medizintechnik zum Hochrisiko-System?
Hier kommt der „Aha-Moment“ für viele Hersteller: Der AI Act macht es Ihnen relativ einfach, die Risikoklasse zu bestimmen. Es gibt eine klare und entscheidende Regel:
Ein KI-System, das als Medizinprodukt (oder Zubehör) gemäß der EU-Medizinprodukteverordnung (MDR, Verordnung (EU) 2017/745) gilt, wird automatisch als Hochrisiko-KI eingestuft, wenn es für seine Konformitätsbewertung eine Benannte Stelle benötigt.
Da dies auf praktisch alle Medizinprodukte ab Klasse IIa, sowie auf die meisten Produkte der Klasse IIb und III zutrifft, bedeutet das: Fast jede relevante KI-Anwendung in der Diagnostik und Therapie ist ein Hochrisiko-System.
Warum diese strikte Einstufung? Weil das inhärente Risiko dieser Produkte bereits durch die MDR anerkannt ist. Der AI Act baut auf dieser Einschätzung auf.
Konkrete Beispiele für Hochrisiko-KI in der Medizintechnik:
- Diagnostik: Eine KI-Software, die Mammographie-Aufnahmen analysiert, um frühe Anzeichen von Brustkrebs zu erkennen.
- Therapieplanung: Ein Algorithmus, der auf Basis von MRT-Bildern und Patientendaten einen personalisierten Bestrahlungsplan für die Krebstherapie erstellt.
- Chirurgische Robotik: Die Steuerungssoftware eines Roboterarms, die während einer Operation die Bewegungen des Chirurgen stabilisiert und präzisiert.
MDR-Konformität ist nicht genug: Die neuen Pflichten des AI Acts
Dies ist der häufigste und gefährlichste Trugschluss: „Mein Produkt ist bereits nach MDR zertifiziert, also bin ich auf der sicheren Seite.“ Das ist falsch. Der AI Act verlangt eine separate, unabhängige Konformitätsbewertung und stellt zusätzliche, KI-spezifische Anforderungen an Ihr System.
Die MDR-Zertifizierung ist die Basis, aber der AI Act baut ein weiteres Stockwerk darauf. Hier sind die wichtigsten neuen Pflichten, die über die MDR hinausgehen:
Risikomanagement
Die MDR fordert ein robustes Risikomanagement. Der AI Act erweitert dies auf den gesamten Lebenszyklus der KI, insbesondere im Hinblick auf algorithmische Änderungen und Daten-Updates nach der Markteinführung.
Datenqualität und Data Governance
Während die MDR klinische Daten validiert, verlangt der AI Act eine strenge Prüfung der Trainings-, Validierungs- und Testdatensätze auf Relevanz, Repräsentativität und Freiheit von Fehlern und Verzerrungen (Bias).
Technische Dokumentation
Ihre bestehende technische Dokumentation muss erheblich erweitert werden. Sie müssen detailliert beschreiben, wie der Algorithmus funktioniert, welche Daten verwendet wurden und wie seine Leistung validiert wurde. Eine solide Grundlage hierfür ist ein etabliertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001.
Transparenz und Menschliche Aufsicht
Das System muss so gestaltet sein, dass professionelle Anwender (z. B. Ärzte) seine Ergebnisse interpretieren und angemessen hinterfragen können. Es muss klare Gebrauchsanweisungen geben, und es muss jederzeit eine effektive menschliche Aufsicht möglich sein.
Genauigkeit, Robustheit und Cybersicherheit
Der AI Act stellt explizite Anforderungen an die technische und algorithmische Robustheit. Das System muss auch unter unerwarteten Bedingungen zuverlässig funktionieren und gegen Cyberangriffe geschützt sein. Standards wie TISAX bieten hierfür wertvolle Rahmenwerke, auch außerhalb der Automobilindustrie.
Über den Hersteller hinaus: Wer im KI-Ökosystem noch in der Pflicht steht
Der AI Act nimmt nicht nur die Hersteller in die Pflicht. Er definiert auch klare Verantwortlichkeiten für die „Anwender“ – also Krankenhäuser, Arztpraxen oder Labore, die Hochrisiko-KI-Systeme einsetzen.
Was bedeutet „menschliche Aufsicht“ in der Praxis für einen Radiologen, dessen KI-Tool pro Stunde hunderte Bilder analysiert? Es bedeutet, dass er oder sie die Verantwortung für die endgültige Diagnose behält. Der Anwender muss die Funktionsweise und die Grenzen des KI-Systems verstehen und darf dessen Vorschläge nicht blind übernehmen. Kliniken müssen sicherstellen, dass ihr Personal entsprechend geschult ist und Prozesse zur Überwachung der KI im klinischen Alltag etabliert sind.
Diese geteilte Verantwortung ist ein zentraler Pfeiler des AI Acts, um Sicherheit in der gesamten Versorgungskette zu gewährleisten.
Erste Schritte zur Compliance: So bereiten Sie sich vor
Die neuen Anforderungen können überwältigend wirken. Doch mit einem strukturierten Vorgehen können Sie die Weichen für eine erfolgreiche Konformität stellen.
- Klassifizierung durchführen: Bestätigen Sie formell, dass Ihr KI-System als Hochrisiko eingestuft wird. Dokumentieren Sie diese Entscheidung nachvollziehbar.
- Gap-Analyse durchführen: Vergleichen Sie Ihr bestehendes Qualitätsmanagementsystem (QMS), das nach MDR aufgebaut ist, mit den neuen Anforderungen des AI Acts. Identifizieren Sie die Lücken in den Bereichen Daten-Governance, Risikomanagement und technischer Dokumentation. Die Auseinandersetzung mit Rahmenwerken wie NIS2 kann helfen, die Perspektive auf operationelle Resilienz zu schärfen.
- Daten-Governance etablieren: Implementieren Sie strenge Prozesse zur Auswahl, Verwaltung und Überprüfung Ihrer Trainings- und Testdaten. Dies ist der Grundpfeiler, um algorithmische Verzerrungen zu vermeiden.
- Dokumentation anpassen: Beginnen Sie frühzeitig mit der Erweiterung Ihrer technischen Dokumentation um die KI-spezifischen Aspekte. Automatisierungsplattformen wie das Digital Compliance Office helfen dabei, die steigende Komplexität verschiedener Normen und Gesetze zentral zu verwalten.
Fazit: Der AI Act als Chance für vertrauenswürdige Innovation
Der EU AI Act ist zweifellos eine Herausforderung für die Medizintechnikbranche. Er erhöht die Komplexität und den Dokumentationsaufwand. Doch er ist auch eine immense Chance.
Indem die EU einen klaren und strengen Standard für Sicherheit, Transparenz und Fairness von KI im Gesundheitswesen setzt, schafft sie die wichtigste Währung für die Zukunft: Vertrauen. Vertrauen von Ärzten, die sich auf die Unterstützung durch KI verlassen. Vertrauen von Patienten, die darauf bauen können, dass die Technologie zu ihrem Wohl eingesetzt wird.
Unternehmen, die diese neuen Anforderungen nicht als Last, sondern als Leitfaden für exzellente und verantwortungsvolle Produktentwicklung begreifen, werden nicht nur konform sein – sie werden die vertrauenswürdigen Marktführer von morgen sein. Der Weg dorthin beginnt mit dem ersten Schritt: dem Verständnis Ihrer spezifischen Pflichten.
Häufig gestellte Fragen (FAQ) zum AI Act in der Medizintechnik
Was genau ist ein Hochrisiko-KI-System laut AI Act?
Ein KI-System, das als Medizinprodukt (ab Klasse IIa) oder In-vitro-Diagnostikum eingestuft ist und für dessen Zertifizierung eine Benannte Stelle erforderlich ist.
Gilt der AI Act auch für meine bereits zertifizierte Medizintechnik-Software?
Ja. Spätestens bei einer wesentlichen Änderung an Ihrem KI-System müssen die neuen Anforderungen vollständig erfüllt werden. Zudem gelten die Pflichten zur Überwachung nach dem Inverkehrbringen (Post-Market Surveillance) auch für Bestandssysteme.
Muss ich meine komplette technische Dokumentation nach MDR neu schreiben?
Nein, aber sie muss erheblich erweitert werden. Die Dokumentation muss spezifische Informationen über die Algorithmen, die verwendeten Datensätze, die Leistungsmerkmale der KI und die implementierten Maßnahmen zur menschlichen Aufsicht enthalten.
Welche Rolle spielt die Cybersicherheit im AI Act?
Eine zentrale Rolle. Cybersicherheit ist eine der grundlegenden Anforderungen an die technische Robustheit eines Hochrisiko-KI-Systems. Es muss nachweislich gegen Versuche geschützt sein, seine Funktionsweise, Sicherheit oder Daten zu kompromittieren.
Was passiert, wenn mein System fälschlicherweise als Hochrisiko eingestuft wird?
Eine korrekte Klassifizierung ist entscheidend, um unnötigen Aufwand zu vermeiden. Wenn Ihr Produkt die Kriterien nicht erfüllt (z.B. ein Medizinprodukt der Klasse I ohne Benannte Stelle), fällt es nicht automatisch in die Hochrisiko-Kategorie. Eine saubere Dokumentation Ihrer Klassifizierungsentscheidung ist daher unerlässlich.
.svg)
.svg)
.svg)
.svg){kind=small}