Alle Artikel
AI Act für das Gesundheitswesen und Compliance bei medizinischer KI
AI Act

AI Act für das Gesundheitswesen und Compliance bei medizinischer KI

Leitfaden zur EU-AI-Act-Compliance für KI im Gesundheitswesen und in Medizinprodukten. Überschneidung mit MDR/IVDR, Hochrisiko-Einstufung und SaMD-Pflichten erklärt.

Legalithm Team17 Min. Lesezeit
Teilen
Lesezeit17 Min.
ThemaAI Act
AktualisiertApr. 2026
Inhaltsverzeichnis

AI Act für das Gesundheitswesen und Compliance bei medizinischer KI

Wenn Sie KI-gestützte Medizinprodukte in der Europäischen Union bauen, betreiben oder vertreiben, tragen Sie eine Compliance-Last, die kein anderer Sektor in dieser Form kennt. KI in Medizinprodukten muss sowohl die bestehende Medizinprodukte-Verordnung (MDR), oder, für Diagnostik, die In-vitro-Diagnostika-Verordnung (IVDR), als auch den neuen EU AI Act erfüllen. Diese beiden Rahmenwerke überschneiden sich in einigen Bereichen erheblich, Risikomanagement, technische Dokumentation, Marktbeobachtung, weichen aber in anderen Bereichen deutlich voneinander ab, insbesondere bei Daten-Governance, Bias-Tests und algorithmischer Transparenz. Zu verstehen, wo sie zusammenlaufen und wo sie wirklich neue Pflichten auferlegen, ist der Unterschied zwischen einem schlanken Compliance-Programm und einem doppelten, teuren.

Dieser Leitfaden bildet die doppelte Regulierungslandschaft ab. Er erklärt die zwei Wege, über die medizinische KI zu Hochrisiko wird, geht den Zeitplan durch, bestimmt, welche AI-Act-Anforderungen bereits durch MDR/IVDR erfüllt sind und welche nicht, und liefert praktische Compliance-Szenarien. Wenn Sie Ihr System noch nicht eingestuft haben, beginnen Sie mit dem Leitfaden zur Hochrisiko-Einstufung und kehren Sie dann hierher zurück.

Für schärfere, vollständig belegte Tiefenanalysen siehe unsere speziellen Leitfäden zu medizinischer KI: Ist meine medizinische KI Hochrisiko? (MDR/IVDR), Anbieter vs. Betreiber bei medizinischer KI, medizinische KI auf Basis von LLMs bauen, DSGVO × AI Act × MDR für Gesundheitsdaten und den Crosswalk AI Act × MDR/IVDR, oder starten Sie im Health-AI-Hub.

TL;DR, das Wichtigste zum AI Act im Gesundheitswesen

  • KI in Medizinprodukten unterliegt einer doppelten Regulierung: MDR/IVDR für Sicherheit und Leistung, dazu der AI Act für algorithmische Transparenz, Daten-Governance und Bias-Tests.
  • Zwei Wege machen KI im Gesundheitswesen zu Hochrisiko: Anhang I (Sicherheitsbauteil eines regulierten Medizinprodukts) und Anhang III, Bereich 5 (KI, die den Zugang zu oder die Beeinflussung von Entscheidungen im Gesundheitswesen bestimmt).
  • Produkte der Klassen IIa, IIb und III nach MDR, die eine Konformitätsbewertung durch Dritte erfordern, sind unter dem AI Act automatisch Hochrisiko, ohne separate Einstufung.
  • Es besteht eine erhebliche Überschneidung: Risikomanagement, technische Dokumentation, QMS und Marktbeobachtung sind bereits nach MDR erforderlich.
  • Zu den wirklich neuen Pflichten gehören: Daten-Governance mit Bias-Tests, konkrete Anforderungen an die menschliche Aufsicht und erweiterte Protokollierung.
  • KI-Medizinprodukte, die nach MDR/IVDR reguliert sind, sind Anhang-I-Hochrisiko, ihre Pflichten gelten also ab dem 2. August 2027 nach der ursprünglichen Verordnung, nicht zum 2. August 2026, der für eigenständige Anhang-III-Gesundheitssysteme gilt (Bereich 5: Bestimmung des Zugangs zu oder Triage von Versorgung). Der Digital Omnibus (vom EP am 16. Juni 2026 angenommen, Annahme durch den Rat ausstehend) verschiebt das Anhang-I-Datum auf den 2. August 2028.
  • Die Konformitätsbewertung folgt dem MDR/IVDR-Verfahren, in das die AI-Act-Anforderungen eingebunden werden, es ist kein separates Verfahren.
  • Nutzen Sie unser AI-Act-Bewertungstool, um die Einstufung Ihres Systems und die geltenden Pflichten zu bestimmen.

Wie KI im Gesundheitswesen zu Hochrisiko wird

Der AI Act definiert zwei getrennte Wege, über die ein KI-System zu Hochrisiko wird und den Anforderungen aus Kapitel III, Abschnitt 2 unterliegt. KI im Gesundheitswesen kann über beide hineinfallen, und manche Systeme qualifizieren sich über beide.

Weg A: Anhang I, Sicherheitsbauteil eines regulierten Medizinprodukts

Artikel 6 Absatz 1 legt fest, dass ein KI-System Hochrisiko ist, wenn es ein Sicherheitsbauteil eines Produkts ist, das unter die in Anhang I, Abschnitt A aufgeführten EU-Harmonisierungsvorschriften fällt, und das Produkt eine Konformitätsbewertung durch Dritte erfordert.

MDR und IVDR sind beide in Anhang I, Abschnitt A aufgeführt. Das bedeutet:

  • Medizinprodukte der Klassen IIa, IIb und III, die eine KI-Komponente enthalten, sind automatisch Hochrisiko. Diese Geräteklassen erfordern nach MDR eine Konformitätsbewertung durch Dritte und erfüllen damit Artikel 6 Absatz 1.
  • Medizinprodukte der Klasse I sind in der Regel ausgenommen, da sie üblicherweise einer Selbstbewertung unterliegen. Klasse-I-Produkte mit Messfunktion oder in sterilem Zustand können jedoch die Einbindung einer benannten Stelle erfordern und in den Anwendungsbereich fallen.
  • IVD der Klassen C und D nach IVDR folgen derselben Logik, sie erfordern die Bewertung durch eine benannte Stelle und sind daher erfasst.

Der entscheidende Punkt: Wenn Ihr KI-gestütztes Medizinprodukt nach MDR oder IVDR bereits eine benannte Stelle erfordert, ist es unter dem AI Act kraft Gesetzes Hochrisiko. Kein Ermessen, keine separate Risikobewertung.

Praxisbeispiel: Ein Unternehmen entwickelt einen KI-Algorithmus, der Thorax-CT-Aufnahmen analysiert, um Lungenknoten zu erkennen. Der Algorithmus ist nach MDR-Regel 11 als Medizinprodukt der Klasse IIb eingestuft. Er erfordert die Bewertung durch eine benannte Stelle. Nach Artikel 6 Absatz 1 und Anhang I ist er automatisch ein Hochrisiko-KI-System.

Weg B: Anhang III, Bereich 5, Zugang zu wesentlichen Diensten (Gesundheit)

Anhang III, Bereich 5 umfasst KI, die für den "Zugang zu und die Inanspruchnahme wesentlicher privater und öffentlicher Dienste und Leistungen" eingesetzt wird. Gesundheit ist ausdrücklich eingeschlossen:

  • KI-Systeme, die die Anspruchsberechtigung für öffentliche Gesundheitsdienste bewerten, einschließlich der Zuteilung von Gesundheitsressourcen.
  • KI-Systeme, die Gesundheits- und Lebensrisiken bewerten, einschließlich der Risikoeinstufung für Versicherungen oder die Zuteilung von Versorgung.
  • KI-Systeme, die in der Notfallversorgung eingesetzt werden, einschließlich der Priorisierung von Rettungseinsätzen.

Dieser Weg erfasst KI, die Entscheidungen im Gesundheitswesen beeinflusst, auch wenn sie nicht als Medizinprodukt eingestuft ist. Die KI-Entscheidungsmaschine eines Krankenversicherers für Leistungszusagen oder ein Triage-Algorithmus eines Krankenhauses erfüllen möglicherweise nicht die MDR-Definition eines Medizinprodukts, sind aber unter dem AI Act Hochrisiko, wenn sie den Zugang zu Gesundheitsdiensten bestimmen.

Wenn beide Wege gleichzeitig gelten: Ein KI-Diagnosewerkzeug, das sowohl ein Medizinprodukt der Klasse IIb ist (Weg A) als auch klinische Entscheidungen über den Zugang von Patienten zur Behandlung beeinflusst (Weg B), ist über beide Wege Hochrisiko. Die Pflichten summieren sich nicht, die Anforderungen aus Kapitel III gelten einmal, aber die doppelte Einstufung kann für die Dokumentation und die Zuordnung der Konformitätsbewertung relevant sein.

Ist Ihr KI-System hochriskant?

Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.

Jetzt prüfen

Zentraler Zeitplan für medizinische KI

DatumEreignisBedeutung für medizinische KI
1. August 2024AI Act tritt in KraftDie Uhr läuft. Beginnen Sie mit der Lückenanalyse.
2. Februar 2025Verbotene Praktiken geltenBestimmte KI-Anwendungen im Gesundheitswesen (unterschwellige Manipulation, Social Scoring) werden verboten.
2. August 2025GPAI-Modellpflichten geltenIn medizinischer KI genutzte Basismodelle müssen die Transparenzpflichten erfüllen.
2. August 2026Anhang-III-Gesundheits-KI giltKI, die nach Anhang III, Bereich 5 Hochrisiko ist (Bestimmung des Zugangs zu oder Triage von Versorgung), muss Kapitel III erfüllen. Das ist nicht das Datum für KI-Medizinprodukte.
2. August 2027Anhang-I-Medizinprodukte geltenKI, die ein Sicherheitsbauteil eines MDR/IVDR-Produkts (Anhang I) ist, muss compliant sein. Der Digital Omnibus (vom EP am 16. Juni 2026 angenommen, Annahme ausstehend) verschiebt dies auf den 2. August 2028.
LaufendMDR/IVDR-Bewertung schließt AI Act einBenannte Stellen binden die AI-Act-Anforderungen in MDR/IVDR-Bewertungen ein. Jedes nach August 2026 ausgestellte Zertifikat spiegelt die AI-Act-Compliance wider.

Wichtiger Planungshinweis: Wenn Ihr MDR/IVDR-Zertifikat zwischen August 2026 und August 2027 zur Verlängerung ansteht, bewertet die benannte Stelle die AI-Act-Compliance bei der Verlängerung. Sie brauchen die AI-Act-Bereitschaft vor Ihrem Verlängerungsdatum, nicht vor der allgemeinen Frist. Weitere Meilensteine finden Sie im vollständigen AI-Act-Zeitplan.

MDR/IVDR und AI Act: Überschneidung vs. neue Anforderungen

Der häufigste Fehler bei der Compliance von KI im Gesundheitswesen ist, den AI Act als vollständig eigene Regulierungsebene zu behandeln. In Wirklichkeit deckt MDR/IVDR bereits einen erheblichen Teil dessen ab, was der AI Act verlangt. Entscheidend ist, die echten Lücken zu bestimmen.

AI-Act-AnforderungMDR/IVDR-EntsprechungÜberschneidungZu schließende Lücke
Risikomanagement (Art. 9)MDR Anhang I, Kapitel IHochKI-spezifische Gefahren ergänzen: Bias-bedingte Risiken, algorithmische Fehlermodi, vorhersehbaren Fehlgebrauch.
Daten-Governance (Art. 10)MDR Abschnitt 17.1-17.4 (Softwarevalidierung)NiedrigGroße Lücke. Erfordert dokumentierten Aufbau der Trainings-/Validierungs-/Testdatensätze, Bias-Prüfung, Kriterien für die Datenqualität.
Technische Dokumentation (Art. 11)MDR Anhang II, Anhang IIIMittelModellarchitektur, Trainingsmethodik, Hyperparameter, aufgeschlüsselte Leistungskennzahlen ergänzen. Um die Inhalte aus Anhang IV erweitern.
Automatische Protokollierung (Art. 12)MDR Abschnitt 17.4 (klinische Protokollierung)MittelAlgorithmische Nachvollziehbarkeit ergänzen: Eingabe-/Ausgabe-Paare, Versionsverfolgung, Entscheidungs-Audit-Trails.
Transparenz (Art. 13)MDR Anhang I, Kapitel III (Gebrauchsanweisung)MittelOffenlegen, dass das System KI-gestützt ist, sowie Fähigkeiten/Grenzen, erwartete Genauigkeit über Bevölkerungsgruppen hinweg.
Menschliche Aufsicht (Art. 14)MDR Abschnitt 22.1 (Gebrauchstauglichkeit)NiedrigErhebliche Lücke. Möglichkeiten zum Überstimmen/Unterbrechen, Konfidenzanzeigen, Human-in/on-the-Loop-Design.
Genauigkeit, Robustheit, Cybersicherheit (Art. 15)MDR allgemeine Sicherheit; Abschnitt 17 (Cybersicherheit)Mittel-HochRobustheit gegen gegnerische Eingaben, Kennzahlen zur Leistungskonsistenz ergänzen.
Qualitätsmanagement (Art. 17)ISO 13485HochErweitern um Datenmanagement, Modelltraining, Bias-Überwachung, algorithmisches Änderungsmanagement.
Marktbeobachtung (Art. 72)MDR Art. 83-86, PMCFHochÜberwachung auf Leistungsabbau, Verteilungsdrift, Auftreten von Bias ergänzen.

Fazit: Mit einem konformen MDR/IVDR-QMS haben Sie rund 50-60 % der AI-Act-Infrastruktur bereits vorhanden. Die großen Lücken sind Daten-Governance, menschliche Aufsicht und die KI-spezifischen Bestandteile von Risikomanagement und Überwachung. Bauen Sie kein separates Programm auf, erweitern Sie das bestehende.

KI-spezifische Pflichten für Anbieter von Medizinprodukten

Daten-Governance und Bias in klinischen Datensätzen

Artikel 10 legt ein Daten-Governance-Regime fest, für das es keine direkte MDR/IVDR-Entsprechung gibt.

Demografische Repräsentativität. Trainings-, Validierungs- und Testdatensätze müssen die vorgesehene Patientenpopulation ausreichend repräsentieren. Klinische Datensätze unterrepräsentieren bekanntlich ethnische Minderheiten, ältere Patienten und pädiatrische Populationen. Anbieter müssen die demografische Zusammensetzung des Datensatzes dokumentieren und gegenüber der Einsatzpopulation begründen und dokumentierte Maßnahmen ergreifen, um die Unterrepräsentation durch Oversampling, synthetische Anreicherung oder ausdrückliche Leistungsvorbehalte zu mindern.

Trennung von Trainings-/Validierungs-/Testsatz. Datensätze müssen eindeutig gekennzeichnet und getrennt verwaltet werden, mit Nachverfolgung der Datenherkunft und nachweisbarer Abwesenheit von Datenleckage, formal dokumentiert.

Artikel 10 Absatz 5, Gesundheitsdaten zur Bias-Korrektur. Dieser erlaubt die Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten, rassische und ethnische Herkunft, genetische Daten) ausschließlich zur Überwachung, Erkennung und Korrektur von Bias. Die Schutzvorkehrungen sind streng: Pseudonymisierung, beschränkter Zugang, keine Weiterverwendung. Zur Umsetzung siehe den Leitfaden zu Bias-Tests.

Erweiterung der technischen Dokumentation

Artikel 11 verlangt eine Dokumentation, die über Anhang II/III der MDR hinausgeht:

  • Modellarchitektur: Netzwerktopologie, Algorithmustyp, Ensemble-Struktur, ausreichend, damit ein Prüfer den rechnerischen Ansatz versteht.
  • Trainingsmethodik: Optimierungsalgorithmen, Verlustfunktionen, Regularisierung, Auswahl der Hyperparameter.
  • Aufgeschlüsselte Leistungskennzahlen: Genauigkeit, Sensitivität, Spezifität, AUC-ROC, aufgeschlüsselt nach demografischen Untergruppen.
  • Datenherkunft: Ursprung, Erhebungsmethoden, Annotationsverfahren, Qualitätskontrolle.

Erweitern Sie Ihre bestehende technische MDR-Datei um einen KI-spezifischen Anhang, der die Anforderungen aus Anhang IV behandelt. Bauen Sie ihn als Ergänzung auf.

Menschliche Aufsicht im klinischen Umfeld

Artikel 14 verlangt eine wirksame menschliche Aufsicht, die im Verhältnis zu Risiko und Autonomie steht.

Human-in-the-Loop (HITL): Jedes KI-Ergebnis erfordert die aktive Bestätigung durch eine klinische Fachkraft. Standard für die meisten Systeme der Klassen IIb und III. Eine Radiologie-KI markiert verdächtige Läsionen; ein Radiologe bestätigt oder verwirft jede.

Human-on-the-Loop (HOTL): Die KI arbeitet innerhalb festgelegter Parameter halbautonom; klinische Fachkräfte überwachen und greifen bei Anomalien ein. Eine KI zur kontinuierlichen Überwachung löst Warnungen aus, wenn Vitalwerte Schwellen überschreiten.

Wichtige Überlegung: Alarmmüdigkeit untergräbt die Aufsicht. Ein System, das zu viele Fehlalarme erzeugt, führt dazu, dass klinische Fachkräfte Warnungen ignorieren. Wirksame Aufsicht bedeutet echtes menschliches Engagement, nicht nur die technische Erlaubnis einzugreifen.

Klinische Nachbeobachtung nach dem Inverkehrbringen + AI-Act-Überwachung

Die MDR verlangt eine Überwachung nach dem Inverkehrbringen (PMS) und PMCF. Artikel 72 ergänzt eine KI-spezifische Überwachung:

AspektMDR PMS/PMCFAI Act Art. 72Kombinierter Ansatz
Klinische LeistungErgebnisse, unerwünschte Ereignisse verfolgenentfälltMDR-PMCF fortführen
Algorithmische LeistungNicht abgedecktGenauigkeit, Bias, Robustheit überwachenNeu. Algorithmische Überwachung ergänzen.
DatendriftNicht abgedecktÄnderungen der Eingabeverteilung überwachenNeu. Drift-Erkennung umsetzen.
Auftreten von BiasNicht abgedecktUnterschiede zwischen Untergruppen überwachenNeu. Aufgeschlüsselte Kennzahlen verfolgen.
Meldung von VorfällenMDR Art. 87-15 TageAI Act Art. 73Harmonisiert. Eine Meldung für beide.

Binden Sie die KI-Überwachung in Ihren bestehenden PMS-Plan ein. Einzelheiten finden Sie im Leitfaden zur Marktbeobachtung.

Besonderheiten von SaMD (Software as a Medical Device)

Software as a Medical Device (SaMD), eigenständige Software, die als Medizinprodukt gilt, ist die Kategorie von KI im Gesundheitswesen, die am umfassendsten vom AI Act betroffen ist. SaMD-Produkte sind software-first, das heißt, jede AI-Act-Pflicht gilt direkt.

Einstufung nach MDR

Die SaMD-Einstufung folgt Regel 11 von MDR Anhang VIII:

  • Klasse IIa: Informationen für diagnostische/therapeutische Entscheidungen bei Zuständen der Klasse I/IIa (z. B. Triage-Tool für risikoarme Hauterkrankungen).
  • Klasse IIb: Informationen für Entscheidungen bei Zuständen der Klasse IIb/III (z. B. KI zur Analyse von EKGs auf Arrhythmien).
  • Klasse III: Informationen, die die Behandlung von Patienten direkt bestimmen (z. B. KI zur Bestrahlungsplanung).

SaMD unter dem AI Act

Alle als Klasse IIa oder höher eingestufte SaMD sind unter dem AI Act über Anhang I Hochrisiko. Wichtige Kategorien:

  • Klinische Entscheidungsunterstützung (CDS): KI, die Behandlungsprotokolle empfiehlt oder Differenzialdiagnosen vorschlägt. Wird sie von klinischen Fachkräften für patientenspezifische Entscheidungen genutzt, gilt sie wahrscheinlich als SaMD, unabhängig davon, wie sie positioniert ist.
  • KI-Diagnosewerkzeuge: Eigenständige KI, die Bilder, Labordaten oder genomische Daten analysiert. Eindeutig SaMD und Hochrisiko.
  • Werkzeuge zur Risikostratifizierung: KI, die Patienten Risikokategorien zuordnet, kann als SaMD gelten und/oder unter Anhang III, Bereich 5 fallen.

Zentrale SaMD-Compliance-Überlegungen

  1. Kein Hardware-Puffer. Anders als KI, die in ein physisches Medizinprodukt eingebettet ist, bei dem der Hardwarehersteller einen Großteil der regulatorischen Infrastruktur übernimmt, müssen SaMD-Anbieter jeden Compliance-Aspekt direkt steuern, vom QMS über die Marktbeobachtung bis zur Konformitätsbewertung.
  2. Aktualisierungszyklen vs. Neubewertung. SaMD-Produkte werden oft häufig aktualisiert (Modell-Retraining, Algorithmusverbesserungen, UI-Änderungen). Sowohl nach MDR als auch nach dem AI Act lösen wesentliche Änderungen eine Neubewertung aus. Anbieter müssen ein Änderungsmanagement einrichten, das zwischen kleineren Updates (nur Dokumentationsaktualisierung) und wesentlichen Änderungen (neue Konformitätsbewertung erforderlich) unterscheidet, Artikel 43 Absatz 4 spiegelt hier MDR-Artikel 120 wider.
  3. Komplexität der Cloud-Bereitstellung. SaMD, das als Cloud-Dienst bereitgestellt wird, wirft Fragen zur laufenden Compliance-Überwachung, zur Versionskontrolle über alle Bereitstellungsinstanzen hinweg und zu Anforderungen an den Speicherort der Daten auf, wenn klinische Daten Grenzen überschreiten.

Konformitätsbewertung für medizinische KI

Die Konformitätsbewertung für KI-Medizinprodukte erfordert keine zwei separaten Verfahren. Die AI-Act-Anforderungen werden in den bestehenden MDR/IVDR-Prozess eingebunden.

Wie die doppelte Bewertung funktioniert

Artikel 43 Absatz 3 des AI Act legt fest, dass für Hochrisiko-KI, die unter Anhang-I-Vorschriften fällt, die Konformitätsbewertung nach jenen Vorschriften gilt, sofern auch die Anforderungen aus Kapitel III des AI Act geprüft werden. In der Praxis:

  1. Folgen Sie dem MDR/IVDR-Weg, der zur Risikoklasse Ihres Produkts passt (z. B. Anhang IX für Klasse III, Anhang XI für Klasse IIb).
  2. Die benannte Stelle prüft die AI-Act-Compliance parallel zur MDR/IVDR-Bewertung und kontrolliert die Artikel 9-15.
  3. Ein einziges Konformitätszertifikat deckt beide Rahmenwerke ab.
  4. Die EU-Konformitätserklärung verweist auf beide Verordnungen.

Vorbereitung der benannten Stelle

Nicht alle benannten MDR/IVDR-Stellen sind derzeit für die KI-Bewertung gerüstet. Rechnen Sie mit längeren Fristen und möglichen Engpässen. Binden Sie Ihre benannte Stelle früh ein, um ihre Bereitschaft zur KI-Bewertung und ihre Dokumentationsanforderungen zu verstehen. Fehlt Ihrer Stelle die KI-Kompetenz, ziehen Sie einen Wechsel in Betracht und rechnen Sie die damit verbundenen Kosten und Verzögerungen ein.

Dokumentation strukturieren

  1. Technische MDR/IVDR-Datei, bestehende Dokumentation, die Anhang II/III abdeckt.
  2. AI-Act-Ergänzung, Nachtrag, der die Punkte aus Anhang IV abdeckt: Modellbeschreibung, Daten-Governance, Bias-Tests, aufgeschlüsselte Kennzahlen, Ausgestaltung der menschlichen Aufsicht.
  3. Integriertes QMS, erweitern Sie ISO 13485 um KI-spezifische Verfahren (Modelllebenszyklus, Datenpipelines, algorithmische Änderungskontrolle).
  4. Kombinierter PMS-Plan, ein einziger Plan, der MDR-PMCF und die Überwachung nach AI Act Artikel 72 zusammenführt.

Einzelheiten zu Kosten und Zeitplan finden Sie im Leitfaden zur Konformitätsbewertung.

Praxisnahe Compliance-Szenarien

Szenario 1: KI-Radiologiewerkzeug zur Erkennung von Lungenknoten

Produkt: KI, die Thorax-CT-Aufnahmen analysiert und verdächtige Lungenknoten mit Malignitätswahrscheinlichkeiten markiert. Ein Radiologe überprüft alle Befunde.

MDR: Klasse IIb (Regel 11, Diagnose von Zuständen der Klasse IIb/III). AI Act: Hochrisiko über Anhang I.

Zentrale Anforderungen:

  • Risikomanagement: Erweitern Sie die MDR-Risikodatei um KI-spezifische Gefahren, falsch-negative Befunde, die zu übersehenen Karzinomen führen, falsch-positive Befunde, die zu unnötigen Biopsien führen, und Leistungsschwankungen zwischen CT-Scanner-Herstellern oder Bildgebungsprotokollen.
  • Daten-Governance: Dokumentieren Sie die Demografie des Trainingsdatensatzes (Alter, Geschlecht, Ethnie, Scanner-Typen, Größenverteilung der Knoten). Weisen Sie Repräsentativität nach und führen Sie Bias-Tests auf Leistungsunterschiede zwischen Untergruppen durch.
  • Menschliche Aufsicht: HITL-Design mit klarer Darstellung der KI-Konfidenzwerte, der Möglichkeit, Befunde zu verwerfen oder zu ändern, und einer Workflow-Einbindung, die keinen Druck erzeugt, KI-Ergebnisse unkritisch zu übernehmen.
  • Technische Dokumentation: Ergänzen Sie eine Beschreibung der CNN-Architektur, Details zum Trainingsverfahren und Leistungskennzahlen (Sensitivität, Spezifität, AUC-ROC), aufgeschlüsselt nach Knotengröße, Patientendemografie und Scanner-Hersteller.
  • Marktbeobachtung: Erweitern Sie die PMCF um eine Überwachung der algorithmischen Leistung je Einsatzort, verfolgen Sie Sensitivität und Spezifität und überwachen Sie auf Datendrift, wenn sich die Scanner-Populationen ändern.

Szenario 2: Klinische Entscheidungsunterstützung für Behandlungsempfehlungen

Produkt: Cloudbasierte KI, die Patienten-EHRs auswertet und onkologische Behandlungsprotokolle empfiehlt. Onkologen nutzen die Empfehlungen als einen Input unter vielen.

MDR: Wahrscheinlich SaMD der Klasse IIa oder IIb nach Regel 11, je nach Positionierung. AI Act: Hochrisiko über Anhang III, Bereich 5 (Beeinflussung von Entscheidungen im Gesundheitswesen) und möglicherweise Anhang I, sofern als SaMD eingestuft.

Zentrale Anforderungen:

  • Daten-Governance: Komplexe Herausforderung, EHRs enthalten erhebliche demografische Verzerrungen (Behandlungsmuster unterscheiden sich nach sozioökonomischem Status, Region und Versicherungsschutz). Dokumentieren Sie, wie die Trainingsdaten kuratiert wurden, um keine Behandlungsungleichheiten fortzuschreiben.
  • Menschliche Aufsicht: HITL-Design mit erhöhter Transparenz, das System muss seine Begründung (Belegzitate, Leitlinienverweise) neben den Empfehlungen darstellen und den Onkologen so genügend Informationen geben, um Vorschläge zu bewerten und zu überstimmen.
  • Transparenz: Die Gebrauchsanweisung muss klar angeben, welche Krebsarten und -stadien abgedeckt sind, welche Patientenpopulationen unterrepräsentiert sind und unter welchen Bedingungen Empfehlungen besondere Vorsicht erfordern.
  • Bias-Tests: Testen Sie die Empfehlungsmuster über Patientendemografien hinweg. Dokumentieren Sie, ob das System bei gleichwertigen klinischen Bildern über rassische, geschlechtsbezogene oder Altersgruppen hinweg unterschiedliche Behandlungsintensitäten empfiehlt und ob etwaige Unterschiede klinisch gerechtfertigt sind.

Szenario 3: Tragbarer Gesundheitsmonitor mit KI-Anomalieerkennung

Produkt: Am Handgelenk getragenes Gerät mit PPG- und Beschleunigungssensoren. Eine KI auf dem Gerät erkennt Vorhofflimmern und abnormale Atemmuster und weist Nutzer darauf hin, einen Arzt aufzusuchen.

MDR: Klasse IIa (Regel 11, Screening auf Zustände der Klasse IIa). AI Act: Hochrisiko über Anhang I.

Zentrale Anforderungen:

  • Risikomanagement: Zu den KI-spezifischen Risiken gehören falsch-positive Warnungen, die unnötige Angst auslösen, falsch-negative Ergebnisse, die klinisch bedeutsame Arrhythmien übersehen, Schwankungen der PPG-Signalqualität über Hauttöne hinweg (der Melaningehalt beeinflusst das Signal) und Bewegungsartefakte bei körperlicher Aktivität.
  • Daten-Governance: Die Trainingsdaten müssen die volle Bandbreite von Hauttönen, Handgelenkgrößen, Altersgruppen und Aktivitätsniveaus abbilden. Dokumentieren Sie die Analyse der melaninbedingten Signalqualität und etwaige Kompensationsalgorithmen.
  • Menschliche Aufsicht: HOTL-Design, das Gerät arbeitet beim Screening autonom, Nutzer und Ärzte bilden die Aufsichtsebene. Die Warnschwellen müssen die Sensitivität (möglichst wenige übersehene Arrhythmien) gegen die Fehlalarmrate abwägen, um Alarmmüdigkeit zu vermeiden.
  • KI auf dem Gerät: Dokumentieren Sie die Modelloptimierung für den Edge-Einsatz (Quantisierung, Pruning) und wie Firmware-Updates verwaltet werden, ohne den validierten Algorithmus zu stören, unter Erfüllung sowohl der MDR-Kriterien für wesentliche Änderungen als auch des Änderungsmanagements nach AI Act.
  • Marktbeobachtung: Überwachen Sie die Algorithmusleistung über die reale Nutzerpopulation hinweg. Verfolgen Sie die Erkennungsgenauigkeit nach Hautton, Alter und Aktivitätskontext. Setzen Sie eine automatisierte Drift-Erkennung für populationsweite Kennzahlen um.

Häufig gestellte Fragen

Gilt der AI Act für alle Medizinproduktesoftware oder nur für KI?

Der AI Act gilt nur für KI-Systeme im Sinne von Artikel 3 Absatz 1, also Systeme, die maschinelles Lernen, wissensbasierte oder statistische Methoden nutzen, um Vorhersagen, Empfehlungen oder Entscheidungen zu erzeugen. Klassische deterministische Software (z. B. ein Dosisrechner mit festen Formeln) ist in der Regel nicht erfasst. Jedes gelernte Modell jedoch, selbst eine einfache, auf Patientendaten trainierte Regression, fällt wahrscheinlich in den Anwendungsbereich. Nutzen Sie unser AI-Act-Bewertungstool zur Einstufung.

Wir haben bereits eine MDR-Zertifizierung. Brauchen wir eine neue Bewertung?

Keine neue Bewertung, aber Ihre Zertifizierung muss erweitert werden, um die AI-Act-Anforderungen aufzunehmen. KI-Medizinprodukte (Anhang I) müssen ab dem 2. August 2027 compliant sein (verschoben auf den 2. August 2028 unter dem noch ausstehenden Digital Omnibus). Wenn Ihr Zertifikat verlängert oder ein neues Produkt an oder nach diesem Datum in Verkehr gebracht wird, bewertet die benannte Stelle die AI-Act-Compliance im Rahmen des MDR-Verfahrens. Siehe den Leitfaden zur Konformitätsbewertung.

Wie sollten wir mit Modell-Retraining unter doppelter Regulierung umgehen?

Beide Rahmenwerke verlangen die Bewertung, ob eine Änderung eine wesentliche Änderung darstellt. Nach Artikel 43 Absatz 4 lösen Änderungen an Trainingsdaten, Modellarchitektur oder Verwendungszweck eine Neubewertung aus. Richten Sie ein Änderungsmanagement-Protokoll ein, das jede Aktualisierung an beiden Rahmenwerken misst. Kleinere Updates (Fehlerbehebungen) erfordern nur Dokumentationsaktualisierungen; größere Änderungen (neue Datensätze, Architekturänderungen) erfordern wahrscheinlich eine Neubewertung. Siehe die Compliance-Checkliste.

Dürfen wir Patientengesundheitsdaten für Bias-Tests nutzen?

Ja, Artikel 10 Absatz 5 erlaubt die Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten, rassische Herkunft, genetische Daten) ausschließlich zur Überwachung, Erkennung und Korrektur von Bias. Es gelten Schutzvorkehrungen: Pseudonymisierung, beschränkter Zugang, keine Weiterverwendung. Beziehen Sie Ihren DPO in die Prozessgestaltung ein. Siehe den Leitfaden zu Bias-Tests.

Was passiert, wenn unser KI-Produkt einen Schaden verursacht?

Beide Rahmenwerke gelten gleichzeitig. MDR-Artikel 87 verlangt die Meldung eines schwerwiegenden Vorkommnisses innerhalb von 15 Tagen. AI Act Artikel 73 legt parallele Meldepflichten fest. Stimmen Sie die Verfahren so ab, dass eine einzige Meldung beide erfüllt. Die KI-Haftungsrichtlinie und die überarbeitete Produkthaftungsrichtlinie schaffen zusätzliche Risiken. Siehe den Leitfaden zur Meldung von Vorfällen.

Müssen wir unsere Modellarchitektur gegenüber Patienten offenlegen?

Nicht in vollem technischen Detail. Artikel 13 verlangt ausreichende Transparenz, damit Nutzer die Ergebnisse angemessen interpretieren können. Die Gebrauchsanweisung muss angeben: dass das System KI nutzt, Verwendungszweck und Grenzen, erwartete Genauigkeit, validierte Populationen und Bedingungen für Leistungsabbau. Die ausführliche technische Dokumentation geht an die benannte Stelle und die Marktüberwachung, sie wird nicht öffentlich offengelegt.

Nächste Schritte

Compliance bei KI im Gesundheitswesen unter dem AI Act ist eine Erweiterung Ihres bestehenden MDR/IVDR-Programms, kein separates Projekt:

  1. Stufen Sie Ihr System ein über die Wege von Anhang I und Anhang III. Nutzen Sie das AI-Act-Bewertungstool.
  2. Führen Sie eine Lückenanalyse durch, die aktuelle MDR/IVDR-Prozesse mit Kapitel III des AI Act vergleicht, anhand der obigen Überschneidungstabelle.
  3. Priorisieren Sie echte Lücken: Daten-Governance, Bias-Tests, KI-spezifisches Risikomanagement, Ausgestaltung der menschlichen Aufsicht, algorithmische Überwachung.
  4. Binden Sie Ihre benannte Stelle früh ein, um ihre Bereitschaft zur KI-Bewertung zu verstehen.
  5. Erweitern Sie Ihr QMS um KI-spezifische Verfahren, statt eine parallele Struktur aufzubauen.

Eine vollständige Compliance-Anleitung finden Sie in der EU-AI-Act-Compliance-Checkliste. Führen Sie die kostenlose AI-Act-Bewertung für Ihr konkretes Produkt durch.

AI Act
Gesundheitswesen
Medizinprodukte
MDR
SaMD
Hochrisiko
Anhang I
Compliance