KI-Verordnung (AI Act) – Auswirkungen für Medizinprodukte



Prüfschema

Die KI-Verordnung der Europäischen Union markiert einen ordnungspolitischen Meilenstein.
Erstmals wird der Einsatz von Künstlicher Intelligenz europaweit verbindlich geregelt – risikobasiert, sektorspezifisch und mit klar zugewiesenen Verantwortlichkeiten.
Was früher Auslegungssache war, folgt nun festen Leitplanken: von der Zweckbestimmung über die Risikoklassifizierung bis hin zu Dokumentations-, Transparenz- und Governance-Pflichten.

Prüfschema: KI-Verordnung (AI Act) – Auswirkungen für Medizinprodukte

Standardisiertes Vorgehen zur Einordnung von KI-Systemen im Kontext der MDR – inklusive Risikoklasse, Hochrisiko-Trigger, „wesentliche Änderung“ und Kernpflichten.

Governance-Hinweis:
Das Schema unterstützt die Erstbewertung im Projekt-/QM-Setup. Für die formale Einstufung gelten Zweckbestimmung, technische Dokumentation und ggf. Benannte Stelle.

Prüffrage: Ist das System maschinengestützt, arbeitet mit einem gewissen Grad an Autonomie und leitet aus Eingaben ab, wie es Ausgaben (z. B. Vorhersagen, Empfehlungen, Entscheidungen) erzeugt?

  • Ja: Weiter mit Schritt 2.
  • Nein: Kein KI-System im Sinne des AI Act → Fokus auf MDR/Software-Regulatorik, nicht AI Act-Pflichten.

Grundlage: Definition KI-System (AI Act) und Einordnung/Leitlinienbezug. :contentReference[oaicite:1]{index=1}

Medizinprodukte mit KI können aus drei Gründen vom AI Act betroffen sein:

  1. Konformitätsbewertung nach MDR erforderlich (Produkt benötigt MDR-Verfahren).
  2. Das KI-System ist selbst das Medizinprodukt (KI = Produktkern).
  3. KI ist Teil eines Sicherheitsbauteils innerhalb eines Medizinprodukts.

Grundlage: Einordnung Medizinprodukte mit KI – Gründe der Betroffenheit. :contentReference[oaicite:2]{index=2}

Prüffrage: Welche MDR-Risikoklasse hat das Medizinprodukt (oder die Produktfamilie)?

MDR-Einstufung AI-Act-Einordnung (Grundlogik)
Klasse I In der Regel geringes oder minimales Risiko – außer wenn die KI als Hochrisiko-Anwendung gilt (z. B. als sicherheitsrelevantes KI-Bauteil).
Klasse II Hochrisiko-KI-System im Sinne des AI Act.
Klasse III Hochrisiko-KI-System im Sinne des AI Act.

Grundlage: Zusammenhang MDR-Klasse ↔ AI-Act-Risikoeinordnung (Tabelle 2, inkl. Klasse-I-Ausnahme). :contentReference[oaicite:3]{index=3}

Wenn das System als Hochrisiko-KI einzuordnen ist, sind organisatorisch und technisch u. a. folgende Bausteine verbindlich aufzusetzen:

Governance & Management
  • KI-Kompetenz der beteiligten Personen sicherstellen
  • Risikomanagementsystem & Qualitätsmanagementsystem (QMS)
  • Technische Dokumentation & Aufbewahrung von Aufzeichnungen
  • Gebrauchsanweisung / Informationen zur Leistung
Technik & Betrieb
  • Datenqualität: repräsentative, vollständige Trainings-/Validierungs-/Testdaten
  • Human Oversight: wirksame menschliche Aufsicht & Interpretierbarkeit
  • Logging/Aufzeichnungspflichten (Ereignis-Protokollierung)
  • Genauigkeit, Robustheit, Cybersicherheit im realen Betrieb

Grundlage: Anforderungen Hochrisiko-KI, Daten-Governance, Human Oversight, Logging, Robustheit/Cybersecurity. :contentReference[oaicite:4]{index=4}

Prüffrage: Wurde ein bereits in Verkehr gebrachtes/ betriebenes KI-System in seiner Konzeption erheblich verändert?

  • Nein: Bestehende Zertifizierungen bleiben grundsätzlich nutzbar.
  • Ja: Re-Zertifizierung kann erforderlich werden (Änderungskontrolle / erneute Bewertung).
Operational Takeaway: Änderungen an Modell, Datenbasis, Zweckbestimmung, Sicherheitsfunktion oder Human-Oversight-Konzept sind Governance-relevant und gehören in einen formalen Change-Control-Prozess (MDR/AI-Act-kompatibel).

Grundlage: Re-Zertifizierung bei erheblichen Änderungen nach Stichtag; Diskussion „wesentliche Änderung“ und Synchronisierung MDR/AI Act. :contentReference[oaicite:5]{index=5}

Für die Umsetzung zählt die korrekte Rollenklärung:

  • Anbieter (typisch: Hersteller/Entwickler) verantwortet Konformität, Dokumentation, QMS usw.
  • Betreiber (typisch: Klinik/Praxis/Pflege) muss u. a. KI-Kompetenz im Betrieb sicherstellen.
  • Wichtig: Wer an einem Hochrisiko-KI-System wesentliche Änderungen vornimmt, kann selbst zum Anbieter werden (Pflichtenübergang).

Grundlage: Definitionen Anbieter/Betreiber und Pflichtenübergang bei wesentlichen Änderungen. :contentReference[oaicite:6]{index=6} 

START
  |
  |-- (1) KI-System nach AI Act Definition?
  |       |-- NEIN -> AI Act nicht einschlägig (für KI), MDR/Software-Regeln prüfen
  |       |-- JA  -> weiter
  |
  |-- (2) Medizinprodukt mit KI (MDR-Kontext: 3 Szenarien)?
  |       |-- NEIN -> AI Act-Risikoklasse außerhalb MDR-Kontext bestimmen
  |       |-- JA  -> weiter
  |
  |-- (3) MDR-Risikoklasse?
  |       |-- Klasse I   -> i.d.R. gering/minimal, Ausnahme: KI als Hochrisiko-/Sicherheitsbauteil
  |       |-- Klasse II/III -> Hochrisiko-KI
  |
  |-- (4) Hochrisiko-Pflichtenpaket umsetzen:
  |       - QMS/Risikomanagement, Tech-Doku, Daten-Governance, Logging
  |       - Human Oversight, Robustheit/Genauigkeit/Cybersicherheit
  |
  |-- (5) Change Control:
          erhebliche/wesentliche Änderung? -> (Re-)Bewertung/Rezertifizierung prüfen


Control Panel Entlassmanagement