EU-KI-Verordnung und Hochrisiko-KI in Medizinprodukten: Vorbereitung auf die Einhaltung der Vorschriften, Wettbewerb um die Zukunft
6 Min. Lesezeit

Künstliche Intelligenz ist in der Medizinproduktebranche nicht mehr nur ein technologischer Vorteil – sie entwickelt sich zu einer regulierten Funktion, die Vertrauen, Verantwortlichkeit und Leistung umfasst. Europa hat am 1. August 2024 mit der Verabschiedung des formellen EU-Gesetzes über künstliche Intelligenz eine klare Grenze zwischen technologischem Fortschritt und Verantwortlichkeit gezogen.

Die neue Gesetzgebung liefert Herstellern von Medizinprodukten, insbesondere jenen, die mit KI-gestützter Software als Medizinprodukt (SaMD) arbeiten, sowohl regulatorische Anforderungen als auch Marktindikatoren.

Der EU-KI-Gesetz: Ein neues regulatorisches Paradigma

Das Gesetz legt durch seine umfassenden Maßnahmen neue Standards für die Entwicklung, Bewertung und Überwachung von KI-Systemen innerhalb der Europäischen Union fest. Alle Entwickler von KI-Lösungen, die den europäischen Markt anstreben, müssen verstehen, dass die Botschaft bezüglich des KI-Einsatzes klar und prägnant ist. Das Regulierungssystem bestimmt, dass jedes System, das die Gesundheitsdiagnose, die Patientenbehandlung oder die Gesundheit beeinflusst, als Hochrisiko eingestuft werden muss.

Das Wesentliche des EU-KI-Gesetzes verstehen: Risikobasiert, sektorspezifisch, wirkungsorientiert

Der EU-KI-Gesetz integriert ein risikobasiertes Klassifizierungsmodell, das drei Kategorien schafft: Verbotene Praktiken, Hochrisiko-KI-Systeme und Systeme mit begrenztem Risiko. Medizinische KI fällt fast immer in die Hochrisiko-Kategorie, insbesondere gemäß Artikel 6 Absatz 1 Buchstabe b, der jede KI-Komponente eines Medizinprodukts, die eine Überprüfung durch eine Benannte Stelle erfordert, standardmäßig als Hochrisiko einstuft.

KI-Systeme für Diagnose, Therapieplanung, klinische Entscheidungsunterstützung und Fernüberwachung – all diese fallen unter die Hochrisiko-Kategorie. Dies gilt auch für Systeme, die Folgendes verwenden:

  • Modelle für Maschinelles Lernen (ML)
  • Deep-Learning-Algorithmen
  • Neuronale Netze oder statistische Klassifikatoren
  • Vorhersage- oder Mustererkennungssoftware, die in Medizinprodukte integriert ist

Wesentliche Herstelleranforderungen gemäß dem EU-KI-Gesetz:

Die Umsetzung zentraler technischer Vorgaben innerhalb eines Qualitätsmanagementsystems erfordert von Herstellern besondere Aufmerksamkeit, um eine wirksame Einhaltung der Vorschriften zu gewährleisten.

  • Risikomanagement (Artikel 9):
    Hersteller sollten organisierte Strategien für das KI-Risikomanagement entwickeln und pflegen, da diese die Instabilität von Modellen aufgrund algorithmischer Voreingenommenheit sowie Sicherheitslücken und Probleme mit algorithmischer Voreingenommenheit beheben. Darüber hinaus ist gemäß IEC 62304 die Software-Sicherheitsklassifizierung ein entscheidender Schritt. Jedes Softwareelement muss basierend auf dem Risiko als Klasse A, B oder C klassifiziert werden. Diese Klassifizierung bestimmt den Umfang der erforderlichen Aktivitäten während des gesamten Software-Lebenszyklus. Es ist wichtig, diese Klassifizierung bereits in den frühen Design- und Risikobewertungsphasen zu berücksichtigen.
  • Datengovernance (Artikel 10):
    Hersteller sollten hochwertige Datensätze auswählen, zusammen mit repräsentativen Stichproben und kommentierbaren, unvoreingenommenen Informationen, um Datensätze unter anderem nach diesen Kriterien auszuwählen.
  • Technische Dokumentation (Artikel 11):
    Organisieren Sie ein aktives Dokumentationssystem, um vollständige Informationen über die Struktur des KI-Systems zusammen mit Leistungsmessungen, Betriebskontrollen und Sicherheitskomponenten darzustellen. Gemäß IEC 82304 muss auch eine Produktsicherheitsanforderungsspezifikation während der Phase der Anforderungsspezifikation enthalten sein. Dieses Dokument definiert wesentliche Sicherheits-, Schutz- und Benutzerfreundlichkeitsanforderungen und sollte als zentrales Ergebnis überprüft werden.
  • Transparenz & Erklärbarkeit (Artikel 13):
    Nutzer müssen zugängliche Beschreibungen der KI-Systemlogik erhalten, die sowohl die betrieblichen Fähigkeiten und Systemgrenzen als auch die Begründung ihrer Entscheidungsprozesse erläutern.
  • Menschliche Aufsicht (Artikel 14):
    Geschulte Fachkräfte können autorisierte Verfahren anwenden, um automatisierten Schäden an Entscheidungen vorzubeugen und gleichzeitig die operative Kontrolle durch diese Verfahren aufrechtzuerhalten.
  • Protokollierung & Rückverfolgbarkeit (Artikel 12):
    Systemeingaben zusammen mit Ausgaben und Entscheidungsbaumaufzeichnungen sollten vollständig und insbesondere während des klinischen Einsatzes für Post-Market Surveillance-Aktivitäten erfasst werden.
  • Überwachung nach dem Inverkehrbringen (Artikel 72):
    Es sollten Leitlinien implementiert werden, um die Leistung des KI-Systems nach seiner kommerziellen Implementierung kontinuierlich zu messen. Das System sollte reale Analysen der tatsächlichen Betriebsleistung nutzen, um Nutzerfeedback zu integrieren und Risikokontrollsysteme zu optimieren. Darüber hinaus erfordert IEC 62304 einen dokumentierten Software-Wartungsplan. Dieser Plan muss festlegen, wie Software-Anomalien, Patches und Updates nach der Veröffentlichung verwaltet und validiert werden. Wartungsaktivitäten sollten mit langfristigen Überwachungspraktiken übereinstimmen.
  • CE-Kennzeichnung & Registrierung (Artikel 17):
    Bei der Anbringung des CE-Zeichens auf medizinischen KI-Produkten müssen diese die Anforderungen sowohl der Medizinprodukte-Verordnung (MDR 2017/745) oder der In-vitro-Diagnostika-Verordnung (IVDR 2017/746) als auch des EU-KI-Gesetzes erfüllen.

Mehr als nur Regulierung: Eine umfassende Überarbeitung des Lebenszyklus

Die Transformation geht über regulatorische Anforderungen hinaus, da sie eine vollständige Neugestaltung des Entwicklungsprozesses für den Lebenszyklus von KI-Systemen erfordert, von der Erstellung bis zur Wartung. Technische Leistungsfähigkeit weicht einer permanenten regulatorischen Aufsicht und der Verfolgung ethischer Standards.

Unter Einbeziehung der Prinzipien der IEC 62304 ist ein formeller Software-Problembehebungsprozess über den gesamten Lebenszyklus hinweg erforderlich. Hersteller müssen Verfahren definieren, um Software-Anomalien zu identifizieren, zu dokumentieren, zu analysieren und zu beheben. Dies sollte an jedem Qualitätstor, insbesondere nach der Verifizierung, verankert werden.


Auch die Verwaltung von SOUP (Software of Unknown Provenance) ist vorgeschrieben. Jede SOUP-Komponente muss identifiziert, risikobewertet und durch Überprüfungen der Design- und Architekturdokumentation kontrolliert werden. Dies stellt sicher, dass externe Abhängigkeiten sicher und angemessen verwaltet werden.


Darüber hinaus betont IEC 82304 definierte Prozesse für Installation, Konfigurationsmanagement und Systemaußerbetriebnahme. Diese müssen während der späten Entwicklungsphase vor der kommerziellen Freigabe validiert und dokumentiert werden. Ein Prozess zur Minderung von Cyber-Sicherheitsrisiken muss ebenfalls in den SDLC integriert und in jeder Lebenszyklusphase verifiziert werden.

KI-Nutzung in Europa: Die Landschaft 2024

Der Eurostat-Bericht 2024 zur KI-Nutzung in europäischen Unternehmen zeigt ein zunehmendes Muster bei der Implementierung von KI in europäischen Unternehmen im Jahr 2024:

  • 41,2 % der großen Unternehmen nutzen derzeit künstliche Intelligenz.
  • 34,1 % der Unternehmen profitieren in Marketing- und Vertriebsaktivitäten.
  • 27,5 % profitieren in Geschäftsabläufen.
  • 6,1 % profitieren in der Logistik.

Die Lücke bei der KI-Nutzung ist zwischen großen und kleineren Unternehmen deutlich:

  • KI-Technologie wird von 46,4 % der großen Unternehmen für die IKT-Sicherheit eingesetzt, aber nur 17,2 % der kleinen Unternehmen nutzen sie für diesen Zweck.
  • Ein signifikanter Anteil von 34,7 % der großen Unternehmen setzt KI in Produktionsprozessen ein, verglichen mit kleineren Unternehmen, bei denen die KI-Nutzung bei 21,6 % liegt.
  • Die industrielle Einführung von künstlicher Intelligenz steht sowohl Vorteilen als auch Schwierigkeiten gegenüber, da 13,5 % der EU-Unternehmen derzeit KI-Technologien anwenden.

 Diese Zahlen zeigen eine doppelte Realität: Einerseits gestaltet KI bereits entscheidende Geschäftsfunktionen neu; andererseits gibt es eine erhebliche Lücke bei der Skalierung der Nutzung, insbesondere in regulierten Bereichen wie dem Gesundheitswesen, wo Vertrauen und Sicherheit Voraussetzungen für Wachstum sind.

Europa reguliert nicht nur, sondern investiert auch, um vertrauenswürdige KI zu fördern.

Im Gegensatz zu früheren Wellen der digitalen Transformation kombiniert der Ansatz der EU bei KI Politik mit proaktiven Investitionen.

Ein Bericht des Europarlaments bestätigt, dass KI-Innovationen beschleunigt werden müssen, jedoch nicht auf Kosten der Patientensicherheit oder der ethischen Aufsicht.

  • 1,8 Milliarden US-Dollar an finanzieller Unterstützung für europäische KI-Startups (2023)
  • Die EU erhält nur 6 % des weltweiten Risikokapitals für KI, wobei die Investitionen viermal geringer sind als die in den US.

Zu den Förderinitiativen gehören:

  • Programm Digitales Europa: 1,3 Milliarden € (2025–2027) für Testeinrichtungen und Kompetenzzentren.
  • InvestAI: Teil der Strategie für die Digitale Dekade, mit dem Ziel, zu sammeln 200 Milliarden € für:
    • KI-Fabriken
    • Cloud-Dienste
    • Grenzüberschreitende Innovationsnetzwerke

EU-Institutionen schaffen durch regulatorische Änderungen ein unterstützendes Umfeld, das ethische KI-Systeme ermöglicht, die klinisch zuverlässig und skalierbar für SaMD-Hersteller sind.

Was dies für Medizinprodukteunternehmen bedeutet

Die Vorschriften des EU-KI-Gesetzes stellen zusammen mit ihren wesentlichen geschäftlichen Auswirkungen zwei Hauptpunkte dar, die Medizinproduktehersteller beachten müssen.

Diese Punkte werden weiter gestärkt, wenn sie mit den Normen IEC 62304 und IEC 82304 abgestimmt werden, die Struktur, Klassifizierungsgenauigkeit, Kontinuität nach der Freigabe und Sicherheitsmanagement über den gesamten Software-Lebenszyklus hinweg bieten.

Vorbereitung auf die Konformität vor dem Markteintritt

  • Lückenanalyse zum KI-Gesetz durchführen
  • Technische Dokumente, RMFs und SOPs aktualisieren
  • Rückverfolgbarkeitsmechanismen bereits in der Entwurfsphase integrieren
  • Frühzeitig mit Benannten Stellen für eine Vorabprüfung zusammenarbeiten
  • Planung einer langfristigen Überwachung nach dem Inverkehrbringen mit Feedbackschleifen

Wandeln Sie die Einhaltung von Vorschriften in einen Wettbewerbsvorteil um.

  • Unternehmen, die bei der Einhaltung von Vorschriften führend sind, sind auch führend bei Vertrauen und Marktanteil.
  • Bauen Sie ein QMS auf, das bereits in der Konzeptphase auf den AI Act ausgerichtet ist.
  • Positionieren Sie Transparenz und Prüfbarkeit als Alleinstellungsmerkmale auf dem Markt.
  • Nutzen Sie die CE-Kennzeichnung und die Einhaltung der AI-Vorschriften als Vertrauenssiegel.

Häufig gestellte Fragen (FAQs) zum EU AI Act für Medizinprodukte

Um Medizinprodukteherstellern dabei zu helfen, sich in der sich wandelnden Landschaft der Vorschrifteneinhaltung zurechtzufinden, finden Sie hier einige der am häufigsten gestellten Fragen:

  1. Was ist der EU AI Act und wie wirkt er sich auf Medizinproduktehersteller aus?
    Der EU AI Act ist der weltweit erste umfassende Regulierungsrahmen für AI. Er legt verbindliche Anforderungen für Risikomanagement, Daten-Governance, menschliche Aufsicht und Post-Market Surveillance fest, insbesondere für medizinische AI mit hohem Risiko wie Diagnosewerkzeuge und Software zur klinischen Entscheidungsunterstützung.
  2. Welche KI-Systeme in Medizinprodukten werden gemäß dem EU-KI-Gesetz als Hochrisikosysteme eingestuft?
    Jedes KI-System, das in der Diagnose, Therapieplanung oder Patientenüberwachung eingesetzt wird, gilt als Hochrisikosystem. Dazu gehören ML-basierte SaMD, Deep-Learning-Modelle und KI-Tools, die Gesundheitsentscheidungen oder -ergebnisse beeinflussen.
  3. Was sind die wichtigsten Anforderungen an die Einhaltung von Vorschriften für AI-gestützte Medizinprodukte gemäß dem EU AI Act?
    Hersteller müssen Folgendes gewährleisten:
    • Rückverfolgbarkeit von Eingaben und Ausgaben
    • Robuste Datenqualität und -governance
    • Mechanismen zur menschlichen Aufsicht
    • Vollständige technische Dokumentation
    • CE-Kennzeichnung gemäß MDR/IVDR und den Standards des AI Act

  4. Wie verhält sich der EU AI Act zur MDR (2017/745) und IVDR (2017/746)?
     

    Der EU-KI-Gesetz ergänzt die MDR/IVDR um spezifische Anforderungen für KI, wie Erklärbarkeit, algorithmische Transparenz und Risikokontrollen. Alle KI-gestützten Geräte müssen eine doppelte Konformität erfüllen: die herkömmlichen Regeln für Medizinprodukte und die neuen KI-Standards.

    Marktführer betrachten den EU-KI-Gesetz nicht als Hürde, sondern als Leitfaden für die Entwicklung vertrauenswürdiger und leistungsstarker Medizintechnologien. Sie integrieren die Einhaltung der Vorschriften bereits in die Architektur ihrer Produkte und nutzen dies als Grundlage für ihre Strategie, ihr Marketing und ihre Markenpositionierung.

    Unternehmen für Medizinprodukte müssen die Anforderungen des KI-Gesetzes in ihrem gesamten Produkt- und Compliance-System verankern, um wettbewerbsfähig zu bleiben. Kontaktieren Sie uns noch heute, um Ihre Innovationen mit den Vorschriften in Einklang zu bringen und die regulatorische Bereitschaft in einen Wettbewerbsvorteil zu verwandeln.

 

Abonnieren Sie den Freyr-Blog