KI in Medizinprodukten
Grundlagen und Anforderungen des EU AI Act
1. Einführung
AI Act (EU-Verordnung 2024-1689)
Die Europäische Union hat die EU-Verordnung 2024/1689 über Künstliche Intelligenz (AI Act) verabschiedet, um einen sicheren Einsatz von KI zu gewährleisten.
In diesem Blogbeitrag geben wir einen Überblick über den für Medizinproduktehersteller relevanten Teil des EU AI Act. Dieser Blog zeigt wie die Konformitätsbewertung, das Qualitätsmanagementsystem (QMS), die Technische Dokumentation, Adaptive KI-Systeme, Inkrafttreten des AI Act und Übergangsregelungen definiert sind.
2. Definitionen
Folgende Begriffe aus Artikel 3 des EU AI Acts sind von Bedeutung:
- Konformitätsbewertung („Conformity Assessment“) [Artikel 3, Punkt 20]: Die Konformitätsbewertung ist der Prozess, bei dem geprüft wird, ob ein System die festgelegten Anforderungen erfüllt.
- Konformitätsbewertungsstelle („Conformity Assessment Body“) [Artikel 3, Punkt 21]: Eine Konformitätsbewertungsstelle ist dafür verantwortlich, die Einhaltung von Vorschriften durch Dritte zu bewerten. Dies umfasst Prüfungen, Zertifizierungen und Inspektionen.
- Benannte Stelle („Notified Body“) [Artikel 3, Punkt 22]: Eine Benannte Stelle ist eine autorisierte Organisation, die Konformitätsbewertungen durchführt. Sie sorgt für die technische Bewertung, den Verbraucherschutz und die Sicherheit im Binnenmarkt.
2.1 KI – Klassifizierung
Für KI-Systeme, welche risikobasiert klassifiziert werden, gibt es 4 Risikostufen:
- Unvertretbares Risiko: hohes Risiko für Grundrechte oder Sicherheit. Ihr Einsatz in der EU ist verboten. Beispiel: KI zur verdeckten Massenüberwachung oder zur Manipulation des menschlichen Verhaltens.
- Hohes Risiko / Hochrisiko: Einsatz in sicherheitskritischen Bereichen. Beispiele: Gesundheitswesen, Strafverfolgung oder Verwaltung kritischer Infrastrukturen. Vor Inverkehrbringen muss eine Konformitätsbewertung durchgeführt werden.
- Begrenztes Risiko: Transparenz erforderlich, dass Anwender mit einer KI interagieren. Beispiel: Chatbots – müssen sich als solche ausweisen.
- Minimales Risiko: sehr geringes Risiko. Beispiele Spiele-Apps, KI-gestützte Übersetzungsprogramme. keine regulatorischen Auflagen
Die Einstufung der KI-Systeme soll über eine „Listung“ erfolgen (siehe AI-Act Artikel 52.(6), Artikel 112.1 und 112.2).
3. Konformitätsbewertung von KI-Systemen
Für Hochrisiko-KI-Systeme gibt es zwei mögliche Konformitätsbewertungsverfahren:
- Interne Kontrolle (Internal Control): nicht auf Medizinprodukte anwendbar (wird hier nicht weiter behandelt).
- Bewertung durch eine Benannte Stelle (Notified Body): Eine Bewertung durch eine Benannte Stelle vor Markteinführung ist zwingend erforderlich.
3.1 QMS und Technische Dokumentation
Eine Benannte Stelle prüft Anforderungen aus MDR/IVDR und AI Act, wie
- Algorithmentransparenz
- Risikomanagement
- Validierung
Bei KI Systemen muss zusätzlich:
- Der Hersteller vor Änderung des QMS eine Benachrichtigung an die Benannte Stelle geben
- Änderungen am QMS müssen durch die Benannte Stelle zugelassen (zertifiziert) werden
3.1.1 Besondere Überwachung des Qualitätsmanagementsystems (QMS)
Das Qualitätsmanagementsystem (QMS) muss zertifiziert sein. Das QMS wird durch die Benannte Stelle fortlaufend überwacht. Das QMS umfasst Prozesse zur Entwicklung, Design und Verifizierung.
3.1.2 Benachrichtigung und Zulassung bei Änderungen am QMS
Neu ist, dass jede beabsichtigte Änderung am QMS der Benannten Stelle mitzuteilen ist. Es dürfen keine Änderungen ohne vorherige Bewertung und Freigabe durch die Benannte Stelle vorgenommen werden.
3.1.3 Bewertung der technischen Dokumentation: Umfassende Prüfungen durch die Benannte Stelle
Umfang der technischen Dokumentation (Anhang IV des AI Act):
- Allgemeine Beschreibung des KI-Systems (inkl. Funktion vorgesehenen Anwendungsbereiche).
- Risikomanagement (Identifizierung der Gefahren und Maßnahmen zur Risikominderung).
- Lebenszyklusmanagementplan mit Darstellung, wie die Sicherheit und Leistung des KI-Systems während seiner gesamten Nutzung sichergestellt werden.
Benannte Stelle benötigt Zugriff auf die Trainings-, Validierungs- und Testdatensätze des KI-Systems, um die Leistung der KI-Algorithmen hinsichtlich Zuverlässigkeit und Sicherheit zu überprüfen.
3.1.4 Fazit: Überprüfung QMS
- Genehmigung des QMS vor Auslieferung und vor Änderung
- Prüfung der technischen Dokumentation durch die Benannte Stelle
- Benannte Stelle muss vollen Zugriff auf die Trainings-, Validierungs- und Testdaten haben.
3.2.1 Vereinfachte technische Dokumentation
Für kleine und mittlere Unternehmen (KMU) gibt es die Möglichkeit einer Vereinfachung der technischen Dokumentation. Sicherheitsanforderungen oder Qualität der KI-Systeme dürfen darunter nicht leiden.
Hintergrund: KMUs haben oft nicht die Ressourcen großer Unternehmen, um umfassende technische Dokumentationen zu erstellen.
3.2.1 Sonderbehandlung durch Benannte Stellen
Es wird eine besondere Behandlung von KMUs durch Benannte Stellen geben, welche
- angepasste Beratungsleistungen
- schnellere Bearbeitungszeiten oder
- reduzierte Gebühren
- vereinfachte technische Dokumentation (siehe oben)
ermöglichen. Abstriche bei der Sicherheit und Qualität der KI-Systeme sind nicht gestattet .
3.3 Adaptive KI-Systemen
Adaptive KI-Systeme sind Systeme, die sich im Laufe der Zeit durch maschinelles Lernen oder andere adaptive Technologien weiterentwickeln. Diese unterliegen besonderen Überwachungsprozessen: jede vorgesehene Änderung an einem solchen System, die dessen Sicherheit oder Leistung beeinträchtigen könnte, muss dokumentiert und genehmigt werden.
3.4 Wiederverwendung von Dokumentation und Zertifikaten
Die Verordnung bietet in Artikel 29 (4) außerdem die Möglichkeit, Dokumentation und Zertifikate aus anderen Designationsverfahren (Zulassungsverfahren anderer Produkte z.B. Automobilbau) für das Konformitätsbewertungsverfahren wiederzuverwenden. Ziel ist, Redundanzen zu vermeiden und die Bearbeitungszeiten zu verkürzen.
4. Geltung der Vorschriften ab Mai/Juni 2025
Die Regelungen für Benannte Stellen treten 2025 in Kraft und sind dann für alle in der EU tätigen Institutionen bindend. Ab diesem Zeitpunkt müssen alle Medizinprodukte, die auf den europäischen Markt gelangen, von diesen Stellen überprüft und zertifiziert werden.
5. Übergang zur Umsetzung des EU-AI Acts
Die EU-Verordnung zur Künstlichen Intelligenz (AI Act) wird schrittweise eingeführt, um sich auf die neuen Regelungen vorzubereiten. Für Hersteller von KI-Systemen gibt es bereits jetzt klare Empfehlungen, wie sie sich vorbereiten können.
5.1 Freiwillige Compliance während der Übergangsphase
Die Anwendung der EU-Verordnung beginnt erst im August 2026, aber Unternehmen sollen diese Zeit nutzen, um sich auf Regelungen vorzubereiten und mit der Umsetzung relevanter Anforderungen beginnen. Damit können Compliance-Prozesse im Unternehmen etabliert werden. Für Unternehmen könnte dies langfristig einen Wettbewerbsvorteil bedeuten.
5.2 Wichtige Stichtage
Die vollständige Anwendbarkeit der Verordnung tritt am 2. August 2026 in Kraft. Es gibt folgende Zwischenfristen:
- Ab 2. Februar 2025 beginnen die allgemeinen Bestimmungen sowie bestimmte Verbote der Verordnung zu gelten. Das umfasst die Einschränkung oder Verbote der Nutzung bestimmter Arten von KI-Systemen.
- Ab August 2025 werden die Bestimmungen zu Benannten Stellen (Notified Bodies) und der Governance-Struktur wirksam:
- Benannte Stellen müssen ihre Aufgaben im Zusammenhang mit der Konformitätsbewertung wahrnehmen.
- Die Strukturen zur Überwachung und Durchsetzung der Verordnung werden auf europäischer und nationaler Ebene etabliert.
- Ab 2. August 2025 sind die Mitgliedstaaten verpflichtet, ihre Regeln zu Strafen und Bußgeldern (einschließlich Verwaltungsstrafen wie Geldbußen) festzulegen.
- Ab August 2025 müssen Unternehmen sicherstellen, dass ihre Produkte von einer Benannten Stelle geprüft und zertifiziert werden.
Unser Newsletter „qonzentrat“
kompakt, professionell und präzise
Profitieren Sie von unserem Fachwissen.
Jetzt anmelden
